jtiblog

A Jogtudományi Intézet blogoldala

Megvéd-e minket a GDPR a Cambridge Analyticától?

2018. április 10. 23:56
Vági Renátó
gyakornok, MTA TK Jogtudományi Intézet

Ha 2018 márciusa bekerül a történelemkönyvekbe, az valószínűleg a Facebook eddigi legnagyobb adatvédelmi botránya miatt lesz, amely emberek tömegeinek szemét nyitotta fel a Facebook problémáival kapcsolatban, és nagy eséllyel hatalmas változásokat fog elindítani a legnagyobb közösségi hálózatnál. De valóban ennyire meglepő-e ez a történet? Az írás célja választ adni erre a kérdésre, miközben bemutatja a Facebook üzleti környezetét, technikai sajátosságait és viszonyát a nemsokára hatályba lépő új EU-s adatvédelmi rendelettel kapcsolatban.

Kezdjük rögtön a leglényegesebb kérdéssel. Meglepett-e bárkit, aki kicsit is olvasott a Facebook tevékenységével kapcsolatban, a legújabb, a Cambridge Analytica cég nevével fémjelzett botrány? Jó eséllyel nem, hiszen évek óta cikkeznek arról, hogy ez a gyakorlat a Facebook üzleti modelljének immanens része. Nem véletlenül terjedt el az utóbbi évtizedben az „adat az új olaj” szállóige. Ennek lényege, ahogy azt Clive Humby, a Tesco Clubcard rendszerének kifejlesztője megfogalmazta, hogy az adat „értékes, de finomítatlanul nem igazán lehet használni. Át kell alakítani üzemanyaggá, műanyaggá, kémia anyagokká stb., hogy értékes terméket állíthassunk elő belőle, amivel profitot termelhetünk; ezért az adatot fel kell bontani, és elemezni kell, hogy értéke legyen.”[1]

Az online platformoknak, amelyeknek az egyik fajtája az olyan közösségi hálózat, mint a Facebook, pontosan ez az üzleti mechanizmusa: közvetítőkként működnek, akik a felhasználóktól összegyűjtik az adatokat, a vállalatoknak pedig hirdetési helyeket adnak el. Ez még önmagában nem lenne nagy innováció, a plusz, amit ezek a platformok hozzáadnak az az, hogy az összegyűjtött adatokat különböző algoritmusok alapján elemzik, és ezáltal személyre szabott hirdetési stratégiákat tudnak tervezni a vállalatok különböző termékei és szolgáltatásai részére. Ezt nevezik szakszóval mikrotargetálásnak. A vállalatok hirdetései így elméletben és gyakorlatban is sokkal hatékonyabbak lesznek. A Facebook „érdeklődés-központú” hirdetési modellje például különböző személyes és demográfiai adatok, mint például kor, nem, lakcím, érdeklődési kör alapján ajánl termékeket a felhasználónak. Ehhez nyújt még segítséget, hogy a beépített „cookie-k” használatával a Facebook figyeli a felkeresett weblapokat is, és ez alapján tudja még jobban behatárolni az aktuális érdeklődési kört. Mindnyájan találkoztunk már azzal a jelenséggel, hogy mikor költözés előtt vagy autóvásárlás előtt állunk, akkor a Facebookon egy ideig csak lakás és autó hirdetéseket kapunk.

A botrány kialakulásához azonban szükség volt a Facebook egy másik szolgáltatására az ún. „Graph API-ra”. A Facebook fejlesztőknek szánt leírása szerint ez nem más, mint egy kapu, amelyen keresztül alkalmazások tudnak a Facebookra adatokat bevinni, és onnan kinyerni. Lényegében a Facebook hozzáférési pontja olyan applikáció fejlesztőknek, mint a Tinder vagy az Airbnb, hogy egyszerű módon csatlakozhasson a közösségi háló környezetéhez. Ezzel szimbolikus kapcsolat jön létre a Facebook és a kisebb alkalmazások között, amelyben mindkét fél nyer: az alkalmazás tulajdonosai azért, mert a növekedési potenciáljuk nagyobb, ha a felhasználó egy kattintással, a Facebookon már megadott adataival tud egyszerűen az ő felületéhez csatlakozni, a Facebook pedig azért, mert több adat áll rendelkezésére a felhasználóról, amivel jobban tudja elemezni, és jobban tudja fejleszteni a személyre szabott hirdetéseit, amivel drágábban árulhatja a reklám helyeit.

És akkor megjelent a politika

Számítani lehetett arra, hogy erre a modellre nem csak a különböző vállalkozások, de a politikusok is felfigyelnek majd. Ehhez nyújtott segítséget a Cambridge Analytica, amely saját bevallása alapján elsősorban Ted Cruz, Donald Trump és a Brexit kilépés-párti kampányát segítette, de a cég dolgozott még többek között Nigériában, Indiában és Kelet-Európában is. A brit Channel 4 tényfeltáró riportja alapján több jogilag kétes módszert bevetett a különböző kampányok manipulálásában, azonban a legnagyobb visszhangot kiváltó, és jelen írás középpontjába tartozó terület a személyes adatok visszaélésével kapcsolatos.

A Cambridge Analytica nevű adatelemző és marketingcéget 2012-ben alapították, és fő szolgáltatása a pszichográfiai profilalkotás. Állításuk szerint egy személyiségteszt kitöltésével, és ennek különböző demográfiai adatokkal és érdeklődési körrel való összevetésével olyan pszichológiai modellt tudnak létrehozni, ami alapján meg tudják mondani, hogy nagy valószínűséggel melyik ember melyik jelöltre fog szavazni. Ezáltal pedig csoportosítani tudják az embereket, és így személyre szabni a politikai hirdetéseket, hogy megbízójuk hirdetését olyan emberek felé közvetítsék, akikre az hatással van. Így a cég modelljének a lényege, hogy elegendő adat begyűjtése után, az algoritmus megtalálja a megfelelő korrelációkat, és olyan emberekre is tudja szabni a hirdetéseit, akik nem is álltak kapcsolatban soha a Cambridge Analyticával, nem töltöttek ki egy tesztet sem, de bizonyos attribútumaik megegyeznek a tesztkitöltők egy csoportjáéval.

Ez ijesztő, de még nem lenne feltétlenül szabálytalan vagy etikátlan. Mint láttuk a Facebook több, mint egy évtizede így működik, ez az üzleti modellje. A probléma az, ahogy a cég az adatokhoz hozzájutott. A különböző vádak szerint egy Alekszandr Kogan nevű Cambridge Egyetemen dolgozó kutató töltetett ki fejenként egy dollárért online kérdőíveket, aminek kitöltésével egyidejűleg a felhasználók a Facebook profiljukhoz is hozzáférést engedtek neki. Sőt a Facebook akkori szabályai lehetővé tették, hogy a kutató a kitöltők ismerőseinek profiljához is hozzáférést nyerjen. (Ezt a lehetőséget azóta már megszüntette a Facebook.) Így a mintegy 270 ezer kitöltésen keresztül körülbelül 50 millió személy adataihoz fértek hozzá. Ezeket az adatokat pedig Kogan továbbadta a Cambridge Analyticának. Ez két szempontból sem vet jó fényt a Facebookra: egyrészt egyértelmű, hogy képtelen megvédeni a saját felhasználóinak adatait, másrészt felfedi pont ugyanazt a gyakorlatot, ahogyan ő profilozza az embereket hirdetési és profitszerzési céljai érdekében.

Akkor jöjjön a GDPR?

Mint minden új technológia kezdeti optimista korszakában a Facebooknak ez a modellje, a hirdetések személyre szabása és a mikrotargetálás csupa jó dologgal kecsegtetett. A személyes adatok korrelációin alapuló algoritmizált hirdetés elősegíti, hogy a vásárlók jobb szolgáltatást kapjanak, olyat, amivel a leginkább elégedettek. A fogyasztók nagyobb elégedettségével pedig nő a vállalkozások profitja, ami nyilvánvalóan kihat a platformok profitjára is.

Ám ez csak addig tart, amíg a platformokba vetett bizalom fennáll, amíg nem gondolunk arra, hogy visszaélhetnek az adatainkkal. Most mikor egymást érik a közösségi hálóval kapcsolatos botrányok, úgy néz ki, átalakul a magánélet biztonságával kapcsolatos felfogásunk. Most már nem csak amiatt kell aggódnunk, hogy a főnökünk vagy ismeretlen emberek milyen bulizós képeket látnak rólunk, hanem arra is figyelnünk kell, hogy nagy vállalatok, politikusok milyen adatokat tárolnak rólunk, és azt mire használják fel. Erre pedig a jognak is reagálnia kell, nem hagyatkozhat ezeknek a platformoknak az önszabályozására. Az utolsó pár bekezdésben azt vizsgálom meg, hogy a május 25-én életbe lépő GDPR hogyan reagál erre, és mennyire lenne képes megvédeni minket egy jövőbeni Cambridge Analytica botránytól.

Röviden összefoglalva semennyire. A GDPR még mindig ugyanannak a gondolkodásnak a terméke, ami az elmúlt évtizedek adatvédelmi törvényeit is jellemezte. Általánosságban az adatkezelés jogszerűségéhez továbbra is két feltételt szab: a személyes hozzájárulást és a célhoz kötöttséget[2], amelyhez különös esetként pár felmentés csatlakozik. Ez azonban csak az olyan egyértelmű jogsértéseket bünteti, ami a Cambridge Analytica botránynak is csak részeleme. Itt a kérdőívet kitöltők ismerősei adatainak kinyerésére gondolok, ugyanis ők nyilvánvalóan nem járultak hozzá az adatok kezeléséhez, valamint arra, hogy a jelek szerint a Cambridge Analyticához mint harmadik félhez kerültek hozzá az adatok, miközben a kérdőívek kitöltői Kogannek, egy egyetemi kutatónak adtak hozzájárulást az adataik kezeléséhez. Ezek viszont már nagyon régóta szabálytalannak minősülnek, nem is véletlen, hogy pert indítottak többen a botrány kirobbanása után.

Ugyanakkor a jelenlegi adatvédelmi szabályozások és a GDPR sem nyújt megnyugtató választ az algoritmusok, az ellenőrzés és a szankció problémáira. Bár a korábbi adatvédelmi jog és a GDPR is igyekszik szabályozni az „automatizált döntést” , az az általánosabb kérdés azonban ettől megmarad, hogy mennyire jó az, ha olyan algoritmusok irányítják az életünk egy részét, amiről nem tudjuk pontosan, hogy milyen adataink alapján, és milyen következtetéseket vonnak le rólunk. És erről nem szabad azt hinnünk, hogy csak az olyan embereket érinti, akik balga módon mindenféle alkalmazásnak megadják az adataikat. Ezek az adatok ugyanis önmagában csak részelemek, tanítóadatok, a hirdetés ilyen adatkezelési hozzájárulás nélkül is eljut hozzám, ha a fő attribútumaim megegyeznek az adott alkalmazást használók egy csoportjának attribútumaival, és ez alapján következtetést vonnak le rólam. Továbbá ezeknek az online platformoknak az ellenőrzése és a szankcionálása is sok kérdést felvet. Ki tudja ellenőrizni a Facebookhoz vagy a Google-hoz hasonló hatalmas vállalatok valódi adatkezelési gyakorlatát? A GDPR alapján kikérhetjük[3] vagy akár töröltethetjük[4] is bármikor a rólunk kezelt adatokat, de honnan tudjuk, hogy valóban ezeket az adatokat kezelik rólunk vagy valóban törölték. (A Cambridge Analytica is először azt állította, hogy törölték a jogtalanul megszerzett adatokat, majd kiderült, ez nem igaz.) Milyen felügyelő hatóság és hogyan képes ezt ellenőrizni? Az általunk ismert világban a jogi szabályozás működésének alapja az, hogy az állam gazdaságilag és más szempontból is erősebb minden más szereplőnél, így rájuk tudja kényszeríteni az akaratát. A Facebook és Google világában ez már nem feltétlenül igaz. Illetve, ha sikerül is jogtalanságon érni a közösségi hálózatokat, mi a megfelelő szankció, amivel el tudjuk őket rettenteni további jogsértéstől? A pénzbüntetésen túl az adatok törlése, ami a legtöbbször előkerül ilyen esetekben. Azonban be kell látnunk, hogy ezeknek nem sok hatása van. Ezek többnyire tanítóadatok, amik az algoritmus megfelelő beállításához, finomhangolásához kell, így hiába törlik utólag őket, az algoritmus ettől működőképes marad, és végzi a feladatát; a gép forog, az alkotó pihen.

Hely hiányában nincs lehetőségem ezeket itt tovább részletezni, illetve más problémákat felhozni, de talán ebből is jól látszik, hogy amíg nem változtatja meg a jogalkotás az adatvédelemmel és a privacy-vel kapcsolatos gondolkodását addig a Cambridge Analyticához hasonló botrányok az életünk részei lesznek, még ha nem is tudunk róluk. Vagy a Facebook változtatja meg az elképzelhetetlen összegeket termelő üzleti modelljét. Kérdés, melyik következik be előbb.

_______________________________

[1] Idézi Ződi Zsolt: Privacy és Big Data, Fundamentum 2017/1–2., 21.

[2] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (továbbiakban: GDPR) 6. cikk (1) bekezdés a) pont.

[3] GDPR 13–15. cikk.

[4] GDPR 17. cikk.

___________________________________________________________

 Az írás a szerző véleményét tartalmazza és nem értelmezhető az MTA TK hivatalos állásfoglalásaként.

Címkefelhő

alapjogok európai bíróság európai bizottság tagállami mozgástér ttip európai parlament belső piac fogyasztóvédelem tisztességtelen szerződési feltétel jogállamiság diszkrimináció alkotmánybíróság európai központi bank gazdasági és monetáris unió versenyjog kúria állami támogatás uniós értékek demokrácia jogegységi határozat előzetes döntéshozatali eljárás nemzeti érdek közös kereskedelempolitika euró eu alapjogi charta brexit arányosság elve szociális jog irányelvek átültetése european convention of human rights kásler-ítélet fizetésképtelenségi rendelet választás oroszország eusz 7. cikke human trafficking egységes piac európai bizottság elnöke human rights környezetvédelem adatvédelem fenntartható fejlődés ultra vires aktus bevándorlás közös kül- és biztonságpolitika ceta német alkotmánybíróság btk trump közigazgatás wto nafta tpp migráció nemzeti bíróságok russia menekültkérdés fundamental rights strasbourgi bíróság panpsychism szolidaritás ukraine crisis bankunió personhood polgári kezdeményezés magyarország szankció syngamy kötelezettségszegési eljárás environment eu sanctions energiapolitika ecthr európai integráció civil törvény compliance devizakölcsön prison conditions ukrán válság alkotmányjog fővárosi közgyűlés surrogacy európai parlamenti választások fogyatékosok jogai közbeszerzés felsőoktatás normakontroll kiotói jegyzőkönyv national courts internet verseny szabadsága magyar helsinki bizottság ebh államcsőd külkapcsolatok állampolgárság lex ceu eljárási alkotmányosság versenyképesség adójog consumer protection platformtársadalom halálbüntetés vesztegetés szülő nők helyzete likviditás hatáskörmegosztás european court of human rights nemzetközi magánjog közjogtudomány adózás európai politikai pártok; single market adókövetelés hálapénz peschka menekült fal dajkaterhesség környezetvédelmi politika családi jog zaklatás gmo-szabályozás pártfinanszírozás retaliation adatmegőrzési irányelv fizetésképtelenségi eljárás schuman-nyilatkozat jogelmélet dublin iii egyesült királyság áruk szabad áramlása öröklési jog szegregáció beruházásvédelem gmo-mentesség központi bankok európai rendszere európai politikai közösség hungary közerkölcs sokszínű európa alapító atyák vallásszabadság 1951-es genfi egyezmény egészségvédelem uniós polgárság irányelvek szabályozáshoz való jog european neighbourhood policy hatáskör-átruházás politikai pártok european court of justice kisebbségek juncker bizottság első alkotmánykiegészítés strasbourgi esetjog tényleges életfogytiglan közigazgatási perrendtartás ártatlanság vélelme jog és irodalom elsőbbség elve kohéziós politika sokféleség energiahatékonysági irányelv obamacare parlament európai bíróság elnöke új btk. általános közigazgatási rendtartás alapjogi charta legitimáció erdély ukraine régió fizetésképtelenség; energiaunió születésszabályozás véleménynyilvánítás szabadsága lenaerts törökország kikényszerítés konferencia székelyföld autonomy of eu legal order jogharmonizáció; eurasian economic union hobby lobby média hatékony jogvédelem szabadságvesztés történelmi konfliktusok személyek szabad mozgása law in literature uk report inviolability of eu legal order csődjog; dcfta büntetőjog országgyűlés franciaország uniós válságkezelés európai jog szociális deficit law as literature európai szomszédságpolitika mulhaupt european values többségi demokrácia; jogos védelem sajtószabadság németország lojális együttműködés európai tanács európai emberi jogi egyezmény letelepedés szabadsága lengyel alkotmánybíróság brit jelentés olaszország european central bank áldozatvédelem végrehajtás válság lengyelország ingatlanadó-követelés article 7 teu népszavazás german constitutional court értékközösség egyesülési jog szíria uniós jog sérthetetlensége kiskereskedelmi különadó jogállamiság-védelmi mechanizmus excessive deficit nyilvános meghallgatás rule of law common commercial policy omt muršić érdekközösség velencei bizottság lengyel alkotmánybíróság uniós jog autonómiája eu klímapolitika exclusionarism kommunikáció democracy európai unió alapjogi ügynoksége egyenlő bánásmód görögország ügynökprobléma gazdasági szankciók civil jogállamiság infrastruktúrához való hozzáférés kvótakereskedelem protectionism datafication reklámadó emberi méltóság pénzügyi válság