Κάποτε τα αρχεία καταγραφής των διακομιστών ήταν απλώς βαρετά αρχεία των οποίων οι πιο δραματικές στιγμές συνέβαιναν όταν κάποιος ξέχναγε να γράψει ένα πρόγραμμα που να διαγράφει τα παλιά και η συσσώρευσή τους οδηγούσε στο να γεμίσουν τον σκληρό δίσκο και να κρασάρουν τον διακομιστή.
Στη συνέχεια, μια σειρά από περίεργα ατυχήματα μετέτρεψαν τα αρχεία καταγραφής των διακομιστών στο κύριο χαρακτηριστικό του 21ου αιώνα, ένα είδος αιώνιας, πανταχού παρούσας αναθυμίασης της καθημερινής μας ζωής, το CO2 (διοξείδιο του άνθρακα) του Διαδικτύου: αόρατα, φαινομενικά αθώα, αλλά αρκετά επιβλαβή, στο σύνολό τους, για να καταστρέψουν τον κόσμο μας.
Να πως φτάσαμε ως εδώ: αρχικά, υπήρχαν τα cookies. Οι άνθρωποι που διαχειρίζονταν τους web-servers ήθελαν έναν τρόπο για να αλληλεπιδρούν με τους ανθρώπους που τους χρησιμοποιούσαν: έναν τρόπο, για παράδειγμα, για να θυμούνται τις προτιμήσεις σας από επίσκεψη σε επίσκεψη ή να σας ξεχωρίζουν ανάμεσα σε αλληλεπιδράσεις που εκτείνονται σε δεκάδες οθόνες καθώς γεμίζατε και εξαργυρώνατε ένα εικονικό καλάθι αγορών.
Στη συνέχεια, η Google και μερικές άλλες εταιρείες ανακάλυψαν ένα επιχειρηματικό μοντέλο. Όταν ξεκίνησε η Google, κανείς δεν μπορούσε να καταλάβει πώς η εταιρεία θα κατάφερνε να αποπληρώσει τους επενδυτές της, ειδικά καθώς η – άγνωστη τότε – μηχανή αναζήτησης περιφρόνησε τις πιο βρώμικες πρακτικές του κλάδου, όπως το πάστωμα της αρχικής σελίδας με διαφημιστικά banner ή, το χειρότερο από όλα, την πώληση των κορυφαίων αποτελεσμάτων αναζήτησης που έφταναν στο κοινό.
Αντ’ αυτού, η Google και οι άλλες πρώιμες εταιρείες διαφημιστικής τεχνολογίας σκέφτηκαν να τοποθετήσουν διαφημίσεις στις ιστοσελίδες των άλλων, και οι διαφημίσεις αυτές θα μπορούσαν να λειτουργήσουν ως συνδετικός κρίκος μεταξύ των χρηστών του διαδικτύου και της Google. Κάθε σελίδα με μια διαφήμιση της Google ήταν σε θέση να γράψει και να διαβάσει ένα cookie της Google στο πρόγραμμα περιήγησής σας (κάτι που μπορούσε να απενεργοποιηθεί, αλλά κανείς δεν το έκανε) και έτσι η Google μπορούσε να έχει μια αρκετά καλή εικόνα του ποιες ιστοσελίδες επισκεφτήκατε. Η πληροφορία αυτή, με τη σειρά της, θα μπορούσε να χρησιμοποιηθεί για να σας στοχεύσει με συγκεκριμένες διαφημίσεις και τα sites που θα τοποθετούσαν τις διαφημίσεις της Google στις σελίδες τους θα έπαιρναν ένα μικρό χρηματικό ποσό για κάθε επισκέπτη. Οι διαφημιζόμενοι θα μπορούσαν να στοχεύουν διαφορετικά είδη χρηστών – χρήστες που είχαν αναζητήσει πληροφορίες σχετικά με τον αμίαντο και τον καρκίνο του πνεύμονα, με προϊόντα για μωρά, με τον προγραμματισμό γάμου, με τα μυθιστορήματα επιστημονικής φαντασίας. Οι ίδιες οι ιστοσελίδες έγιναν μέρος του “καταλόγου” της Google όπου θα μπορούσε να τοποθετήσει τις διαφημίσεις, αλλά επίσης βελτίωσαν τις καταγραφές της σχετικά με τους χρήστες του διαδικτύου, δίνοντάς της έτσι μια καλύτερη ιστορία για να πουλήσει στη συνέχεια σε διαφημιστές.
Η ιδέα έπιασε τον παλμό της εποχής και σύντομα όλοι προσπαθούσαν να καταλάβουν πώς μπορούν να συγκεντρώσουν, συλλέξουν, αναλύσουν και μεταπωλήσουν τα δεδομένα που μας αφορούσαν, καθώς εμείς περιηγούμασταν στο διαδίκτυο.
Φυσικά, υπήρξαν επιπτώσεις στην ιδιωτικότητα από όλα αυτά. Από νωρίς παραβιάσεις και δικαστικές διαμάχες ξεπήδησαν σε όλον τον κόσμο. Οι δικηγόροι της Google και των μεγάλων εκδοτών (αναφορικά με τα εργαλεία δημοσίευσης, τα εργαλεία κατασκευής blogs που διαδόθηκαν ευρέως και αποτέλεσαν “Συστήματα Διαχείρισης Περιεχομένου” για να καταλήξουν πια να είναι ο πρωταρχικός τρόπος δημοσίευσης υλικού στο διαδίκτυο) υιοθέτησαν ένα στερεότυπο νομικό λόγο, με την “πολιτική ιδιωτικότητας” και τους “όρους χρήσης της υπηρεσίας” και την “άδεια χρήσης τελικού χρήστη” που αναφέρονται στο κάτω μέρος τόσων σελίδων που επισκέπτεστε κάθε μέρα, και που “με την επίσκεψή σας στην ιστοσελίδα δηλώνετε πως συμφωνείτε και συμμορφώνεστε με τους όρους της υπηρεσίας”.
Καθώς όλο και περισσότερες εταιρείες αναρριχώνται στη εξουσία του ”καπιταλισμού επιτήρησης” οι συμφωνίες αυτές πολλαπλασιάστηκαν, το ίδιο και η ανάγκη να υπάρχουν, γιατί σύντομα τα πάντα χρησιμοποιούνταν για συλλογή δεδομένων. Καθώς το Διαδίκτυο κατέκτησε τον φυσικό κόσμο και αποίκησε τα τηλέφωνά μας, αρχίσαμε να παίρνουμε μια γεύση του πώς θα έμοιαζε όλο αυτό τα επόμενα χρόνια. Εφαρμογές που έκαναν αθώα πράγματα όπως για παράδειγμα να μετατρέψουν το τηλέφωνό σας σε φακό, ή να καταγράψουν φωνητικές σημειώσεις, ή να αφήσουν τα παιδιά σας να ενώσουν κουκίδες σχηματίζοντας κάποιο clip-art, συνοδεύονταν από οθόνες με “εξουσιοδοτήσεις”‘ που απαιτούσαν να τις αφήσετε να εισβάλουν στο τηλέφωνό σας και σε όλα τα σημαντικά δεδομένα της ζωής σας: τον αριθμό τηλεφώνου, την διεύθυνση ηλεκτρονικού ταχυδρομείου, τα SMS και άλλα μηνύματα, τα e-mails, την τοποθεσία σας – όλα όσα θα μπορούσαν να γίνουν αντιληπτά άμεσα ή έμμεσα από μια συσκευή που κουβαλούσατε συνέχεια μαζί σας και είχε πρόσβαση στις πιο ευαίσθητες στιγμές σας.
Όταν άρχισαν οι αντιδράσεις, οι κατασκευαστές των εφαρμογών και οι εταιρείες κατασκευής smartphone είχαν έτοιμη την ανταπάντηση: “Συμφωνήσατε να μας επιτρέψετε να το κάνουμε. Σας ενημερώσαμε για τις πρακτικές απορρήτου μας, και μας δώσατε τη συγκατάθεσή σας.”
Αυτό το μοντέλο “ενημέρωσης και συναίνεσης” είναι εξόφθαλμα παράλογο και όμως έχει εκπληκτική νομική ισχύ. Καθώς τα γράφω όλα αυτά, τον Ιούλιο του 2016, τα αμερικανικά ομοσπονδιακά δευτεροβάθμια δικαστήρια έχουν μόλις αποφανθεί επί δύο υποθέσεων που αφορούσαν το αν οι “άδειες χρήσης τελικού χρήστη” που κανείς δε διαβάζει και κανείς δεν καταλαβαίνει και κανείς δεν παίρνει στα σοβαρά, μπορούν να είναι επιβλητές. Οι υποθέσεις διέφεραν λίγο, αλλά και στις δύο περιπτώσεις, οι δικαστές είπαν ότι ήταν επιβλητές τουλάχιστον για κάποιο διάστημα (και ότι η παραβίασή τους μπορεί να είναι κακούργημα!). Αυτές οι αποφάσεις πάρθηκαν ενώ το σύνολο της Αμερικής είχε καταληφθεί από τον πυρετό του Pokémon Go, με λίγους μόνο σπασίκλες όπως εγώ να επισημαίνουμε πως απλά και μόνο με την εγκατάσταση του παιχνιδιού, όλα αυτά τα εκατομμύρια των παικτών έχουν ”συμφωνήσει” να χάσουν το δικαίωμά τους να κινηθούν νομικά εναντίον της ισχυρής εταιρείας στην ιδιοκτησία της οποίας ανήκουν τα Pokémon, όταν αυτή παραβιάσει τα προσωπικά δεδομένα των παικτών. Έχετε όμως χρονικό περιθώριο 30 ημερών για να υπαναχωρήσετε στην συμφωνία σας. Αν η εφαρμογή του Pokémon Go υπάρχει ακόμα στην ροή σας και έχετε εγγραφεί σε αυτό τις τελευταίες 30 ημέρες, στείλτε ένα e-mail με θέμα ”Διευθέτηση Υπαναχώρησης” και συμπεριλάβετε στο κυρίως κείμενο ”μια σαφή δήλωσή σας πως δεν αποδέχεστε τους όρους της υπηρεσίας του Pokémon Go.”
Η ενημέρωση και συναίνεση αποτελεί μια παράλογη νομική μυθοπλασία. Ο Jonathan Α. Obar και η Anne Oeldorf-Hirsch, ένα ζευγάρι καθηγητών Επικοινωνιολογίας από το York University και το University of Connecticut, δημοσίευσαν ένα έγγραφο εργασίας το 2016 που ονομάζεται “Το μεγαλύτερο ψέμα στο Διαδίκτυο: Αγνοώντας τις Πολιτικές Απορρήτου και την Πολιτική Χρήσης Υπηρεσιών των κοινωνικών δικτύων”. Το έγγραφο περιγράφει αναλυτικά το πώς οι καθηγητές έδωσαν την ευκαιρία στους φοιτητές τους, οι οποίοι μελετούν το αντικείμενο των συμφωνητικών αδειών χρήσης και την ιδιωτικότητα, να δοκιμάσουν ένα νέο κοινωνικό δίκτυο (η συγκεκριμένη υπηρεσία ήταν φανταστική, αλλά οι μαθητές δεν το γνώριζαν). Για να δοκιμάσουν το δίκτυο, οι φοιτητές έπρεπε να δημιουργήσουν λογαριασμούς, και τους δόθηκε η ευκαιρία να εξετάσουν τους όρους χρήσης της υπηρεσίας και την πολιτική ιδιωτικότητας, η οποία έγραφε ξεκάθαρα πως θα δώσει όλα τα προσωπικά δεδομένα των χρηστών στην NSA και απαιτούσε το πρωτότοκο παιδί των φοιτητών ως αντάλλαγμα για την πρόσβαση στην υπηρεσία. Όπως θα έχετε καταλάβει ήδη από τον τίτλο της μελέτης, κανένας από τους φοιτητές δεν παρατήρησε κανένα από τα δύο σημεία και σχεδόν κανένας από αυτούς δεν κοίταξε τους όρους παροχής υπηρεσιών για περισσότερο από μερικά δευτερόλεπτα.
Πράγματι, δε μπορείτε να εξετάσετε σε οποιοδήποτε βάθος τους όρους της υπηρεσίας με την οποία αλληλεπιδράτε – θα έπαιρνε περισσότερο από 24 ώρες την ημέρα μόνο για να καταλάβετε τι δικαιώματα έχετε παραχωρήσει αυτήν την μέρα. Αλλά όσο απαίσια και αν είναι η πρακτική της “ενημέρωσης και συναίνεσης”, τουλάχιστον προσποιείται ότι οι άνθρωποι θα έπρεπε να έχουν κάποιον λόγο στη μοίρα των δεδομένων που εξάγονται από τη ζωή τους, καθώς αυτοί κινούνται μέσα στον χρόνο, τον χώρο και τις πληροφορίες.
Η επόμενη γενιά των δικτυωμένων συσκευών είναι κυριολεκτικά ανίκανη να συμμετάσχει σε αυτή τη μυθοπλασία.
Ο ερχομός του “Διαδικτύου των πραγμάτων” (IoT) – ένα απαίσιο όνομα που δείχνει πως οι υποστηρικτές του δε γνωρίζουν ακόμη ποια θα είναι η χρησιμότητά του, όπως τα “κινητά τηλέφωνα” ή οι “3D εκτυπωτές” – θα δώσει δυνατότητα δικτύωσης στα πάντα: συσκευές, λαμπτήρες, τηλεοράσεις, αυτοκίνητα, ιατρικά εμφυτεύματα, παπούτσια και ενδύματα. Η λάμπα σας δε χρειάζεται να μπορεί να τρέξει εφαρμογές ή να δρομολογεί πακέτα δεδομένων, αλλά οι μικροσκοπικοί ελεγκτές του εμπορίου που επιτρέπουν στους έξυπνους διακόπτες να ελέγχουν τα φώτα παντού (και έτσι να επιτρέπουν σε συσκευές όπως οι έξυπνοι θερμοστάτες και τα τηλέφωνα να αλληλεπιδρούν με τα φώτα και το σύστημα ασφαλείας στο σπίτι) θα περιλαμβάνουν πλήρεις υπολογιστικές δυνατότητες από προεπιλογή, επειδή αυτό θα είναι πιο αποδοτικό από πλευράς κόστους από ό,τι η προσαρμογή ενός τσιπ και ενός συστήματος για κάθε κατηγορία συσκευής. Αυτό που έχει καθορίσει τους υπολογιστές τόσο αδυσώπητα, κάνοντάς τους φθηνότερους, πιο ισχυρούς και πανταχού παρόντες, είναι η ευελιξία τους, ο χαρακτήρας της γενικής χρήσης τους. Το γεγονός της γενικής χρήσης τους είναι αναπόφευκτο και υπέροχο και απαίσιο, και αυτό σημαίνει ότι η έρευνα και ανάπτυξη που έχει κάνει τους υπολογιστές πιο γρήγορους προς όφελος της αεροπορίας ωφελεί και τους υπολογιστές μέσα στο τηλέφωνό σας και την συσκευή παρακολούθησης της καρδιάς σας (και αντίστροφα). Έτσι, όλα σύντομα θα περιέχουν έναν υπολογιστή.
Θα ”αλληλεπιδράτε” με εκατοντάδες, στην συνέχεια χιλιάδες, μετά δεκάδες χιλιάδες υπολογιστές κάθε μέρα. Η συντριπτική πλειοψηφία αυτών των αλληλεπιδράσεων θα είναι στιγμιαίες και με υπολογιστές που δε θα έχουν τρόπο να σας δείξουν τους όρους χρήσης της υπηρεσίας, πόσο μάλλον να σας παρουσιάσουν ένα κουμπί για να κάνετε κλικ για να δώσετε την “συναίνεσή” σας. Κάθε τηλεόραση στο μπαρ που πηγαίνετε για ένα ποτό και να δείτε έναν αγώνα, θα έχει κάμερες και μικρόφωνα και θα καταγράφει την εικόνα σας και θα την επεξεργάζεται μέσω ενός λογισμικού αναγνώρισης προσώπου, θα καταγράφει όσα λέτε και θα τα μεταφέρει σε έναν διακομιστή που θα τρέχει συνεχή αναγνώριση ομιλίας (για να ελέγχει αν δίνετε κάποια φωνητική εντολή). Κάθε αυτοκίνητο που σας προσπερνά θα έχει κάμερες που θα καταγράφουν την εμφάνιση και την πορεία σας, που συλλέγουν τα μοναδικά αναγνωριστικά του Bluetooth σας και των άλλων ασύρματων συσκευών μικρής εμβέλειας και θα τα στέλνει στο «υπολογιστικό νέφος» (cloud) και εκεί θα συγχωνεύονται και θα συναθροίζονται μαζί με άλλα δεδομένα που θα προέρχονται από άλλες πηγές.
Θεωρητικά, αν η ενημέρωση και συναίνεση αποτελούσε κάτι περισσότερο από μια ευγενική φαντασίωση, τίποτα από όλα αυτά δε θα συνέβαινε. Αν η ενημέρωση-και-συναίνεση ειναι απαραίτητη για να καταστήσει τη συλλογή δεδομένων νόμιμη, τότε χωρίς αυτήν, η συλλογή είναι παράνομη.
Αλλά αυτό δεν είναι η πραγματική πολιτική διάσταση του πράγματος: η πραγματικότητα είναι ότι όταν κάθε αυτοκίνητο έχει περισσότερους αισθητήρες από ένα αυτοκίνητο της υπηρεσίας Google Streetview, όταν κάθε τηλεόραση πωλείται με μια κάμερα για να σας επιτρέπει να την ελέγχετε με χειρονομίες, όταν κάθε ιατρικό εμφύτευμα συλλέγει δεδομένα τηλεμετρίας που συγκεντρώνονται από κάποια εταιρεία παροχής “υπηρεσιών” και πωλούνται σε ασφαλιστές και φαρμακευτικές εταιρείες, το επιχείρημα που θα χρησιμοποιείται είναι πως: ” Όλα αυτά τα πράγματα είναι εξίσου καλά και απαραίτητα – δε μπορεί κανείς να συγκρατήσει την πρόοδο”.
Είναι αλήθεια ότι δε μπορούμε να έχουμε αυτο-οδηγούμενα αυτοκίνητα που δεν παρατηρούν σε βάθος το γύρω περιβάλλον όλη την ώρα και δε δίνουν ιδιαίτερα μεγάλη προσοχή στους ανθρώπους για να εξασφαλίσουν ότι δε θα τους σκοτώσουν. Ωστόσο, δεν υπάρχει τίποτα που να επιβάλλει στα αυτο-οδηγούμενα αυτοκίνητα να διατηρούν και να επεξεργάζονται περαιτέρω τα δεδομένα που συλλέγουν. Θυμηθείτε ότι για πολλά χρόνια, τα αρχεία καταγραφής των διακομιστών που κατέγραψαν όλες τις συναλλαγές σας με το διαδίκτυο διαγράφονταν στην πορεία του χρόνου, γιατί κανείς δε μπορούσε να καταλάβει σε τι θα μπορούσαν να χρησιμεύσουν, εκτός από το για να λύσουν προβλήματα όταν αυτά συνέβαιναν.
Οι αποδόσεις από την απόκτηση δεδομένων μειώνονται με τα χρόνια. Στα πρώτα χρόνια της διαφήμισης με χρήση δεδομένων, οι διαφημιστές πίστεψαν πως η καλύτερη στόχευση δικαιολογούσε και το μεγαλύτερο κόστος των διαφημίσεων. Με την πάροδο του χρόνου, ένα μέρος αυτής της αισιοδοξίας έχει ξεθωριάσει, υποβοηθούμενο από το γεγονός πως προσαρμοστήκαμε στον τρόπο διαφήμισης, έτσι ώστε η στόχευση τώρα πια να μην λειτουργεί τόσο καλά όσο παλιά. Θυμηθείτε εκείνες τις εταιρείες σαπουνιών που κάποτε διαφημίζονταν λέγοντας ”Θα είσαι καθαρότερος κατά 5 σεντς” και οι οποίες φαίνεται να είχαν πουλήσει απίστευτες ποσότητες σαπουνιού με αυτόν τον τρόπο. Με τον καιρό, οι άνθρωποι σκληραγωγήθηκαν από αυτά τα μηνύματα, μπήκαν σε μια κούρσα ανταγωνισμού με τους διαφημιστές που μας έφτασε στις διαφημίσεις του Axe Body Spray όπου τα σωστά προϊόντα προσωπικής υγιεινής θα καλέσουν πραγματικά αγγελάκια στο πλευρό ενός μέτριου άντρα και, παρά τα φτερά τους, αυτά τα αγγελάκια θα αποπνέουν αναμφισβήτητα μη αγγελικό πόθο για τον πρωταγωνιστή μας. Οι διαφημίσεις είναι πάντα το πιο ενδιαφέρον πράγμα στα παλιά περιοδικά, επειδή προτείνουν μια εποχή που οι άνθρωποι ήταν πολύ πιο αφελείς ως προς τα μηνύματα που πίστευαν.
Αλλά η φθίνουσα απόδοση της επιρροής των διαφημίσεων μπορεί να καλυφθεί από μια πιο επιθετική συλλογή δεδομένων. Αν το Facebook δε μπορεί να καταλάβει πώς να δικαιολογήσει το τιμολόγιο των διαφημίσεων του με βάση τα στοιχεία που γνωρίζει για σας, μπορεί απλά να σχεδιάσει τρόπους για να μάθει πολλά περισσότερα για εσάς και έτσι να δικαιολογήσει την τιμή που έχει ορίσει.
Το σκηνικό θα επαναληφθεί με τις μικροσυσκευές (gadgets) που θα μας κατασκοπεύουν από κάθε γωνία, με κάθε τρόπο, όλη την ώρα. Τα δεδομένα που οι υπηρεσίες αυτές θα συλλέγουν θα είναι ακόμη πιο τοξικά ως προς την δυνατότητά τους να μας βλάψουν. Σκεφτείτε ότι σήμερα, οι κλέφτες ταυτότητας συγχωνεύουν δεδομένα από διάφορες παραβιάσεις ασφαλείας, προκειμένου να συμπληρώσουν αρκετές πληροφορίες για να πάρουν ένα αντίγραφο ιδιοκτησίας για τα σπίτια των θυμάτων τους και να τα πουλήσουν κάτω από την μύτη τους. Ότι οι ηδονοβλεψίες κάνουν τυχαίες επιθέσεις για να αποκτήσουν τον έλεγχο φορητών υπολογιστών για να βρουν γυμνές φωτογραφίες και στη συνέχεια να τις χρησιμοποιούν για να εκβιάσουν τα θύματά τους ώστε να εκτελέσουν ζωντανά στην κάμερα σεξουαλικές πράξεις. Ότι κάθε άτομο που ζήτησε βίζα για τις ΗΠΑ είδε τα στοιχεία του να κλέβονται από Κινέζους κατασκόπους, οι οποίοι έκαναν επίθεση στους διακομιστές του Υπουργείου Εργασίας και υπέκλεψαν περισσότερα από 20 εκατομμύρια εγγραφών.
Ο καλύτερος τρόπος για να ασφαλίσεις τα δεδομένα είναι εξαρχής να μην τα συλλέξεις. Τα δεδομένα που συλλέγονται είναι πιθανό να διαρρεύσουν. Τα δεδομένα που συλλέγονται και διατηρούνται είναι βέβαιο ότι θα διαρρεύσουν. Ένα σπίτι που μπορεί να ελέγχεται με τη φωνή και την κίνηση, είναι ένα σπίτι με μια κάμερα και ένα μικρόφωνο που καλύπτουν κάθε σπιθαμή της επιφάνειάς του.
Το IoT θα καταρρίψει την πρακτική της ενημέρωσης και συναίνεσης, αλλά χωρίς κάποιο άλλο νομικό πλαίσιο να το αντικαταστήσει, θα καταλήξει σε καταστροφή.
Είμαι ειλικρινά πολύ φοβισμένος από αυτή την έκβαση και δυσκολεύομαι να φανταστώ πολλούς τρόπους με τους οποίους μπορούμε να την αποτρέψουμε, αλλά έχω ένα σενάριο που μπορεί να είναι εύλογο: συλλογικές μηνύσεις.
Αυτή τη στιγμή, οι εταιρείες που παραβιάζουν τα δεδομένα των χρηστών τους δεν αντιμετωπίζουν σχεδόν καμία ευθύνη. Όταν η Home Depot έχασε 53 εκατομμύρια αριθμούς πιστωτικών καρτών και 56 εκατομμύρια σχετιζόμενες διευθύνσεις e-mail, το δικαστήριο επιδίκασε σε κάθε πελάτη μόλις $0,34 για τον καθένα, μαζί με πιστοποιητικά δώρων για πιστωτικές υπηρεσίες και για δάνεια με εγγυημένο τόκο, των οποίων η φερεγγυότητα δεν επιβεβαιώνεται στη βιβλιογραφία. Αλλά οι παραβιάσεις θα συνεχίσουν να γίνονται και θα χειροτερέψουν και οι δικηγόροι που διαχειρίζονται τις συλλογικές μηνύσεις θα έχουν την πολυτέλεια να διαλέγουν τους πελάτες τους. Αυτοί οι δικηγόροι που πληρώνονται με ποσοστό επί των κερδών, αντιπροσωπεύουν ένα είδος παρατεταμένου, εξελισσόμενου αγώνα ενάντια στον καπιταλισμό επιτήρησης, που με διάφορες τυχαίες προσεγγίσεις προσπαθούν να πείσουν τα δικαστήρια να αναγκάσουν τις εταιρείες που μηνύονται να απορροφήσουν το πλήρες κοινωνικό κόστος της απερίσκεπτης συλλογής και διαχείρισης δεδομένων.
Τελικά, κάποιος δικηγόρος θα καταφέρει να πείσει κάποιον δικαστή ότι, ας πούμε, το 1% των θυμάτων των παραβιάσεων μιας πλούσιας εταιρείας θα καταλήξει να χάσει το σπίτι του από κλέφτες ταυτότητας και αυτό θα οφείλεται στα δεδομένα που διέρρευσε η εταιρεία, και πως οι ζημίες τους θα πρέπει να είναι ίσες με το 1% του συνόλου της περιουσίας που ανήκει σε 53 εκατομμύρια (ή 500 εκατομμύρια!) πελάτες τους οποίους (η εταιρεία) έχει αδικήσει. Με αυτόν τον τρόπο θα κλείσουν εκατοντάδες εταιρείες και δισεκατομμύρια θα μεταφερθούν από τους επενδυτές και τους ασφαλιστές στους δικηγόρους και τους πελάτες τους.
Όταν έρθει εκείνη η μέρα, θα χυθεί αίμα στην αίθουσα συνεδριάσεων. Κάθε μεγάλος επενδυτής θα θέλει να γνωρίζει ότι η εταιρεία είναι ασφαλισμένη με το 500πλάσιο κεφάλαιο της καθαρής της αξίας. Κάθε αντασφαλιστής και αντισυμβαλλόμενος θα θέλει να γνωρίζει τι ακριβώς πρακτικές συλλογής δεδομένων ασφαλίζει. (Πράγματι, ακόμη και ένας καλός τρόμος, πιθανά θα φέρει και τις δύο περιπτώσεις ενώπιον της πραγματικότητας ακόμη και αν ασκηθεί με επιτυχία έφεση στην απόφαση)
Ο κίνδυνος, φυσικά, είναι οι ”όροι της υπηρεσίας”. Αν κάθε ”συμφωνία” που κάνατε κλικ στο παρελθόν ή απλά προσπεράσατε περιλαμβάνει αναγκαστική διαιτησία – αυτό σημαίνει πως παραιτηθήκατε του δικαιώματός σας να μηνύσετε ή να συμμετάσχετε σε μια ομαδική μήνυση. Και τότε δεν υπάρχει ομάδα για να κάνει μια ομαδική κίνηση. Υπάρχει ένας λόγος που οι συμφωνίες διαιτησίας έχουν πολλαπλασιαστεί σε κάθε πλευρά της ζωής μας, από το Airbnb και το Google Fiber μέχρι τις αίθουσες αναμονής διαφόρων γιατρών και οδοντιάτρων που επισκέφτηκα από τότε που μετακόμισα πίσω στις ΗΠΑ το περασμένο έτος. Έπρεπε μέχρι και να συμφωνήσω σε αναγκαστική διαιτησία όταν άφησα την κόρη μου σε ένα πάρτι γενεθλίων για παιδιά (δεν το επινόησα αυτό – ήταν σε μια πιτσαρία με ένα γυμναστήριο ζούγκλα).
Αυτό που έρχεται είναι η καταιγίδα του αιώνα, και οι ομπρέλες μας είναι όλοι αυτοί οι υδατοδιαλυτοί αριθμοί των $5 που εμφανίζονται στις γωνίες των δρόμων της Νέας Υόρκης κάθε φορά που τα σύννεφα εμφανίζονται στον ουρανό. Να φοβάστε.
The Privacy Wars Are About to Get a Whole Lot Worse
It used to be that server logs were just boring utility files whose most dramatic moments came when someone forgot to write a script to wipe out the old ones and so they were left to accumulate until they filled the computer’s hard-drive and crashed the server.
Then, a series of weird accidents turned server logs into the signature motif of the 21st century, a kind of eternal, ubiquitous exhaust from our daily lives, the CO2 of the Internet: invisible, seemingly innocuous, but harmful enough, in aggregate, to destroy our world.
Here’s how that happened: first, there were cookies. People running web-servers wanted a way to interact with the people who were using them: a way, for example, to remember your preferences from visit to visit, or to identify you through several screens’ worth of interactions as you filled and cashed out a virtual shopping cart.
Then, Google and a few other companies came up with a business model. When Google started, no one could figure out how the company would ever repay its investors, especially as the upstart search-engine turned up its nose at the dirtiest practices of the industry, such as plastering its homepage with banner ads or, worst of all, selling the top results for common search terms.
Instead, Google and the other early ad-tech companies worked out that they could place ads on other people’s websites, and that those ads could act as a two-way conduit between web users and Google. Every page with a Google ad was able to both set and read a Google cookie with your browser (you could turn this off, but no one did), so that Google could get a pretty good picture of which websites you visited. That information, in turn, could be used to target you for ads, and the sites that placed Google ads on their pages would get a little money for each visitor. Advertisers could target different kinds of users – users who had searched for information about asbestos and lung cancer, about baby products, about wedding planning, about science fiction novels. The websites themselves became part of Google’s ‘‘inventory’’ where it could place the ads, but they also improved Google’s dossiers on web users and gave it a better story to sell to advertisers.
The idea caught the zeitgeist, and soon everyone was trying to figure out how to gather, aggregate, analyze, and resell data about us as we moved around the web.
Of course, there were privacy implications to all this. As early breaches and tentative litigation spread around the world, lawyers for Google and for the major publishers (and for publishing tools, the blogging tools that eventually became the ubiquitous ‘‘Content Management Systems’’ that have become the default way to publish material online) adopted boilerplate legalese, those ‘‘privacy policies’’ and ‘‘terms of service’’ and ‘‘end user license agreements’’ that are referenced at the bottom of so many of the pages you see every day, as in, ‘‘By using this website, you agree to abide by its terms of service.’’
As more and more companies twigged to the power of ‘‘surveillance capitalism,’’ these agreements proliferated, as did the need for them, because before long, everything was gathering data. As the Internet everted into the physical world and colonized our phones, we started to get a taste of what this would look like in the coming years. Apps that did innocuous things like turning your phone into a flashlight, or recording voice memos, or letting your kids join the dots on public domain clip-art, would come with ‘‘permissions’’ screens that required you to let them raid your phone for all the salient facts of your life: your phone number, e-mail address, SMSes and other messages, e-mail, location – everything that could be sensed or inferred about you by a device that you carried at all times and made privy to all your most sensitive moments.
When a backlash began, the app vendors and smartphone companies had a rebuttal ready: ‘‘You agreed to let us do this. We gave you notice of our privacy practices, and you consented.’’
This ‘‘notice and consent’’ model is absurd on its face, and yet it is surprisingly legally robust. As I write this in July of 2016, US federal appellate courts have just ruled on two cases that asked whether End User Licenses that no one read and no one understands and no one takes seriously are enforceable. The cases differed a little in their answer, but in both cases, the judges said that they were enforceable at least some of the time (and that violating them can be a felony!). These rulings come down as the entirety of America has been consumed with Pokémon Go fever, only to have a few killjoys like me point out that merely by installing the game, all those millions of players have ‘‘agreed’’ to forfeit their right to sue any of Pokémon’s corporate masters should the companies breach all that private player data. You do, however, have 30 days to opt out of this forfeiture; if Pokémon Go still exists in your timeline and you signed up for it in the past 30 days, send an e-mail to with the subject ‘‘Arbitration Opt-out Notice’’ and include in the body ‘‘a clear declaration that you are opting out of the arbitration clause in the Pokémon Go terms of service.’’
Notice and consent is an absurd legal fiction. Jonathan A. Obar and Anne Oeldorf-Hirsch, a pair of communications professors from York University and the University of Connecticut, published a working paper in 2016 called ‘‘The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services.’’ The paper details how the profs gave their students, who are studying license agreements and privacy, a chance to beta-test a new social network (this service was fictitious, but the students didn’t know that). To test the network, the students had to create accounts, and were given a chance to review the service’s terms of service and privacy policy, which prominently promised to give all the users’ personal data to the NSA, and demanded the students’ first-born children in return for access to the service. As you may have gathered from the paper’s title, none of the students noticed either fact, and almost none of them even glanced at the terms of service for more than a few seconds.
Indeed, you can’t examine the terms of service you interact with in any depth – it would take more than 24 hours a day just to figure out what rights you’ve given away that day. But as terrible as notice-and-consent is, at least it pretends that people should have some say in the destiny of the data that evanescences off of their lives as they move through time, space, and information.
The next generation of networked devices are literally incapable of participating in that fiction.
The coming Internet of Things – a terrible name that tells you that its proponents don’t yet know what it’s for, like ‘‘mobile phone’’ or ‘’3D printer’’ – will put networking capability in everything: appliances, lightbulbs, TVs, cars, medical implants, shoes, and garments. Your lightbulb doesn’t need to be able to run apps or route packets, but the tiny, commodity controllers that allow smart lightswitches to control the lights anywhere (and thus allow devices like smart thermostats and phones to integrate with your lights and home security systems) will come with full-fledged computing capability by default, because that will be more cost-efficient that customizing a chip and system for every class of devices. The thing that has driven computers so relentlessly, making them cheaper, more powerful, and more ubiquitous, is their flexibility, their character of general-purposeness. That fact of general-purposeness is inescapable and wonderful and terrible, and it means that the R&D that’s put into making computers faster for aviation benefits the computers in your phone and your heart-monitor (and vice-versa). So everything’s going to have a computer.
You will ‘‘interact’’ with hundreds, then thousands, then tens of thousands of computers every day. The vast majority of these interactions will be glancing, momentary, and with computers that have no way of displaying terms of service, much less presenting you with a button to click to give your ‘‘consent’’ to them. Every TV in the sportsbar where you go for a drink will have cameras and mics and will capture your image and process it through facial-recognition software and capture your speech and pass it back to a server for continuous speech recognition (to check whether you’re giving it a voice command). Every car that drives past you will have cameras that record your likeness and gait, that harvest the unique identifiers of your Bluetooth and other short-range radio devices, and send them to the cloud, where they’ll be merged and aggregated with other data from other sources.
In theory, if notice-and-consent was anything more than a polite fiction, none of this would happen. If notice-and-consent are necessary to make data-collection legal, then without notice-and-consent, the collection is illegal.
But that’s not the realpolitik of this stuff: the reality is that when every car has more sensors than a Google Streetview car, when every TV comes with a camera to let you control it with gestures, when every medical implant collects telemetry that is collected by a ‘‘services’’ business and sold to insurers and pharma companies, the argument will go, ‘‘All this stuff is both good and necessary – you can’t hold back progress!’’
It’s true that we can’t have self-driving cars that don’t look hard at their surroundings all the time, and pay especially close attention to humans to make sure that they’re not killing them. However, there’s nothing intrinsic to self-driving cars that says that the data they gather needs to be retained or further processed. Remember that for many years, the server logs that recorded all your interactions with the web were flushed as a matter of course, because no one could figure out what they were good for, apart from debugging problems when they occurred.
The returns from data-acquisition have been declining for years. In the early years of data-driven advertising, advertisers took it on faith that better targeting justified much higher ad-rates. Over time, some of that optimism has worn off, helped along by the fact that we have become adapted to advertising, so that targeting no longer works as well as it did in the early days. Recall that soap companies once advertised by proclaiming, ‘‘You will be cleaner, 5 cents,’’ and seem to have sold a hell of a lot of soap that way. Over time, people became inured to those messages, entering into an arms race with advertisers that takes us all the way up to those Axe Body Spray ads where the right personal hygiene products will summon literal angels to the side of an unremarkable man and, despite their wings, these angels all exude decidedly unangelic lust for our lad. The ads are always the most interesting part of old magazines, because they suggest a time when people were much more naive about the messages they believed.
But diminishing returns can be masked by more aggressive collection. If Facebook can’t figure out how to justify its ad ratecard based on the data it knows about you, it can just plot ways to find out a lot more about you and buoy up that price.
The next iteration of this is the gadgets that will spy on us from every angle, in every way, all the time. The data that these services collect will be even more toxic in its potential to harm us. Consider that today, identity thieves merge data from several breaches in order to piece together enough information to get a duplicate deed for their victims’ houses and sell those houses out from under them; that voyeurs use untargeted attacks to seize control over peoples’ laptops to capture nude photos of them and then use those to blackmail their victims to perform live sex-acts on camera; that every person who ever applied for security clearance in the USA had their data stolen by Chinese spies, who broke into the Office of Personnel Management’s servers and stole more than 20,000,000 records.
The best way to secure data is never to collect it in the first place. Data that is collected is likely to leak. Data that is collected and retained is certain to leak. A house that can be controlled by voice and gesture is a house with a camera and a microphone covering every inch of its floorplan.
The IoT will rupture notice-and-consent, but without some other legal framework to replace it, it’ll be a free-for-all that ends in catastrophe.
I’m frankly very scared of this outcome and have a hard time imagining many ways in which we can avert it, but I do have one scenario that’s plausible: class action lawsuits.
Right now, companies that breach their users’ data face virtually no liability. When Home Depot lost 53 million credit-card numbers and 56 million associated e-mail addresses, a court awarded its customers $0.34 each, along with gift certificates for credit monitoring services guaranteed payday loans, whose efficacy is not borne out in the literature. But the breaches will keep on coming, and they will get worse, and entrepreneurial class-action lawyers will be spoiled for choice when it comes to clients. These no-win/no-fee lawyers represent a kind of sustained, hill-climbing iterative attack on surveillance capitalism, trying randomly varied approaches to get courts to force the corporations they sue to absorb the full social cost of their reckless data-collection and handling.
Eventually, some lawyer is going to convince a judge that, say, 1% the victims of a deep-pocketed company’s breach will end up losing their houses to identity thieves as a result of the data that the company has leaked, and that the damages should be equal to 1% of all the property owned by a 53 million (or 500 million!) customers whom the company has wronged. It will take down a Fortune 100 company, and transfer billions from investors and insurers to lawyers and their clients.
When that day comes, there’ll be blood in the boardroom. Every major investor will want to know that the company is insured for a potential award of 500X the company’s net worth. Every re-insurer and underwriter will want to know exactly what data-collection practices they’re insuring. (Indeed, even a good scare will likely bring both circumstances to reality, even if the decision is successfully appealed).
The danger, of course, is the terms of service. If every ‘‘agreement’’ you click past or flee from includes forced arbitration – that is, a surrender of your right to sue or join a class action – then there’s no class to join the class action. There’s a reason arbitration agreements have proliferated to every corner of our lives, from Airbnb and Google Fiber to several doctors and dentists whose waiting-rooms I’ve walked out of since moving back the USA last year. I even had to agree to forced arbitration to drop my daughter off at a kids’ birthday party (I’m not making this up – it was in a pizza parlor with a jungle gym).
It’s a coming storm of the century, and our umbrellas are all those water-soluble $5 numbers that materialize on New York street corners every time clouds appear in the sky. Be afraid.
0 σχόλια:
Δημοσίευση σχολίου