Chmura obliczeniowa już dawno przestała być pojęciem znanym tylko fanom serialu „Dolina krzemowa”. Ma z nią do czynienia choćby każdy użytkownik telefonu, który zdecydował się na backup kontaktów na serwerach Google. Ale na ile takie rozwiązania są bezpieczne? Co z prywatnością naszych danych?
Urządzenia elektroniczne są coraz doskonalsze, a wydajność znajdujących się w nich procesorów jest tysiące razy większa niż tych, które pozwoliły raptem kilka dekad temu wylądować człowiekowi na Księżycu. Nieco paradoksalnie, mimo wydajnych procesorów i pamięci o ogromnej pojemności (dysk liczący kilkadziesiąt czy kilkaset gigabajtów w smartfonie nikogo już nie dziwi), coraz większą popularnością cieszą się rozwiązania cloudowe. Wówczas dane składowane są na zewnętrznych serwerach, które zajmują się niekiedy również wykonywaniem skomplikowanych obliczeń, odciążając urządzenie klienta.
Chmura obliczeniowa jest coraz popularniejsza nie tylko w zastosowaniach biznesowych, ale i czysto konsumenckich. Także dlatego, że znakomicie ułatwia wiele operacji – popularnością cieszy się wśród użytkowników choćby backup zdjęć w usługach Zdjęcia Google czy OneDrive, dzięki czemu ograniczenia dostępnej przestrzeni w smartfonach nie są dotkliwe. W końcu wszystko trafia na gigantów zza Oceanu. No właśnie – tylko na ile one są bezpieczne i poufne?
Co udostępniamy swoim usługodawcom?
Z czysto formalnego punktu widzenia, każda informacja zapisana na dowolnym nośniku (nie tylko zdjęcia na karcie pamięci, ale i zamówienie zapisane na glinianej tabliczce) może być – świadomie lub nie – udostępniona innym osobom. A z czym się wiąże korzystanie np. z kopii zapasowej na serwerach Google w ramach usługi Zdjęcia? Jak czytamy w Warunkach świadczenia usług:
Przesyłając, wgrywając, dostarczając, zapisując, przechowując, wysyłając lub odbierając materiały do lub za pośrednictwem Usług, użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie opracowań (dzieł pochodnych, na przykład przez wykonanie tłumaczenia, adaptacji lub innych zmian w celu zapewnienia lepszego działania z Usługami).
Choć w pierwszej chwili można być przerażonym („o matko, Google może z moimi danymi zrobić wszystko”), to wnikliwa analiza powyższego fragmentu regulaminu wyjaśnia, o co dokładnie chodzi. Jest to prawne zabezpieczenie się przed oskarżeniami o bezprawne korzystanie z danych użytkownika. Np. automatyczne nałożenie filtrów przez Zdjęcia Google jest formalnie rzecz biorąc skorzystaniem z czyjegoś dzieła w postaci fotografii. Użytkownik, chcąc korzystać z takich udogodnień, musi zatem wyrazić zgodę na takie przetwarzanie. A „chcącemu krzywda się nie dzieje”. Ta zasada wywodząca się jeszcze z prawa rzymskiego dotyczy również zgód na rozmaite przetwarzanie danych danych powierzanych internetowym korporacjom.
Tymczasem gracze z branży cloud computing sami stworzyli kodeks postępowania, zawierając porozumienie w trosce o dane klientów, gromadzone w chmurze obliczeniowej
To zarazem pokazuje, jak bardzo współczesne technologie ingerują w nasze dane – czasami w sposób zupełnie niespodziewany. Niedawno np. asystent głosowy Amazon Alexa błędnie zinterpretował komunikaty jednej z użytkowniczek i udostępnił prywatną wiadomość osobie trzeciej. O ile taka sytuacja wydaje się być drobną i zabawną wpadką, to gdyby sprawa dotyczyła np. poufnych danych firmowych… straty mogłyby być ogromne. Zwłaszcza, że cytowany wyżej regulamin nie określa celu przetwarzania naszych zdjęć – równie dobrze, korzystając z zezwolenia użytkownika na „udostępnianie” materiałów, Google może legalnie udostępnić nasze zdjęcie komukolwiek.
Google zresztą nie kryje, że dane użytkowników (choćby zanonimizowane) mogą być przekazywane podmiotom trzecim. Wprost zapisano to w warunkach świadczenia usług. Google wskazuje jednocześnie, że dane użytkowników mogą znajdować się w obszarach o mniej lub bardziej restrykcyjnych zasadach przetwarzania danych osobowych.
Chcąc zapewnić prywatność i należytą ochronę danych swoich użytkowników, część europejskich dostawców usług w chmurze bierze udział w inicjatywie CISPE (Cloud Infrastructure Services Providers in Europe). Członkowie tej koalicji zobowiązali się między innymi do stosowania zasad określonych w pierwszym w historii kodeksie postępowania z danymi znajdującymi się w chmurze – wcześniejszym, niż wprowadzenie unijnego rozporządzenia RODO. Kodeks ten wprost zabrania eksplorowania oraz profilowania danych osobowych klientów, zarówno w celach marketingowych, jak i ich odsprzedaży podmiotom trzecim. Wagę porozumienia podkreślał Axelle Lemaire, francuski Minister ds. Cyfryzacji i Innowacji: „Kodeks Postępowania CISPE pokazuje, że europejska branża cloud computing jest w stanie zapewnić bezpieczne i zgodne z przepisami usługi dotyczące wszelkich danych osobistych i technicznych w Europie oraz zwiększyć zaufanie do rozwiązań cyfrowych”.
Zaufanie jest walutą
Wiedza, co się dzieje z naszymi danymi wyklucza praktyki części gigantów, którzy zbili majątek na nieustannym gromadzeniu iprzetwarzaniu danych.
„Warto podkreślić, że to co rozumiemy przez chmurę oznacza, że nasze dane są fizycznie hostowane w centrach danych i w zależności od tego, czy znajdują się w Europie czy w Stanach Zjednoczonych – gwarancje poufności danych nie są takie same – podkreśla Xavier Perret, CDMO w OVH. – Zwłaszcza jeśli weźmiemy jako przykład amerykańską ustawę Patriot Act. To samo odnosi się do sytuacji, gdy dane są przechowywane na europejskim terytorium przez dostawcę usług cloud, który podlega prawu amerykańskiemu lub pochodzi z Azji, działając na mocy eksterytorialnego stosowania niektórych przepisów”.
Tymczasem sygnatariusze CISPE (m.in. firma OVH – jedna z pomysłodawców inicjatywy) pozwalają wybrać klientom opcję magazynowania i przetwarzania danych osobowych wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego. To gwarancja, że nasze cenne dane będę podlegały najwyższym standardom ochrony. A to ważne, bo chmura obliczeniowa to atrakcyjne rozwiązanie, zarówno dla konsumentów, jak i firm.
No to jak to jest: Google ma nas prawo podsłuchiwać czy nie?
Życie na ciągłym podsłuchu (nawet, jeśli to podsłuch komputerowych algorytmów) nie jest przecież przyjemne, każdemu z nas zależy na zachowaniu prywatności.
Z czasem internetowi gracze zza oceanu mogą być zmuszeni do zmiany sposobu świadczenia usług, przynajmniej na terenie Unii Europejskiej, gdzie o dane osobowe faktycznie się dba. Różnica w podejściu do danych osobowych przez europejskie i amerykańskie firmy przejawia się choćby w sposobie definiowania celów, w jakich przetwarzane są dane. W przypadku zdjęć, Google wskazuje cel wyłącznie w stosunku do tworzenia dzieł pochodnych, a i to niejako przy okazji. Natomiast RODO wymaga, aby dane osobowe zbierane były w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Podejście europejskie zdaje się także różnić w jeszcze jednej zasadniczej kwestii: naszej wrażliwości na społeczny wpływ cyfrowej rewolucji – zaznacza Xavier Perret. – Wraz z wprowadzeniem RODO, temat przechowywania i wykorzystywania danych zainteresował opinię publiczną. Coraz głośniej zaczęto wyrażać zastrzeżenia względem algorytmów, kształtujących nasz stosunek do informacji i wpływających na nasze decyzje dotyczące m.in. zakupów, kultury czy polityki.
Warto pamiętać, że korzystając z usług Google udostępniamy korporacji wszystko, godząc się na model „udzielania licencji na wykorzystywanie (…)” zamiast „zgody na przetwarzanie danych”. O ile w przypadku wrzucania tak zdjęć kotków i piesków można by to przełknąć, o tyle w przypadku firmowych lub bardzo osobistych danych… nie odważyłbym się.
Artykuł powstał we współpracy z OVH
