Haustönn 2018 kláraði ég lokaverkefni í lögfræði við Háskólann á Bifröst. Markmið með minni  lokaritgerð var að kanna lögmæti söfnunar gagna fyrir einstaklingsmiðaðar auglýsingar á internetinu og er þessi grein byggða á henni. Niðurstaða mín var sú að söfnunin er ólögmæt sökum þess hvernig söfnunin fer fram og að upplýst samþykki vantar fyrir vinnslunni.

Rökin fyrir því hvernig hægt er að gera einstaklingsmiðaðar auglýsingar án þess að brjóta persónuverndarlög hljóta að vera sérstök, það þarf nú á einhvern hátt að persónugreina einstaklinginn sem er í þeim markhóp sem auglýsingin er ætluð, ef hún á að skila árangri. Þannig hafa þessi fyrirtæki komist upp með að greina neytandann með allt að 5000 gagnapunktum, sem eru svo notaðir til að sníða auglýsingar að viðkomandi. Með öllum þessum gagnapunktum er hægt að greina hver notandinn er þótt það liggi ekki fyrir nafn, kennitala eða aðrar upplýsingar sem eru flokkaðar í nýju lögunum sem viðkvæmar persónuupplýsingar.

Í raun er það ógnvænlegt hversu mikið af upplýsingum er safnað um okkur. Það eitt og sér að heimsækja fréttasíðu eins og CNN.com býr ekki til mikið safn persónuupplýsinga en ef þú smellir á frétt um lækningu við HIV á Facebook eftir að hafa leitað að einkennum um HIV á Google þá eru skyndilega komnar allt aðrar leikreglur. Þar er komin möguleg tenging við heilsufar sem hægt er að vinna með. Facebook getur þannig geymt upplýsingar um heilsufar, stjórnmálaskoðanir, trúarbrögð og lífsskoðun sem allt telst til viðkvæmra persónuupplýsinga skv. 51. lið formála GDPR reglugerðarinnar sem og 3. tl. 3. gr. laga nr. 90/2018. Lögmæti slíkrar vinnslu felst að mestu í því að neytandinn sé upplýstur um gagnasöfnunina og í hvaða tilgangi hún er.

Hingað til hafa gagnasöfnunarfyrirtækin skýlt sér bak við svokallaða click-wrap samninga. Það eru þeir samningar eða skilmálar sem teljast undirritaðir með því að smella á takka. Þetta eru nánast undantekningarlaust allir þeir skilmálar sem notendur þjónustu á tölvutæku formi samþykkja. Slík samþykki falla undir sama flokk og staðlaðir samningar sem flestir þekkja úr daglegu lífi, eins og við kaup á fasteignum, tryggingum og þjónustu fjarskiptafyrirtækjanna. Þetta eru í raun samningar þar sem annar aðilinn hefur engin völd yfir um hvað er samið, svokallaðir einhliða skilmálar. Almennt er hlutlægum túlkunaraðferðum beitt við slíka samninga og skýrt þeim í óhag, er samdi skilmálana, komi til ágreinings (Andskýringarregla). Þá hefur löggjafinn gripið til sérstakra verndarúrræða á sérsviðum, sbr. 36. gr. a-d samningalaga nr. 7/1936 en með lögum nr. 11/1986, voru gerðar breytingar á III. kafla samningalaga, í samræmi við þær breytingar sem gerðar voru á III. kafla samningalaganna í Skandínavíu.

Í Evrópu þurfa allir skilmálar að vera í takt við gildandi persónuverndarlög, annars eiga fyrirtækin á hættu að skilmálarnir verði dæmdir ólögmætir því lagareglur ganga fyrir samninga vegna lex superior. Skilmálarnir væru því ógildir skv. lögum samningaréttar og hlutaðeigandi fyrirtæki gæti verið dæmt til að greiða háar bætur, svo ekki sé nú talað um hnekki á almenningsáliti.

Í grunninn eru skilmálar fyrirtækjanna samningur sem bindur báða aðila. Ein af helstu ógildingarástæðu samningaréttar er misneyting, þegar annar aðili nýtir sér bága stöðu hins til að hagnast. Það er auðvelt að sjá fyrir sér hagnað þessa stærstu risa á markaðnum útfrá vinnslu á þeim persónuupplýsingum sem þeir safna um neytendur án þess að neytandinn geri sér fulla grein fyrir vinnslunni sem er í gangi. Skilmálar fyrirtækjanna eru síbreytilegir og ef hver breyting er ekki samþykkt sérstaklega þá mætti í raun ógilda samninginn útfrá sama sjónarmiði. Meginkjarninn er að ekki sé jafnræði með aðilum þegar til löggerningsins var stofnað og að sá aðili sem betur var settur notfærði sér þennan aðstöðumun gróflega í ávinningsskyni.

Greiningarfyrirtæki nota algrím (e. algorithm) til að vinna úr persónuupplýsingum. Til glöggvunar á algrími Google var gerð stutt rannsókn á því hvernig nýr notandi er greindur með myndveituvefnum þeirra, Youtube.

Notaðar voru þrjár tölvur í verkefnið undir tveim mismunandi IP tölum ásamt VPN þjónustu. Öll gögn voru hreinsuð af þeim á milli prófana og sett var upp nýtt stýrikerfi ásamt nýjum notanda. Niðurstöður voru á þá leið að það virtist ekki skipta máli hvaða tölva eða IP tala var notuð, alltaf birtist nánast sama upphafsíða þegar Youtube var opnað í fyrsta sinn. Síðunni var skipt í örfáa flokka sem virtust vera hannaðir til að flokka fólk niður frá fyrsta smell. Flokkarnir voru; Vinsælt núna, Lífstíll, Sjónvarpsþættir, Tónlist og Hápunktar af stuttum fræðslumyndböndum. Áberandi var áhorfsfjöldi myndbandanna en þau höfðu öll yfir 1.000.000 áhorf og flest meira en 10.000.000 áhorf.

Segja má að það sé viljandi gert að sýna notendum óflokkað efni þar sem það er líklegt til að finna eitthvað til að velja og tengjast. Á öllum tölvunum var smellt á mismunandi efni og undantekningarlaust birtist örlítið sérsniðin upphafssíða, frábrugðin öðrum, næst þegar Youtube var opnað, jafnvel nokkrum dögum eftir að síðan var opnuð fyrst. Þetta sýndi á mjög einfaldan hátt að frá fyrsta smelli virðist notandinn vera greindur niður eftir áhugasviði og varpaði þetta ljósi á hvernig fólk getur verið flokkað og úthlutað UID (Unique identifier) án þess að vera í raun skráð í þjónustu hjá fyrirtækinu og án þess að hafa samþykkt skilmála um söfnun persónuupplýsinga.

Fyrir notendur Facebook og Google í Evrópu þá eru í gildi nýir skilmálar sem tóku gildi við gildistöku GDPR, 25. maí 2018. Í báðum skilmálum eru stuttar klausur um þær persónuupplýsingar sem fyrirtækin safna. Hjá Google er tekið fram „Hlutir sem þú býrð til eða lætur okkur í té“ og „Upplýsingar sem við söfnum þegar þú notar þjónustur okkar“. Eins og gefur að skilja þá eru þetta býsna víð hugtök og eins og áður segir ekki lagalega bundið við það eina sem kemur fram í skilmálunum. Ógegnsæi í upplýsingasöfnun er ákveðið áhyggjuefni. Fólki er einfaldlega ekki ljóst hverju er safnað og í hvaða tilgangi. Það gæti haldið að skráningarupplýsingar sé það eina en það er fjarri sannleikanum. Þetta ógegnsæi er meðal þess sem gerir samþykki á slíkum skilmálum mjög vafasamt þar sem fólk getur verið að samþykkja söfnun á upplýsingum sem ekki er um getið í skilmálunum. Hvernig síðan er unnið með upplýsingarnar er flestum dulið. Það er ekki síður þessi óvissa um vinnsluaðferðir þessara fyrirtækja sem veldur fólki áhyggjum. Bæði í Bandaríkjunum og Evrópu hafa þessi fyrirtæki fengið á sig lögsóknir vegna brota á eigin skilmálum, brota á persónuverndarlögum, lélegum aðgangi fólks að eigin upplýsingum og síðast en ekki síst hættunni á að ópersónugreinanleg gögn verði gerð persónugreinanleg.

Höfundur: Tómas Kristjánsson, nemandi við Háskólann á Bifröst

Ritgerðina má lesa í heild á slóðinni:

http://hdl.handle.net/1946/34275