Rewolucja. UE wdraża akt o rynkach cyfrowych. Okiełzna strażników dostępu i ochroni naszą prywatność

3 lipca 2023 roku upłynął termin składania przez wielkie firmy technologiczne do Komisji Europejskiej deklaracji spełniania kryteriów definicji „strażnika dostępu” na bazie unijnego Aktu o Rynkach Cyfrowych.

(„DMA”, od ang. „Digital Markets Act”).

Na początku września Komisja ma podjąć decyzję, które firmy faktycznie traktowane będą jako „strażnicy dostępu".

Będzie to miało daleko idące konsekwencje nie tylko dla nich oraz ich mniejszych konkurentów, ale przede wszystkim dla nas – osób korzystających z usług cyfrowych – oraz dla podmiotów oferujących za ich pomocą swoje produkty czy usługi.

Kim są „strażnicy dostępu”?

Termin „strażnik dostępu” jest dość niefortunną kalką z angielskiego. Może przywodzić na myśl pilnującego porządku stróża prawa na rogatce miejskiej.

Jednak w kontekście usług cyfrowych, angielskie słowo „gatekeeper” (i powiązany z nim czasownik „gatekeeping”) odnosi się raczej do sytuacji, w której usługodawca uzyskał dzięki swej pozycji możliwość decydowania, kto ma dostęp do pewnych rodzajów zasobów czy usług, a kto takiego dostępu nie ma.

Zwłaszcza w odniesieniu do usługi bardzo popularnej lub wręcz niezbędnej do codziennego funkcjonowania.

W tym sensie „strażnikiem dostępu" byłaby Telekomunikacja Polska z przełomu wieku – monopolista na rynku telefonii stacjonarnej w Polsce.

Ówczesna technologia dostępu do Internetu wymagała infrastruktury telefonicznej (w tym kabli telefonicznych dociągniętych do mieszkań abonentów), co dawało Telekomunikacji Polskiej możliwość wykorzystywania pozycji monopolisty telefonicznego do zdobycia i utrzymania podobnej pozycji na rynku dostępu do Internetu.

Konkurencja zmuszona była albo tworzyć drogą infrastrukturę od zera (w tym kłaść nowe kable telefoniczne do poszczególnych mieszkań), albo dogadywać się z Telekomunikacją Polską.

Firma była na uprzywilejowanej pozycji: w praktyce miała możliwość decydowania, kto może świadczyć usługi dostępu do Internetu w Polsce, a kto nie.

Zamiast umocowanego prawnie stróża porządku publicznego działającego na bazie przejrzystych regulacji i ponoszącego odpowiedzialność za swoje działania, „strażnik dostępu” w kontekście usług cyfrowych powinien nam więc raczej przywodzić na myśl lokalnego watażkę, wykorzystującego pozycję siły do zaprowadzania własnych porządków w oparciu o swoje widzimisię – i interes.

Grodzone ogródki zamiast monopolu

Czy jednak operatorzy usług takich, jak Facebook czy wyszukiwarka Google, albo popularni producenci sprzętu jak Apple, faktycznie są monopolistami?

Przecież istnieją inne sieci społecznościowe, zarówno zarządzane przez korporacje, jak i działające dzięki niezależnym, ale powiązanym społecznościom. Zamiast wyszukiwarki Google można korzystać z DuckDuckGo czy Startpage. Zamiast iPhona można kupić smartfona innego producenta.

Tyle że istnienie sieci społecznościowych czy komunikatorów różnych operatorów nie oznacza, że ze sobą bezpośrednio konkurują – przecież z naszego konta na TikToku nie wejdziemy w interakcję z naszą rodziną korzystającą z Facebooka.

Z konta na WhatsAppie nie pogadamy ze znajomymi korzystającymi z iMessage.

Można więc powiedzieć, że na „rynku” dostępu do Facebooka, jest jeden jedyny „monopolistyczny” usługodawca: Facebook.

Na „rynku” komunikacji poprzez iMessage jest tylko applowski iMessage.

To sytuacja diametralnie różna od np. e-maila czy telefonii mobilnej, w których przypadku istnieje wielu kompatybilnych operatorów danej usługi, a użytkownicy i użytkowniczki mogą się swobodnie komunikować między sobą – niezależnie od tego, z usług którego z nich korzystają.

Mogą też swobodnie przenosić się między usługodawcami, bez tracenia kontaktu ze znajomymi czy rodziną.

Pionowo zintegrowane usługi cyfrowe, w pełni kontrolowane przez jednego usługodawcę, który jednostronnie narzuca w jej ramach reguły gry, to tak zwane „grodzone ogródki” (od ang. „walled gardens”).

Brak możliwości komunikowania się między grodzonymi ogródkami nie wynika z jakichś niemożliwych do przeskoczenia ograniczeń technicznych a z… decyzji biznesowej. Firmy je kontrolujące unikają posądzeń o monopol (albo przynajmniej skutecznie utrudniają debatę na ten temat), wszak są inni usługodawcy podobnych usług.

Zaś osoby z tych usług korzystające jak nie miały wyboru, tak dalej go nie mają.

Efekt sieciowy

Potęga grodzonych ogródków bodaj najlepiej widoczna jest w przypadku Facebooka. Dla wielu osób konto w tej sieci jest niestety zwyczajnie nieodzowne, nie tylko w celu utrzymania kontaktu z rodziną, ale również – a może nawet przede wszystkim! – ponieważ de facto wymaga tego ich szkoła, uczelnia, pracodawca.

Nie byliśmy w stanie „zagłosować nogami” po doniesieniach o roli Facebooka w ludobójstwie Rohingya; ani po skandalu Cambridge Analytica czy po szeregu wycieków naszych danych; ani wreszcie po eksperymencie, w którym Facebook manipulował uczuciami niemal miliona osób korzystających z platformy.

Dlaczego? Ze względu na efekt sieciowy (o którym DMA wspomina kilkakrotnie). Przydatność narzędzi cyfrowych uzależniona jest często wprost od liczby osób, które z nich już korzystają.

Im sieć społecznościowa jest większa, tym więcej osób będzie mogło za jej pomocą pozostać w kontakcie ze znajomymi czy rodziną. Im więcej osób korzysta z danej wyszukiwarki, tym więcej stron internetowych będzie pod nią optymalizowanych, wzmacniając jej hegemonię.

Im bardziej popularny dany system operacyjny, tym więcej będzie na niego pisanych niezależnych aplikacji, co z kolei powoduje, że będzie bardziej przydatny dla większej liczby osób… i koło się zamyka.

Zamiast kontroli nad fizyczną infrastrukturą (jak w przypadku Telekomunikacji Polskiej), operatorzy zamkniętych ogródków wykorzystują nas, osoby z ich usług korzystające, do walki z konkurencją.

Problem trzeba najpierw nazwać

Choć Facebook nie jest może monopolistą w tradycyjnym sensie, to jego władza nad nami jest w zasadzie nieodróżnialna od władzy monopolisty. Podobnie, choć nie zawsze w tym samym zakresie, rzecz się ma w przypadku innych scentralizowanych usług cyfrowych, wykorzystujących efekt sieci do utrzymania lub wzmocnienia uprzywilejowanej pozycji.

Zamiast debatować nad tym, czy dany usługodawca jest monopolistą w dosłownym sensie, unijni prawodawcy postanowili więc skupić się na faktycznej władzy, jaką ma on nad milionami jej użytkowniczek i użytkowników. Ale nie tylko!

Niezależne firmy, które chcą dotrzeć ze swoimi usługami i produktami do potencjalnych odbiorców, często też są zdane na łaskę i niełaskę operatorów konkretnych uprzywilejowanych platform. Na urządzeniach mobilnych z logo jabłuszka nie ma na przykład możliwości instalacji przeglądarek innych niż opartych o Safari – Apple po prostu na to nie pozwala. Wszystkie „przeglądarki” w AppStore są nakładkami na silnik Safari.

Stąd użycie w unijnej regulacji terminu „strażnik dostępu". Jego definicja, zawarta w akcie, opiera się przede wszystkim na rodzaju świadczonej usługi (m.in. sieci społecznościowe, wyszukiwarki internetowe, systemy operacyjne czy komunikatory), wartości firmy i jej rocznym przychodzie, oraz liczbie osób i podmiotów z jej usług korzystających (co najmniej 45 mln osób prywatnych i 10 tys. użytkowników biznesowych, z terenu UE).

Innymi słowy, tylko największe firmy technologiczne będą pod DMA podpadać. Faktycznie: deklaracje bycia strażnikiem dostępu złożyły Alphabet (czyli Google), Amazon, Apple, ByteDance (operator TikToka), Meta (operator Facebooka), Microsoft, oraz Samsung (ze względu na swoją przeglądarkę mobilną).

Do szóstego września Komisja ma czas na ich ocenę i wydanie wiążących decyzji.

Okiełznać strażników dostępu

DMA stanowi pakiet z Aktem o Uslugach Cyfrowych (DSA), i razem wprowadzają bardzo wiele ważnych zmian – by zrozumieć je głębiej, warto przeczytać świetny, kompleksowy przewodnik Fundacji Panoptykon.

DSA skupia się bardziej na ochronie osób korzystających z usług cyfrowych gigantów. DMA bezpośrednio zajmuje się sednem problemu: dominującej pozycji tych firm w kontekście konkretnych usług. W jaki sposób?

Po pierwsze, „strażnicy dostępu” nie będą mogli swobodnie łączyć danych o nas pochodzących z ich różnych usług. Alphabet nie będzie mogło budować super-profilu danej osoby na bazie jej wyszukiwań w Google, treści oglądanych w serwisie YouTube, oraz danych z Google Analytics (a więc i ze wszystkich stron internetowych korzystających z Google Analytics).

Meta Platforms nie będzie mogło powiązać ze sobą naszych profili na Instagramie, WhatsAppie i Facebooku.

Po drugie, trudniej będzie cyber gigantom przywiązywać nas do ich usług. Zamknięcie konta ma być równie bezproblemowe, jak jego wcześniejsze założenie. Usunięcie aplikacji zainstalowanych domyślnie z systemem operacyjnym ma być równie łatwe, jak odinstalowanie jakiejkolwiek innej aplikacji (dziś na wielu systemach, zwłaszcza mobilnych, niemożliwe jest usunięcie aplikacji zainstalowanych przez producenta).

Apple będzie musiało umożliwić instalację innych przeglądarek (a nie tylko nakładek na silnik Safari) na iPhone'ach i iPadach. Powinniśmy móc korzystać z telefonu z Androidem bez konta Google.

Interoperacyjność

Po trzecie – i być może najważniejsze! – DMA wymagać będzie od „strażników dostępu”, by usługi ich komunikatorów internetowych umożliwiły interoperacyjność z komunikatorami innych (również znacznie mniejszych) usługodawców. W praktyce ma to oznaczać udokumentowanie protokołów komunikacji i umożliwienie, pod pewnymi warunkami, komunikowania się niezależnego oprogramowania z komunikatorami cyber gigantów za pomocą tych protokołów.

Dlaczego to takie ważne? Ponieważ uderza wprost w efekt sieciowy, na którym firmy Big Tech opierają swoją uprzywilejowaną pozycję!

Jeśli użytkowniczki i użytkownicy mogą korzystać z usług innego usługodawcy, by swobodnie kontaktować się z osobami korzystającymi z usługi oferowanej przez „strażnika dostępu”, ogródek przestaje być grodzony!

Zamiast kilku różnych komunikatorów internetowych wystarczy nam jeden, niezależnie od tego, z którego komunikatora korzystają nasi znajomi i rodzina. Tak jak nie musimy się dziś zastanawiać, czy korzystając z usług Playa dodzwonimy się do znajomej korzystającej z usług Orange.

Przy czym interoperacyjność komunikatorów internetowych może być tylko początkiem większych zmian. Wczesne wersje DMA zawierały wymóg interoperacyjności również w odniesieniu do sieci społecznościowych, zostało to jednak zmienione w toku prac nad ostatecznym kształtem regulacji.

Jeśli podejście się sprawdzi w praktyce, w przyszłości podobnie uregulowane mogą zostać również społecznościówki.

Trudne zadanie

Regulowanie usług, z których w UE na co dzień korzystają i na których polegają miliony osób oraz tysiące firm, organizacji i instytucji, nie jest zadaniem łatwym.

Jak zauważa doświadczona amerykańska organizacja pozarządowa EFF („Electronic Frontier Foundation”), od lat zajmująca się prawami cyfrowymi: „wdrożenie tych przepisów może stanowić poważne wyzwanie”.

„Przede wszystkim z systemami przesyłania wiadomości wiąże się szereg zagadnień dotyczących zachowania i wzmocnienia szyfrowania end-to-end” – pisze dalej EFF. O co chodzi?

Szyfrowanie end-to-end („od końca do końca”) oznacza, że wysyłane za pomocą danego komunikatora wiadomości odczytać mogą wyłącznie ich nadawca i odbiorcy.

Operator usługi, przynajmniej w teorii, nie powinien mieć żadnej możliwości dostępu do ich treści. Również zakres dostępnych mu metadanych powinien być bardzo ograniczony.

Na przykład komunikator Signal zbudowany jest w taki sposób, że jego operator nie ma informacji o tym, między kim a kim odbywa się dana rozmowa.

Zaprojektowanie bezpiecznego protokołu komunikacji szyfrowanej end-to-end jest samo w sobie bardzo trudne. Przy jego implementacji łatwo też popełnić drobne, ale brzemienne w skutkach błędy.

To jednak tylko część problemu: w jakiś sposób trzeba też przecież dać użytkownikom i użytkowniczkom narzędzia do blokowania potencjalnych złośliwych kont, botów, spamu. Sam operator ma tu małe pole manewru, nie ma wszak dostępu do treści komunikacji, a często nawet do informacji, kto się z kim komunikuje!

Nic więc dziwnego, że już na etapie konsultacji podnosiły się głosy (m.in. również EFF) ostrzegające, by nie wylewać dziecka z kąpielą. Nakładanie wymogu interoperacyjności na szyfrowane komunikatory oznacza wprowadzenie dodatkowej poważnej komplikacji do już i tak wyjątkowo skomplikowanego zagadnienia, i potencjalnie mogłoby osłabić bezpieczeństwo tych ważnych narzędzi oraz utrudnić ich dalszy rozwój.

Gra warta świeczki

Wygląda na to, że unijni prawodawcy wsłuchali się w głos ekspertek i ekspertów. Wdrożenie wymogu interoperacyjności komunikatorów podzielone jest na kilka odrębnych, rozłożonych w czasie kroków.

Najpierw dotyczyć będzie wiadomości głosowych oraz tekstowych, w tym z załącznikami, ale wyłącznie między pojedynczymi użytkownikami. Dwa lata później w rozmowach grupowych. Kolejne dwa lata później interoperacyjne mają być również rozmowy głosowe i wideo (również grupowe).

„Strażnicy dostępu” mają też obowiązek wdrożyć niezbędne zmiany bez obniżania obecnego poziomu bezpieczeństwa ich komunikatorów. Można chyba założyć, że ten zapis jest wynikiem doświadczeń ze „złośliwym” wdrażaniem RODO przez operatorów stron internetowych w taki sposób, by utrudnić życie odwiedzającym, jednocześnie próbując zrzucić winę za nie na regulacje.

DMA daje Komisji Europejskiej (która odpowiedzialna jest za egzekwowanie jego zapisów) możliwość przedłużenia terminów, w których wielcy usługodawcy muszą się zmieścić z implementacją jej postanowień. Oczywiście tylko w uzasadnionych przypadkach.

Warto też pamiętać, że wymóg interoperacyjności (jak i inne przepisy DMA) odnosi się wyłącznie do ogromnych firm technologicznych podpadających pod definicję „strażnika dostępu”.

Google, Apple, Facebook czy Microsoft nieustannie podkreślają swoją innowacyjność; mają też nieprzebrane wręcz zasoby, zarówno finansowe, jak i technologiczne. Czemu mielibyśmy wątpić w ich kompetencje, w możliwość skutecznego i bezpiecznego wdrożenia przez nie niezbędnych zmian?

Tym bardziej że zdecentralizowane, szyfrowane end-to-end komunikatory już istnieją. Na przykład Matrix, którego twórcy wprost odnieśli się do wymagań nakładanych przez DMA.

Ich wygoda i łatwość użycia pozostawiają niewątpliwie wiele do życzenia – niezależne, otwartoźródłowe projekty mają przecież znacznie mniejsze zasoby, trudniej im więc doszlifować interfejs użytkownika w stopniu, w jakim mogą to zrobić giganci technologiczni.

Ale dzięki DMA to właśnie giganci technologiczni, z ich szerokim doświadczeniem w zakresie użyteczności, będą zobowiązani stworzyć interoperacyjne narzędzia komunikacji.

„Interoperacyjność to ważne narzędzie służące promowaniu konkurencyjności i zapobieganiu blokowaniu przez monopolistów możliwości wprowadzania innowacji korzystnych dla użytkowników. Wiele platform jest strażnikami dostępu do większości naszych internetowych interakcji społecznych, gospodarczych i politycznych. Interoperacyjność daje użytkownikom większy wybór i większą kontrolę nad usługami i produktami, z jakich korzystają” – podkreśla EFF.

Cykl „SOBOTA PRAWDĘ CI POWIE” to propozycja OKO.press na pierwszy dzień weekendu. Znajdziecie tu fact-checkingi (z OKO-wym fałszometrem) zarówno z polityki polskiej, jak i ze świata, bo nie tylko u nas politycy i polityczki kłamią, kręcą, konfabulują. Cofniemy się też w przeszłość, bo kłamstwo towarzyszyło całym dziejom. Rozbrajamy mity i popularne złudzenia krążące po sieci i ludzkich umysłach. I piszemy o błędach poznawczych, które sprawiają, że jesteśmy bezbronni wobec kłamstw. Tylko czy naprawdę jesteśmy? Nad tym też się zastanowimy.