Społeczeństwo nadzorowane. W poszukiwaniu prywatności, bezpieczeństwa i wolności w świecie pernamentnej inwigilacji ebook

Tytuł oryginału: Dragnet nation: a quest for privacy,

security and freedom in a world of relentless surveillance

First published in 2014 by Times Books Henry Holt and Company, LLC

Copyright 2014 by Julia Angwin. All rights reserved

Wydanie polskie:

© 2017 Kurhaus Publishing Kurhaus Media sp. z o.o. sp.k.

Prawa do przekładu polskiego:

© 2017 Kurhaus Publishing Kurhaus Media sp. z o.o. sp.k.

Wszelkie prawa zastrzeżone. Żaden z fragmentów książki nie może być przedrukowywany bez zgody wydawcy.

Przekład: Dominik Jednorowski, Paulina Jagielska

Redakcja i korekta: Kurhaus Publishing

Skład i łamanie: Anna Dąbrowska

Projekt okładki: Bart Biały

Wydanie elektroniczne 2017

ISBN: 978-83-65301-33-8

EAN: 9788365301338

Dostarczamy wiedzę

www.kurhauspublishing.com

Kurhaus Publishing Kurhaus Media sp. z o.o. sp. k.

Dział handlowy:

[email protected], tel. +48 601803503

ul. Cynamonowa 3, 02-777 Warszawa

Konwersja publikacji do wersji elektronicznej

„W  świecie, w którym niemal wszystko jest monitorowane, łatwo jest poczuć się bezradnym, gdy chodzi o prywatność. Kiedy mówię napotkanym osobom, że piszę o prywatności, często ich natychmiastową reakcją jest: «Ja już się poddałem. Prywatność umarła». Czy da się żyć w nowoczesnym świecie i jednocześnie wymknąć się spod nadzoru sieci? Czy w jakimś sensie nie pogodziłam się już z wszechobecną inwigilacją, wymieniając moje dane na darmowe usługi albo większe bezpieczeństwo?”. To pytanie, stawiane przez Julię Angwin, autorkę książki Społeczeństwo nadzorowane staje się jednym z kluczowych problemów współczesności. Od tego, jak na nie odpowiemy, zależy bowiem sposób naszego funkcjonowania w społeczeństwie epoki internetu, rozwiązań chmurowych, e-zakupów czy sieci społecznościowych. Czy pełne wykorzystanie dostępnych rozwiązań technologicznych, niewątpliwie ułatwiających życie i kontakty międzyludzkie, oznacza jednocześnie rezygnację z prywatności? Gdzie leży granica pomiędzy tym, co możemy ujawniać w sieci, a tym, co jednak należy zachować dla siebie?

Hasło „cyberbezpieczeństwo” jeszcze nie do końca kojarzy się nam z życiem osobistym, choć powinno. Ale też i w komunikowaniu wiedzy o związanych z nim zagrożeniach, większą wagę przywiązuje się do odbiorców biznesowych niż indywidualnych. Tymczasem „sieć”, czyli rozliczne bazy danych, gromadzące – za naszą zgodą lub bez niej – informacje o tym, co robimy, czym się interesujemy, dokąd jeździmy, co lubimy najbardziej, wie o nas znacznie więcej, niż przypuszczamy. Prawdopodobnie nawet zna nas lepiej niż my znamy samych siebie, bo człowiek o wielu rzeczach potrafi szybko zapomnieć, gdy tymczasem cyfrowy zapis trwa aż do jego usunięcia, a nawet dłużej. Większości z nas zresztą specjalnie nie interesuje, co dzieje się z informacjami zbieranymi przez Facebook, Google, Amazon, Twitter, sklepy internetowe, wszelkiego rodzaju systemy rezerwacyjne itd. Nie zdajemy sobie także sprawy, jak dokładne i precyzyjne portrety można na ich podstawie sporządzić i jak wiele o nas mówią.

Tak naprawdę to jednak tylko część problemu. Ta, na którą mamy pewien wpływ, bo zgodnie z europejskim prawem możemy sprawdzać w bazach danych, jakie informacje o nas są przechowywane, weryfikować je, poprawiać lub żądać ich usunięcia. Coraz trudniej je zidentyfikować, bo często bez świadomości tego, co to oznacza, zgadzamy się na udostępnianie tych informacji podmiotom trzecim dla celów marketingowych czy informacyjnych, a handel bazami danych to dziś coraz bardziej intratna dziedzina biznesu. Nie mamy natomiast wpływu na to, w jaki sposób naszą aktywność monitorują władze, a przede wszystkim różne rządowe agencje, które – wykorzystując m.in. rosnące zagrożenie terrorystyczne – w wielu krajach otrzymały prawo do głębokiej inwigilacji obywateli: sprawdzania, o czym piszą w e-mailach, o czym rozmawiają przez telefony komórkowe czy komunikatory i jak się przemieszczają (co łatwo zweryfikować za pomocą danych GPS z komórki czy samochodowej nawigacji).

Skalę usankcjonowanego przez władze USA procederu szpiegowania obywateli pokazał czarno na białym Edward Snowden, były pracownik Centralnej Agencji Wywiadowczej (CIA) i współpracownik Agencji Bezpieczeństwa Krajowego (NSA). 17 czerwca 2013 roku brytyjski dziennik „The Guardian” opublikował przekazane przez niego informacje, z których wynikało, że służby wywiadowcze Stanów Zjednoczonych inwigilowały polityków biorących udział w szczycie G20 w 2009 roku, monitorując ich komputery i telefony. Snowden ujawnił także dokumenty, które potwierdzały, że rząd Stanów Zjednoczonych masowo śledzi swych obywateli m.in. za pomocą programu PRISM, umożliwiającego podsłuchiwanie rozmów Amerykanów i obywateli innych krajów, prowadzonych poprzez telefony VoIP i internet. Według Snowdena PRISM pozwalał NSA nie tylko na przeglądanie poczty elektronicznej, dostęp do czatów i wideoczatów, ale też na czerpanie informacji z serwisów społecznościowych. W program zostały zaangażowane globalne firmy związane z internetem i komunikacją, m.in. Microsoft, Google, Yahoo!, Facebook, YouTube, AOL czy Apple. Podobnym systemem do inwigilacji, o nazwie Tempora, dysponowały – według Snowdena – służby brytyjskie. Obrońcy rządowego „podglądania” powołują się przede wszystkim na kwestie bezpieczeństwa narodowego, jednak skala operacji, na które pozwalają dzisiejsze technologie, zaskoczyła chyba wielu.

Jeszcze innym, narastającym w bardzo szybkim tempie, problemem jest działalność hakerów i nasilające się ataki – zarówno na komputery prywatne, jak i te należące do korporacji. Według szacunków firm zajmujących się cyberbezpieczeństwem, średnia liczba ataków hakerskich (o różnej skali, służących wszelkim celom), dokonywanych na świecie każdego dnia, wynosi ok. 26 tysięcy. Przewiduje się, że – także w Polsce – będzie wciąż rosła. Sprzyja temu proliferacja narzędzi hakerskich, w tym również tych wykorzystywanych przez służby specjalne – ujawnionych między innymi przez grupę Shadow Brokers. O skali zagrożenia można się było przekonać w czerwcu 2017 roku, kiedy z pomocą złośliwego oprogramowania typu ransomware o nazwie WannaCry, Petya (notPetya) zaatakowano m.in. systemy komputerowe na Ukrainie, w Danii, Rosji, Wielkiej Brytanii, Indiach, USA i Holandii. Ukraina była jednym z krajów, które ucierpiały najbardziej – celem były m.in. system bankowy i telekomunikacyjny, rządowe sieci komputerowe, najważniejsze lotniska w kraju, ciepłownie, elektrownie oraz metro w Kijowie i sieci supermarketów. Zagrożenie nie ominęło także Polski. Coraz większym problemem staje się bezpieczeństwo systemów przemysłowych, jeszcze do niedawna odciętych od zewnętrznych wpływów, a obecnie, dzięki rozpowszechniającemu się ich „usieciowieniu”, coraz bardziej podatnych na takie ataki. A przecież w perspektywie mamy jeszcze autonomizację transportu, która także będzie oparta na protokołach sieciowych, czy internet rzeczy. Hakerzy jednak nie zagrażają wyłącznie firmom – ich celem stają się także nasze prywatne komputery i smartfony, w których można znaleźć wiele wrażliwych danych (m.in. kody do bankowości internetowej, hasła do portali społecznościowych czy skrzynek mailowych) albo wykorzystać je, jako zasoby do przechowywania danych czy moc obliczeniową do kopania kryptowalut.

Obywatele i przedsiębiorstwa znajdują się dziś nie tylko w centrum zainteresowania tzw. dragnetów państwowych (elektroniczne bazy danych dozoru amerykańskich obywateli, rozwijane w ramach projektu Dragnet, o którym po raz pierwszy poinformowano w 2005 roku, a więcej informacji o nim ujawnił dopiero w 2013 roku Edward Snowden). Wirtualną aktywność wnikliwie śledzą także podmioty komercyjne, organy ścigania i cyberprzestępcy. Kierunki rozwoju gospodarczego i społecznego wyraźnie wskazują, że usieciowienie będzie postępować. Internet jest siecią globalną, integrującą wiele elementów, wśród których są rozliczne bazy danych. Będzie ich zresztą zespalać coraz więcej. Obserwować będziemy także intensyfikację zjawiska migracji najważniejszych danych i procesów do chmur rozliczeniowych oraz wzrost znaczenia analityki wielkich zbiorów danych (Big Data). Odpowiednie wykorzystanie tych ostatnich pozwala scalać rozproszone zasoby i tworzyć nie tylko innowacyjne strategie biznesowe, oparte na analizie danych, ale też generować niezwykle precyzyjne profile klientów.

Trudno zatem nie zgodzić się z tezą, którą stawia Julia Angwin – w dobie internetu niemożliwe jest zachowanie takiej prywatności, jaką znaliśmy wcześniej. Z tym musimy się pogodzić, chyba że postanowimy całkowicie odciąć się od zdobyczy nowoczesnych technologii. Nie znaczy to, że prowadząc wirtualną aktywność jesteśmy całkowicie bezbronni. W tym kontekście książka Społeczeństwo nadzorowane jest dobrym punktem wyjścia do dyskusji i refleksji nad współczesnym modelem prywatności. Pokazuje bowiem, co należy wiedzieć i w jaki sposób myśleć o swoim życiu w sieci, aby uchronić się od groźnych skutków ataków cyfrowych oraz problemów wynikających z braku frasobliwości. Choć od jej światowej premiery minęły trzy lata, a to w rozwijającej się błyskawicznie cyfrowej rzeczywistości czas równy co najmniej dekadzie, to jednak proponowane przez autorkę procedury związane chociażby z przeprowadzaniem własnego, prywatnego „audytu sieciowego bezpieczeństwa” i weryfikacją mocnych i słabych stron naszych wirtualnych tożsamości, są uniwersalne i aktualne.

Podstawą bezpieczeństwa w sieci, a zatem i zachowania choć części prywatności, jest bowiem realna świadomość możliwych zagrożeń. Odnosi się to zarówno do korporacji, jak i osób prywatnych. Tym, co czyni z nas łatwy łup w internecie, jest niefrasobliwość i brak wiedzy. Wciąż bez zastanowienia wchodzimy na zainfekowane strony, podszywające się pod prawdziwe serwisy, nie sprawdzając ich certyfikatów bezpieczeństwa, otwieramy załączniki z maili od nieznanych adresatów, z lenistwa nie instalujemy aktualizacji oprogramowania, nie zmieniamy haseł i nie weryfikujemy ich siły. Słowem, nie zachowujemy elementarnej czujności, przejawiając ufność dzieci – niestety, kiedy ignorujemy zagrożenie albo nie chcemy go dostrzec, ono nie znika. Staje się jeszcze bardziej niebezpieczne.

Niewątpliwie w coraz to nowszych sieciowych rozwiązaniach kusi nas oferowana przez nie wygoda. Technologie, na przykład technologie na rynku finansowym, umożliwiają nam wygodne płacenie kartą zbliżeniową, zaciąganie przez internet pożyczek w formule peer-to-peer (P2P), rezerwowanie aut, zamawianie taksówek itd. Jednak niefrasobliwe wykorzystanie tych rozwiązań naraża nas na utratę istotnych, wrażliwych danych. Ponownie wracamy więc do kwestii świadomości zagrożeń i wdrażania odpowiednich procedur, zarówno w życiu prywatnym, jak i w biznesie.

Zaczynają nas w tym wspomagać także rozwiązania prawne. Europejskie instytucje pracują dziś nad przepisami regulującymi zasady przetwarzania danych osobowych w kontekście nowych technologii – a także nad regulacyjnymi standardami technicznymi (np. projekt RTS czyli standardów silnego uwierzytelniania na potrzeby dyrektywy PSD2 itd.). W maju 2018 roku zacznie obowiązywać RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. Jednym z ważnym elementów, z punktu widzenia osób występujących w bazach danych administrowanych przez podmioty gospodarcze, będzie „prawo do bycia zapomnianym”, czyli do usunięcia z tych baz informacji o sobie, np. po zakończeniu korzystania z danej usługi (po rezygnacji z abonamentu u operatora telewizji kablowej czy sieci komórkowej). Firmy będą także zobligowane do każdorazowego zgłaszania naruszeń danych osobowych, np. w wyniku ataku hakerskiego, do Generalnego Inspektora Ochrony Danych Osobowych. Obecnie o wielu takich incydentach nawet nie wiemy. Wdrażana jest także dyrektywa NIS (Network and Information Systems Directive) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. Polska zmierza w kierunku budowy jednolitego systemu ochrony cyberprzestrzeni. Ma on być podparty stosowną ustawą a także wykorzystywać dotychczas istniejące cywilne komponenty, takie jak funkcjonujący w ramach NASK zespół Cert Polska, zespół Cert.Gov.pl ABW, sektorowe komórki CERT i Abuse czy komórki cyberbezpieczeństwa sfery wojskowej, jak również integrować nowe elementy systemu, jak np. Narodowe Centrum Cyberbezpieczeństwa lub Biuro do Walki z Cyberprzestępczością Komendy Głównej Policji. Nowe narzędzia, wraz z rosnącą świadomością użytkowników sieci, powinny podnieść bezpieczeństwo naszej wirtualnej egzystencji.

Książka ta jest ważna także dla Deloitte, bowiem wpisuje się doskonale w wartości, które staramy się przekazywać naszym Partnerom i Klientom: bezpieczeństwo, świadomość i czujność wobec zagrożenia, a także odporność na ataki. Zdajemy sobie sprawę, że konsekwencją zmieniającego się otoczenia biznesowego w skali globalnej jest rosnące zagrożenie cyberatakami. Podobnie jak obywatele korzystający z sieci, także firmy muszą się odpowiednio zabezpieczyć, aby ograniczyć ryzyko i móc w pełni wykorzystywać nowe możliwości.

Zapraszamy do lektury i do refleksji nad bezpieczeństwem cyfrowym. Warto poświęcić tym tematom dłuższą chwilę, bowiem, jak pisze autorka, „właśnie prywatność i bezpieczeństwo często umykają uwadze, gdy żyje się w ciągłym pośpiechu”.

Jakub Bojanowski

Partner, Dział Konsultingu,

Deloitte Polska

Marcin Ludwiszewski

Dyrektor, Lider ds. cyberbezpieczeństwa,

Deloitte Polska

A  was, kto obserwuje? Dawniej to pytanie zadawali wyłącznie królowie, prezydenci i osoby publiczne, próbując umknąć paparazzim czy unieszkodliwić przestępców, usiłujących obejść prawo. Reszta z nas nie musiała się specjalnie martwić tym, że może zostać objęta obserwacją.

Dziś owo niepokojące pytanie – „kto obserwuje?” – odnosi się do wszystkich i nie musi być wcale związane z czyjąś sławą albo przestępczą działalnością. Każdy z nas może być obserwowany niemal w każdej chwili – czy to przez samochód Google Street View, robiący właśnie zdjęcie naszego domu, czy przez reklamodawcę, który obserwuje nas w trakcie przeglądania stron internetowych, czy też przez amerykańską Agencję Bezpieczeństwa Krajowego (National Security Agency, NSA) rejestrującą nasze połączenia telefoniczne.

Sieci dragnet[*1] zbierające informacje dosłownie o wszystkich, którzy znajdą się w ich zasięgu, kiedyś były rzadkością; policja musiała organizować blokady dróg, a sieci handlowe instalować kamery i obserwować obraz. Jednak rozwój technologii dał początek nowej erze superpotężnych programów nadzoru, które potrafią gromadzić olbrzymie ilości danych osobowych bez udziału człowieka. Owe dragnety rozszerzają swój zasięg na coraz bardziej prywatne obszary naszego życia.

Przyjrzyjmy się relacji Sharon Gill i Bilala Ahmeda, bliskich przyjaciół, którzy poznali się w prywatnej sieci społecznościowej PatientLikeMe.com.

Trudno o dwie bardziej różniące się od siebie osoby. Sharon to czterdziestodwuletnia samotna matka mieszkająca w małym miasteczku na południu stanu Arkansas[1]. Próbuje wiązać koniec z końcem, wyszukując okazje na wyprzedażach garażowych i odsprzedając zakupione towary na pchlim targu. Bilal Ahmed, samotny trzydziestosześciolatek, absolwent Uniwersytetu Rutgersa, mieszka w penthousie w australijskim Sydney[2]. Prowadzi sieć sklepów z produktami pierwszej potrzeby.

Choć nie mieli szansy poznać się osobiście, zaprzyjaźnili się na forum internetowym pacjentów zmagających się z problemami psychicznymi, wymagającym logowania przy użyciu hasła. Sharon próbowała właśnie odstawić leki antydepresyjne. Bilal natomiast stracił matkę – cierpiał na zaburzenie lękowe i depresję.

Łącząc się z dwóch krańców świata, wspierali się nawzajem w trudnych chwilach. Sharon postanowiła otworzyć się przed Bilalem, bo czuła, że nie jest w stanie zaufać bliskim krewnym czy sąsiadom. „Mieszkam w małym mieście. Nie chciałam, by myślano o mnie przez pryzmat choroby psychicznej”, wyznała mi[3].

Jednakże w 2010 roku Sharon i Bilal odkryli z przerażeniem, że w tej właśnie prywatnej sieci społecznościowej ktoś ich śledził.

Wszystko zaczęło się od włamania. 7 maja 2010 roku portal PatientsLikeMe odnotował nietypową aktywność na forum o nastrojach, na którym spotykali się zwykle Sharon i Bilal[4]. Nowy członek portalu, wykorzystując do tego zaawansowane oprogramowanie, próbował ściągać [ang. scrape] lub skopiować dosłownie każdą wiadomość umieszczoną na prywatnych forach „Nastrój” oraz „Stwardnienie rozsiane”, należących do PatientsLikeMe.

Portalowi udało się zablokować i zidentyfikować włamywacza: była to spółka Nielsen Company, zajmująca się badaniem mediów. Dla swych klientów, a są wśród nich wielcy producenci leków, Nielsen zajmuje się monitorowaniem tego, co „grzeje” w internetowej sieci. 18 maja administratorzy PatientsLikeMe przesłali do Nielsena list z żądaniem zaprzestania naruszania praw użytkowników, a samych użytkowników poinformowali o fakcie włamania. (Nielsen później wyjaśniał, że więcej już nie włamywał się na prywatne fora. „Uznaliśmy, że praktyki te są dla nas nieakceptowalne”, miał powiedzieć Dave Hudson, szef zaangażowanej w sprawę jednostki Nielsena).

Nastąpił jednak zwrot akcji. PatientsLikeMe wykorzystał tę okazję, by poinformować swych członków, że mogli nie zauważyć, iż wcześniej zaakceptowali zasady korzystania z portalu, przedstawione im drobnym drukiem. Okazało się, że serwis sprzedawał dane o członkach społeczności firmom farmaceutycznym i innym podmiotom[5].

Wiadomość okazała się podwójnym ciosem dla Sharon i Bilala. Podglądał ich nie tylko włamywacz. Robili to także administratorzy platformy, którą każde z nich uważało za bezpieczną. To tak jakby ktoś sfilmował spotkanie anonimowych alkoholików, a organizacja AA przestraszyła się, że to nagranie zagrozi ich biznesowi polegającemu na nagrywaniu spotkań i sprzedawaniu taśm. „Poczułem, że naruszono wszystkie moje prawa”, tłumaczył Bilal[6].

Co gorsza, właściwie żadne z tych działań nie było nielegalne. Nielsen poruszał się w prawnej szarej strefie i nawet jeśli naruszał swymi działaniami warunki korzystania z serwisu PatientsLikeMe, to niekoniecznie można było wyegzekwować ich przestrzeganie na drodze prawej[7]. A już całkowicie legalne było poinformowanie użytkowników PatientsLikeMe drobnym drukiem, że portal zamierza zgarnąć wszystkie dane o członkach serwisu i sprzedać je na rynku.

To właśnie tragiczny rys na „prywatności” w erze cyfrowej. Prywatność często jest definiowana jako wolność od podejmowanych przeciwko nam prób nieautoryzowanego dostępu[8]. Jednak wiele incydentów, które zdają się być naruszeniami prywatności, zostaje „autoryzowanych” w wyniku akceptacji formułek napisanych drobnym drukiem.

Zarazem na wiele sposobów sprzeciwiamy się tym autoryzowanym naruszeniom. Nawet jeśli bowiem firmy mają prawo zbierać dane o zdrowiu psychicznym ludzi, to czy jest to społecznie akceptowalne[9]?

Podglądanie rozmów Sharon i Bilala znalazłoby społeczną akceptację, gdyby byli oni dealerami narkotyków, a objęcie ich nadzorem miało podstawę w decyzji sądu. Ale czy zasysanie ich konwersacji do wielkiego dragnetu, który monitoruje poziom „grzania” [ang. buzz] w internecie, można uznać za społecznie akceptowalne?

Sieci, które masowo zbierają dane osobowe tego rodzaju plasują się dokładnie w szarej strefie – pomiędzy tym, co legalne, a tym, co społecznie akceptowalne.

Żyjemy w społeczeństwie nadzorowanym [ang. dragnet nation] – w świecie masowego śledzenia, w którym instytucje gromadzą dane o jednostkach w niespotykanym dotąd tempie[10]. Za nasilanie się tego zjawiska odpowiadają te same siły, które dały nam naszą ukochaną technologię – potężne moce obliczeniowe komputerów osobistych, laptopów, tabletów i smartfonów.

Dopóki komputery nie były dobrym powszechnym, śledzenie jednostek było drogie i skomplikowane. Rządy zbierały dane wyłącznie przy takich okazjach jak narodziny, zawarcie związku małżeńskiego, nabycie własności nieruchomości czy śmierć. Firmy pozyskiwały dane tylko wtedy, gdy klient, zakupiwszy ich produkt, wypełnił kartę gwarancyjną lub przyłączył się do programu lojalnościowego. Tymczasem technologia sprawiła, że generowanie wszelkiego rodzaju informacji o nas, na każdym etapie naszego życia, stało się dla instytucji tanie i łatwe.

Zastanówmy się nad kilkoma faktami, które to umożliwiły. Począwszy od lat 70. moc obliczeniowa komputerów ulegała podwojeniu co około dwa lata, a urządzenia, które początkowo obejmowały swą wielkością obszar pokoju, zaczęły mieścić się w naszych kieszeniach[11]. Koszt magazynowania danych spadł z 18,95 dol. za 1 gigabajt w 2005 roku do 1,68 dol. w 2012 roku. W nadchodzących latach przewiduje się dalszy spadek, do wartości poniżej 1 dolara[12].

To właśnie połączenie potężnej mocy obliczeniowej oraz rozwoju technologii umożliwiających miniaturyzację urządzeń i tanie przechowywanie danych, pozwoliło śledzić nasze dane. Nie wszyscy, którzy nas obserwują, są włamywaczami, takimi jak Nielsen. Do śledzących można też zaliczyć instytucje, które uważamy za sprzymierzeńców, takie jak rząd czy firmy, z którymi robimy interesy.

Oczywiście, największe dragnety to te zarządzane przez rząd USA. Jak wynika z dokumentów ujawnionych w 2013 roku przez Edwarda Snowdena[*2], byłego współpracownika amerykańskiej NSA, agencja zbiera nie tylko olbrzymie ilości danych o komunikacji międzynarodowej[13], ale również te o połączeniach telefonicznych Amerykanów i ich ruchu w internecie.

NSA nie jest bynajmniej jedyną (choć być może jest najbardziej wydajna) instytucją zarządzającą[14] dragnetami. Rządy krajów na całym świecie – od Afganistanu po Zimbabwe – skwapliwie korzystają z technologii nadzoru[15], począwszy od sprzętu do masowego przechwytywania danych[16] [ang. massive intercept] po narzędzia, które pozwalają im zdalnie przejmować telefony i komputery ludzi. W Stanach Zjednoczonych technologie nadzoru – od dronów po automatyczne czytniki tablic rejestracyjnych[17] – wykorzystują nawet lokalne i stanowe władze[18]. Dzięki nim wiedzą o przemieszczaniu się ich mieszkańców więcej niż kiedykolwiek w historii. Także lokalna policja coraz częściej śledzi ludzi z wykorzystaniem sygnałów nadawanych przez ich telefony komórkowe.

W międzyczasie dosłownie kwitną dragnety wykorzystywane dla celów komercyjnych. Sieci AT&T oraz Verizon sprzedają informacje o lokalizacji abonentów[19], choć nie wskazują przy tym ich imion i nazwisk. Właściciele centrów handlowych zaczęli wykorzystywać technologię do śledzenia klientów[20] w trakcie zakupów – w oparciu o sygnały nadawane przez znajdujące się w ich kieszeniach telefony. Markety spożywcze, takie jak Whole Foods, zaczęły wykorzystywać znaki cyfrowe[21] będące w istocie skanerami twarzy. Niektórzy sprzedawcy samochodów korzystają z usług[22], które świadczy m.in. Dataium – jeśli dysponują adresem e-mail swojego klienta, mogą dowiedzieć się, jakie modele aut wyszukiwał w internecie, zanim pojawił się w ich salonie.

Dosłownie setki reklamodawców i brokerów danych obserwuje was, gdy poruszacie się w sieci. Kiedy wyszukujecie hasło: „cukier we krwi”, firmy które tworzą profile klienta na podstawie informacji związanych ze stanem zdrowia, mogą przypisać was do kategorii: „cukrzyk”, a następnie umożliwić dostęp do tej informacji producentom leków oraz ubezpieczycielom. Poszukiwanie biustonosza może wyzwolić niekończącą się wojnę ofert[23] pomiędzy firmami bieliźniarskimi na jednym z wielu portali aukcyjnych.

Tymczasem jeszcze nowsze technologie śledzenia czają się tuż za rogiem: firmy implementują funkcje rozpoznawania twarzy[24] do telefonów i aparatów fotograficznych, w pojazdach zagnieżdża się lokalizatory[25], a w mieszkania wbudowuje bezprzewodowe „inteligentne” liczniki zużycia[26] energii. Do tego jeszcze firma Google rozwinęła technologię Google Glass[27] – na którą składają się maleńkie aparaty wmontowane w okulary, umożliwiające robienie zdjęć i kręcenie filmików bez konieczności ruszenia palcem.

Ludzie niefrasobliwi mówią: „Co właściwie jest takiego złego w tym całym zbieraniu danych przez niewidocznych obserwatorów? Czy komuś dzieje się coś złego?”.

Trzeba przyznać, że zobrazowanie osobistej krzywdy będącej wynikiem naruszenia ochrony danych może nastręczać problemów. Jeśli Sharon lub Bilal nie dostaną oferty pracy albo ubezpieczenia, mogą nigdy nie dowiedzieć się, która część tych danych za to odpowiada. Ludzie znajdujący się na liście „zakazu latania” [ang. no-fly list][*3] nie są informowani, na jakiej podstawie podjęto decyzję, by ich tam umieścić.

Ogólna odpowiedź na pytania niedowiarków jest prosta: tych cennych zasobów, jakimi są dane osobowe, można nadużywać. I będzie się ich nadużywać.

Przyjrzyjmy się jednemu z najstarszych i, jak by się wydawało, najmniej szkodliwych dragnetów: chodzi o biuro statystyczne USA (U.S. Census). Poufność danych osobowych[28] gromadzonych przez urząd jest gwarantowana prawem, a mimo tego raz za razem dochodzi do naruszeń. Podczas I wojny światowej[29] dane te wykorzystywano do lokalizowania sprawców naruszeń przepisów[30]. W trakcie II wojny światowej[31] urząd statystyczny dostarczał Tajnej Służbie Stanów Zjednoczonych (Secret Service) nazwiska i adresy japońsko-amerykańskich rezydentów. Informacje były wykorzystywane do zatrzymywania rezydentów japońskich i umieszczania ich w obozach odosobnienia. Urząd statystyczny USA oficjalnie przeprosił za to dopiero w 2000 roku. Natomiast w latach 2002–2003 biuro dostarczało[32] Departamentowi Bezpieczeństwa Krajowego informacji statystycznych o Amerykanach arabskiego pochodzenia. Dopiero po serii negatywnych artykułów prasowych[33] Census zrewidował swoją politykę i od urzędów chcących pozyskać informacje wrażliwe, takie jak rasa, pochodzenie etniczne, religia, przekonania polityczne czy orientacja seksualna obywateli, zaczął wymagać zgody najwyższych organów państwowych.

Oczywiście nie tylko Stany Zjednoczone[34] dokonują gwałtu na danych dotyczących ludności. Australia wykorzystywała spisy ludności, by wymusić migrację mieszkańców aborygeńskiego pochodzenia[35] na przełomie XIX i XX wieku. W Południowej Afryce spis powszechny był kluczowym instrumentem w opartym na apartheidzie systemie segregacji rasowej[36]. Podczas ludobójstwa w Rwandzie w 1994 roku[37], ofiary Tutsi były namierzane dzięki dowodom tożsamości, które wskazywały ich pochodzenie etniczne. W czasach Holokaustu[38] – we Francji, Polsce, Holandii, Norwegii i w Niemczech – naziści wykorzystywali takie dane do lokalizowania Żydów przeznaczonych do eksterminacji.

Dane osobowe narusza się często z powodów politycznych. Jednym z niesławnych przypadków[39] był program Federalnego Biura Śledczego (Federal Bureau of Investigation, FBI) z późnych lat 60., zwany COINTELPRO[*4]. Ówczesny dyrektor FBI, J. Edgar Hoover, zapoczątkował program, by szpiegować „wywrotowców”, a pozyskane informacje wykorzystywać do dyskredytowania ich i zniechęcania do działania. FBI posunęła się nawet do przesłania Martinowi Lutherowi Kingowi Jr. nagrań z obserwacji pokoi hotelowych, w których się zatrzymywał, chcąc doprowadzić do jego rozstania z żoną. Były one opatrzone notatką, którą King odczytał jako próbę nakłonienia go do popełnienia samobójstwa[*5].

Także cyberprzestępcy wpadli na to, że wykorzystywanie danych osobowych jest najlepszą metodą łamania zabezpieczeń różnych instytucji. Przypomnijcie sobie, jak chińscy hakerzy przeniknęli do sieci pioniera zaawansowanych zabezpieczeń[40], amerykańskiej spółki RSA. Hakerzy strollowali najpierw sieci społecznościowe, by pozyskać informacje na temat poszczególnych pracowników firmy. Następnie wysłali kilkorgu z nich maile zatytułowane: „Plan rekrutacyjny na 2011 rok”. Mail był tak dobrze podrobiony, że jeden z pracowników przywrócił go z folderu ze spamem i otworzył. Plik, który się wówczas załadował, przeprowadził na jego komputerze instalację złośliwego oprogramowania. Stąd już łatwo było atakującym przejąć zdalnie kontrolę nad wieloma urządzeniami tej organizacji.

Krótko mówiąc: hakowano ludzi, nie instytucje.

Hakowaniem ludzi trudnią się nie tylko cyberprzestępcy. Handlowcy śledzą nas, gdy surfujemy w sieci, w nadziei na uzyskanie informacji, które pozwolą im „zhakować” nas do zakupu ich produktu. NSA zbiera dane dotyczące naszych połączeń telefonicznych, by opracować wzorce, które – jak wierzą jej szefowie – pozwolą władzom „zhakować” numery należące do terrorystów.

Oto jak możecie zostać „zhakowani”:

To nie jest wyczerpująca lista, raczej mała próbka tego, co dziś dzieje się w otaczającej nas rzeczywistości. Gdy spojrzymy na nią za jakiś czas, prawdopodobnie będziemy się śmiać – myśląc o wszystkich tych rzeczach, których na niej nie uwzględniłam.

naglowek_podrozdzial_jasny

Wasze nazwiska, adresy i informacje o was – także lokalizacja waszych telefonów komórkowych w danym czasie – są gromadzone w różnych bazach danych, do których nie macie wglądu i nad którymi nie macie kontroli. Oczywiście waszym prześladowcom i konkurentom regularnie udaje się włamywać do tych baz.

W 1999 roku obłąkaniec nazwiskiem Liam Youens[41] wykupił u brokera danych o nazwie Docusearch możliwość wyszukania numeru ubezpieczenia, informacji o zatrudnieniu i adresu domowego kobiety, na punkcie której miał obsesję – Amy Boyer. Kilka dni później Youens pojechał do niej do pracy i zastrzelił ją, gdy wychodziła do domu. Następnie zastrzelił samego siebie.

Rodzina Boyer pozwała brokera danych, jednak Sąd Najwyższy stanu New Hampshire podtrzymał stanowisko sądu niższej instancji, że choć na brokerze danych spoczywał obowiązek „wykazywania uzasadnionej troski o bezpieczeństwo danych”, to jednak informacje takie jak adres miejsca wykonywania pracy nie mogą być uznane za prywatne, ponieważ „dają się bez problemu zaobserwować członkom społeczeństwa”.

Rodzice Boyer dostali niewiele: w 2004 roku, po wielu latach batalii prawnych[42] toczonych przeciwko Docusearch, zawarli w końcu ugodę opiewającą na 85 tys. dolarów. Firma Docusearch wciąż jest obecna na rynku[43] i na swej stronie internetowej reklamuje usługi „odwrotnego wyszukiwania numerów telefonów”, „wyszukiwania po tablicach rejestracyjnych” czy „wyszukiwania numeru ubezpieczenia społecznego po nazwisku” oraz „wyszukiwania ukrytych rachunków bankowych”.

Od tego czasu cena po której w sieci można kupić czyjś adres[44] spadła z ok. 200 dolarów, które zapłacił Youens, do zaledwie 95 centów. Dziś za tę kwotę można uzyskać pełen raport dotyczący danej osoby[45]. Cyberprześladowania upowszechniły się tak bardzo, że rzadko urastają dziś do rangi newsów.

Zastanówmy się nad pewnym przykładem. W 2010 roku[46] w wiceszeryf hrabstwa Sacramento, Chu Vue, został uznany winnym morderstwa po tym jak jego bracia zastrzelili Steve’a Lo – mężczyznę, który miał romans z żoną Vue. W trakcie procesu wyszło na jaw, że Vue wyszukiwał nazwiska Lo w bazach policyjnych[47], pytał kolegów o numery tablic jego auta[48] i szukał adresu Lo za pomocą internetowej książki telefonicznej[49]. Vue został skazany na karę dożywotniego więzienia, bez możliwości zwolnienia warunkowego[50].

Nawet z najbardziej niewinnych danych – takich jak informacje o podróży lotniczej – można zrobić użytek. W 2007 roku pracownik amerykańskiego Departamentu Handlu, Benjamin Robinson, został oskarżony o 163 naruszenia[51] rządowej bazy danych o rezerwacjach lotów międzynarodowych. Po rozstaniu z partnerką[52] dostał się do pliku zawierającego informacje o niej, jej mężu oraz synku. Na poczcie głosowej kobiety nagrał wiadomość, w której zapowiedział, że ma zamiar przejrzeć te pliki, by „sprawdzić, czy czegoś przed nim nie ukrywała”. Zasugerował, że może sprawić, by została deportowana. W 2009 roku przyznał się do pozyskiwania informacji z zabezpieczonego komputera. Skazano go na trzy lata nadzoru sądowego.

Jesteśmy coraz bliżej czasów, w których śledzenie w czasie rzeczywistym będzie czymś zwyczajnym. Stany Zjednoczone już dziś wbudowują do paszportów technologię RFID[53] [ang. radio-frequency identification], która wykorzystuje fale radiowe do wysyłania danych na nieduże odległości[54]. Szkoły i pracodawcy wtapiają te czipy do identyfikatorów. W 2013 roku sąd federalny w Teksasie[55] nie uznał sprzeciwu uczennicy technikum wobec narzuconego przez szkołę obowiązku noszenia legitymacji z czipami RFID. Niektórzy pracodawcy zaczęli eksperymentować z pomysłami implantowania takich mikroprocesorów pod skórę pracowników – co zmusiło stan Kalifornia do wprowadzenia zakazu takich praktyk[56].

Namierzanie telefonów komórkowych jest dziś codziennością[57] w pracy policji. W 2011 roku wraz z moim kolegą z „Wall Street Journal” Scottem Thurmem wysłaliśmy do dwudziestu największych stanowych i lokalnych wydziałów policji zapytanie w tej sprawie, w trybie dostępu do informacji publicznej. Osiem urzędów przekazało nam co najmniej streszczenia danych statystycznych[58], z których wynikało, że każdego roku stanowe i lokalne agencje namierzają w czasie rzeczywistym tysiące telefonów komórkowych. Gregg Rossman, prokurator w hrabstwie Broward na Florydzie mówi, że to dziś coś tak oczywistego[59], jak „szukanie odcisków palców lub pobieranie próbek DNA”.

W sposób nieunikniony, telekomy zaczęły sprzedawać dane o lokalizacji telefonów komórkowych znacznie szerszemu gronu odbiorców niż organy ścigania. W 2013 roku spółka Verizon poinformowała o swoim nowym produkcie[60], nazwanym Precision Market Insight, który pozwala właścicielom firm namierzać telefony komórkowe ich klientów w określonych lokalizacjach.

Jako jedna z pierwszych z usługi Verizonu skorzystała drużyna koszykarska Phoenix Suns, która chciała dowiedzieć się, gdzie żyją jej fani. Wiceprzewodniczący klubu Scott Horowitz wyjaśniał: „To są te informacje, które każdy zawsze chciał posiadać, a których pozyskanie jeszcze do niedawna było niemożliwe”.

W 2009 roku piętnastoletni uczeń szkoły średniej, Blake Robbins[61], został oskarżony przez wicedyrektor placówki o „nieprawidłowe zachowanie w domu”. Kobieta twierdziła, że ma na to dowody. Okazało się, że Harriton Hight School – szkoła, do której uczęszczał chłopak, zlokalizowana w dzielnicy pełnej placówek oświatowych na zamożnych przedmieściach Filadelfii – zainstalowała szpiegowskie oprogramowanie w komputerach Apple MacBook, które rozdała dwóm tysiącom trzystu swych uczniów. Na wybranych laptopach szkolni informatycy zainstalowali oprogramowanie, które mogło robić zdjęcia za pomocą kamerki wbudowanej w sprzęt, a także kopiować widok ekranu komputera.

Kamera w komputerze Blake’a uchwyciła go, trzymającego coś przypominającego kształtem tabletkę. Blake i jego rodzina twierdzili, że to cukierki marki Mike and Ike[62]. Wicedyrektorka uważała, że to narkotyki.

Rodzina Blake’a pozwała dzielnicę za naruszenie prywatności ich syna. Szkoła poinformowała, że oprogramowanie zostało zainstalowane na komputerach po to, by w przypadku kradzieży informatycy mogli namierzyć sprzęt. Instytucja nie powiadomiła[63] jednak uczniów o istnieniu tego oprogramowania, a także nie stworzyła wytycznych dla informatyków, określających sposób wykorzystywania kamer.

W toku prowadzonego postępowania wyjaśniającego[64] okazało się, że kamery zostały uruchomione na ponad czterdziestu laptopach i przechwyciły ponad sześćdziesiąt pięć tysięcy zdjęć. Niektórzy uczniowie zostali sfotografowani tysiące razy[65], także w sytuacjach, gdy byli częściowo rozebrani lub podczas snu. Były uczeń, Joshua Levin[66], powiedział, że doznał „szoku, upokorzenia oraz silnego urazu emocjonalnego”, gdy zobaczył przeszło osiem tysięcy zdjęć i zrzutów z ekranu, wykonanych na jego laptopie. Levin, Robbins i jeszcze jeden uczeń pozwali szkołę[67] i zawarli z nią sądową ugodę, uzyskując finansowe zadośćuczynienie. Rada szkoły zakazała dalszego wykorzystywania kamer do nadzoru uczniów[68].

Przyzwyczailiśmy się do tego, że kamery monitoringu są wszędzie. Szacuje się, że na samym tylko Dolnym Manhattanie[69] działa przeszło cztery tysiące takich jednostek. Londyn słynie z przeszło pięciuset tysięcy kamer monitoringu[70].

Ale gdy kamery stają się coraz mniejsze i zaczynają wędrować do naszych domów i najbardziej nawet intymnych przestrzeni, zmieniają nasze rozumienie tego, co publiczne, a co prywatne. Ceny wyposażonych w kamerki dronów spadły tak bardzo, że obiekty te stały się naszym utrapieniem. Pewna kobieta mieszkająca w Seattle, już w maju 2013 roku skarżyła się na to na lokalnym blogu[71]. Jakiś nieznajomy „skierował drona wprost nad mój ogródek, a następnie obleciał nim cały dom. Dzień był bardzo ciepły i początkowo myślałam, że głośny dźwięk, który ten sprzęt wydawał, pochodził z jakiejś kosiarki do trawy”. Mąż kobiety zwrócił uwagę człowiekowi sterującemu dronem, a ten oświadczył, że ma prawo korzystać z urządzenia, które, co więcej, wyposażone jest w kamery. „Jesteśmy bardzo zaniepokojeni tym faktem. Przecież mógł to być przestępca, który planuje włamanie do naszego domu albo podglądacz”.

Te fantastyczne technologie źli ludzie wykorzystują oczywiście do konfigurowania swoich własnych dragnetów. W 2013 roku dziennikarz Nate Anderson opisywał pewną społeczność hakerów, która sprzedaje porady i techniki instalowania oprogramowania szpiegującego w kamerkach internetowych komputerów należących do kobiet[72]. „Działają w sieci w sposób zupełnie otwarty, dzieląc się wiedzą o najskuteczniejszych metodach podglądania”, pisał. „W większości przypadków nazywanie tych gości hakerami jest krzywdzące dla hakerów. Do tego, co jest istotą ich działalności, wystarczą minimalne umiejętności techniczne”.

W 2011 roku Luis Mijangos z Santa Ana został skazany[73] za hakowanie oraz nielegalne przejęcie kontroli nad kamerkami internetowymi w ponad setce komputerów, którym zainstalował złośliwe oprogramowanie. Między innymi przechwycił obrazy z kamery nastolatki, przedstawiające ją nago. Mężczyzna wykorzystywał takie zdjęcia do wyłudzania kolejnych rozbieranych zdjęć swych ofiar. W trakcie odczytywania wyroku, sędzia stwierdził, że „praktycznie nie różniło się to od regularnych działań polegających na zastraszaniu ofiar”. Mijangos został skazany na sześć lat więzienia.

Kamery dragnetów o olbrzymim zasięgu czają się tuż za rogiem. Pojawianie się wyposażonych w kamery urządzeń ubieralnych, takich jak Google Glass, oznacza, że filmować będzie można dosłownie wszystko. Nick Bilton, publicysta dziennika „The New York Times”, był zaskoczony, gdy podczas konferencji Google’a zauważył, że uczestnicy mają na sobie kamerki Google Glass nawet w toalecie[74].

Entuzjaści Google Glass twierdzą, że aparaty na ich głowach dosłownie zmieniają ich życie. Po dwóch tygodniach korzystania z nich, bloger Rober Scoble pisał: „Od dziś nie wyobrażam sobie już ani dnia tez tego sprzętu (albo podobnego produktu, pochodzącego od konkurencji)[75]”. „Niektórych strasznie to wkurza”, przyznał. Dodał jednak: „To dlatego, że są zupełnie nowe. Gdy wejdą na rynek, głosy sprzeciwu znikną”.

Bobbi Duncan, dwudziestodwuletnia lesbijka studiująca na Uniwersytecie Teksasu w Austin, chciała utrzymać swoją orientację seksualną w tajemnicy przed rodziną[76]. Jednak nieumyślnie ujawnił ją Facebook, gdy przewodniczący działającego w kampusie studenckim Chóru Queer dodał Bobbi do grupy dyskusyjnej członków chóru. Bobbi nie wiedziała, że przyjaciel może dodać ją do jakiejś grupy, nie zapytawszy jej wcześniej o zgodę, oraz że gdy już zostanie dodana do jakiejś grupy, Facebook poinformuje o tym wszystkich jej znajomych, włączając w to ojca.

Dwa dni po otrzymaniu powiadomienia, że Bobbi dołączyła do Chóru Queer, jej ojciec napisał na wallu organizacji: „Piszę do was wszystkich, cioty. Wracajcie do waszych nor i czekajcie na Boga. Czeka was piekło, zboczeńcy. Bawcie się dobrze, śpiewając tam”.

Rzecznik prasowy Facebooka, Andrew Noyes, poinformowany o sprawie, stwierdził, iż to „nieszczęśliwe doświadczenie uświadamia nam, że musimy kontynuować prace nad wzmacnianiem i edukowaniem użytkowników z zakresu solidnej kontroli prywatności”. Swoją postawą dał do zrozumienia, że wina leży po stronie ofiary, która w nieprawidłowy sposób skonfigurowała na swym Facebooku powiadomienia i zabezpieczenia. Nie było jednak ani powiadomienia, ani zabezpieczenia, które zapobiegłoby umieszczeniu Bobbi w danej grupie bez jej zgody.

„Uważam, że wina leży po stronie Facebooka”, mówi Bobbi. „Nie powinno być tak, że ktoś za mnie decyduje o tym, co ludzie będą o mnie wiedzieć”.

Gdy przemiatanych [ang. sweep] jest coraz więcej danych osobowych znajdujących się w różnych bazach, coraz trudniej jest utrzymać jakąkolwiek tajemnicę – nawet specjalistom. Doskonałym przykładem jest historia Davida Petraeusa[77], dyrektora Centralnej Agencji Wywiadowczej (Central Intelligence Agency, CIA), który zrezygnował z funkcji po tym jak w ramach dochodzenia prowadzonego w pewnej niezwiązanej z nim sprawie, odkryto e-maile, wskazujące, że miał romans. W 2012 roku były analityk CIA John Kiriakou został zidentyfikowany[78] jako przekazujący informacje niejawne, częściowo w oparciu o dowody w postaci e-maili. Przyznał się do winy[79] i został skazany na trzydzieści miesięcy pozbawienia wolności.

Dziś trudno jest utrzymać nawet drobne sekrety. Ludzie, którzy pobierają z sieci filmy pornograficzne stali się celem tzw. copyright trolli[80]. Podmioty te masowo pozywają użytkowników portali umożliwiających wymienianie się plikami, którzy ściągnęli takie filmy na swe komputery, sugerując, że chcą chronić właścicieli praw autorskich do tych utworów. W ten sposób pozyskują informacje o tożsamości użytkowników, a następnie wysyłają im wezwania do polubownego załatwienia sprawy poprzez uiszczenie danej kwoty, licząc na to, że zawstydzona ofiara przyjmie ofertę.

W lipcu 2012 roku Sąd Apelacyjny USA dla Piątego Okręgu wymierzył karę[81] jednemu z takich powodów, adwokatowi reprezentującemu producenta filmów dla dorosłych, który pozwał na podstawie adresów IP sześciuset siedemdziesięciu użytkowników portali oferujących taką rozrywkę i próbował pozyskać ich tożsamości bez zgody sądu. Sąd opisał naruszenie, którego dokonał ów adwokat jako „uprawianie procederu pozywania anonimowych użytkowników internetu za rzekome nielegalne pobieranie pornografii, przy wielokrotnie podejmowanych próbach wykorzystania instytucji sądu do ustalania ich tożsamości, a następnie zawstydzenia ich i zastraszania, celem wymuszenia ugód wartości dziesiątków tysięcy dolarów”[82].

W maju 2013 roku sędzia z Kalifornii poszedł jeszcze dalej[83], ogłaszając, że trolle copyrightu wykorzystywali „serię nieaktualnych przepisów dotyczących praw autorskich, zjawisko społecznej stygmatyzacji i strach przed niebotycznymi kosztami obrony sądowej” do „łupienia obywateli”.

Jaleesa Suell została odebrana matce[84] i umieszczona w rodzinie zastępczej, gdy miała osiem lat. W sumie, do opuszczenia systemu pieczy zastępczej, przebywała w siedmiu takich rodzinach. Gdy ukończyła dwadzieścia jeden lat i zrobiła dyplom na Uniwersytecie Jerzego Waszyngtona, złożyła wniosek o wydanie karty kredytowej. Dowiedziała się wówczas, że członek rodziny skradł jej tożsamość, założył na jej nazwisko kartę, zaciągnął dług i nie spłacił go.

Bez możliwości pozyskania kredytu, Jaleesa nie mogła kupić auta i bała się, że nie będzie jej stać po ukończeniu studiów na mieszkanie. Tak mówiła o tym uczestnikom szkoleń poświęconych kradzieży tożsamości w 2011 roku: „Często ogarniał mnie strach, że następnego dnia nie będę miała gdzie mieszkać albo co jeść. Odkąd się usamodzielniłam, starałam się pracować ciężko na to, by coś takiego nigdy nie powtórzyło się w moim życiu. Tymczasem znalazłam się we właśnie takiej sytuacji – z tego prostego powodu, że nie mam dostępu do linii kredytowej”.

Niestety, to dzieci z rodzin zastępczych, takie jak Jaleesa, najczęściej stają się ofiarami przestępstwa kradzieży tożsamości. Osobiście wolę nazywać to „podszywaniem się”[85] [ang. impersonation], bo przecież tak naprawdę nikt nie może ukraść wam tożsamości. Jaleesa jest wciąż sobą. Ktoś po prostu podszył się pod nią, by uzyskać finansową korzyść.

W odpowiedzi na problem narastający wśród wychowanków rodzin zastępczych[86], prezydent Barack Obama podpisał w 2011 roku ustawę, na mocy której firmy dostarczające informacje o historii kredytowej obywateli, zobowiązuje się do przesyłania takim dzieciom, po ukończeniu przez nie 16. roku życia, bezpłatnych raportów z ich danymi finansowymi. Firmy te muszą to robić raz do roku – do opuszczenia przez wychowanków systemu pieczy zastępczej.

Jednak problem leżący u podstaw tego zjawiska wciąż narasta. W 2012 roku liczba zgłoszeń kradzieży tożsamości[87] była większa niemal o jedną trzecią w stosunku do roku 2011 – wynosiła 369 milionów wobec 279 milionów rok wcześniej. Według danych zgromadzonych przez Federalną Komisję Handlu (Federal Trade Commission, FTC) przez pięć wcześniejszych lat utrzymywała się na stałym poziomie.

Według Steve’a Toporoffa, prawnika z FTC, który kieruje programem ochrony tożsamości prowadzonym przez agencję, dawniej najczęstszą przyczyną zgłoszeń była kradzież karty kredytowej[88]. Dziś najwięcej dotyczy nadużyć podatkowych. „Obserwujemy także nowe formy nadużyć, na przykład medyczne, polegające na posługiwaniu się danymi dotyczącymi tożsamości innej osoby celem wyłudzenia świadczeń”, mówi Toporoff. Stosunkowo trudno jest wykryć nadużycia medyczne czy podatkowe, skoro ludzie mają utrudniony dostęp swych danych. Nie da się ich weryfikować z taką łatwością jak historii kredytowej.

W 2013 roku dwie kobiety pochodzące z Florydy zostały skazane w związku z procederem mającym na celu wyłudzenie 11 mln dolarów[89] od amerykańskiego urzędu podatkowego (Internal Revenue Service, IRS). Miały one przesłać do urzędu prawie dwa tysiące sfałszowanych deklaracji podatkowych. Departament Skarbu wypłacił im niemal 3,5 mln dolarów zwrotu. Jedna z kobiet, Alci Bonannee, wypełniła wiele fałszywych deklaracji z wykorzystaniem danych osobowych, które kupiła od pielęgniarki pracującej w jednym ze szpitali. Szpital Baptist Health Sougt Florida poinformował[90], że skradziono dane 834 pacjentów. Pracownik urzędu, Tony Gonzalez, powiedział w rozmowie z lokalną telewizją, że „źli ludzie, którzy potrafią pozyskać numery ubezpieczeń chorych, kupują je od pracowników szpitali i centrów medycznych; są sprzedawane po 150 dol. za numer”.

Dane identyfikacyjne są nie tylko kradzione. Stale też dochodzi do ich wycieków. Z różnych powodów: począwszy od niedbalstwa po hakerstwo. Oficjalne raporty dotyczące przypadków naruszenia danych wskazują na stałe nasilanie się tego zjawiska – począwszy od 2009 roku[91]. Jak wyczytać można na stronie internetowej Open Security Foundation’s DataLossDB, w 2012 roku liczba naruszeń wzrosła drastycznie, bo aż o 43 procent.

Firmy są rzadko karane za to, że nie dopilnowały danych klientów. Swego rodzaju testem może być sprawa, która odbywa się w związku z nawracającymi atakami hakerów na sieć hoteli Wyndham. W 2008 roku hakerzy włamali się do sieci komputerowej hotelu w Phoenix. Poprzez sieć hakerzy uzyskali dostęp do rachunków kart kredytowych[92] przeszło pięciuset tysięcy klientów wszystkich czterdziestu jeden obiektów działających pod marką Wyndham. Informacje te przesłali do Rosji. Obciążając karty tytułem opłat za nieistniejące towary lub usługi[93], mieli uzbierać ponad 10,6 mln dolarów.

Jednak już po włamaniu Wyndham nie potrafił zabezpieczyć swej sieci komputerowej. Następnego roku dwa razy padł ofiarą hakerów, utraciwszy informacje o kolejnych 50 tys., a potem 69 tys. kart kredytowych klientów. W roku 2012 FTC pozwała sieć Wyndham, zarzucając jej, że owo niepowodzenie w zabezpieczeniu sieci, było podstępne i nieuczciwe wobec klientów.

Wyndham się odwołał. Twierdził, że FTC niesprawiedliwie karze firmę, która jest ofiarą a nie sprawcą przestępstwa[94]. Nazwał działanie FTC „odpowiednikiem karania lokalnego sklepu z wyposażeniem wnętrz za to, że został okradziony, a dokumenty znajdujące się w sklepie zostały przejęte przez sprawców włamania”. FTC odpowiedziała we wniosku o ukaranie, że „już lepsze byłoby porównanie do sklepu z wyposażeniem wnętrz, który pozostawił skopiowane informacje o kartach kredytowych i debetowych swych klientów na ladzie, nie zamknął drzwi na noc, a następnego dnia był zaskoczony tym, że ktoś wziął sobie te dane”.

Firmy, które monitorują zachowanie ludzi surfujących w sieci internetowej, twierdzą, że ich działania są nieszkodliwe: chcą one tylko wyświetlać reklamy butów ludziom, którzy ostatnio poszukiwali tego towaru albo też informacje polityczne tym, którzy preferują rozrywkę tego typu. To masowe zjawisko dopasowywania się do potrzeb klienta nazywam „korytarzem luster”[95].

Czasem „korytarz luster” bywa użyteczny. Nie sprzeciwiam się specjalnie oglądaniu reklamy, przypominającej mi o tym, abym kupiła produkt, którego ostatnio poszukiwałam. Jednak w innej przestrzeni zjawisko „korytarza luster” może być bardzo niepokojące.

Zastanówcie się nad takim przypadkiem: jak wynika z badań przeprowadzonych w styczniu 2013 roku przez wykładowczynię Uniwersytetu Harvarda, Latanyię Sweeney[96], gdy wyszukujemy w sieci nazwisko wskazujące na osobę ciemnoskórą (np. „Trevon Jones”), prawdopodobieństwo, że wyszukiwarka zasugeruje przy nim informację dotyczącą jej aresztowania (np. „Trevon Jones aresztowany?”), jest o 25 proc. większe, niż gdy wyszukujemy nazwisko wskazujące na osobę białą (np. „Kristen Sparrow”). Sweeney zaobserwowała, że owa nierównowaga zachodzi także wtedy, gdy osoba o „białym” nazwisku rzeczywiście ma za sobą kryminalną przeszłość, a nazwisko wskazujące osobę ciemnoskórą nie jest związane z jakimkolwiek przestępstwem.

Dane dotyczące sposobu korzystania przez ludzi z sieci internetowej coraz częściej wykorzystywane są do dostarczania klientom treści dopasowywanych do ich potrzeb. Na przykład, Google wykorzystuje informacje o zwyczajach związanych z wyszukiwaniem i pobieraniem plików, by oferować ludziom różne rezultaty wyszukiwania – nawet, gdy wprowadzają do wyszukiwarki te same zapytania. Czasem takie przewidywania mogą okazać się przydatne, na przykład gdy Google sugeruje wam restaurację niedaleko waszego miejsca zamieszkania, zamiast takiej, która znajduje się na drugim krańcu kraju. Innym razem nie jest to pożądane.

W miesiącach poprzedzających wybory prezydenckie 2012 roku, które odbyły się w listopadzie, Google typował polityczne sympatie w dość kontrowersyjny sposób[97]. Użytkownicy, którzy wyszukiwali Baracka Obamę, mogli ujrzeć newsy o prezydencie w trakcie kolejnych, niezwiązanych z wyborami, wyszukiwań. Tym, którzy chcieli dowiedzieć się czegoś na temat Mitta Romneya, informacje o kandydacie Republikanów nie były jednak wyświetlane na dalszym etapie surfowania.

Przedstawiciele Google’a twierdzili, że ta nierównowaga była efektem działania matematycznej formuły, którą wykorzystywano do przewidywania zapytań. Specjaliści ds. technologii z tej firmy uważali, że ich wysiłki mają nam pomóc zaspokoić nasze potrzeby – nawet jeśli nie wiemy jeszcze, jakie one są. Warto jednak zauważyć, że gdyby w ten sam sposób zachowała się gazeta – na przykład, gdyby informacje o Obamie umieszczone zostały w przeznaczonych dla pewnego rodzaju czytelników artykułach o paście do zębów – bez ogródek nazwano by ją stronniczą i nachalną. Tak samo nazwano by gazetę publikującą wyłącznie reklamy przeznaczone dla homoseksualistów, w wydaniach kierowanych do prenumeratorów, których uznawałaby za gejów, albo też reklamy leków na cukrzycę w wydaniach kierowanych do prenumeratorów, których uznawałaby za cukrzyków.

Czy technologia czyni Google’a odpornym na skutki działań, które nie znalazłyby społecznej akceptacji? Czy też rację ma Martin Abrams, czołowy ekspert ds. prywatności[98], który określa tego typu zachowanie jako ograniczające swobodę „szufladkowanie”, w którym „moja wizja tego, co jest możliwe jest ograniczona rozmiarem szufladki”, do której jestem przypisany?

Gdy firmy gromadzą coraz więcej cyfrowych danych o ich potencjalnych klientach, zyskują możliwość wykorzystywania tych informacji do ustalania różnych cen dla różnych użytkowników lub kierowania różnych użytkowników ku różnym ofertom.

Ryan Calo, profesor prawa na Uniwersytecie Waszyngtonu[99], nazywa to „masową produkcją błędu”, w której firmy wykorzystują dane osobowe, by żerować na ludziach. Firmy na przykład mogą nadwyrężać silną wolę konsumentów, aż ci ostatecznie dadzą się złamać i zdecydują na zakup. Albo też mogą wykorzystywać algorytm, który ustali dla każdej jednostki ceny usług czy produktów w oparciu o wiedzę o tym, co jest dla niej akceptowalne.

Wystawcy kart kredytowych już zaczęli wykorzystywać niektóre z tych metod. W 2010 roku wraz z kolegami z „The Wall Street Journal” odkryłam[100], że firma Capital One oferowała różne karty kredytowe (z różnym oprocentowaniem) różnym odwiedzającym ich stronę internetową. To, jaka karta była prezentowana danej osobie, zależało od jej prawdopodobnych dochodów i lokalizacji. W efekcie, gdy stronę Capital One odwiedzał Thomas Burney, deweloper budowlany z Kolorado, witała go oferta dla ludzi o doskonałej historii kredytowej – karta Capital One Platinum Prestige. Dla odmiany, gdy tę samą stroną odwiedzała Carie Isaac, młoda matka z Colorado Springs, pokazywano jej kartę określaną jako przeznaczoną ludzi z „przeciętną” zdolnością kredytową.

Odpowiadało za to zastosowane oprogramowanie. W 3,748 wierszach kodu programistycznego, który działał na linii komputer Thomasa – strona internetowa Capital One, zawarto przewidywania wystawcy kart kredytowych odnoszące się do jego poziomu dochodów („ponadprzeciętne”), wykształcenia („dyplom ukończenia college’u”) oraz miejsca zamieszkania („Avon”). Capital One ocenił, że poziom dochodów Carrie jest zaledwie „umiarkowany” i że „uczyła się w college’u”. Rzecznik prasowy Capital One powiedział nam, że „jak każdy sprzedawca, zarówno internetowy, jak i działający poza siecią, na podstawie zgromadzonej wiedzy typujemy, czego według nas chcą konsumenci, a oni mogą swobodnie wybierać produkty, którymi są zainteresowani”.

W 2012 roku, gdy ponownie przyglądaliśmy się[101] manipulowaniu danymi, metody te były jeszcze bardziej wyrafinowane i dość rozpowszechnione. Dowiedzieliśmy się, że wystawcy kart kredytowych wciąż oferowali inne karty różnym użytkownikom. Odkryciem było prezentowanie najlepszych ofert na „właśnie tę” kartę klientom, których komputery łączyły się z takich miast jak: Denver, Kansas City czy Dallas, ale już nie ludziom nadającym ze Scranton w stanie Pensylwania, Kingsport w stanie Tennessee czy Los Angeles.

Ustaliliśmy także, że strony internetowe oferowały zróżnicowane ceny, w zależności od typowanej lokalizacji użytkowników. W testach wyszło nam, że sieć hipermarketów Lowe’s[*6] reklamowała lodówkę za 449 dol. użytkownikom z Chicago, Los Angeles i Ashburn w stanie Wirginia. Użytkownikom z siedmiu innych miast tę samą lodówkę oferowała jednak za 499 dolarów. Na tej samej zasadzie, na stronie internetowej Home Depot, szpulę z siedemdziesięciosześciometrowym kablem elektrycznym wyświetlano w sześciu różnych cenach, w zależności od tego, z jakiego miejsca łączył się ze stroną komputer klienta – i tak, kosztowała ona 70,80 dol. w Ashtabula w stanie Ohio, 72,45 dol. w Erie w stanie Pensylwania, 75,98 dol. w Oleanie w stanie Nowy Jork oraz 77,87 dol. w Monticello w stanie Nowy Jork. Obie sieci, Lowe’s oraz Home Depot, utrzymywały, że różnice w cenach wynikały z chęci dopasowania oferty internetowej do oferty najbliższego sklepu w ich okolicy.

Ustaliliśmy, że najbardziej kompleksowo dywersyfikuje ceny sklep internetowy Staples, giganta wśród sieci sklepów z materiałami biurowymi. Zdawało się, że wykorzystuje on dane o klientach do typowania ich miejsca zamieszkania, a następnie wyświetla różne ceny dla różnych użytkowników, w oparciu o oszacowanie ich lokalizacji. Efekt końcowy: gdy Trude Frizzell logowała się na Staples.com z jej komputera w pracy w miejscowości Bergheim w Teksasie, mogła zobaczyć zszywacz biurowy za 14,29 dolarów. Zaledwie kilka kilometrów dalej, w miejscowości Bourne, ten sam zszywacz był oferowany Kim Wamble za 15,79 dolarów. Różnica nie wynikała ze zróżnicowanych kosztów dostawy, które są przecież naliczane już po dokonaniu zakupu. Wyglądało to raczej, jakby ceny odzwierciedlały odległość, jaka – w przekonaniu Staples – dzieliła klienta od najbliższego sklepu konkurencji. Sieć potwierdziła, że różnicuje ceny uwzględniając przy tym kilka czynników, nie chciała jednak ujawnić szczegółów.

Prawo nie zabrania oferowania innych cen różnym grupom klientów, pod warunkiem, że nie ma to związku z ich rasą czy innymi cechami, które mogą stać się podstawą stygmatyzacji klienta. Zróżnicowana oferta cenowa skierowana do grup użytkowników może jednak skutkować niezamierzoną niesprawiedliwością. Nasze doświadczenia przeprowadzone na stronie internetowej Staples wykazały, że do mieszkańców obszarów, w których odnotowywano większy przeciętny poziom dochodu, oferty z promocyjnymi cenami kierowane były z większym prawdopodobieństwem, niż do mieszkańców obszarów, na których notowano niższe przeciętne dochody. „Myślę, że to właśnie jest dyskryminacja”, uznała Kim.

W najgorszy sposób wykorzystuje się finansowo ludzi biednych, starszych oraz niewykształconych. Pomyślcie o tzw. listach frajerów[102] [ang. sucker lists], które handlujący bazami budują z uwzględnieniem ludzi starych, borykających się z problemami finansowymi lub podatnych na pewnego rodzaju oferty sprzedażowe. Listy frajerów często sprzedawane są pozbawionym skrupułów handlowcom, którzy wciskają im podejrzane produkty.

W październiku 2012 roku FTC ukarała[103] jednego z największych brokerów danych, firmę Equifax oraz jej klientów, każąc jej zapłacić 1,6 mln dolarów za naruszenie przepisów o ochronie danych osobowych poprzez sprzedaż nieuczciwym handlowcom list zawierających dane ludzi, którzy opóźniali się z zapłatą rat kredytów hipotecznych. Listy były reklamowane hasłami[104] takimi jak: „Uratuj mnie przed zajęciem obciążonej nieruchomości” oraz „Ubolewający z powodu długu”. Jednym z nabywców była szczególnie podejrzana firma Southern California, stosująca wyrafinowane, nachalne praktyki sprzedażowe[105], która od 1,5 tys. właścicieli domów wyciągnęła ok. 2,3 mln dolarów. Jak się okazało, za rzekome zmiany w zapisach umów kredytowych, do których nigdy nie doszło, płacili oni prowizje w wysokości od 1 tys. do 5 tys. dolarów. Wielu z tych ludzi ostatecznie zresztą straciło swe domy.

Gdy pytam przedstawicielkę władz Stowarzyszenia Marketingu Bezpośredniego (Direct Marketing Association)[106], czy istnieją jakieś listy potencjalnych klientów, z których jego członkowie nie chcieliby zrobić użytku, takie jak „seniorzy z chorobą Alzheimera lubiący zakłady pieniężne”, odsyła mnie ona do katalogu zasad etycznych, które zabraniają sprzedaży na podstawie list, do których przynależność mogłaby dyskredytować klienta. Wszystko inne zdaje się być uczciwe.

5 kwietnia 2011 roku John Gass z Needham, w stanie Massachusetts, odebrał list i ku swemu zaskoczeniu ustalił, że rozpoczyna się on od informacji, że właśnie zabrano mu prawo jazdy[107]. „Byłem niemile zaskoczony”, mówił John.

John jest pracownikiem miejskim – naprawia kotły grzewczy w Needham. Bez prawa jazdy nie mógłby wykonywać swojej pracy. Zadzwonił więc do urzędu – Massachusetts Registry of Motor Vehicles (RMV) – i usłyszał, że ma się stawić na przesłuchaniu wraz z dowodem tożsamości. Nie chciano mu powiedzieć, na jakiej podstawie zabrano mu prawo jazdy.

Gdy John stawił się na przesłuchaniu, dowiedział się, że urząd zaczął stosować oprogramowanie do rozpoznawania twarzy, by lepiej wykrywać przypadki kradzieży tożsamości. Wykorzystując zdjęcie z dokumentu, oprogramowanie identyfikowało zgłoszenia ludzi, którzy ubiegali się o wiele praw jazdy jednocześnie, pod różnymi nazwiskami. System oznaczył prawa jazdy Johna i jeszcze jednego mężczyzny, Edwarda Perry’ego z miejscowości Rehoboth w tym samym stanie, jako posiadające podobne zdjęcia. Zażądano więc, by potwierdzili swoje tożsamości.

Proceder, którego ofiarą stał się John, nazywam „policyjnym okazaniem”. Umożliwiają go wielkie policyjne dragnety, które pozwalają funkcjonariuszom traktować każdego jak podejrzanego. Wywraca on do góry nogami obowiązującą w naszym systemie prawnym zasadę, że człowiek jest „niewinny, dopóki nie udowodni mu się winy”.

Najbardziej widocznym tego przykładem są skanery na lotniskach. Za ich pomocą prowadzi się wyjątkowo inwazyjne przeszukania – pozwalają one bowiem nawet przyjrzeć się temu, co znajduje się pod ubraniem danej osoby. I to w sytuacji, gdy nie pojawia się cień podejrzenia, że prześwietlana osoba jest przestępcą. W istocie, ciężar spoczywa w tym przypadku na jednostce, która podlega procedurze prześwietlenia. To ona ma „udowodnić” swoją niewinność, przechodząc przez skaner, uniknąwszy wyświetlenia przez urządzenie jakichkolwiek podejrzanych przedmiotów. Te dragnety są jak z Kafki. Pomyślcie bowiem o liście osób posiadających zakaz latania. Ci, którzy na nią trafiają, nie są informowani o tym, dlaczego tak się stało. Nie mogą też zaskarżyć decyzji o umieszczeniu ich na niej.

John Gass na szczęście miał szansę się bronić[108]. Była to jednak zupełnie absurdalna sprawa. Przedstawiono mu zdjęcie jego samego sprzed trzynastu lat.

– Człowiek na zdjęciu wcale pana nie przypomina – powiedział oficer.

– Oczywiście, że nie. Minęło trzynaście lat odkąd zostało wykonane. Byłem o 45 kg lżejszy – odparł John.

John przedstawił swój paszport oraz akt urodzenia, i na tej podstawie przywrócono mu prawo jazdy. Funkcjonariusz nie dał mu jednak żadnego pisemnego potwierdzenia na to, że ważność prawa jazdy została przywrócona. John domagał się tego, bo chciał okazać takie pismo szefowi, pragnąć udowodnić mu, że może prowadzić auto. „To było jak zły sen”, wspominał John.

Wściekły, że tak go potraktowano oraz że tego dnia pozbawiono go zarobku, John zdecydował się pozwać urząd. Argumentował, że pozbawiono go konstytucyjnego prawa do rzetelnego procesu. Urząd twierdził natomiast, że dano mu możliwość zaskarżenia decyzji o cofnięciu prawa jazdy, ponieważ 24 marca wysłano do niego list w tej sprawie, a do 1 kwietnia prawo jazdy wciąż zachowywało ważność. John odebrał list dopiero 5 kwietnia.

Sąd okręgowy hrabstwa Suffolk uznał wniosek urzędu o oddalenie powództwa. Gass się odwołał, ale sąd apelacyjny także orzekł wbrew jego woli. „Choć wzburzenie Gassa związane z tym, że musiał bronić swej tożsamości jest zrozumiałe, nie oznacza to, że jego sprawa rodzi szersze prawne wątpliwości, które musiałyby zostać rozstrzygnięte przez apelację”, stwierdził sąd[109].

John poczuł się zdradzony. Stara się omijać łukiem policję stanową, w obawie, że nie będzie traktowany sprawiedliwie. „Nie ma mechanizmów kontroli i równowagi[110]”, mówił. „To jasne, że ludzie będą popełniać błędy. Ale w tym przypadku nie istnieje żaden nadzór”.

„Naprawdę wydaje mi się, że sprzedajemy naszą wolność w zamian za bezpieczeństwo”, powiedział John.

Te historie odzwierciedlają prostą prawdę: informacja to władza. Każdy kto dysponuje wielkimi ilościami danych o nas, ma nad nami przewagę.

Z początku, era informacyjna miała wzmocnić jednostki, dając im dostęp do informacji wcześniej niedostępnych. Mogliśmy na całym świecie porównywać ceny, poszukiwać najlepszego fragmentu wiedzy, czy ludzi, którzy podzielali nasze poglądy.

Obecnie dochodzi do zmiany układu sił i szala przechyla się ku wielkim instytucjom: zarówno rządom jak i korporacjom. To one zyskują przewagę w wojnach informacyjnych, dzięki zdolności do śledzenia potężnej ilości danych związanych z najbardziej przyziemnymi aspektami naszego życia.

Dowiadujemy się, że ludzie, którzy dysponują informacjami o nas, mogą nas zawstydzić, wyczyścić nasze portfele lub oskarżyć o przestępcze zachowanie. Ta wiedza może wykreować kulturę strachu.

Pomyślcie o Sharon i Bilalu. Gdy dowiedzieli się, że byli obserwowani na portalu PatientsLikeMe, wycofali się z internetu.

Bilal usunął swoje posty z forum. Ściągnął ze strony swoją kartę dawkowania leków i teraz przechowuje ją w pliku excela na swoim komputerze. Także Sharon przestała korzystać z internetu. Nie pozwala bawić się na nim swemu synowi, gdy nie jest pod nadzorem.

Zaczęli rozmawiać ze sobą przez telefon, jednak stracili kontakt internetowy, który udało im się rozwinąć, gdy byli członkami PatientsLikeMe. „Nie znalazłam dotąd zastępstwa”, mówi Sharon. Bilal dodaje: „Tylko ludzie z PLM wiedzą, jak to jest”.

Żadne z nich nie jest jednak w stanie zaryzykować bycia nadzorowanym. Sharon twierdzi, że nie mogłaby żyć ze świadomością, iż „każde naciśnięcie klawisza może być zaraportowane do jakiejś innej firmy”. Bilal dodaje: „Czuję po prostu, że nadużyto naszego zaufania”.

Doświadczenia Sharon i Bilala uświadamiają nam, że z całą swoją technologiczną pirotechniką, era cyfrowa dotyczy jednak człowieka. Technologia pozwala nam znajdować ludzi, którzy podzielają nasze poglądy i zyskać świadomość, że nie jesteśmy osamotnieni. Zarazem jednak technologia umożliwia innym śledzenie nas, i sprawia, że wycofujemy się z cyfrowej intymności.

Gdy ludzie pytają mnie, dlaczego tak bardzo interesuję się kwestią prywatności, zawsze odwołuję się do prostego pragnienia, by na świecie istniały bezpieczne przestrzenie dla Sharon i Bilala, dla mnie, dla moich dzieci, dla wszystkich. Chciałabym, aby w cyfrowym świecie istniała przestrzeń na listy z pieczęcią lakową. Czy naprawdę musimy być skazani na pisanie pocztówek – ze świadomością, że mogą one, i będą, czytane po drodze przez przypadkowe osoby?

Czy chcemy żyć w świecie, w którym zawsze narażeni będziemy na ryzyko bycia zhakowanymi? W świecie, w którym będzie można nas zlokalizować? W którym nie będziemy mogli mieć swoich tajemnic? W którym będziemy podglądani nawet w naszych domach, w którym będzie można się pod nas podszyć, i w którym będziemy żyć w pułapce „korytarza luster”? W którym będziemy wykorzystywani finansowo i bez powodu będziemy trafiać przed oblicze funkcjonariuszy policji? Moja książka to próba odpowiedzi na te pytania. Robię to w dwóch częściach.

W pierwszych rozdziałach odkrywam, dlaczego masowy nadzór ma tak wielkie znaczenie. W tym celu badam prawne i technologiczne korzenie naszego społeczeństwa nadzorowanego, a także nadużycia związane z nadzorem i wpływ tego zjawiska na życie jednostki i społeczeństwa.

W kolejnych rozdziałach sprawdzam, czy istnieje jeszcze nadzieja na zbudowanie alternatywnego świata, w którym moglibyśmy czerpać z owoców rozwoju technologii, bez obaw o ryzyko bycia obiektem cyfrowego ataku. Testuję różne strategie omijania dragnetów, od częstego zmieniania telefonów na kartę po ustanawianie fałszywych tożsamości.

Mam nadzieję, że moje odkrycia pomogą rozwijać się debacie o prywatności – wyjść poza kwestie związane z prostą obawą o to „kto mnie obserwuje”, ku bardziej szczegółowym rozważaniom nad tym „dlaczego ma to tak duże znaczenie” oraz, ostatecznie, ku produktywnej dyskusji o tym, co możemy zrobić.

Siedem tygodni po atakach terrorystycznych[1], w których zabito tysiące ludzi i zniszczono World Trade Center, jeden z najlepszych w naszym kraju łamaczy kodów po raz ostatni opuścił biuro największej amerykańskiej agencji wywiadowczej.

Był 31 października 2001 roku. Ogień wciąż tlił się na Dolnym Manhattanie[2]. Do członków Kongresu i redakcji w całym kraju trafiały listy z wąglikiem[3]. Codziennie donoszono o nowych pogróżkach. Straszono zamachami bombowymi. Roztrzęsione społeczeństwo było w stanie wojny z niewidzialnym wrogiem.

Jednak Bill Binney[4], łamacz kodów z Agencji Bezpieczeństwa Krajowego (National Security Agency, NSA), odpowiadający rangą generałowi wojska, nie przyłączył się do walki. Po ponad trzydziestu latach pracy w agencji, przeszedł na emeryturę. Gdy opuścił schody prowadzące do kwatery głównej agencji w Fort Meade w stanie Maryland, powiedział: „Jestem wreszcie wolny. Wreszcie wolny”[5].

Binney całe lata poświęcił na próby zmodernizowania technik nadzoru stosowanych przez agencję wywiadowczą. Chciał, by pozwalały one obserwować komunikację prowadzoną w internecie z nadawcami z całego świata, a zarazem respektowały prawo obywateli USA do prywatności korespondencji. Jego wysiłki za każdym razem były jednak udaremniane.

Koledzy mówili mu, że obecnie agencja gromadzi informacje z korespondencji internetowej Amerykanów, praktycznie ich nie filtrując. Nie chciał uczestniczyć w tym procederze.

Opuszczając grodzony teren Fort Meade, Binney uciekał z miejsca, które postrzegał jako miejsce zbrodni. „Nie mogłem zostać tam dłużej, odkąd NSA w sposób zamierzony zaczęło naruszać Konstytucję”[6], powiedział później, zeznając przed sądem przeciwko byłemu pracodawcy.

W międzyczasie oczywiście dowiedzieliśmy się, że Binney miał rację. Po atakach terrorystycznych 11 września 2001 roku, amerykański rząd zapoczątkował procedurę tzw. przemiatania [ang. sweeping], ustanawiając prawdopodobnie nielegalne dragnety, które przejmowały treść połączeń telefonicznych i korespondencji e-mail praktycznie wszystkich Amerykanów.

W podejmowanych przeze mnie próbach zrozumienia historii i korzeni masowego nadzoru, wciąż wracam do roku 2001 roku. Był to nie tylko rok niszczącego ataku terrorystycznego na USA, lecz również czas, w którym branżą technologiczną wstrząsnęło pęknięcie bańki spekulacyjnej[7] – tzw. bańki dot.comów. Te dwa, z pozoru niewiążące się ze sobą, wydarzenia zapoczątkowały cały łańcuch zjawisk, które położyły podwaliny pod współczesne dragnety. Ataki terrorystyczne dały do zrozumienia amerykańskiemu rządowi, że tradycyjne techniki pozyskiwania informacji wywiadowczych już nie działają. Z kolei ludziom z Doliny Krzemowej krach giełdowy uświadomił, że muszą poszukiwać nowych sposobów na zarabianie pieniędzy.

Jedni i drudzy znaleźli tę samą odpowiedź na trapiące ich, tak przecież różne, problemy. Było nią gromadzenie i analizowanie potężnych ilości danych osobowych. Oczywiście, robili to dla zupełnie innych celów. Rządowi chodziło o poszukiwanie i typowanie terrorystów, którzy mogą ukrywać się wśród zwykłych obywateli. Branży nowych technologii chodziło o to, by zwabić reklamodawców na solidnie opracowane akta osobowe. W sposób nieunikniony cele te zaczęły być zbieżne, gdy rząd Stanów Zjednoczonych postanowił wykorzystać swą władzę do tego, by zanurzyć się w profile, którymi dysponowała branża technologiczna.

To rząd i branża technologiczna, wspólnie, zgotowały nam społeczeństwo nadzorowane. Niniejsza historia opowiada o tym, jak to się wszystko zaczęło.

W XVIII wieku Brytyjczycy zmagali się z problemami z kontrolą nad swymi amerykańskimi koloniami. Amerykanie buntowali się przeciwko brytyjskim próbom blokowania handlu między koloniami i innymi krajami Europy, a także przeciwko opodatkowaniu na rzecz Brytyjczyków, które nie dawało prawa do posiadania reprezentantów w parlamencie.

By walczyć z plagą przemytu[8], Brytyjczycy wdrożyli nowy typ nadzoru: generalny nakaz rewizji, zwany jako ryt assistance [ang. writ of assistance], który pozwalał brytyjskim oficerom prowadzić przeszukania domów oraz dokonywać konfiskat praktycznie bez nadzoru sądowego. Amerykanie byli źli, że Brytyjczycy mogą wpaść do każdego domu o dowolnej godzinie, nawet podczas wesela czy pogrzebu. „Mam wrażenie, że to najgorsze z narzędzi arbitralnej władzy”, przekonywał prawnik James Otis Jr. w swej słynnej mowie przed sądem w Bostonie w 1761 roku[9].

Wściekłość wobec generalnych nakazów rewizji[10] przyspieszyła rewolucję amerykańską. Doprowadziła do ustanowienia Czwartej Poprawki do Konstytucji Stanów Zjednoczonych, która brzmi: „Prawa ludu do nietykalności osobistej, mieszkania, dokumentów i mienia nie wolno naruszać poprzez nieuzasadnione rewizje i zatrzymanie; nakaz w tym przedmiocie można wystawić tylko wówczas, gdy zachodzi wiarygodna przyczyna potwierdzona przysięgą lub zastępującym ją oświadczeniem. Miejsce podlegające rewizji oraz osoby i rzeczy podlegające zatrzymaniu powinny być w nakazie szczegółowo określone”.