Minden hétre jut valami: ezúttal az volt a hét “vihar egy pohár vízben” híre, hogy az Apple, és mint később kiderült, a Google okostelefon oprendszere is “kémkedik” a gazdája után. Ahogy Kenny mondaná: atya gatya!
Elöljáróban: azt hiszem az az alapvető megrökönyödésem ezekben a sztorikban, hogy emberek, akik egyébként vidáman használnak cloud szolgáltatást (bármelyiket), megrökönyödnek, amikor kiderül, hogy adatot gyűjtenek róluk. Kedves emberek: ha nem akarjátok, hogy adatot gyűjtsenek rólatok, akkor vegyetek rendes szolgáltatásokat, és ne használjatok Google és egyéb ingyenes cloud cuccokat. “If it’s free, you are the product.” És még egy: ha azt hiszitek, hogy a földrajzi helyzetetek követése a legdurvább, amit a cloud szolgáltatóktól a nyakatokba kaptok, nagyon gondoljátok újra, hogy mit adtok ki magatokról.
A mostani “botrány” két szinten zajlik, és mindkettő máshogy gáz, illetve mindkettő máshogy nem gáz:
I. Az Apple
Az Apple megközelítése valószínűleg szimplán bénaság: kódolatlanul, bármilyen alkalmazásnak hozzáférhetően van tárolva a “kémkedés” eredménye. A megoldás egyszerű bugfix lesz, gondolom: az Apple majd jól letitkosítja a véletlenül titkosítatlanul hagyott adatot, és bejelenti, hogy
- ilyet a történelemben még soha nem csinált senki, a felhasználó lokációjával kapcsolatos adatok titkosítása egy csoda;
- az Apple figyel a felhasználókra, mert szereti őket.
(Bocsánat, sose tudom kihagyni az Apple-hoz kapcsolódó szurkálódást.)
De abban legyünk biztosak, hogy a saját telefonra oprendszer által gyűjtött és tárolt geolokációs adattal semmi probléma nincs, amíg ki nem kerül a telefonról: a törvénysértést (ha van) nem az Apple követi el, hanem az adatokat kiküldő alkalmazás (írója). Az Apple ellen itt Európában vélhetően maximum fogyasztóvédelmi eljárást lehet indítani. (Az USA-ban pedig vélhetően bármit.)
II. A Google
Blogunk fő scope-ja persze a Google, és nekem is ez tűnik érdekesebbnek, ugyanis itt nincs bug, ez fícsör: a Google valóban adatot gyűjt, bevallottan, mission statement szinten.
Ám a Techcrunch-nak adott közleményben a Google megerősítette, hogy ők bizony csak akkor küldenek adatot, ha erre a felhasználó (te) explicit engedélyt ad – a szolgáltatás tehát opt-in. (Ez egyébként a “Use Google location” cím alatt feltett két kérdés: “Allow Google’s location service to collect anonymous location data…” és “Use My Location for Google search results…”)
Tegye fel a kezét, aki meg van lepődve. Tegye fel a kezét, aki mindeközben szeret pl. helyre optimalizált keresési eredményeket kapni. Pl. térképet. Naugye.
A sajtó és a bloggerek túlnyomó részét ez a válasz meg is nyugtatta. Tényleg, hát hisz’ rákérdez! Akkor a Google mégsem evil. Az igazi probléma megtalálásához viszont kicsit meg kell kapirgálni a felszínt.
Az igazi probléma pedig az, hogy a Google, persze csak ha hozzájárulsz, mindenféle adatot gyűjt. Olyat is, ami nem a tied, ami fölött nem rendelkezhetsz. És erre remek példa az a bizonyos “andriod map“, amivel a saját routered MAC címe alapján szépen megmutatja neked, hol van az a router. Ugyanis ha (kis túlzással) bárki elment a közeledben egy Androidos telefonnal, aktivált location service funkciókkal, a routered infoja bekerül az adatbázisba.
Anonim? Igen. Mégis konkrét info? Hát bizony. Örülsz neki, hogy begyűjtötték? Tippem szerint olyan nagyon azért nem. És végül: gáz ez? Na erre nincs egyértelmű válaszom: kirabolni nem ez alapján fognak, de azért vannak érdekes aspektusok.
Bivanbi barátom nagyon találó megfogalmazása szerint a probléma az, hogy a felhasználó “nem tulajdonosa azon adatoknak, amelyeknek elküldése felett rendelkezik, tehát jogilag problémás a dolog.”
Touché! A Google megoldásával tehát az egyszeri, mezei felhasználóból, aki csak telefonálni (emailezni, netezni, térképezni, geolokációs szolgáltatást igénybe venni, twitterezni…) akar, adatkezelő szerv lett, márpedig az ilyen adatkezelőkre mindenhol (jó, lehet, hogy pl. Szomáliában nem) adatvédelmi törvények vonatkoznak – próbálj meg egyszer egy multinál felhasználói adatokkal babráló webes (“externally facing”) alkalmazást élesbe pakolni. Általában az ilyen DP processzek (ami minden ellentétes értelmezés ellenére Data Protection és nem más) elég bonyolult képlettel (mert minden országban más a szabályozás) rendelkeznek arról, hogy mi mivel kombinálva személyes, érzékeny, privát, titkos, stb. minősítésű adat – ugyanakkor bármi, ami valahogy valamihez köthető, már nagy eséllyel privát: minden adat védendő, de nem mindegyik érzékeny. És adott esetben egy MAC cím + egy SSID + egy pontos geolokáció már valami komolyabb kategóriába eshet. (Itt majd talán pontosít/kijavít engem egy adatvédelmi szakember – ezt előre is köszönöm.)
Mi történt tehát?
Vélhetően annyi történt, hogy volt egy terület, ami nem volt jogilag megfelelően szabályozva: ki gondolta 30-40-50-200 éve, hogy egyszer minden egyes polgár (az “user” akkori megnevezése) tömegesen fogja más polgárok adatait kezelni? (Akár a tudta nélkül.) És bár a konkrét adatkezelésre megvannak a törvények, a felhasználótól nem várható el, hogy ezekről tudjon, vagy betartsa, az a konkrét szabályozás pedig (vélhetően) hiányzik, amely a felhasználókat adatkezelővé avanzsáltató ipari szállítókat (Google, Apple) ilyen téren szabályozza.
Eric Schmidt fejtette ki, talán a 2010-es Web 2.0 Summiton, hogy ők hogy állnak ehhez, mint a tech ipar úttörői. Röviden: a Google nem sért törvényt, vagy legalábbis igyekszenek nem sérteni. Amíg egy terület szabályozatlan, addig ők etikai határokon belül felfedezik, és keresik a jogi határait. Ezzel időnként kiváltanak egy, a mostanihoz hasonló felzúdulást, aminek a vége törvénykezés vagy specifikus jogértelmezés lesz – és amikor már van rá konkrét szabályozás, akkor betartják.
A Google (saját bevallása szerint) semmi illegálisat nem csinált: ha nem akarod, nem gyűjtenek adatot a telefonod segítségével. Ha viszont igen, akkor mindenfélét.
Mi lesz most?
És hogy mi következik ezután: meglátjuk. Vélhetően a Google is korlátozza majd valahogy az ilyen irányú információk külső hozzáférését (a gyűjtést nyilván nem, amíg valaki explicit meg nem tiltja nekik), aztán talán helyi szabályozások, vagy meglevő adatvédelmi törvények értelmezése… Talán. A világ nem lesz rosszabb hely, mert általában az adat, ami neked számít, a te adatot, te rendelkezel fölötte, tehát keresni ezután is tudsz majd.