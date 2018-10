Emlékeznek még, mekkora para volt tavasszal az új EU-s adatvédelmi rendelet, a GDPR körül? Mindenki felváltva idegeskedett, hogy milyen értelmetlen bürokratikus terheket tesz a nyakába az új szabályozás, és rettegett, hogy egyszer csak megkínálják egy pár millió eurós büntetéssel, mert úgy írt fel egy telefonszámot, hogy előtte nem kért hivatalos engedélyt az adatkezelésre 16 példányban. Aztán májusban a rendelet élesedett, pár amerikai gigacéget be is pereltek kapásból milliárdos összegekre, néhány másik meg úgy megijedt tőle, hogy egész Európát blokkolta.

Néhány hónappal később aztán ugyanezek a cégek az írországi Data Summit konferencián versenyt irigykedtek Európára, hogy milyen frankó adatvédelmi szabályaink vannak, legszívesebben átvennék ők is. Sőt, tették hozzá, a legjobb az lenne, ha rögtön világszabvány lenne a dologból, csak hát ugye Kína miatt megette a fene az egészet.

Vajon mi történt a nyáron, hogy a világ hirtelen megszerette a GDPR-t, amitől addig félt és a háta közepére se kívánta? A választ az EU kommunikációs hálózatokért felelős biztosa, Roberto Viola adta meg, rögtön az egész konferencia alaphangját is meghatározva:

A GDPR olyan, amilyen, de legalább van. És ha van adatvédelmi standard, az mindenképpen jobb, mintha nem lenne. Mert hogy az internet nagyjából minden bajának az az ősforrása, hogy nincs.

Ez azért elég erős kijelentés, annyira, hogy még a Dublin utcáit 150 kilométeres széllel tépázó Helene hurrikán is megállt tőle egy pillanatra. Aztán jöttek sorban a Google, a Microsoft, a Facebook illetékesei, és szorgosan egyetértettek, hogy ez mennyire így van.

Vadiúj vadnyugat

Az online hirdetések világa súlyos válságban van – vetette fel a problémát Sridhar Ramaswamy, a Google hirdetési részlegének vezetője, és valószínűleg tudja is, mit beszél, hiszen a csapatával évi 110 milliárd dolláros forgalmat csinál a cégnek (vagyis már nem: a konferencia után felmondott, és elment startupkeltető befektetőnek).

Adblockerek, csaló hirdetések, hekkerek, a felhasználók személyes adataival csúnyán visszaélő cégek tépázzák az online reklámokba vetett bizalmat, senki nem tudja, mi történik az adataival, hogyan manipulálják kifinomult mesterséges intelligenciák. Ezért aztán a hirdetések egyre kevésbé hatékonyak, a Google meg ideges, mert hát 110 milliárd dollár az mégiscsak 110 milliárd dollár.

Na ezért kellene a GDPR, mint egy falat kenyér, mert arra hivatkozva lehetne szűrni a csalókat a rendszerből, akár a böngésző szintjén. És itt a lényeg: a technikai lehetőség megvan arra, hogy a rosszfiúkat kidobják (a súlyos vizuális környezetszennyezés kategóriájú reklámoknál már bevált), csak hogy nézne már ki, ha egy magáncég döntené el, ki a rosszfiú, és állna neki kivasalni a szólásszabadságot. Azzal pedig kicsit a saját pénztárcáját is, hiszen a hirdetési jutaléknak nincsen szaga. Amíg pedig ez a helyzet, a nagy cégek csak egymásra fognak várni, senki nem húzza be a kéziféket önkéntesen, arra számítva, hogy a többiek is követik. Így hát marad a vadnyugat.

Az áttöréshez annyi kellene – mondják ők –, hogy legyen valami nemzetközileg elfogadott szabálykönyv arra, hogy mit szabad tenni az adatokkal, és mit nem. A GDPR meg pont ilyen, és 500 millió embert már sikerült beterelni alá, különösebb világvége nélkül. A Google szerint a világszintű adatvédelmi standard visszaszerezné a felhasználók elveszett bizalmát, ami pedig a legértékesebb dolog ma a világon. Sőt:

A bizalom az új olaj.

(Olajügyben járatlanabbaknak: a régi olaj az olaj, az új olaj eleinte az információ volt, aztán amikor abból túl sok lett a neten, az emberek figyelme, és a legújabb fejlemény, hogy az emberek bizalma, mert azt még nehezebb megszerezni, de még többet ér ha megvan.)

KRESZ márpedig kell

Olyan még sosem volt, hogy akár a régi, akár az új olaj ne járjon problémákkal, és persze ezek most, a GDPR Megváltó-szerepe kapcsán is előjöttek. A fő probléma most az, hogy a szabályozás és az innováció egymás nagy ellenségei, mindenféle reguláció lassítja a fejlődést és a versenyképességet. Ez egy elég súlyos dilemma az online bizniszben, komoly könyveket írtak róla okos emberek (ez például egy elég jó cikk a témában), egészen konkrét példának Kínát szokták előhozni mostanában. Ahol a mesterséges intelligencia fejlesztése többek között azért fejlődik olyan hétmérföldes léptekkel, mert hatalmas felhasználói adatbázisokkal tudják etetni a gépi tanuló algoritmusokat. Hatalmas adatbázisaik meg nem csak azért lehetnek, mert alapban sokan vannak, hanem azért is, mert a személyes adatok védelme arrafelé nem feltétlenül élvez olyan kiemelt prioritást, mint nyugaton.

Namost, ha a nyugatiak direkt lelassítják a saját fejlődésüket azzal, hogy adatvédelmi szabályokkal játszanak akadályversenyt, akkor közben Kína, ahol khm, fogalmazzunk úgy, hogy az ilyesmire nincs hangos társadalmi igény, kiröhögi és lekörözi őket.

Hosszú távon persze elképzelhető, hogy a szabályozás a jobb megoldás, vagy akár az egyetlen járható út. Erre Dale Sunderland, ír adatvédelmi biztos húzott fel egy párhuzamot. Eszerint a GDPR előtti időkben az internet olyan volt, mint az autós közlekedés lenne sebességkorlátok, jelzőtáblák, rendszámtáblák, jogosítvány, balesetbiztosítás és biztonsági öv nélkül. Egy ideig működik a dolog, de előbb-utóbb csúnya tömegbalesetek lesznek belőle. A GDPR játssza elvileg a KRESZ szerepét, és lehet hogy nem tökéletes, de hát az első KRESZ sem volt az. Külön vicces érdekesség a párhuzamban, hogy az autókon a rendszámok szükségességét mindenki elfogadja, de ha online annyira azonosíthatóak lennénk, mint az autóban a rendszám alapján, hát, ugye hogy önt is kirázta a hideg már az ötlet olvastán is (és jó előre szólok, hogy erre még visszatérünk).

Szóval szabályozni márpedig kell, különben mindenki rosszul fog járni.

Házkutatás a felhőben

Hogy az egységes adatvédelmi szabályozás mennyire élet és halál kérdése lehet néha, azt a Microsoft alelnöke, John Frank világította meg egy történettel még 2015-ből. A Charlie Hebdo szerkesztősége elleni terrortámadás után a francia rendőrség forró nyomon haladt a támadók nyomában, és szüksége volt online adatokra a Microsofttól. Amiket a kusza szabályozás miatt nem lehetett csak úgy odaadni, ehelyett az történt, hogy a francia szerverekről először átküldték az írországi adatközpontba, onnan kiadták az FBI seattle-i irodájának, ami végül megosztotta azokat a francia nyomozókkal. Így a procedúra jogszerű volt, cserébe őrjítően hosszadalmas.

Pedig hát ki perelt volna, ha nem jogszerű, az Al-Kaida?

És akkor gondoljunk bele, hogy ha az egész világ által lélegzetvisszafojtva figyelt, szuperforró ügyben ilyen körülményesen megy csak az adatok kiadása, akkor mi lehet a világ összes többi rendőrségi nyomozásánál (amelyeknek a 85 százalékában felmerül digitális bizonyíték). Hát az, hogy az ilyen adatokhoz átlagosan 10 hónap alatt sikerül hozzájutnia az adott hatóságnak a statisztikák szerint.

Az internet nem áll meg az országhatároknál, de a törvények és a rendőrök igen. Ez pedig egészen abszurd helyzeteket eredményez: például

milyen házkutatási parancs kell egy felhőben tárolt email elolvasásához?

Felülbírálhatja-e egy cég egy ország törvényét, ha az szerinte nem jó? Mi a fenét csinálna a Microsoft, ha a magyar kormány azt kérné tőle, adja ki a Berlinbe költözött Soros-alapítványok levelezéseit, mert azok a magyar törvények szerint háttérhatalmi ügynökként az ország ellen fenekednek? - tette fel a kérdést TJ Mcintrye, a Digital Rights Ireland jogvédő szervezet vezetője. Senkinek nem volt válasza rá. (Pedig már készül az amerikai CLOUD Act továbbfejlesztése, ami a neve ellenére nem a felhőszolgáltatásokról szól, hanem arról, hogy az amerikai cégeknek hogyan kell reagálni a külföldi adatkérésekre - na az majd választ ad.)

Akkor most lesz világszintű GDPR?

Bármennyire is tetszene az ötlet a nagy cégeknek, rövid távon valószínűleg nem lesz. Európa viszont elmondhatja magáról, hogy világelső az adatvédelmi szabályozásban, és ezzel egyszer még nagyon jól fog járni. Az GDPR pedig fejlődik, Roberto Viola be is lengetett pár ötletet, amik megjelenhetnek a 2.0-s verzióban. Ilyen például a szabad adatáramlás elve, ami azt jelenti, hogy csak komoly nemzetbiztonsági okokból lehetne korlátozni az online adatok hozzáférhetőségét. Jó kérdés, hogy ez mennyire vonatkozik mondjuk az egyes országokban elérhetetlenné tett YouTube-videókra, vagy a Netflix országról országra változó kínálatára, de hát majd csak összefésülik a tervezetet a szerzői joggal.

Fontos az is, hogy az EU kiáll a “safe harbor” intézménye mellett, vagyis egy szolgáltatót nem lehet felelőssé tenni a hozzá feltöltött felhasználói tartalom jogsértő volta miatt. Elég érdekes lesz, ha ez konkrétan ki is mondja majd a GDPR 2, hiszen így az online kommentek perelhetősége az adott felhasználóra szűkül, és magát a felületet nem lehet felelőssé tenni, ahol az megjelent (Magyarországon a bírói gyakorlat finoman szólva nem ezt tükrözte az elmúlt években).

Sőt, felmerült a blockchain használata publikus adatbázisoknál (például választási eredmények) de még a publikus digitális személyazonosság bevezetése is, ami egyfajta online rendszámot jelentene minden felhasználónak. Ez pedig annyira tálcán kínálja az asszociációra a kínai modellt, hogy alighanem vissza fogjuk még sírni azokat az időket, amikor azért paráztunk, hogy majd millió eurós büntetések járnak egy engedély nélkül tartott email-címlistáért.

(Munkatársunk a Microsoft meghívására és költségén vett részt a konferencián.)