Ha az elmúlt évek adatbotrányai mást nem is, azt biztos megtanították a felhasználóknak, hogy a nagy cégek irtózatos információmennyiséget birtokolnak. Ez akkor válhat igazán ijesztővé, ha az adatok rossz kezekbe kerülnek: elég a Facebook Cambridge Analytica-botrányára gondolni.
Európa tavaly üdvös változást jelentett be az új uniós adatvédelmi rendelet képében (GDPR), és bár sokak hátán feláll a szőr a betűmozaikot látva, egy meglehetősen jó dologról van szó, ezt a Google múlt heti bírsága kapcsán is részleteztük. A GDPR egyik legalapvetőbb elvárása, hogy a cégeknek az európai felhasználók tájékozott beleegyezésére van szüksége az adatgyűjtéshez.
Ez fontosabb dolog, mint gondolnánk, mert az interneten szinte minden oldal adatokat gyűjt rólunk, anélkül, hogy ezt egyáltalán észrevennénk. A sütiknek és egyéb trackereknek köszönhetően a cégek tudják, mit nézünk, mire keresünk, mi érdekel minket, és ez az adathalmaz gyakran olyan komplett profillá áll össze, amit el se tudunk képzelni.
A rendelet részét képezi a begyűjtött adatokhoz történő hozzáférési jog is, ami azt takarja, hogy amennyiben kérjük, akkor a cégeknek kötelező kiadnia, hogy milyen személyes adataink vannak a birtokában. Ezeket érthető, olvasható módon kell átnyújtaniuk, elegendő háttérinformációval az értelmezésükhöz, széles körben használt elektronikus formátumban. Az elképzelés lényege, hogy a felhasználó ezek tudatában megfontoltabb döntéseket hozhassanak arról, hogy mit is kívánnak megosztani, mihez adnak hozzáférést egy-egy szolgáltatásnak.
Nem nagy ördöngősség
Az olyan internetes óriáscégek esetében, mint a Facebook, a Google, az Apple vagy az Amazon, mindenkinek lehetősége van arra, hogy a cégek online felületéről letöltse a személyes adatait tartalmazó fájlokat – az igényléséhez nem kell kitölteni semmiféle papírt vagy kérvényt. A művelet pár óra alatt lezavarható, csak akkor kell több napot várni, ha súlyos gigabájtok tartanak felénk, de ez a ritkábbik eset.
A Facebookon ugyan már 2010 óta mód van rá, hogy letöltsünk egy archívumot a regisztrációnk után keletkezett fájlokról és interakciókról, a GDPR után ez a lehetőség még kiemeltebb helyre került a Beállítások menü alatt: ez a harmadik helyen látható a „A Facebook-adataid” pont. Ide kerültek az adatokkal kapcsolatos dolgok: többek közt tájékoztatást is olvashatunk arról, hogy a Facebook miként kezeli őket, de törölhetjük fiókunkat is. Adatok letöltéséhez a Hozzáférés az adataidhoz lehetőségre kell böknünk, majd picit várni a csomag összeállítására. Én egy 6,2 gigás fájlt kaptam.
A Google esetében a Google-fiókunkba való bejelentkezés után az Irányítópultot kell keresnünk, ezen a felületen érhetjük el és kezelhetjük a fiókunkhoz fűződő aktivitásokat, többek közt keresési előzményeket, mentett helyeket, könyvjelzőket, YouTube-os előzménylistát, emaileket, névjegyeket, naptár-bejegyzéseket. Ezeket szintén letölthetjük egyetlen csomagban. Az enyém 7 gigabájt lett, amiben benne voltak a Drive-ba feltöltött fájlok is. Aki szereti feltöltögetni a fotóit például a Google Fotókba, annak ez sokkal több lehet. Összesen 49 Google-termékből szipkázódtak ki az adatok, és némileg elgondolkodtatott azzal kapcsolatban, mennyire domináns szereplő is a Google az életemben, ha online szolgáltatásokról van szó.
Az Apple is elérhetővé tette tavaly májusban saját eszközét új Adatok és adatvédelem weboldalán, ahonnan lekérhetők az App Store, iTunes aktivitások, az egész Apple ID-fiók tartalma, vásárlási előzmények, AppleCard support napló, hívásnapló, iMessage metaadatok. Mivel nem vagyok Apple-felhasználó, ezért ezzel a lehetőséggel nem éltem, de aki kíváncsi, kattintson erre a linkre.
Magam sem értem, hol jártam
A csomagok letöltése után indulhat a turkálás, ami tanulságos, de nem minden ponton érthető, hogy mit is kaptunk. A Google esetében leginkább a helykövetés érdekelt és a hirdetésekkel kapcsolatos adatok. Előbbit kicsit nehezebb értelmezni, a több részre tagolt csomagolt Helyelőzmények mappájában található fájl alapján én például ilyen helyeken jártam:
Az egész egy .JSON (JavaScript Object Notation) kiterjesztésű fájlban van, amit ugyan Chrome-mal megnyithatunk, de kódok vadonja fogadja a hozzá nem értő, hétköznapi szemeket. Ugyan az angolul tudók valamit még ki tudnának következtetni a „timestampMs”, „latitude7”, „logitudeE7” kifejezésekből, sőt abból is, hogy éppen „walking”, vagy „bicycle” a közlekedés módja, de bármiféle kontextus nélkül ezeket az értékeket nem lehet értelmezni. Felhívnám a figyelmet arra, hogy mint a képen is látszik, a kód utolsó sora már a 4530869 volt.
Ez azért különösen érzékeny átláthatóság szempontjából, mert a keresőóriást nagyon sokszor kritizálják amiatt, hogy akkor is naplózza az androidos felhasználók tartózkodási helyét, ha ők nem engedélyezték a helyadatokat a telefon beállításai közt. Ennek kapcsán vizsgálat is zajlik a cég ellen hét különböző európai országban, aminek szintén csúfos büntetés lehet a vége a GDPR megszegése miatt.
A többi fájl esetében sem egyértelmű elsőre, hogy mit is nézünk valójában. A letöltött csomag Saját tevékenységek/Google Hirdetések mappájában található HTML-ben egy hosszas listát kapunk, vélhetően arról, hogy mely oldalakon és mikor jött velünk szembe hirdetés, de semmiféle metaadat nincs például arról, hogy milyen jellegű reklám volt az. Mivel a Google biznisze a reklámokra épül, és olyan személyes infók vannak náluk, amiért a hirdetők ölni tudnának, a keresőcégnek
Azt pedig különösen elgondolkodtató megnézni, hogy az egyik fájlban az összes Google keresőben folytatott keresési előzményünk is benne van, aminek az aljáig el sem láttam.
Meglepő, de a Facebook most odatette magát
Ironikus, de a Facebook most valamit teljesen jól csinált, és átfogó csomagot nyújt át. Eleve mindent érthetően felcímkézve mutat egy index fájlon belül, külön kategóriákban. Igaz, webes felületen is megnézhetünk mindent letöltés nélkül, ami azért célszerű, mert így akár törölhetünk is nekünk nem tetsző dolgokat, nem kell például visszagörgetni a falunkra az ősidőkbe.
Én mindenesetre letöltöttem az archívumot, ami a benne található index fájlnak köszönhetően olyan, mintha csak egy weboldalon néznénk végig a mappáinkat.
Ha rászánjuk az időt, akkor egészen ijesztő egy helyen látni minden régi beszélgetést (a csetablakban elküldött fotókat, matricákat, gifeket is megnézhetjük külön mappákban, lementve) kommentet, fotót, hogy ki mikor bökött meg minket a pre-Tinder korszakban, kivel voltunk kapcsolatban, milyen eseményeken vettünk részt. Köztük olyan beszélgetéseket is találunk, amiket évekkel ezelőtt folytattunk, és azóta már talán töröltünk is a levelesládánkból.
és az is, hogy a hirdetők milyen érdeklődési köreinkre céloznak, milyen hirdetésekre reagáltunk, a különféle csoportokban mikhez szóltunk hozzá, hol és milyen eszközről jelentkeztünk be.
A hirdetési kategóriáim érdekesek voltak, mert az „autók” nem érdekelnek, a „Csavarvonalról” nem tudom mi, de volt közte DNS-szekvenálás, Dániel próféta, Győri ETO FC (nem kedvelem a sportot) és a Jégvarázs mese is – utóbbit még sose láttam. Aki engedélyt adott a Facebooknak az eszközén a névjegyeihez, az a mobilos híváslistájáról és az SMS-eiről is kap információkat, többek közt, hogy melyik hívás mettől-meddig tartott, volt-e bejövő vagy nem fogadott hívása.
A Facebooknál felmerül a kérdés, hogy mi a helyzet azokkal az ún. „shadow profile”-okkal, amiket azokról építenek, akik nincsenek fenn a közösségi oldalon. A cég webes felületén olvasható válasza az adatok kikérésével kapcsolatban erre az esetre: „Ha nincs fiókod, de úgy gondolod, hogy a Facebook tárol rólad információkat, kapcsolatba léphetsz velünk, hogy kérj egy példányt ezekből az információkból.”
Mi a tanulság mindebből?
Bár én androidos felhasználóként az Apple-től nem kértem ki semmit, de a The Verge szerzője szerint a cupertinóiak ennyire nem akarják megizzasztani a felhasználóikat, ők olyan olvasható fájlokban adják az adatokat, mint txt, jpg, csv, na és persze json, de a fájlok mélyére ásva bőven akadtak értelmezési problémák. Az Amazon esetében pedig elég nehéz megtalálni már csak a kérvényt is.
Az érzéseim eléggé vegyesek voltak, de annyi biztos, hogy ha az óriáscégek teljesen eleget akarnak tenni a GDPR követelményeinek, még van mit csiszolniuk. Az adatokat letölteni egy dolog, de hogy azok hasznosak és értelmezhetők is legyenek, olyan formában is kell tálalni ezeket, hogy az átlagemberek is képes legyen megérteni.
Egy korábbi felmérés szerint egyébként körülbelül 70 lájkból a Facebook már úgy ismeri az embert, ahogy a barátai, 300 lájkból pedig olyan profilt alkotnak, mintha évek óta házastársakként élnének a felhasználóval. Nem véletlen, hogy a Cambridge Analytica például képes volt ilyen jól célozni a felhasználókat, mert még magunk is rácsodálkozhatunk a Facebookon tett aktivitásaink, kedveléseink, posztjaink színességére és kiterjedtségére, főleg, ha azokkal egy végeláthatatlan naplófájlban találkozunk.
Kiemelt kép: iStockphoto