Unia reguluje Internet i skraca smycz cyberkorporacjom. Jak zmieni się nasza codzienność w sieci?

Przyjęty w styczniu przez Parlament Europejski akt o usługach cyfrowych (DSA — Digital Services Act) po niemal pół roku negocjowania jego ostatecznego brzmienia ponownie trafił pod głosowanie europarlamentarzystów. Regulacje przyjęte 5 lipca stosunkiem 539 głosów za do 54 przeciw już niedługo zaczną wchodzić w życie. Co zmieniło się przez pół roku w treści rozporządzenia — i jak zmieni on naszą internetową codzienność?

Za zamkniętymi drzwiami

Trwające przez ostatnie pół roku negocjacje trójstronne między Radą Unii Europejskiej, Komisją Europejską i Europarlamentem toczyły się za zamkniętymi drzwiami. Mimo apeli strony społecznej — w tym listu otwartego ponad 40 organizacji, w tym polskiej Fundacji Panoptykon — proces uzgadniania treści aktu odbywał się w sekrecie. NGO i inne podmioty musiały czekać cierpliwie na widowni na ujawnienie efektów rozmów. Tymczasem lobbyści pracujący dla gigantów branży nowych technologii bez większych problemów zaglądali za kulisy, suflując wręcz sugestie głównym aktorom.

Istotnym kontekstem dla przebiegu negocjacji okazała się też polityka wewnętrzna Francji. W okresie, w którym kraj ten przewodził Radzie Unii Europejskiej, szykował się także do wyborów prezydenckich i samorządowych. Dla prezydenta Macrona pokazanie przywództwa w obszarze regulacji nowych technologii było jednym z priorytetów. W czasie kampanii podkreślał sukcesy francuskich start-upów i wskazywał rozwój sektora technologicznego jako jedno ze swoich ważniejszych dokonań. Stworzenie przekonania skutecznego prowadzenia negocjacji nad ostatecznym brzmieniem DSA oraz siostrzanego aktu o rynkach cyfrowych (DMA, Digital Markets Act) dobrze wpisywało się w tę narrację. Co prawda na wizerunku Macrona – patrona technologicznego rozwoju Europy pojawiły się niedawno, za sprawą doniesień o jego nieetycznym zaangażowaniu w lobbing na rzecz Ubera, poważne rysy. Szczęśliwie jednak dla prezydenta, Uber Files ujawnione zostały już po wyborach.

Wpływ na debatę wokół DSA miał także inny kandydat na najwyższy urząd we Francji — Éric Zemmour. Na finiszu kampanii rozesłał antymuzułmańskie SMSy do dziesiątków tysięcy Francuzów zidentyfikowanych wcześniej przez mechanizmy śledzące jako osoby pochodzenia żydowskiego. Akcja ta spotkała się z powszechnym sprzeciwem społeczeństwa obywatelskiego, ale i adresatów wiadomości. Fundacja Panoptykon przygotowała w reakcji list otwarty do francuskiej prezydencji i pozostałych podmiotów uczestniczących w negocjacjach. Wezwała w nim do zawarcia w akcie zakazu tworzenia manipulujących elementów interfejsu (tzw. dark patterns) używanych m.in. do wyłudzania danych, jak i zakazania korzystania z danych wrażliwych do celów reklamowych.

Czy postulaty te zostały spełnione, a francuska prezydencja może odtrąbić zwycięstwo?

Punkt wyjścia

Zanim przejdziemy do omówienia końcowej wersji rozporządzenia, warto przypomnieć, co znalazło się w tekście przyjętym przez PE w styczniu. A były to przepisy rewolucyjne dla unijnego prawodawstwa, gdyż poprzedniczkę DSA — dyrektywę o handlu elektronicznym — uchwalono ponad dwie dekady temu. Od tego czasu internet, poddawany jedynie marginalnej kontroli, zmienił się na każdej niemal płaszczyźnie. Bilans zysków i strat płynących z tych przemian wychodzi zdecydowanie na korzyść tzw. pośredników internetowych. Dlatego też to te podmioty objęte zostały regulacjami aktu, aby chronić stronę poszkodowaną — użytkowniczki sieci.

Zakres tych regulacji zależy od rodzaju pośrednika. Najwęższy dotyczy tych podmiotów, które oferują najbardziej podstawowe usługi — na przykład zapewniają dostęp do sieci telekomunikacyjnej. Najszerszym zakresem obowiązków objęto z kolei „bardzo duże platformy internetowe”, a więc takie, z których usług w Unii korzysta miesięcznie średnio co najmniej 45 milionów aktywnych użytkowników. Skąd ta liczba? To 10 proc. wszystkich konsumentów w Unii Europejskiej.

Katalog zobowiązań zawarty w styczniowej wersji aktu był szeroki. Pytani przez nas o kluczowe regulacje eksperci wskazywali wówczas cztery:

• ograniczenia nałożone na reklamy śledzące, w tym zakaz wykorzystywania przez nie danych wrażliwych oraz danych dzieci;
• zapewnienie użytkownikom przez platformy wewnętrznego systemu rozpatrywania skarg oraz dostępu do niezależnych, pozasądowych mechanizmów odwoławczych;
• nakaz ujawnienia zasad działania systemów rekomendujących treści i umożliwienie modyfikacji ich działania;
• zakaz stosowania wspomnianych już dark patterns.

Jednocześnie eksperci zwracali uwagę na braki w nowych przepisach. Dotyczyły one przede wszystkim podejścia do algorytmów wykorzystywanych do rozprzestrzeniania treści — organiczne i opłacone — po portalach.

Użytkownicy nie będą mogli na przykład wybrać alternatywnych, niezależnych od platform algorytmów. (…) Ku naszemu rozczarowaniu, większość w Parlamencie Europejskim zagłosowała przeciwko tym rozwiązaniom. Uważam, że politykom zabrakło na tym polu odwagi i wyobraźni” — mówiła Karolina Iwańska, prawniczka związana niegdyś z Panoptykonem, a obecnie pracująca w European Center for Not-for-Profit Law Stitching.

Żegnamy (niektóre) reklamy

Pierwsze z wymienionych wcześniej regulacji — zakazy kierowania reklam śledzących do dzieci i wykorzystywanie w marketingu na portalach danych śledzących — były przedmiotem intensywnych negocjacji.

Kość niezgody stanowiło pytanie o siłę zakazów. Jak donosił portal Euractiv, część europarlamentarzystek złożyła propozycję, by domyślnie reklamy śledzące nie były wyświetlane użytkownikom. Pokazywane byłyby wyłącznie wtedy, gdy portal ma pewność, że ma do czynienia z osobą dorosłą. Spotkało się to jednak ze sprzeciwem i w głosowanej 5 lipca wersji aktu znalazł się przepis stosujący odwrotną logikę.

Podobne spory tyczyły się wyświetlania reklam użytkownikom na podstawie informacji o ich poglądach politycznych, stanie zdrowia czy wyznaniu. Przedstawiciele części państw zrzeszonych w Radzie Unii Europejskiej chcieli go osłabić, sugerując, by dać korzystającym z portali osobom możliwość dania „wyraźnej zgody” na tego rodzaju profilowanie. To rozwiązanie nie trafiło jednak do DSA. które w paragrafie 3 artykułu 24 zakazuje takich praktyk, posiłkując się definicją danych wrażliwych z RODO.

Spory między radykalniejszym w postulatach Parlamentem a bardziej zachowawczą Radą stanowiły w ogóle jeden z motywów przewodnich negocjacji ws. DSA. Europarlamentarzystka Róża Thun w rozmowie z Katarzyną Szymielewicz mówiła bez ogródek: „W Parlamencie Europejskim jest taki głębszy oddech — co jest dobre dla rozwoju całości, całej Unii. A w Radzie są partykularne interesy. Jakiś kraj ma jakąś wielką firmę u siebie, która płaci ogromne podatki, to oczywiście taki minister finansów nie chce, żeby ją za bardzo regulować”.

Tymczasem, jak pokazał choćby projekt „Algorytmy traumy” Fundacji Panoptykon, regulacje chroniące konsumentki, użytkowniczki portali przed żerowaniem na ich lękach czy słabościach są potrzebne na wczoraj. Bezpieczniki, które ma zainstalować Big Techowi DSA, mogą się jednak okazać zbyt słabe. Jak pokazują ujawnione przez Corporate Europe Observatory dokumenty ukazujące wysiłki lobbystów reprezentujących m. in. Google, Facebooka czy Spotify, głosowany 5 lipca tekst DSA jest raczej po myśli technologicznych gigantów.

Opierając się staraniom niektórych europarlamentarzystek, by w ogóle zakazać reklam śledzących, sugerowali oni, by skupić się na przykład na profilowaniu z użyciem danych wrażliwych. Sęk w tym, że to nie jedyny sposób, aby wyświetlić komuś reklamę powiązaną z jego poglądami czy religią. Cechy te można choćby wnioskować na podstawie analizy historii aktywności internetowej i oprzeć się na jej efektach, dostarczając reklamy. W kwestii tego, czy DSA zakazywać będzie takich praktyk, zdania są podzielone. Corporate Europe Observatory sugeruje, że nie, jednak orzecznictwo TSUE daje nadzieję na rozszerzenie zakresu ochrony.

To, czy zada cios samemu modelowi biznesowemu wielkich platform — ekstrakcji danych i sprzedaży wykorzystujących je reklam śledzących — pozostaje kwestią otwartą.

A nie jest przecież tak, że gigantów tych nie da się osłabić. Wprowadzenie przez Apple możliwości łatwej rezygnacji z bycia śledzonym przez zainstalowane na jego telefonach aplikacje kosztowało Metę 10 miliardów zysków z reklam. Jednocześnie ta funkcjonalność, choć pod wieloma względami pozytywna dla użytkowników, rodzi nowe problemy. Być może dałoby się ich uniknąć, gdyby większe możliwości ochrony przed reklamami zagwarantowały użytkownikom regulacje unijne, a nie arbitralne decyzje przedsiębiorstwa z Cupertino.

Co z cenzurą?

Ograniczanie wolności słowa to jeden z najczęściej stawianych wielkim platformom zarzutów. Choć skupianie się właśnie na nim może odwracać uwagę od poważniejszych problemów, to niewątpliwie mechanizmy moderacji, obecnie ustalane arbitralnie, stanowią kwestię wymagającą uregulowania.

Przegłosowany 5 lipca tekst DSA utrzymał większość postulatów zawartych w styczniowej wersji rozporządzenia. W artykule 17 nakłada na platformy nowe zobowiązania związane z działaniem ich wewnętrznych systemów rozpatrywania skarg.

Natomiast kolejny artykuł wprowadza możliwość pozasądowego rozstrzygania sporów. Zajmować tym miałyby się podmioty wskazane przez krajowego Koordynatora Usług Cyfrowych.

W Polsce te pozornie niekontrowersyjne przepisy budzą dyskusje ze względu na to, że podobną problematykę regulować ma przygotowywana przez Ministerstwo Sprawiedliwości ustawa o ochronie wolności słowa w internetowych serwisach społecznościowych. Już w styczniu wiele organizacji — NGO, ale i przedstawiciele biznesu — apelowało, by projekt ów porzucić. Zarzuty, jakie padały wobec niej na zorganizowanej przez Fundację Batorego debacie dotyczyły dublowania się części postulatów z tymi zawartymi w DSA (np. regulacji wewnętrznych postępowań platform, utworzenia pozasądowej ścieżki odwoławczej od decyzji), jak i błędów w samej ustawie, które mogą ją uczynić narzędziem w politycznej grze.

Szczególna krytyka spadła na pomysł utworzenia Rady Wolności Słowa. W teorii mogłaby być jednym z podmiotów zajmujących się rozstrzyganiem sporów, którego istnienie przewiduje DSA. Jak jednak podkreślała w debacie Dorota Głowacka z Panoptykonu, w praktyce ustawa nie gwarantuje Radzie cech niezbędnych, by wpasowała się w unijne kryteria: apolityczności i transparentności.

A mimo to Ministerstwo Sprawiedliwości nie ma zamiaru porzucać swojego projektu. Co więcej, pomysł uchwalenia równolegle z DSA „ustawy wolnościowej” wspiera Janusz Cieszyński, sekretarz stanu ds. cyfryzacji, który wdrażać będzie akt w Polsce. W podcaście Panoptykonu bronił pomysłów resortu Zbigniewa Ziobry i dopuszczał możliwość, że polska ustawa wejdzie w życie mimo wdrożenia przepisów unijnego rozporządzenia.

Jednocześnie jednak zaprzeczył, aby już teraz postanowione było, że Rada Wolności Słowa stanie się sądem arbitrażowym w rozumieniu DSA. To, kto otrzyma kompetencje do rozstrzygania sporów z Big Techem pozostaje sprawą otwartą — i kluczową dla skuteczności ochrony interesów korzystających z cyfrowych usług.

Czy uda się uzdrowić chory algorytm?

Jeśli chodzi o regulację algorytmów dostarczających treści w DSA, to w negocjacjach nie zostały one raczej osłabione — przede wszystkim dlatego, że nie było czego osłabiać. W czasie styczniowego głosowania poprawka gwarantująca użytkowniczkom platform możliwość wybrania zewnętrznych systemów rekomendujących została odrzucona, niestety także głosami polskich posłów i posłanek.

Obecne w akcie przepisy dotyczą przede wszystkim transparentności algorytmów.

Natomiast w artykule 29 DSA zobowiązuje te przedsiębiorstwa, które stosują systemy rekomendujące treści, by dały korzystającym z nim osobom dostęp do przynajmniej jednej alternatywy nieopartej na profilowaniu — a więc na przykład możliwość przeglądania treści w kolejności chronologicznej.

Efekty tej drugiej regulacji możemy już obserwować. Choć bardzo duże platformy i wyszukiwarki mają jeszcze trochę czasu, by dostosować się do nowych przepisów, Facebook z wyprzedzeniem podjął pierwsze kroki w tym kierunku. 21 lipca Mark Zuckerberg na swoim profilu ogłosił, że dodaje do Facebookowej aplikacji nową zakładkę o nazwie „Feeds”, gdzie treści wyświetlane będą w kolejności chronologicznej. Choć w poście Zucka nie ma słowa o DSA, to wprowadzenie wyczekiwanej od dawna funkcjonalności kilka tygodni po przegłosowaniu w PE aktu zobowiązującego do jej implementacji nie wydaje się przypadkowe.

Warto też zauważyć, że w rozwiązaniu zaproponowanym użytkownikom przez Facebooka widać słabość unijnych regulacji.

Groźne mechanizmy rozsiewania po portalu treści nieopłaconych pozostaną w zasadzie nienaruszone. W zasadzie jedynym orężem, który użytkownicy dostaną do obrony przed wyspecjalizowaną w dostarczaniu negatywnych emocji machiną, będą infografiki i dymki wyjaśniające podstawowe metody jej działania. Wiedza to być może potęga, ale wytrenowany na gigantycznych ilościach danych algorytm to jeszcze większa potęga.

W cieniu mrocznych schematów

Pozostaje jeszcze kwestia dark patterns. Zdaniem Fundacji Panoptykon, sytuacja wygląda niewesoło: „Największym zaskoczeniem okazał się dla nas osłabiony poprzez bardzo szerokie wyłączenie przepis zakazujący stosowania manipulacyjnych interfejsów (tzw. dark patterns). Wygląda na to, że w praktyce ten zakaz obejmie tylko nieuczciwe, manipulacyjne praktyki stosowane przez platformy internetowe wobec innych firm, a nie wobec konsumentów. Te ostatnie nadal będą regulowane przez RODO i UCPD — dyrektywę o nieuczciwych praktykach handlowych —, czyli starsze i mniej precyzyjne w tym zakresie regulacje prawne” — komentowała sprawę Dorota Głowacka, prawniczka Fundacji.

Podobną ocenę zmodyfikowanych w procesie negocjacji regulacji prezentowała w podcaście Euractiv Tanya O’Carroll, koordynatorka koalicji „People vs Big Tech”. Zwróciła w nim szczególną uwagę na (opisane także we wspominanym wcześniej liście Panoptykonu) zjawisko wyłudzania danych przez tzw. cookie banery — elementy interfejsu pytające o zgodę m.in. na uzyskiwanie dostępu do informacji przechowywanych w plikach cookies.

„Wygląda na to, że DSA nie posunie się do ukrócenia tej praktyki. Dlatego moim zdaniem tym istotniejsze jest, by kolejne regulacje, jak rozporządzenie ePrivacy, podjęły ten temat, by tchnąć w nie więcej życia. Obywatele unijni od dawna potrzebują tej ochrony” — podsumowała O’Carroll.

Mamy akt, czas ruszać do akcji

Na obecnym etapie rozważania na temat aktu o usługach cyfrowych to głównie przewidywania, wskazywanie mocnych i słabych punktów, ocenianie ryzyka. Na ewaluację wpływu DSA na życie codzienne w internecie przyjdzie czas. Kiedy? Na razie dokument czeka na formalne przyjęcie przez Radę. Akt wejdzie w życie 20 dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, a całość przepisów zacznie obowiązywać po upływie 15 miesięcy od tego momentu lub 1 stycznia 2024 — zależnie od tego, która data będzie późniejsza. Wcześniej jednak, bo już w przyszłym roku, zaczniemy odczuwać przepisy dotyczące wielkich platform. Stąd wynikać może choćby pośpiech Facebooka z wprowadzeniem chronologicznego wyświetlania treści.

Najbliższy rok będzie czasem pracy nie tylko dla wszystkich objętych aktem podmiotów oferujących usługi cyfrowe, lecz także polskich legislatorów. Krajowe ustawy muszą zostać dostosowane do treści DSA, aby bezpośrednie stosowanie aktu nie powodowało z nimi kolizji. Oprócz tego Polska będzie musiała powołać nowe instytucje — przede wszystkim koordynatora ds. usług cyfrowych. Ten z kolei będzie musiał certyfikować organy pozasądowego rozstrzygania sporów.

Pamiętając choćby dyskusje, które wywołał pomysł stworzenia Rady Wolności Słowa, można przewidywać, że wdrażanie w Polsce DSA wywoła wiele kontrowersji.

Dla przykładu, gdyby facebookowy ban dla Janusza Korwin-Mikkego wydarzył się już w trakcie obowiązywania przepisów rozporządzenia, polityk skorzystałby zapewne z unijnych przepisów (eurosceptycyzm nie przeszkadza mu w korzystaniu z dobrodziejstw Brukseli). Bez wątpienia organ zaangażowany w spór znalazłby się w centrum medialnej uwagi, zaś rozstrzygnięcie, jakiekolwiek by nie było, stałoby się przedmiotem ostrej krytyki. A przecież przypadek JKM to tylko jedna z wielu głośnych historii z moderacją w tle — takich spraw będzie dużo, dużo więcej. Dlatego tak ważne jest, by certyfikaty przyznawane były podmiotom spełniającym faktycznie określone w DSA wymogi bezstronności, niezależności, czy też wiedzy eksperckiej.

I wreszcie kwestia stosowania przepisów. DSA może okazać się regulacją zupełnie niegroźną dla Big Techu, jeśli jego przepisy nie będą odpowiednio egzekwowane. Ten problem obserwować możemy obecnie z RODO. W marcu tego roku organizacje zrzeszone w European Digital Rights wzywały w liście otwartym komisarza ds. sprawiedliwości oraz przewodniczącą Europejskiej Rady Ochrony Danych do intensywniejszego korzystania z możliwości, które daje rozporządzenie z 2018 roku.

„Przyjęcie RODO było jedynie pierwszym krokiem w kierunku zabezpieczenia prawa do prywatności i ochrony danych w UE. Aby prawa i wymogi zawarte w RODO zostały zapewniane i realizowane, organy ochrony danych i Europejska Rada Ochrony Danych muszą dysponować niezbędnymi zasobami do działania, a krajowe procedury egzekwowania przepisów muszą zostać zharmonizowane” — pisali sygnatariusze listu. Bez wątpienia przed DSA stoją podobne problemy. Mimo licznych słabości aktu, jego przyjęcie ma szansę wzmocnić obecnie skrajnie nierówną pozycję konsumentów cyfrowych usług względem ich dostarczycieli. Ale na zakończeniu negocjacji i przegłosowaniu rozporządzenia walka o nasze prawa się nie kończy.