Ujarzmianie Big Techów. Państwa UE wyznaczają im granice. Gdzie jesteśmy?

Na przestrzeni ostatnich kilku lat Unia Europejska przyjęła szereg dużych aktów prawnych dotyczących wielkich firm technologicznych; bodaj najważniejsze z nich to akt o usługach cyfrowych (DSA, ang. “Digital Services Act”) z 2022 r., akt o rynkach cyfrowych (DMA, “Digital Markets Act”) również z 2022 r., i regulujący tak zwaną sztuczną inteligencję AI Act z 2024 r.

Podobnie jak wcześniejsze akty prawne, jak dyrektywa ePrivacy (przyjęta w 2002 r., z późniejszymi zmianami) oraz RODO (przyjęte w 2016 r.), są one ważnymi regulacjami, które wpływać będą na nasze codzienne doświadczenie technologii przez długie lata. A prace nad kolejnymi już trwają.

Na wstępie zaznaczę, że dokonuję tu bardzo subiektywnego wyboru kilku dużych regulacji, które moim zdaniem są ważne z punktu widzenia zwykłych osób na co dzień korzystających z technologii. Cyfrowi giganci podlegają oczywiście pod całe unijne prawodawstwo, a przegląd wszystkich regulacji związanych z samym rynkiem cyfrowym to temat na książkę.

Pamiętajmy też, że Unia Europejska nie jest jedną spójną, centralnie zarządzaną instytucją. By projekt regulacji stał się prawem muszą się na to zgodzić, po długim procesie negocjacji i setkach zgłoszonych poprawek, Komisja Europejska, Parlament Europejski, i Rada Unii Europejskiej (składająca się z ministrów rządów państw członkowskich). To bardzo ważne w kontekście różnych uproszczonych narracji typu “Bruksela nam coś narzuca” czy “Unia Europejska chce czegoś zakazać”.

A nawet jeśli jakiś akt legislacyjny zostanie przyjęty, może zostać potem częściowo lub w całości anulowany przez Trybunał Sprawiedliwości Unii Europejskiej, jak niesławna dyrektywa retencyjna z 2006 r., która została w całości anulowana w 2014 r. jako naruszająca prawa podstawowe (w tym wypadku prawo do prywatności).

I wreszcie: unijne regulacje mają często bardzo długi okres karencji. RODO zostało przyjęte w 2016 r., ale zaczęło być bezpośrednio stosowane w krajach członkowskich dwa lata później. AI Act przyjęto w 2024 r., ale niektóre jego zapisy zaczną obowiązywać pewne podmioty dopiero z końcem 2030 r.

Mało tego, unijne regulacje muszą być czasem wdrożone do prawa krajowego państw członkowskich – może być więc tak, że technicznie rzecz biorąc przepisy unijne obowiązują, ale brak ich wdrożenia do prawa krajowego oznacza, że są częściowo nieskuteczne w tym kraju. Jak w przypadku zablokowanego wetem prezydenta Karola Nawrockiego wdrożenia DSA w Polsce.

Wczesne doświadczenia

Dyrektywa ePrivacy dotyczyła prawa do prywatności, wprowadziła obowiązek uzyskania zgody na ustawienie śledzących ciasteczek i przetwarzanie naszych danych, zabroniła wysyłania niezamówionych wiadomości marketingowych (w tym maili i SMS-ów).

Rozporządzenie o ochronie danych osobowych (RODO) zdefiniowało dane osobowe szeroko, jako wszelkie informacje pozwalające zidentyfikować konkretną osobę, ustaliło zamknięty katalog dozwolonych celów przetwarzania danych osobowych, określiło, że zgoda na przetwarzanie musi być udzielona świadomie i dobrowolnie.

Kapitaliści nadzoru odpowiedzieli „złośliwą zgodnością” (ang. malicious compliance) – irytującymi banerami ciasteczkowymi, a następnie „ceniącymi naszą prywatność” ekranami zgód, które celowo zaprojektowane były tak, by utrudniać odmowę wyrażenia zgody, lub wręcz to uniemożliwiały. Dopiero milionowe kary i długoletnie procesy doprowadziły do wymuszenia na operatorach (jak Google i Meta) tego, by odmowa zgody na przetwarzanie danych była równie łatwa, jak jej udzielenie.

Jednocześnie próżnia informacyjna (zwłaszcza wokół wdrożenia RODO) stworzyła pożywkę na przykład dla absurdalnego straszenia zakazem podpisywania zeszytów czy szafek w szkołach. Oczywiście było to na rękę firmom kupczącym naszymi danymi, pomagało budować narrację o rzekomo złych, niepotrzebnych, irytujących regulacjach.

Na to wszystko nałożyła się niefortunna decyzja, by zadanie egzekwowania RODO przekazać instytucjom krajów członkowskich. I żeby w kontekście każdej firmy zapisy RODO w kontekście całej Unii były egzekwowane przez instytucję w kraju członkowskim, w którym mieści się jej główny oddział.

Ze względów podatkowych wiele wielkich amerykańskich firm technologicznych – w tym Apple, Google oraz Meta (operator Facebooka i Instagrama) – uruchomiło biura w Irlandii. To przełożyło się na wpływ tych firm na irlandzką Komisję Ochrony Danych („Data Protection Commission”, DPC; odpowiednik polskiego Urzędu Ochrony Danych Osobowych), która jednocześnie – z racji ulokowania głównych biur wielkich firm technologicznych w tym kraju – odpowiada za egzekwowanie wobec nich RODO.

EU wyciąga wnioski

Europejscy prawodawcy wyciągnęli wnioski z tych doświadczeń. Kampania informacyjna dotycząca aktów DSA i DMA była znacznie bardziej widoczna i skuteczna. Odpowiedzialność za egzekwowanie nowych regulacji spoczywa wyłącznie (w przypadku DMA) lub w istotnym zakresie (DSA) na Komisji Europejskiej, a w przypadku AI Act na Europejskim Biurze ds. AI (ang. European AI Office).

Nazwane i zakazane w DSA (choć nie całkowicie, o tym później) zostało też korzystanie z tak zwanych „ciemnych wzorców”. Ciemne wzorce to interfejsy celowo zaprojektowane w taki sposób, by skłonić osoby z nich korzystające do zrobienia czegoś, na co mogą nie mieć faktycznie ochoty. Skomplikowany, bizantyjski ekran zgód, wymagający przeklikania się przez kilkaset odrębnych ustawień dotyczących każdego „partnera” by odrzucić zgodę na przetwarzanie naszych danych, jest świetnym przykładem – możemy nie mieć ochoty naszych danych udostępniać, ale możemy też nie nieć czasu i cierpliwości na takie ćwiczenie.

I jeszcze jedna bardzo ważna różnica. RODO i dyrektywa ePrivacy w zasadzie nie rozróżniały podmiotów małych i dużych. To pozwoliło wielkim graczom (jak Google czy Meta) powoływać się na interesy tysięcy małych firm w swoich działaniach lobbystycznych dotyczących tych regulacji, i ignorowało ich ogromny wpływ na rynek usług cyfrowych.

W przypadku nowych regulacji unijni prawodawcy wzięli to pod uwagę. Akt o usługach cyfrowych definiuje „bardzo duże platformy internetowe” (tak zwane VLOPy, od angielskiego very large online platforms) oraz bardzo duże wyszukiwarki internetowe (VLOSE, very large online search engines). Zmiany na liście VLOPów/VLOSE'ów odbywają się w trybie decyzji Komisji Europejskiej. Obecnie lista zawiera dziewięć firm, w tym Booking, Google, Meta, Amazon i Apple.

Akt nakłada na nie dodatkowe obowiązki – jak na przykład udostępnianie informacji o serwowanych reklamach w publicznym repozytorium. Pełna lista zmian, które ta nowa regulacja wprowadza w kontekście usług cyfrowych (ogólnie, i szczególnie w odniesieniu do wielkich graczy) to temat na cały oddzielny artykuł. Na szczęście Fundacja Panoptykon właśnie opublikowała wyczerpujący przewodnik po DSA.

Z kolei akt o rynkach cyfrowych dotyczy wyłącznie tak zwanych strażników dostępu (ang. gatekeepers). Polska wersja tego terminu jest nieco myląca – nie chodzi o podmioty w jakiś sposób dbające o taki dostęp. Wręcz przeciwnie: mowa o usługodawcach, którzy dzięki swojej uprzywilejowanej pozycji na danym rynku (na przykład sieci społecznościowych w przypadku Facebooka, czy sklepów z aplikacjami w przypadku Google i Apple) mają realną możliwość blokowania dostępu do tego rynku innym firmom i organizacjom.

Jak pisałem niedawno w OKO.press, rynek oprogramowania (i usług o nie opartych) jest wyjątkowo podatny na monopolizację. Wielkie firmy to świetnie wykorzystują. Celem DMA jest temu przeciwdziałanie.

Podobnie jak w przypadku VLOP-ów i VLOSE-ów w DSA, zmian na liście strażników dostępu w kontekście DMA dokonuje Komisja Europejska. Obecnie lista zawiera siedem firm: Alphabet (właściciel Google), Amazon, Apple, Booking, ByteDance (operator TikToka), Meta i Microsoft.

Rozbijanie monopoli

Choć okrzepli, okopani w swoich monopolach giganci technologiczni uwielbiają budować obraz regulacji jako coś, co tylko w biznesie przeszkadza, dobrze skrojone regulacje tworzą przestrzeń dla rozwoju przedsiębiorczości.

„Plausible Analytics nie mogłoby istnieć bez RODO” — mówił mi kilka lat temu Marko Saric, współzałożyciel Plausible Analytics: europejskiego, szanującego prywatność konkurenta Google Analytics. — „Zbudowaliśmy nasz produkt z myślą o RODO. RODO otworzyło nowe drzwi dla przyjaznych prywatności alternatyw do produktów Google, Facebooka, i innych graczy kapitalizmu nadzoru.”

Dziś firma ma kilkanaście tysięcy klientów.

O ile jednak RODO stymuluje rynek usług przyjaznych prywatności w pewnym sensie przypadkiem – nie to jest wszak celem tej regulacji – o tyle akt o rynkach cyfrowych na tym się skupia.

Co to oznacza w praktyce? Na przykład to, że Apple będzie musiało umożliwić innym producentom urządzeń (choćby smartwatchy) pełną interoperacyjność ze swoimi produktami. Do niedawna tylko smartwatche Apple miały dostęp do pewnych funkcji po połączeniu ze smartfonami z jabłuszkiem.

Albo to, że firma Meta zmuszona została zmuszona do umożliwienia komunikatorom innych firm interoperacyjności z Messengerem i WhatsAppem, zachowując przy tym szyfrowanie z końca do końca. Jak to będzie wyglądać w praktyce czas pokaże. Można się spodziewać, że Meta utrudniać będzie tę interoperacyjność na każdym kroku; na przykład obecnie wymaga podpisania umowy o poufności przez podmioty, które chcą stworzyć interoperacyjne usługi, co może wykluczać rozwiązania otwartoźródłowe.

A mimo to pojawiły się już pierwsze dwa europejskie komunikatory kompatybilne z WhatsAppem. Oferują inny interfejs i inne funkcjonalności, niż WhatsApp, odpowiadając na potrzeby osób, które być może właśnie takiego interfejsu i takich funkcjonalności potrzebują.

WhatsApp nie byłby zainteresowany zmianą interfejsu, a z kolei mały nowy komunikator miałby trudne zadanie zdobyć popularność od zera. Dzięki wymuszeniu interoperacyjności na bazie DMA taki komunikator może od razu pozwalać na kontakt z milionami osób korzystających. Regulacja rodzi innowacje.

Efekt brukselski

To wszystko ma ogromne znaczenie, bo Unia Europejska – i szerzej: Europejski Obszar Gospodarczy, do którego wchodzą też Islandia, Lichtenstein oraz Norwegia, nie będące członkami UE – jest wystarczająco dużym rynkiem i podmiotem geopolitycznym, by jej decyzje legislacyjne i regulacyjne miały wpływ również poza jej granicami.

Wynika to na przykład z tego, że dla pewnych podmiotów łatwiej jest zmodyfikować swoją usługę dla wszystkich osób korzystających na całym świecie, niż utrzymywać odrębne wersje interfejsów i oprogramowania dla osób z różnych rejonów świata.

Unia Europejska często jest też po prostu pierwsza jeśli chodzi o nowy, potrzebny rodzaj regulacji. Tak było choćby z RODO, które narzuciło ton regulacjom dotyczącym prywatności i przetwarzania danych osobowych – wzorował się na nim amerykański stan Kalifornia przy swoich pracach nad tamtejszym odpowiednikiem, CCPA (ang. California Consumer Privacy Act, kalifornijska ustawa o prywatności konsumentów).

I podobnie jest z AI Act. To na tyle nowatorska regulacja, że już na etapie prac nad nią szefowie wielkich firm zajmujących się tak zwaną sztuczną inteligencją przypuścili istny szturm lobbystyczny. Zdawali sobie sprawę, że decyzje regulacyjne UE będą miały realny wpływ na ich globalny biznes.

Niewykorzystane szanse

Trudno na razie mówić o pozytywnych efektach AI Act, bo większość jego zapisów zaczyna obowiązywać dopiero od bieżącego roku, a w przypadku niektórych podmiotów dopiero z końcem 2030 r.

Już teraz jednak wiadomo, że wspomniana ofensywa lobbingowa OpenAI i innych gigantów tak zwanej sztucznej inteligencji niestety przyniosła efekty: przede wszystkim wyjęto ich wielkie modele z sensownej skądinąd podstawowej logiki Aktu, czyli kategoryzacji opartej o ocenę ryzyka konkretnych narzędzi, i zamiast tego wrzucono je w specjalną kategorię modeli ogólnych. A przecież coraz lepiej rozumiemy, jak niebezpieczne są te ogólne modele.

Choć akt o usługach cyfrowych teoretycznie zakazuje ciemnych wzorców, to robi to nieskutecznie – wyłączone zostały z niego przypadki podpadające pod regulacje konsumenckie lub pod RODO. To oznacza, że usługodawca może próbować twierdzić, że dany przypadek użycia ciemnego wzorca nie podpada pod DSA, bo jest regulowany np. dyrektywą o nieuczciwych praktykach handlowych, a ta nie zakazuje jednoznacznie danego ciemnego wzorca. Takie argumenty są już podnoszone w sądach, i osłabiają ten zakaz. Co z tym zrobią sądy – czas pokaże.

Trzeba tu też wspomnieć o Kontroli Czatów: promowanym od lat pomyśle, by usługodawcy (również ci oferujący usługi szyfrowane z końca do końca) mieli obowiązek wyszukiwania w naszej komunikacji treści przedstawiających seksualne wykorzystywanie dzieci. Czemu to jest wyjątkowo zły pomysł, czemu nie może działać, i czemu jest szkodliwy również dla samych dzieci, w tym doświadczających groomingu w sieci, pisałem w OKO.press wielokrotnie.

Parlament Europejski zagłosował niedawno za tym, by słabsza wersja Kontroli Czatów – opierająca się na dobrowolnym skanowaniu naszej komunikacji przez usługodawców – odeszła wreszcie do lamusa. To oczywiście świetna wiadomość! Czemu więc wspominam o tym jako o straconej szansie?

Dlatego, że unijne instytucje zmarnowały na procedowanie tego szkodliwego pomysłu całe lata. Można było ten czas i te zasoby – oraz czas i zasoby niezliczonych osób i organizacji, które od początku głośno mówiły, że Kontrola Czatów jest szkodliwa, niebezpieczna, i nieskuteczna – zamiast tego poświecić na podjęcie działań, które faktycznie miałyby realny, pozytywny wpływ na nasze cyfrowe środowisko, w tym na bezpieczeństwo dzieci (w Internecie i poza nim).

Przyszłość

Straconą szansą było też nieobjęcie wielkich sieci społecznościowych obowiązkiem interoperacyjności w akcie o rynkach cyfrowych. To się jednak może zmienić po przeglądzie aktu – procesie, który ma się zakończyć 3 maja tego roku, i który wymaga ustalenia przez Komisję Europejską między innymi właśnie tego, czy wielkie społecznościówki powinny pod te wymogi podpadać.

Konsultacje społeczne związane z tym przeglądem już się zakończyły. Piłka po stronie Komisji. Niewykluczone jednak, że za parę lat (młyny regulacji mielą powoli) będziemy w stanie komunikować się ze znajomymi na Facebooku nie mając na nim konta – tak, jak możemy zadzwonić do znajomych korzystających z usług jednego operatora mobilnego, mimo, że sami mamy numer u innego.

Komisja Europejska pracuje też nad tak zwanym Cyfrowym Omnibusem. Omnibusy, w kontekście europejskiego prawodawstwa, są narzędziem szybkiego wprowadzania niewielkich korekt istniejących regulacji. Oficjalnym celem tego konkretnego Omnibusa ma być uproszczenie regulacji i ułatwienie prowadzenia cyfrowego biznesu w Unii Europejskiej.

Jak pisałem w listopadzie, wiążą się z tym pewne szanse – być może na przykład irytujące ekrany zgód zastąpione zostaną standardowym systemem preferencji dotyczących prywatności w przeglądarce, które ustawialibyśmy raz, a operatorzy stron internetowych mieliby obowiązek się do nich dostosować.

Wiążą się też z Cyfrowym Omnibusem poważne zagrożenia: wygląda na to, że Komisja Europejska chce za jego pomocą osłabić ochronę danych, na przykład w odniesieniu do danych wrażliwych w kontekście AI. Giganci technologiczni mogliby uzyskać możliwość trenowania swoich modeli uczenia maszynowego na naszych danych bez naszej wcześniejszej zgody. Mogliby też te dane za pomocą tych modeli przetwarzać – mimo że przetwarzanie ich za pomocą innych narzędzi analitycznych nadal wymagałoby uprzedniej zgody.

Obecny kształt propozycji Komisji Europejskiej rozmywa również definicję danych osobowych (a więc utrudniałby skuteczne egzekwowanie ich ochrony).

Digital Fairness Act

Jednocześnie trwają wstępne prace na Digital Fairness Act (DFA; dosłownie: Akt o cyfrowej uczciwości). Opierając się na dostępnych informacjach można mieć nadzieję, że między innymi w pełni zakazałby ciemnych wzorców i projektowania usług w taki sposób, by były uzależniające.

Możliwe też, że zajmie się kwestią wprowadzania dużych zmian w cyfrowych usługach bez ówczesnej zgody osób z nich korzystających, dając im jedynie możliwość wypisania się (ang. opt-out) po fakcie. To notoryczny problem w usługach Big Techów, ostatnio zwłaszcza w kontekście wciskanych wszędzie na siłę generatorów tak zwanego slopu.

„To będzie regulacja horyzontalna, konsumencka. Wykracza daleko poza platformy i ma szansę zmienić paradygmat w ochronie konsumentów – z założenia, że są racjonalni i poinformowani, przejdziemy za założenie, że są podatni, zmanipulowani i potrzebują ochrony” – pisze mi w mailu Katarzyna Szymielewicz, prezeska Fundacji Panoptykon. Promuje ona pomysł wprowadzenia (na przykład w ramach DFA) wymagania, by wielkie platformy umożliwiały osobom korzystającym z ich usług wybór alternatywnych algorytmów rekomendacji.

W pewnym istotnym sensie DFA to kontynuacja ewolucji w unijnym podejściu do regulowania wielkich firm technologicznych, która zaszła między RODO a DSA i DMA. Ewolucji, która polega na coraz bardziej klarownym rozpoznaniu, jak wielką władzę nad nami i naszym doświadczeniem technologii ma kilka ogromnych, skorych do celowej manipulacji i brudnych zagrywek molochów technologicznych.

Oraz na coraz bardziej jednoznacznym przyznaniu, że sedno problemu jest głębiej, niż na poziomie samych wrogich osobom korzystającym z ich usług praktyk – mianowicie, że są nim same modele biznesowe i pozycja rynkowa tych firm.