Psevdonimni podatki

V brezosebnem zapisu pa lahko ostanejo podatki, kot so poštna številka, starost, spol. Ti se ne uvrščajo med osebne podatke, temveč med psevdonimne. Tako imenujejo osebne podatke, s katerimi ni možna identifikacija uporabnika brez uporabe dodatnih informacij. In ravno v tem je problem. Dodatnih podatkov, ki omogočajo, da so zgovorni tudi psevdonimni podatki, sploh ni težko dobiti. Drago morda, težko pa ne. Z globalizacijo (liberalizacijo) podatkovnih tokov imajo podjetja z nekaj znanja možnost, da med seboj primerjajo več zbirk. Vsaka posebej ne pove veliko, vse skupaj pa pravzaprav vse. Tako lahko identificirajo posameznika, o katerem vedo več kot on sam. Ne samo, kje stanuje, temveč na primer tudi kakšne želje in potrebe ima. Idejo, da je dovolj iz zbirke umakniti ime uporabnika, so strokovnjaki za računalniško varnost zavrgli že pred petnajstimi leti. Če vedo njegovo zdravstveno stanje, kje živi, kolikšen mesečni prihodek ima, koliko otrok ima in kakšno je njegovo dnevno gibanje, jih njegovo ime niti ne zanima. Kar pomeni, da je vzdržno brezosebljanje (anonimizacija) podatkovnih zbirk veliko več kot odstranitev nekaj osebnih podatkov po njihovi ozki definiciji.

Več podatkov imajo, lažje je

Več kot imajo podatkov, zbranih o posamezniku, lažje jih med seboj povežejo in večja je verjetnost, da pripadajo osebi, o kateri morda niti ne vedo, kdo je in kje stanuje. Dostikrat to v internetu niti ni najpomembnejše. Po podatkih podjetja Pew Research ima povprečni uporabnik Facebooka 338 prijateljev. To pomeni, če bi vse dejavnosti v tem krogu uporabnikov zbrali v zbirki podatkov, 338 podatkovnih zapisov o njem. Mobilni telefon lahko zbere na uro tudi do 500 zapisov. V zdravniški kartoteki imamo lahko nekaj tisoč zapisov. In tako naprej. Recimo, da v teh zbirkah ni niti enega osebnega podatka, ki bi kazal na nas. A če te zbirke primerjajo z na prvi pogled nezanimivi zbirkami, kot je preprost telefonski imenik, oziroma z zbirkami, kjer so osebni podatki, nas najdejo. Tako preprosto je. Ali drugače. Košček nepomembne informacije lahko postane osebni podatek, če ga je mogoče primerjati z velikim številom pomembnih podatkov.

Latanya Sweeney iz harvardske univerze trdi, da lahko 87 odstotkov Američanov unikatno identificira s pomočjo le treh podatkov: poštne številke, spola in starosti. Če je to mogoče v Ameriki s 320 milijoni prebivalcev, kaj je šele mogoče v Sloveniji z dvema. Ameriški primer ni teoretičen, temveč praktičen. Leta 1997 je guverner zvezne države Massachusetts dovolil objavo brezosebne zbirke podatkov o zdravstvenem stanju javnih uslužbencev in njihovih družinskih članov. Bolnik je bil v zbirki označen s številko, namesto z imenom in številko zavarovanja, poleg občutljivih podatkov o njegovem zdravljenju in bolezenskih stanjih pa so v zbirki ostali poštna številka, rojstni datum in spol. Sweeney je od države za dvajset dolarjev kupila volilni imenik, ki vsebuje imena, naslove, spol, starost in poštno številko volivcev. Nato je primerjala obe bazi in identificirala zdravstvene podatke guvernerja, ki je zbirko dovolil objaviti. Le šest oseb v mestu Cambridge je imelo isti dan rojstva, od tega so bili le trije moški in le eden je živel v njegovi poštni številki. Če imamo zgolj dve zbirki, ki obe poleg ostalih različnih podatkov vključujeta te tri psevdonimne podatke, lahko v vsaki zbirki najdemo zapisa, ki zadevata natančno določeno osebo.

Spremljanje mobilnih naprav

Lokacijski podatki, ki jih mobilne naprave nenehno pošiljajo na strežnik storitev in aplikacij, če te možnosti ne izključimo, nas načelno ne skrbijo, ker menimo, da so brezosebni. Med podatki pa je tudi številka (naslov) MAC, ki je unikatna vsaki napravi. Kot smo že pisali (tinyurl.com/qgm7gfk), naslove zbirajo bližnja brezžična omrežja, čeprav vanje naprava ni priključena. Dovolj je, da se sprehodimo po dosegu z napravo v žepu, ki ima vključen vmesnik Wi-Fi. Podjetja, ki so specializirana za sledenje ljudem, vohunijo in iščejo vzorce gibanj. Ko na primer vsak delovnik ob isti uri zaznajo napravo z istim naslovov MAC, lahko ugibajo, da je njen lastnik zaposlen v bližnjem podjetju. Kontekst okolice, kakšna podjetja so v četrti, lahko naprej pove, da gre za finančnika. To je morda pretirano. V resnici naprave, s tem pa tudi njihove lastnike uvrščajo v kategorije življenjskih slogov, ki jih opisujejo različna gibanja ljudi prek večjega števila bližnjih brezžičnih omrežij. Eno samo omrežje ne zagotovi veliko uporabnih podatkov, če spremljajo gibanje naprave prek celotnega mesta, pa to pove veliko več o njenem lastniku. Oseba, ki je vsako jutro ob istem času v parku, je uvrščena na primer v kategorijo rekreativnega tekača.

Tovrstno spremljanje gibanja mobilne naprave v Sloveniji ne poteka, zato pa toliko bolj drugje. Nekateri večji telekomunikacijski operaterji so povedali, da prodajajo brezosebne lokacijske podatke svojih uporabnikov, v zbirkah pa so naslovi MAC naprav, ki se ne vodijo kot osebni podatki. Največ podatkov pa zberejo mobilne aplikacije, ki jih z veseljem nameščamo na svoje naprave. Vsaka aplikacija, pa če je mobilna igra ali kakšen neškodljiv pripomoček, ki med viri pri namestitvi zahteva dostop do lokacijskih podatkov, te pošilja na strežnike svojih piscev. Ti jih prodajo in aplikacije so lahko brezplačne.

Raziskovalci ameriškega MIT Media Laba so tudi v primeru teh zbirk dokazali, da niso tako brezosebne, kot trdijo operaterji. Pridobili so zbirko podatkov neznanega operaterja, ki je vsebovala brezosebne lokacijske podatke 1,5 milijona Evropejcev, zbranih v petnajstih mesecih. Raziskovalci so imeli pred seboj vzorce premikanja vsakega uporabnika v zbirki na ravni ure, le vedeli niso, kdo so. Za to so potrebovali dodatne informacije. Na primer podatek, da je neka oseba na svojem računu Facebook objavila fotografijo, ko je bila ob neki uri na točno določenem mestu. Dokazali so, da potrebujejo štiri takšne dodatne podatke (mesto in čas), pa lahko iz operaterjeve zbirke ne samo identificirajo uporabnika, temveč tudi obnovijo njegovo premikanje za celo leto nazaj. Za 95 odstotkov uporabnikov v zbirki. Polovico uporabnikov pa lahko najdejo, tudi če imajo zgolj dva para dodatnih podatkov. Zelo podobno kot v prejšnjem primeru identifikacije s poštno številko, spolom in rojstnim datumom. Če pa so podatki manj natančni, na primer da so v zbirki le lokacije uporabnika vsakih osem ur, je identifikacija še vedno možna, le več dodatnih podatkov je potrebnih. Zelo preprosto povedano: kadar koli imamo pri sebi svoj mobilni telefon, je našim potem mogoče slediti.

Se moramo tega bati?

Če zbirke raziskujejo raziskovalci in statistični uradi, nam je vseeno, če imajo ti možnost, da nas prepoznajo. Analize in sledenje niso stvar prihodnosti, temveč se dogajajo danes. Ne v Sloveniji, ker smo premajhni in komercialno manj zanimiv, zato pa v večjih državah. Da morebitnih vladnih služb, ki jih je razkril Snowden, niti ne omenjamo. Sledenje na spletu in tudi zunaj njega je dnevno početje za to dejavnost specializiranih podjetij. Dokler pa se nam zaradi njihovega početja na zaslonu naprave prikaže le nam bolj na kožo pisan oglas, nam je vseeno. Mogoče nas oglas malo razdraži, a se pomirimo. Huje je, ko se zložijo vsi vidiki življenja posameznika, ki prinesejo nepričakovane posledice.

Nihče ne bi prostovoljno izdajal podatkov o sebi, o svojem življenjskem slogu, če bi videl, da lahko to vpliva na njegovo prihodnost. O tem se v tujini več govori, nas pa niti ne zadeva toliko. Uvrščenost v neki vedenjski vzorec lahko vpliva, ali bo oseba sprejeta na želeno univerzo, koliko jo bo stalo zdravstveno zavarovanje. Ker imamo razmeroma odprt izobraževalni sistem in solidarnostno zdravstveno zavarovanje, nas to, kot smo dejali, ne zadeva. Vendar so podatki o zdravstvenem stanju uporabni še kje drugje. Farmacevtska podjetja bi si jih še kako želela, pa tudi zavarovalnice, da trgovcev sploh ne omenjamo. Če bomo slišali, da je neko podjetje od slovenskega javnega zdravstva kupilo brezosebno bazo podatkov o bolnikih, posegih, uporabi zdravil, smo lahko prepričani, da tega ni storilo zaradi manj pomembne akademske raziskave. V ozadju so drugačna zanimanja. Morda je celo dobro, da projekt e-zdravja zaostaja, ker to tudi pomeni, da zdravstveni podatki o vseh Slovencih verjetno še niso združeni v eni elektronski zbirki. Bodo pa verjetno zelo kmalu.

Rudnik zlata

Profiliranje posameznikov se je začelo po napadu teroristov na newyorški trgovski center leta 2001, s ciljem, da se preprečijo morebitni novi takšni napadi. Ameriške vladne agencije so se trudile ugotoviti, kdo je povezan s terorističnimi aktivnostmi ali pranjem denarja. Zanje ni bilo pomembno le, da neka oseba to počne, morali so vedeti tudi, kdo je. Tedaj razvita orodja in metode danes uporabljajo zasebna podjetja. Finančno močna podjetja imajo moč vplivanja na spremembe zakonov. Kot primer: na evropsko uredbo o varstvu osebnih podatkov je vloženih kar 7000 amandmajev. Prepričani smo, da večina prihaja izpod peres teh podjetij. Navzven svoje predloge argumentirajo kot »javno dobro«, kaj vse bomo dobrega zaradi novih pravil dobili državljani, v ozadju pa so njihovi zelo ozki poslovni interesi.

Zdaj si bomo oddahnili, ker živimo v majhni državi, do katere prsti korporacij ne sežejo. Pri nas se kaj takega ne dogaja. Res ne. Poglejmo naslednji primer. Pa ne namigujemo na to, da se dogaja kaj napak, ne moremo pa spregledati velikega potenciala. Elektronske zbirke podatkov pridno rastejo tudi pri nas. Šole ponujajo staršem otrok v osnovnih in srednjih šolah elektronsko spremljanje, kaj otrok v šoli počne. Po naših podatkih predstavniki podjetja, ki je storitev razvilo, nagovarjajo učitelje, naj v sistem vpisujejo čim več podatkov o otrocih. Tudi če se je fantek polulal, za lase povlekel sošolko ali pa se mu je le kolcnilo. Poleg ocen, obvestil, možnosti, da starši javijo odsotnost svojega otroka, in podobnega. Kateri starš pa si takšnega vpogleda v otrokovo življenje v šoli ne želi, če smo popolnoma iskreni. Pravzaprav marsikdo meni, da je to dobro tudi za otroka. Zakonsko je storitev čista. Šole so tiste, ki so dolžne skrbeti za varnost otrokovih osebnih podatkov, zunanje podjetje jih samo »obdeluje« po pravilih, ki jih zakon dovoljuje. Predvidevamo pa lahko, da so ti podatki v neki obliki tudi na njihovem strežniku. Storitev ni lastna eni šoli, v njej jih je vsako leto več. Zbirka podatkov o otrocih pa raste. Tudi če je brezosebna, če je v skladu z zakonom, to še ne pomeni, da zanimivih učencev v njej ni mogoče ali pa ne bo mogoče identificirati. Prepričani smo lahko o eni stvari. Ko bo na vrata potrkal poslovnež in za brezosebno zbirko ponudil tisoč ali nekaj tisoč evrov, ga ni junaka, ki ponudbe ne bi sprejel. Zakaj je ne bi, saj ni nezakonita!

Internet vir dodatnih podatkov

Za identifikacijo posameznika iz brezosebne zbirke so potrebni dodatni podatki o njem, te pa dnevno pušča na internetu. Nosljive naprave za beleženje življenja so šele na začetku svoje poti, ko bodo splošno sprejete, bodo nov podatkovni rudnik. Eden mnogih. Mobilne aplikacije zbirajo več podatkov o uporabnikih, kot jih potrebujemo. Google že danes ve več o uporabniku, kot ta ve o sebi. Facebook enako. Spletni piškotki neutrudno beležijo našo aktivnost na spletu. Ko smo o teh stvareh pisali, smo vedno dejali, da če smo pazljivi, ne vedo, kdo smo. Danes vedo tudi to, saj zavestno osebne podatke vpišemo, ko se na primer prijavimo v družbeno omrežje. Pa tudi če jih ne, pomembnejšim storitvam zaupamo mobilno telefonsko številko zaradi večje varnosti, ki jo omogoča dvostopenjska zaščita uporabniškega računa. Tako Google kot Facebook podatke o svojih uporabnikih brez zadržkov prodajata. V brezosebni obliki, da ne bo pomote. Resnični problem ni v obstoju elektronskih zbirk, temveč v možnosti, da jih združijo na enem mestu.

Ko število podatkov, ki jih dnevno ustvarimo, raste in se zapisuje v zbirke, podjetja, ki se danes ukvarjajo s profiliranjem uporabnikov, že razmišljajo o naslednji fazi. To so že predvideli scenaristi filma Posebno poročilo (Minority Report). Z navzkrižno primerjavo podatkovnih zbirk želijo napovedati, kako se bomo obnašali v prihodnosti. Takrat pa pozabimo na svobodno voljo. Odločitev, kaj bomo videli, kaj bomo kupili in na kaj se bomo naročili, bo sprejel nekdo drug. Le predstavljena bo tako, da bomo mislili, da smo se odločili sami. Kar bomo obdržali, bo le naše ime. Prihodnost bo še zanimiva.