jtiblog

A Jogtudományi Intézet blogoldala

Megvéd-e minket a GDPR a Cambridge Analyticától?

2018. április 10. 23:56
Vági Renátó
gyakornok, MTA TK Jogtudományi Intézet

Ha 2018 márciusa bekerül a történelemkönyvekbe, az valószínűleg a Facebook eddigi legnagyobb adatvédelmi botránya miatt lesz, amely emberek tömegeinek szemét nyitotta fel a Facebook problémáival kapcsolatban, és nagy eséllyel hatalmas változásokat fog elindítani a legnagyobb közösségi hálózatnál. De valóban ennyire meglepő-e ez a történet? Az írás célja választ adni erre a kérdésre, miközben bemutatja a Facebook üzleti környezetét, technikai sajátosságait és viszonyát a nemsokára hatályba lépő új EU-s adatvédelmi rendelettel kapcsolatban.

Kezdjük rögtön a leglényegesebb kérdéssel. Meglepett-e bárkit, aki kicsit is olvasott a Facebook tevékenységével kapcsolatban, a legújabb, a Cambridge Analytica cég nevével fémjelzett botrány? Jó eséllyel nem, hiszen évek óta cikkeznek arról, hogy ez a gyakorlat a Facebook üzleti modelljének immanens része. Nem véletlenül terjedt el az utóbbi évtizedben az „adat az új olaj” szállóige. Ennek lényege, ahogy azt Clive Humby, a Tesco Clubcard rendszerének kifejlesztője megfogalmazta, hogy az adat „értékes, de finomítatlanul nem igazán lehet használni. Át kell alakítani üzemanyaggá, műanyaggá, kémia anyagokká stb., hogy értékes terméket állíthassunk elő belőle, amivel profitot termelhetünk; ezért az adatot fel kell bontani, és elemezni kell, hogy értéke legyen.”[1]

Az online platformoknak, amelyeknek az egyik fajtája az olyan közösségi hálózat, mint a Facebook, pontosan ez az üzleti mechanizmusa: közvetítőkként működnek, akik a felhasználóktól összegyűjtik az adatokat, a vállalatoknak pedig hirdetési helyeket adnak el. Ez még önmagában nem lenne nagy innováció, a plusz, amit ezek a platformok hozzáadnak az az, hogy az összegyűjtött adatokat különböző algoritmusok alapján elemzik, és ezáltal személyre szabott hirdetési stratégiákat tudnak tervezni a vállalatok különböző termékei és szolgáltatásai részére. Ezt nevezik szakszóval mikrotargetálásnak. A vállalatok hirdetései így elméletben és gyakorlatban is sokkal hatékonyabbak lesznek. A Facebook „érdeklődés-központú” hirdetési modellje például különböző személyes és demográfiai adatok, mint például kor, nem, lakcím, érdeklődési kör alapján ajánl termékeket a felhasználónak. Ehhez nyújt még segítséget, hogy a beépített „cookie-k” használatával a Facebook figyeli a felkeresett weblapokat is, és ez alapján tudja még jobban behatárolni az aktuális érdeklődési kört. Mindnyájan találkoztunk már azzal a jelenséggel, hogy mikor költözés előtt vagy autóvásárlás előtt állunk, akkor a Facebookon egy ideig csak lakás és autó hirdetéseket kapunk.

A botrány kialakulásához azonban szükség volt a Facebook egy másik szolgáltatására az ún. „Graph API-ra”. A Facebook fejlesztőknek szánt leírása szerint ez nem más, mint egy kapu, amelyen keresztül alkalmazások tudnak a Facebookra adatokat bevinni, és onnan kinyerni. Lényegében a Facebook hozzáférési pontja olyan applikáció fejlesztőknek, mint a Tinder vagy az Airbnb, hogy egyszerű módon csatlakozhasson a közösségi háló környezetéhez. Ezzel szimbolikus kapcsolat jön létre a Facebook és a kisebb alkalmazások között, amelyben mindkét fél nyer: az alkalmazás tulajdonosai azért, mert a növekedési potenciáljuk nagyobb, ha a felhasználó egy kattintással, a Facebookon már megadott adataival tud egyszerűen az ő felületéhez csatlakozni, a Facebook pedig azért, mert több adat áll rendelkezésére a felhasználóról, amivel jobban tudja elemezni, és jobban tudja fejleszteni a személyre szabott hirdetéseit, amivel drágábban árulhatja a reklám helyeit.

És akkor megjelent a politika

Számítani lehetett arra, hogy erre a modellre nem csak a különböző vállalkozások, de a politikusok is felfigyelnek majd. Ehhez nyújtott segítséget a Cambridge Analytica, amely saját bevallása alapján elsősorban Ted Cruz, Donald Trump és a Brexit kilépés-párti kampányát segítette, de a cég dolgozott még többek között Nigériában, Indiában és Kelet-Európában is. A brit Channel 4 tényfeltáró riportja alapján több jogilag kétes módszert bevetett a különböző kampányok manipulálásában, azonban a legnagyobb visszhangot kiváltó, és jelen írás középpontjába tartozó terület a személyes adatok visszaélésével kapcsolatos.

A Cambridge Analytica nevű adatelemző és marketingcéget 2012-ben alapították, és fő szolgáltatása a pszichográfiai profilalkotás. Állításuk szerint egy személyiségteszt kitöltésével, és ennek különböző demográfiai adatokkal és érdeklődési körrel való összevetésével olyan pszichológiai modellt tudnak létrehozni, ami alapján meg tudják mondani, hogy nagy valószínűséggel melyik ember melyik jelöltre fog szavazni. Ezáltal pedig csoportosítani tudják az embereket, és így személyre szabni a politikai hirdetéseket, hogy megbízójuk hirdetését olyan emberek felé közvetítsék, akikre az hatással van. Így a cég modelljének a lényege, hogy elegendő adat begyűjtése után, az algoritmus megtalálja a megfelelő korrelációkat, és olyan emberekre is tudja szabni a hirdetéseit, akik nem is álltak kapcsolatban soha a Cambridge Analyticával, nem töltöttek ki egy tesztet sem, de bizonyos attribútumaik megegyeznek a tesztkitöltők egy csoportjáéval.

Ez ijesztő, de még nem lenne feltétlenül szabálytalan vagy etikátlan. Mint láttuk a Facebook több, mint egy évtizede így működik, ez az üzleti modellje. A probléma az, ahogy a cég az adatokhoz hozzájutott. A különböző vádak szerint egy Alekszandr Kogan nevű Cambridge Egyetemen dolgozó kutató töltetett ki fejenként egy dollárért online kérdőíveket, aminek kitöltésével egyidejűleg a felhasználók a Facebook profiljukhoz is hozzáférést engedtek neki. Sőt a Facebook akkori szabályai lehetővé tették, hogy a kutató a kitöltők ismerőseinek profiljához is hozzáférést nyerjen. (Ezt a lehetőséget azóta már megszüntette a Facebook.) Így a mintegy 270 ezer kitöltésen keresztül körülbelül 50 millió személy adataihoz fértek hozzá. Ezeket az adatokat pedig Kogan továbbadta a Cambridge Analyticának. Ez két szempontból sem vet jó fényt a Facebookra: egyrészt egyértelmű, hogy képtelen megvédeni a saját felhasználóinak adatait, másrészt felfedi pont ugyanazt a gyakorlatot, ahogyan ő profilozza az embereket hirdetési és profitszerzési céljai érdekében.

Akkor jöjjön a GDPR?

Mint minden új technológia kezdeti optimista korszakában a Facebooknak ez a modellje, a hirdetések személyre szabása és a mikrotargetálás csupa jó dologgal kecsegtetett. A személyes adatok korrelációin alapuló algoritmizált hirdetés elősegíti, hogy a vásárlók jobb szolgáltatást kapjanak, olyat, amivel a leginkább elégedettek. A fogyasztók nagyobb elégedettségével pedig nő a vállalkozások profitja, ami nyilvánvalóan kihat a platformok profitjára is.

Ám ez csak addig tart, amíg a platformokba vetett bizalom fennáll, amíg nem gondolunk arra, hogy visszaélhetnek az adatainkkal. Most mikor egymást érik a közösségi hálóval kapcsolatos botrányok, úgy néz ki, átalakul a magánélet biztonságával kapcsolatos felfogásunk. Most már nem csak amiatt kell aggódnunk, hogy a főnökünk vagy ismeretlen emberek milyen bulizós képeket látnak rólunk, hanem arra is figyelnünk kell, hogy nagy vállalatok, politikusok milyen adatokat tárolnak rólunk, és azt mire használják fel. Erre pedig a jognak is reagálnia kell, nem hagyatkozhat ezeknek a platformoknak az önszabályozására. Az utolsó pár bekezdésben azt vizsgálom meg, hogy a május 25-én életbe lépő GDPR hogyan reagál erre, és mennyire lenne képes megvédeni minket egy jövőbeni Cambridge Analytica botránytól.

Röviden összefoglalva semennyire. A GDPR még mindig ugyanannak a gondolkodásnak a terméke, ami az elmúlt évtizedek adatvédelmi törvényeit is jellemezte. Általánosságban az adatkezelés jogszerűségéhez továbbra is két feltételt szab: a személyes hozzájárulást és a célhoz kötöttséget[2], amelyhez különös esetként pár felmentés csatlakozik. Ez azonban csak az olyan egyértelmű jogsértéseket bünteti, ami a Cambridge Analytica botránynak is csak részeleme. Itt a kérdőívet kitöltők ismerősei adatainak kinyerésére gondolok, ugyanis ők nyilvánvalóan nem járultak hozzá az adatok kezeléséhez, valamint arra, hogy a jelek szerint a Cambridge Analyticához mint harmadik félhez kerültek hozzá az adatok, miközben a kérdőívek kitöltői Kogannek, egy egyetemi kutatónak adtak hozzájárulást az adataik kezeléséhez. Ezek viszont már nagyon régóta szabálytalannak minősülnek, nem is véletlen, hogy pert indítottak többen a botrány kirobbanása után.

Ugyanakkor a jelenlegi adatvédelmi szabályozások és a GDPR sem nyújt megnyugtató választ az algoritmusok, az ellenőrzés és a szankció problémáira. Bár a korábbi adatvédelmi jog és a GDPR is igyekszik szabályozni az „automatizált döntést” , az az általánosabb kérdés azonban ettől megmarad, hogy mennyire jó az, ha olyan algoritmusok irányítják az életünk egy részét, amiről nem tudjuk pontosan, hogy milyen adataink alapján, és milyen következtetéseket vonnak le rólunk. És erről nem szabad azt hinnünk, hogy csak az olyan embereket érinti, akik balga módon mindenféle alkalmazásnak megadják az adataikat. Ezek az adatok ugyanis önmagában csak részelemek, tanítóadatok, a hirdetés ilyen adatkezelési hozzájárulás nélkül is eljut hozzám, ha a fő attribútumaim megegyeznek az adott alkalmazást használók egy csoportjának attribútumaival, és ez alapján következtetést vonnak le rólam. Továbbá ezeknek az online platformoknak az ellenőrzése és a szankcionálása is sok kérdést felvet. Ki tudja ellenőrizni a Facebookhoz vagy a Google-hoz hasonló hatalmas vállalatok valódi adatkezelési gyakorlatát? A GDPR alapján kikérhetjük[3] vagy akár töröltethetjük[4] is bármikor a rólunk kezelt adatokat, de honnan tudjuk, hogy valóban ezeket az adatokat kezelik rólunk vagy valóban törölték. (A Cambridge Analytica is először azt állította, hogy törölték a jogtalanul megszerzett adatokat, majd kiderült, ez nem igaz.) Milyen felügyelő hatóság és hogyan képes ezt ellenőrizni? Az általunk ismert világban a jogi szabályozás működésének alapja az, hogy az állam gazdaságilag és más szempontból is erősebb minden más szereplőnél, így rájuk tudja kényszeríteni az akaratát. A Facebook és Google világában ez már nem feltétlenül igaz. Illetve, ha sikerül is jogtalanságon érni a közösségi hálózatokat, mi a megfelelő szankció, amivel el tudjuk őket rettenteni további jogsértéstől? A pénzbüntetésen túl az adatok törlése, ami a legtöbbször előkerül ilyen esetekben. Azonban be kell látnunk, hogy ezeknek nem sok hatása van. Ezek többnyire tanítóadatok, amik az algoritmus megfelelő beállításához, finomhangolásához kell, így hiába törlik utólag őket, az algoritmus ettől működőképes marad, és végzi a feladatát; a gép forog, az alkotó pihen.

Hely hiányában nincs lehetőségem ezeket itt tovább részletezni, illetve más problémákat felhozni, de talán ebből is jól látszik, hogy amíg nem változtatja meg a jogalkotás az adatvédelemmel és a privacy-vel kapcsolatos gondolkodását addig a Cambridge Analyticához hasonló botrányok az életünk részei lesznek, még ha nem is tudunk róluk. Vagy a Facebook változtatja meg az elképzelhetetlen összegeket termelő üzleti modelljét. Kérdés, melyik következik be előbb.

_______________________________

[1] Idézi Ződi Zsolt: Privacy és Big Data, Fundamentum 2017/1–2., 21.

[2] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (továbbiakban: GDPR) 6. cikk (1) bekezdés a) pont.

[3] GDPR 13–15. cikk.

[4] GDPR 17. cikk.

___________________________________________________________

 Az írás a szerző véleményét tartalmazza és nem értelmezhető az MTA TK hivatalos állásfoglalásaként.

Címkefelhő

alapjogok európai bíróság európai bizottság tagállami mozgástér ttip diszkrimináció európai központi bank fogyasztóvédelem tisztességtelen szerződési feltétel jogállamiság belső piac alkotmánybíróság európai parlament előzetes döntéshozatali eljárás gazdasági és monetáris unió demokrácia kúria állami támogatás jogegységi határozat versenyjog uniós értékek eu alapjogi charta szociális jog irányelvek átültetése euró kásler-ítélet eusz 7. cikke arányosság elve választás nemzeti érdek oroszország közös kereskedelempolitika european convention of human rights brexit fizetésképtelenségi rendelet nemzeti bíróságok ultra vires aktus német alkotmánybíróság kötelezettségszegési eljárás európai parlamenti választások európai bizottság elnöke adatvédelem wto bankunió magyarország energiapolitika devizakölcsön fogyatékosok jogai btk alkotmányjog fővárosi közgyűlés közös kül- és biztonságpolitika strasbourgi bíróság szankció ukrán válság migráció szolidaritás egységes piac russia ukraine crisis compliance fundamental rights eu sanctions bevándorlás európai integráció környezetvédelem fenntartható fejlődés menekültkérdés ceta polgári kezdeményezés trump nafta tpp ecthr prison conditions surrogacy human trafficking human rights közigazgatás panpsychism personhood syngamy environment civil törvény irányelvek legitimáció kikényszerítés szociális deficit letelepedés szabadsága kiskereskedelmi különadó központi bankok európai rendszere hatáskör-átruházás elsőbbség elve adatmegőrzési irányelv közerkölcs európai unió alapjogi ügynoksége magyar helsinki bizottság vesztegetés hálapénz vallásszabadság első alkotmánykiegészítés obamacare születésszabályozás hobby lobby büntetőjog jogos védelem áldozatvédelem külkapcsolatok hatáskörmegosztás tényleges életfogytiglan új btk. szabadságvesztés lojális együttműködés végrehajtás gazdasági szankciók állampolgárság nemzetközi magánjog családi jog öröklési jog uniós polgárság alapjogi charta személyek szabad mozgása európai jog európai emberi jogi egyezmény uniós jog sérthetetlensége uniós jog autonómiája infrastruktúrához való hozzáférés versenyképesség adózás gmo-szabályozás gmo-mentesség european neighbourhood policy ukraine uk report európai szomszédságpolitika brit jelentés excessive deficit exclusionarism protectionism national courts consumer protection single market retaliation hungary european court of justice autonomy of eu legal order inviolability of eu legal order european values article 7 teu rule of law democracy reklámadó verseny szabadsága halálbüntetés schuman-nyilatkozat alapító atyák juncker bizottság energiahatékonysági irányelv energiaunió eurasian economic union dcfta european central bank german constitutional court omt görögország pénzügyi válság államcsőd likviditás menekült fal dublin iii 1951-es genfi egyezmény strasbourgi esetjog európai bíróság elnöke lenaerts hatékony jogvédelem franciaország németország értékközösség érdekközösség ügynökprobléma közbeszerzés környezetvédelmi politika áruk szabad áramlása egészségvédelem ártatlanság vélelme törökország történelmi konfliktusok uniós válságkezelés európai tanács válság szíria lengyel alkotmánybíróság jogállamiság normakontroll eljárási alkotmányosság beruházásvédelem szabályozáshoz való jog jog és irodalom erdély konferencia law in literature law as literature lengyel alkotmánybíróság lengyelország jogállamiság-védelmi mechanizmus eu klímapolitika kvótakereskedelem kiotói jegyzőkönyv adójog európai politikai pártok; pártfinanszírozás európai politikai közösség politikai pártok kohéziós politika régió székelyföld mulhaupt ingatlanadó-követelés nyilvános meghallgatás kommunikáció datafication internet platformtársadalom adókövetelés fizetésképtelenségi eljárás sokszínű európa kisebbségek sokféleség fizetésképtelenség; jogharmonizáció; csődjog; többségi demokrácia; olaszország népszavazás common commercial policy egyenlő bánásmód emberi méltóság ebh szülő nők helyzete peschka jogelmélet parlament véleménynyilvánítás szabadsága média országgyűlés sajtószabadság muršić european court of human rights dajkaterhesség egyesült királyság közigazgatási perrendtartás általános közigazgatási rendtartás egyesülési jog velencei bizottság civil felsőoktatás lex ceu közjogtudomány zaklatás szegregáció

Archívum