Kiedy
Od Facebook Beacon w 2007 roku, gdy po raz pierwszy użytkownicy zaprotestowali publicznie przeciw manipulacji ich zakupami, do localhostu w 2025 roku, gdy aplikacje Meta i Yandex ominęły każde zabezpieczenie przeglądarki, żeby nadal śledzić w trybie incognito.
Szesnaście scen — rok po roku, sprawa po sprawie. Scroll w dół, każda scena zatrzyma się, żeby ją przeczytać. ~12 000 słów narracji.
2007 · Prolog
Facebook Beacon — pierwsza rysa na fasadzie.
Pod koniec 2007 roku Facebook ma 58 milionów użytkowników. Dla porównania: na całym świecie z internetu korzysta wtedy 1,3 miliarda osób. To ostatnie lata, w których o Facebooku można mówić jak o studenckim eksperymencie. Produkt jest prosty: znajomi, zdjęcia, ściana wiadomości. Model biznesowy — niezbyt jeszcze dopracowany.
6 listopada 2007 roku Mark Zuckerberg ogłasza „Beacon" — system, który ma zmienić reklamę internetową. Pomysł jest prosty: gdy użytkownik Facebooka coś kupuje w sklepie partnerskim (Overstock, Fandango, Blockbuster, Zappos — razem 44 firmy), informacja automatycznie trafia na jego ścianę. „Sean kupił właśnie Braveheart w Blockbuster" — widzą wszyscy jego znajomi. Bez pytania.
Trzy tygodnie później wybucha burza. Kobieta w Stanach kupuje mężowi obrączkę — w tajemnicy. Beacon publikuje zakup na Facebooku. Niespodzianka się kończy, zanim się zaczęła. Inny użytkownik dowiaduje się z Beacona, że jego znajomy był u lekarza w sprawie, o której nie zamierzał mówić nikomu. Skargi zalewają obsługę użytkowników.
MoveOn.org — organizacja aktywistyczna — uruchamia petycję. 50 tysięcy podpisów w pięć dni. CNET publikuje analizę techniczną: Beacon śledzi użytkowników Facebooka na stronach partnerów nawet wtedy, gdy są wylogowani. Dane transmitowane do Facebooka zawierają unikalne identyfikatory — można je powiązać z konkretnym kontem, nawet jeśli użytkownik wyraźnie odrzucił publikację zakupu.
5 grudnia 2007 roku Mark Zuckerberg publikuje przeprosiny: „Popełniliśmy błąd". Domyślne ustawienie zmienia się z opt-out na opt-in. We wrześniu 2009 roku, po dwóch latach batalii sądowej, ugoda Lane v. Facebook opiewa na 9,5 miliona dolarów — część trafia do funduszu na rzecz prywatności online. Beacon zostaje wyłączony.
Ale prawdziwy wniosek z 2007 roku jest inny. Facebook zrobił coś, co użytkownikom się nie spodobało. Użytkownicy zaprotestowali. Facebook się wycofał. Nikt nie poszedł do więzienia, nikt nie stracił pracy, kurs akcji drgnął na chwilę i wrócił na miejsce. To był test. A jego wynik brzmiał: takie rzeczy można robić, a z konsekwencjami da się żyć. Przez kolejnych piętnaście lat firma będzie wracać do tego samego wzoru — za każdym razem śmielej, za każdym razem z mniej dotkliwą karą.
2010 · Regulator
Hamburski urzędnik mówi: „Pokażcie, co naprawdę zbieracie".
Johannes Caspar jest prawnikiem. Nie inżynierem, nie aktywistą, nie dziennikarzem. W 2010 roku kieruje hamburskim urzędem ochrony danych — jednym z szesnastu regionalnych urzędów w Niemczech odpowiedzialnych za egzekwowanie prawa o prywatności. Budżet jego urzędu to ułamek tego, co Google wydaje na prawników w jednym kwartale. Zespół: kilkanaście osób.
W 2009 roku Caspar zaczyna interesować się Street View. Samochody Google jeżdżą po hamburskich ulicach i fotografują elewacje. Pod kamerą na dachu widać antenę. Caspar pyta firmę: po co? Google odpowiada: do zbierania nazw sieci Wi-Fi. Pozwala to na dokładniejsze usługi lokalizacyjne tam, gdzie GPS jest niedostępny.
Caspar prosi o dokumentację techniczną. Google zwleka. Caspar prosi drugi raz. Google zwleka. Trzeci raz. W kwietniu 2010 roku Caspar wysyła oficjalne wezwanie — firma ma przekazać surowe dane z hamburskich przejazdów, żeby urząd mógł sam sprawdzić, co naprawdę jest zbierane.
14 maja 2010 roku Google publikuje oświadczenie na blogu korporacyjnym. Tytuł: „WiFi data collection: An update". Treść: samochody Street View przez trzy lata, w ponad trzydziestu krajach, zbierały nie tylko nazwy sieci, ale także fragmenty ruchu z sieci niezabezpieczonych. Hasła. Fragmenty e-maili. Adresy URL odwiedzanych stron. Nazwiska. Tę część nazwano „pomyłką pojedynczego inżyniera". Caspar nazwie to później „systemem, którego nikt nie zatrzymał przez trzy lata".
Sprawa rusza lawinowo. FCC w USA — 25 tysięcy dolarów kary za utrudnianie dochodzenia (2012). Francuska CNIL — 100 tysięcy euro (2011). Brytyjski ICO — wniosek o powtórzenie postępowania (2012). Niemieckie landy — różne kwoty. Stany amerykańskie — multi-state settlement 7 milionów dolarów (2013). Łącznie Google zapłaci około 10 milionów euro za WiSpy.
Ale to nie kwoty są tu sednem. Sedno jest inne: niewielki regionalny regulator — z Hamburga, portowego miasta na północy Niemiec, z rocznym budżetem poniżej 3 milionów euro — wymusił na globalnej korporacji ujawnienie praktyki, która była jej znana od lat, a którą firma aktywnie ukrywała. Wymusił, bo nie odpuścił. Trzy lata. Trzy wezwania.
Jeśli szukać daty, od której można liczyć erę realnego egzekwowania europejskiego prawa o danych — to 14 maja 2010 roku w Hamburgu. Caspar udowodnił, że to możliwe. W następnej dekadzie pójdą jego śladem Helen Dixon w Dublinie, Andrea Jelinek w Wiedniu, Pasquale Stanzione w Rzymie. I w końcu Max Schrems, który tę całą instytucjonalną architekturę rozbije młotkiem TSUE.
Sprawy: B01
2012 · Obejście
Google omija zabezpieczenie Safari. Kosztuje go to 22,5 miliona.
Na początku 2012 roku Jonathan Mayer, doktorant z Uniwersytetu Stanforda, bada, jak działają trackery reklamowe w przeglądarkach. Safari — przeglądarka Apple, domyślna na iPhonie i iPadzie — od wielu lat blokuje ciasteczka stron trzecich. Ustawienie działa „od razu po wyjęciu z pudełka" — użytkownik nie musi niczego włączać. To jedna z głównych funkcji prywatności Safari, reklamowana publicznie.
Mayer odkrywa, że reklamy DoubleClick (czyli Google) działają mimo blokady. Jakim cudem? Google znalazł obejście. Skrypt reklamowy wysyła do przeglądarki niewidoczny formularz. Safari interpretuje to jako „interakcję użytkownika z witryną" — a przy interakcji ciasteczka są dozwolone. Trik. Elegancki. I całkowicie sprzeczny z domyślnym ustawieniem Safari.
17 lutego 2012 roku „Wall Street Journal" publikuje tekst Juliana Angwina opisujący odkrycie Mayera. Google usuwa obejście w ciągu doby. Na blogu firmy tłumaczenie: „to był niezamierzony efekt uboczny funkcji społecznościowych". Kilka miesięcy później FTC ogłasza karę: 22,5 miliona dolarów. Najwyższa kara cywilna w historii FTC do tamtego momentu.
Ten sam rok przynosi kolejną cezurę. 9 kwietnia 2012 roku Facebook ogłasza zakup Instagrama za miliard dolarów. Instagram istnieje od dwóch lat. Ma 13 pracowników i 30 milionów użytkowników. Nie ma jeszcze modelu biznesowego — reklamy pojawią się dopiero w 2013 roku. Mark Zuckerberg kupuje firmę w weekend, jednym mailem. FTC zatwierdzi transakcję. Osiem lat później ta sama FTC złoży pozew antymonopolowy: zakup Instagrama (i WhatsApp w 2014) był — jej zdaniem — częścią strategii „kopiuj, skup, zabij" wobec konkurentów.
2012 rok to także rok, w którym Charles Duhigg publikuje w „New York Times Magazine" artykuł o Targecie — amerykańskiej sieci hipermarketów. Target używa analizy zakupów do przewidywania ciąży klientek. Gdy kobieta kupuje bezzapachowe balsamy, suplementy z magnezem i watę kosmetyczną — algorytm oznacza ją jako prawdopodobnie ciężarną. Firma wysyła reklamy kosmetyków dla niemowląt. Znany przypadek: ojciec nastolatki w Minneapolis dowiaduje się o ciąży córki z katalogu Targetu. Córka jeszcze mu nie powiedziała.
Wspólny wzór: w 2012 roku algorytm wie o użytkowniku rzeczy, których użytkownik nie ujawnił. Safari myśli, że broni ciasteczek — a Google ją obchodzi. Klientka Targetu myśli, że kupuje suplementy — a Target wnioskuje o ciąży. Instagram myśli, że jest niezależną firmą — a Facebook kupuje go, żeby usunąć zagrożenie konkurencyjne.
Termin, który się wtedy przyjmie — „inferencja behawioralna" — rodzi się właśnie w tym roku. Nie dane, które oddajemy. Dane, które z nas wyciągają.
Sprawy: B02
2013 · Ujawnienie
Edward Snowden przekazuje dziennikarzom 1,5 miliona dokumentów.
5 czerwca 2013 roku „The Guardian" publikuje tekst Glenna Greenwalda: „NSA collecting phone records of millions of Verizon customers daily". Źródło — anonimowe. Następnego dnia drugi artykuł. „Washington Post" publikuje równolegle. W ujawnionych dokumentach pojawia się nazwa programu: PRISM. Wewnętrzny kryptonim: „Special Source Operations".
9 czerwca 2013 roku źródło ujawnia się publicznie. Edward Snowden, 29 lat, konsultant NSA z Booz Allen Hamilton. Nagrywa wywiad z hotelu w Hongkongu. Mówi spokojnie. Wie, że nie wróci do domu.
PRISM to program, w którym NSA ma bezpośredni dostęp do danych dziewięciu największych amerykańskich firm technologicznych: Microsoft, Yahoo, Google, Facebook, Apple, Skype, YouTube, AOL, PalTalk. E-maile. Zdjęcia. Rozmowy wideo. Metadane. Firmy zaprzeczają „bezpośredniemu dostępowi" — ale potwierdzają, że wykonują nakazy sądowe FISA. Spór o słowa. Zbiór danych — ten sam.
Reakcja europejska jest błyskawiczna. Komisja Europejska wznawia prace nad rozporządzeniem o ochronie danych — przyszłym RODO (projekt z 2012 roku utknął w konsultacjach). Parlament Europejski organizuje przesłuchania. Austriacki student prawa Maximilian Schrems składa do irlandzkiego DPC skargę przeciwko Facebookowi: transfer jego danych do USA, gdzie podlegają one PRISM, narusza europejskie prawo. Sprawa trafi do Trybunału Sprawiedliwości UE.
W USA reakcja jest mieszana. Obama broni programu. Kongres zmienia niektóre przepisy (USA Freedom Act, 2015). Ale fundamentalny model nadzoru pozostaje. Firmy technologiczne zaczynają wdrażać szyfrowanie end-to-end — iMessage miał je już od 2011, WhatsApp wprowadzi globalnie w 2016, Signal — od pierwszego dnia. Bruce Schneier nazywa to „obroną przed własnym rządem".
W październiku 2013 roku „Washington Post" publikuje slajdy „MUSCULAR" — NSA przechwytuje ruch między centrami danych Google'a i Yahoo w czasie rzeczywistym, bez wiedzy firm. Google reaguje: do końca 2014 roku szyfruje cały ruch między centrami danych. Yahoo — do 2015.
Nie wszystkie skutki ujawnień Snowdena są mierzalne. Ale jeden — tak. Od 2013 roku europejskie prawo o danych przestaje być traktowane jak formalność. Schrems pójdzie dalej — w 2015 obali Safe Harbor (Schrems I), w 2020 Privacy Shield (Schrems II). W tle zawsze będzie ten sam argument: dopóki amerykańskie służby mają dostęp do europejskich danych, europejskie prawo o ich ochronie pozostaje papierowe.
Edward Snowden od 2013 roku mieszka w Moskwie, w azylu politycznym. W 2022 roku otrzymał rosyjskie obywatelstwo. Jest postacią kontrowersyjną — dla jednych bohater, dla innych zdrajca. Ale dokumenty, które ujawnił, są dziś materiałem źródłowym w setkach orzeczeń sądowych po obu stronach Atlantyku.
2014 · Eksperyment
689 tysięcy osób bez pytania o zgodę.
Przez jeden tydzień stycznia 2012 roku Facebook manipulował treścią kanałów wiadomości 689 003 użytkowników. Grupa A widziała więcej postów smutnych — algorytm promował treści o ujemnym wydźwięku. Grupa B widziała więcej pozytywnych. Mierzono ton tekstów, które badani sami pisali po tej ekspozycji — czy smutni stają się smutniejsi, a weseli jeszcze bardziej rozentuzjazmowani.
Badanie wyszło drukiem w czerwcu 2014 roku, w czasopiśmie „Proceedings of the National Academy of Sciences". Autorzy: Adam Kramer z Facebooka, Jamie Guillory i Jeffrey Hancock z Cornell University. Tytuł: „Experimental evidence of massive-scale emotional contagion through social networks". Tekst krótki, cztery strony. Wnioski: emocje rozprzestrzeniają się przez sieć społecznościową nawet bez bezpośredniego kontaktu werbalnego. Manipulacja feedem skutecznie zmienia nastrój użytkownika.
Nikt z 689 tysięcy osób nie wyraził świadomej zgody. Nie było formularza, nie było powiadomienia, nie było opt-outu. Podstawą prawną była „akceptacja regulaminu Facebooka" — ogólna klauzula mówiąca, że firma może używać danych użytkowników do „badań wewnętrznych". Cornell Institutional Review Board — komisja odpowiedzialna za etykę badań naukowych — orzekła, że skoro Facebook prowadził badanie i tak, Cornell nie miało obowiązku sprawdzać.
Wybuchła burza medialna. Sheryl Sandberg, ówczesna COO Facebooka, przeprosiła „za sposób, w jaki badanie zakomunikowano". Nie — za samo badanie. PNAS wydał „editorial expression of concern", ale bez wycofania publikacji. Brytyjski regulator ICO wszczął postępowanie, zakończone bez kar. W Niemczech — dyskusje, bez konsekwencji prawnych. Electronic Frontier Foundation napisała, że jeśli to nie jest naruszenie etyki, to nic nie jest.
Kar formalnych nie było. Ale dyskusja, która się wtedy zaczęła — o tym, czy i kiedy platformy mają prawo prowadzić eksperymenty psychologiczne na milionach użytkowników — trwa do dziś. W 2021 roku Frances Haugen ujawni wewnętrzne badania Facebooka nad wpływem Instagrama na dobrostan psychiczny nastolatek. Okaże się, że firma prowadziła takie badania nieustannie od 2012 roku. Dla siebie. Bez zgody.
Rok 2014 to moment, w którym badacze etyki technologii uświadamiają sobie fundamentalną asymetrię. Naukowiec akademicki, żeby przeprowadzić eksperyment psychologiczny na 50 osobach, musi przejść przez komisję etyczną, zebrać formularze zgody, uzyskać zgodę opiekuna jeśli badany ma mniej niż 18 lat, poddać się późniejszemu audytowi. Firma technologiczna robi eksperyment na 689 tysiącach osób i publikuje wyniki w „PNAS". Bez zgody, bez komisji, bez audytu. Asymetria jest nie do obrony — i pozostaje faktem do dziś.
Sprawy: A06
2015 · Precedens
Max Schrems obala Safe Harbor.
Maximilian Schrems ma 27 lat, gdy w 2013 roku składa pierwszą skargę do irlandzkiego Data Protection Commission. Jest studentem prawa w Wiedniu. Interesuje go, co Facebook Ireland Ltd. — formalnie europejski administrator danych — robi z informacjami, które przekazuje do spółki-matki w Kalifornii. Po ujawnieniach Snowdena odpowiedź wydaje się oczywista: dane trafiają w jurysdykcję, w której dostęp do nich ma NSA.
Irlandzki DPC odrzuca skargę. Powód: istnieje framework „Safe Harbor" z 2000 roku, który ustanawia, że przeniesienie danych do USA jest zgodne z europejskim prawem, pod warunkiem że amerykańska firma zobowiąże się do „zasad prywatności". To decyzja administracyjna Komisji Europejskiej. Nie podlega weryfikacji przez krajowe urzędy.
Schrems składa odwołanie do irlandzkiego High Court. Ten kieruje pytanie prejudycjalne do Trybunału Sprawiedliwości Unii Europejskiej. Sprawa nazywa się „C-362/14 Schrems przeciwko Data Protection Commissioner". Pytanie brzmi: czy w świetle Karty Praw Podstawowych UE decyzja Komisji o Safe Harbor wiąże krajowe organy ochrony danych, jeśli istnieją dowody, że amerykańskie prawo nie chroni europejskich danych przed masową inwigilacją?
6 października 2015 roku Trybunał orzeka. Decyzja jest jednogłośna. Safe Harbor jest nieważny. Amerykańskie prawo — a konkretnie FISA i PRISM — nie zapewnia ochrony „zasadniczo równoważnej" europejskiej. Krajowe organy ochrony danych mają nie tylko prawo, ale obowiązek weryfikować transfery, nawet jeśli Komisja wydała decyzję.
Efekt jest gigantyczny. Tysiące amerykańskich firm — od Microsoftu po małe aplikacje mobilne — opierały swoje transfery danych o Safe Harbor. Trzeba stworzyć nową ramę prawną. Negocjacje trwają pół roku. Nowy framework — „Privacy Shield" — wchodzi w życie w lipcu 2016 roku. Schrems natychmiast składa kolejną skargę. Po pięciu latach od jej złożenia zakończy się ona orzeczeniem „Schrems II" (lipiec 2020) — Privacy Shield również zostanie unieważniony.
Ale rok 2015 jest fundamentalny, bo wtedy po raz pierwszy europejski trybunał mówi firmom technologicznym: nie wystarczy „wszystko załatwione w Brukseli". Jeśli w USA nie ma ochrony, to nie ma ochrony. Nie pomogą kontrakty, nie pomogą certyfikaty. Transfer staje się problemem prawnym.
Max Schrems zakłada w 2017 roku NOYB — „European Center for Digital Rights" — organizację, która składa kolejne skargi. Do 2025 roku NOYB wywalczy kary łącznie ponad 2 miliardy euro. Jeden student, który chciał wiedzieć, gdzie trafiają jego dane.
2016 · Ustawa
RODO zostaje przyjęte. Big Tech ma 24 miesiące.
14 kwietnia 2016 roku Parlament Europejski przyjmuje „Ogólne rozporządzenie o ochronie danych" — RODO (GDPR). Tekst ma 173 motywy, 99 artykułów, 88 stron. Prace trwały cztery lata. Lobby branżowe wniosło — według wyliczeń politologów — około czterech tysięcy propozycji poprawek. Wiele przeszło. Filozofia podstawowa — nie.
Kluczowe przepisy: zgoda musi być „świadoma, jednoznaczna, konkretna, dobrowolna". Podstawa prawna przetwarzania danych musi być jasna (sześć opcji w artykule 6). Przetwarzanie danych dzieci poniżej 16 lat — tylko za zgodą opiekuna. Prawo do przenoszenia danych. Prawo do bycia zapomnianym. Obowiązek zgłaszania wycieków w ciągu 72 godzin. Obowiązek wyznaczenia inspektora ochrony danych (DPO) dla firm o określonej skali.
Najważniejsze: kary. Do 4 procent globalnego rocznego obrotu firmy albo 20 milionów euro — w zależności od tego, co większe. Dla Mety to potencjalnie 5 miliardów euro rocznie. Dla Google'a — ponad 10 miliardów.
Data wejścia w życie: 25 maja 2018 roku. Firmy mają dwa lata, żeby się przygotować. Co dzieje się przez te dwa lata? Niewiele. Wielkie firmy przerabiają formularze zgody. Dodają banery cookies. Przesuwają część pracowników do działu „data protection compliance". Fundamentalne zmiany w architekturze produktów — nie.
Tymczasem w 2016 roku dzieje się jeszcze coś. Donald Trump wygrywa wybory prezydenckie w USA. Z tej kampanii wyjdą — dopiero dwa lata później — informacje o Cambridge Analytica, profilowaniu psychograficznym wyborców i rosyjskiej dezinformacji na Facebooku. W trakcie samej kampanii nie jest to jeszcze przedmiotem debaty publicznej. Meta pozostaje „platformą". Regulatorzy pozostają „techniczni".
Trzecia ważna data 2016 roku: czerwiec — koalicja Brexitu wygrywa referendum. Wielka Brytania zaczyna drogę poza Unię. W konsekwencji w 2018 roku Londyn będzie musiał uzyskać od Komisji Europejskiej tzw. „adequacy decision" — potwierdzenie, że brytyjskie prawo jest zgodne z RODO. Uzyska.
RODO to rzadkość: europejska regulacja, która staje się globalnym standardem. Kalifornia przyjmuje CCPA w 2018 roku — wzorowaną na RODO. Brazylia — LGPD w 2020. Indie — DPDP w 2023. Chiny mają własny PIPL z 2021. Każde z tych praw różni się szczegółami. Każde wywodzi się z RODO.
W 2016 roku nie wiadomo jeszcze, czy RODO zadziała. Wiele osób uważa, że pozostanie „martwą literą". W 2023 roku, po rekordowej karze 1,2 miliarda euro dla Mety, wątpliwości znikną. W 2016 — są jeszcze na pierwszych stronach gazet.
2017 · Wzorzec
Uber Greyball. Equifax. Firmy oszukują, dane wyciekają.
3 marca 2017 roku „New York Times" publikuje tekst Mike'a Isaaca: „How Uber Deceives the Authorities Worldwide". Tekst opisuje „Greyball" — narzędzie, którym Uber od 2014 roku identyfikował urzędników miejskich, policjantów i kontrolerów, i podsuwał im atrapę aplikacji. Kierowcy nie przyjeżdżali. Usług nie dało się przetestować. Uber wyglądał, jakby w danym mieście nie działał — a działał.
Greyball wykorzystywał kilka sygnałów: lokalizację GPS wokół budynków policji, dane kart kredytowych przypisanych do miasta, wzorce zakupów w ciągu dnia, numery kart powiązanych z organami państwowymi. W Portland w stanie Oregon pozwoliło to Uberowi działać nielegalnie przez sześć miesięcy w 2014 roku, zanim władzom udało się zebrać dowody. W Paryżu, Bostonie, Filadelfii — podobnie.
W tle dzieje się coś jeszcze. 19 lutego 2017 roku Susan Fowler, była inżynierka Ubera, publikuje na swoim blogu tekst „Reflecting on one very, very strange year at Uber". Opisuje systemowy seksizm, molestowanie i to, jak HR tuszowała sprawy. Tekst rozchodzi się błyskawicznie. W czerwcu 2017 roku Travis Kalanick — założyciel i prezes — zostaje zmuszony do ustąpienia. Pięć miesięcy później Uber ujawnia, że w 2016 roku haker wykradł dane 57 milionów pasażerów i kierowców — a firma po cichu zapłaciła mu 100 tysięcy dolarów, żeby sprawę zatuszować.
Ale 2017 rok to także Equifax. 7 września firma — jedno z trzech największych biur kredytowych w USA — ogłasza wyciek danych 147 milionów Amerykanów. Numery ubezpieczenia społecznego, daty urodzenia, adresy, numery prawa jazdy, w niektórych przypadkach numery kart kredytowych. Podstawowy zestaw potrzebny do kradzieży tożsamości. Praktycznie każdy dorosły Amerykanin.
Przyczyna: niezałatana luka w Apache Struts. Equifax miała patch od marca, ale go nie zainstalowała. Włamanie zaczęło się w maju i trwało przez całe lato. Firma dowiedziała się w lipcu. Ujawniła we wrześniu. Między tymi datami trzech członków zarządu sprzedało akcje za 1,8 miliona dolarów.
W 2019 roku Equifax zawiera ugodę: 575 milionów dolarów (z możliwością podwyższenia do 700 milionów). Sygnatariusze: FTC, kilka stanów, CFPB. Najwyższa ugoda w sprawie wycieku danych w historii USA. Klientom zaoferowano „dożywotnie monitorowanie historii kredytowej". Wypłata gotówkowa: 125 dolarów na osobę. W praktyce FTC wypłaciło średnio 6,90 dolara — fundusz został szybko wyczerpany.
Wspólny motyw 2017 roku: firmy oszukują (Uber) albo są niekompetentne (Equifax), ale konsekwencje rozkładają się na lata, a wypłaty dla poszkodowanych są symboliczne. Model się utrwala: ryzyko jest po stronie użytkownika, zysk po stronie firmy.
2018 · Wybuch
Cambridge Analytica otwiera publiczne oczy.
W marcu 2018 roku „The Observer" i „The New York Times" publikują serię artykułów. Autorzy: Carole Cadwalladr, Emma Graham-Harrison, Matthew Rosenberg, Nicholas Confessore. Źródło: Christopher Wylie, były dyrektor badań w Cambridge Analytica. Wylie ma 28 lat, różowe włosy i kanadyjski paszport. Rozmowa, w której zostaje sygnalistą, jest nagrywana w londyńskim mieszkaniu Cadwalladr. Dwie godziny. Bez kamery — tylko dyktafon.
Struktura sprawy: Aleksandr Kogan, psycholog z Uniwersytetu Cambridge, w 2014 roku stworzył aplikację „thisisyourdigitallife" — pozornie akademicki test osobowości. Test wypełniło 270 tysięcy osób. Aplikacja — wykorzystując ówczesne API Facebooka — pobrała nie tylko dane uczestników testu, ale też dane ich znajomych. 87 milionów profili. Kogan przekazał je Cambridge Analytica. CA użyła ich do profilowania psychograficznego (model OCEAN: openness, conscientiousness, extraversion, agreeableness, neuroticism) i serwowała spersonalizowane treści polityczne w kampanii Donalda Trumpa w 2016 roku i w kampanii brexitowej.
Czy to działało? To osobna debata. Część ekspertów twierdzi, że profilowanie psychograficzne Cambridge Analytica było bardziej „marketingową atrapą" niż realną technologią. Ale fakt, że dane 87 milionów ludzi bez ich zgody trafiły do firmy pracującej dla kampanii politycznych — jest niepodważalny.
Reakcja jest natychmiastowa. #DeleteFacebook staje się hasztagiem. Elon Musk kasuje strony SpaceX i Tesli. Brian Acton, współzałożyciel WhatsAppa, pisze na Twitterze: „It is time. #deletefacebook". Mark Zuckerberg publikuje przeprosiny. Sheryl Sandberg — również. 11 kwietnia 2018 roku Zuckerberg zeznaje przed Senatem i Izbą Reprezentantów USA. Kongresmeni zadają pytania o podstawy — „czy Facebook śledzi użytkowników po wylogowaniu?" (tak). Zuckerberg odpowiada w białych rękawiczkach.
Rok później, 24 lipca 2019 roku, FTC ogłasza karę: 5 miliardów dolarów. Rekordową. Tego samego dnia SEC nakłada 100 milionów dolarów za wprowadzanie inwestorów w błąd co do praktyk prywatnościowych. Rynek reaguje: akcje Mety rosną o 1,8 procenta. Analitycy liczą: 5 miliardów to jeden kwartalny przychód firmy. Mniej, niż rynek obawiał się, że Meta zapłaci.
Cambridge Analytica upada — w maju 2018 roku składa wniosek o upadłość. Ale metoda — profilowanie psychograficzne, spersonalizowane treści polityczne, mikrotargetowanie wyborcze — rozwija się u następców. W 2024 roku, podczas amerykańskiej kampanii, dzieje się to samo. Tylko nikt już nie mówi „skandal". Mówi się „marketing polityczny".
Najważniejszy skutek Cambridge Analytica: sprawa po raz pierwszy przetłumaczyła abstrakcyjne „dane osobowe" na konkretne „wybory demokratyczne". Opinia publiczna, która do 2018 roku myślała o prywatności w kategoriach „moich maili", zaczyna myśleć o prywatności w kategoriach „mojego społeczeństwa". Zmiana jest nieodwracalna.
Sprawy: A02
2019 · Egzekwowanie
FTC zbiera miliardy. Dzieci w YouTube — wreszcie temat.
W 2019 roku amerykańscy regulatorzy zaczynają po raz pierwszy nakładać kary, które brzmią jak „kary". Nie 22 miliony, jak Google w 2012. Nie 100 tysięcy, jak CNIL w 2011. Miliardy.
24 lipca 2019 roku FTC ogłasza karę dla Facebooka za Cambridge Analytica: 5 miliardów dolarów. Tego samego dnia SEC nakłada 100 milionów. Razem 5,1 miliarda dolarów. Największa kara prywatnościowa w historii USA. Ale — jak już wspomniano — rynek reaguje wzrostem akcji. Analitycy: „cena zapłacona z góry".
4 września 2019 roku — inna kara. YouTube, spółka-córka Google'a, dostaje 170 milionów dolarów za naruszenie COPPA (Children's Online Privacy Protection Act). YouTube zbierał dane dzieci poniżej 13 roku życia bez zgody rodziców i serwował im reklamy behawioralne. FTC zażądała 170 milionów; aktywiści uważali, że powinno być kilka miliardów. Skoro YouTube zarabia kilka miliardów dolarów kwartalnie, kwota jest symboliczna.
Konsekwencje praktyczne: YouTube wprowadza oznaczenie „made for kids", które wyłącza targetowanie reklamowe i niektóre funkcje komentarzy na kanałach dziecięcych. Twórcy treści dziecięcych zarabiają mniej. Niektórzy — znacznie mniej. Cocomelon przestaje być „rosnącym biznesem", zaczyna być „biznesem z gwiazdką".
W tle: 29 lipca 2019 roku Capital One ujawnia wyciek 100 milionów rekordów klientów. Hakerka — Paige Thompson, była pracownica AWS — znalazła źle skonfigurowaną zaporę ogniową na S3. Capital One zapłaci OCC 80 milionów dolarów kary. Thompson zostanie skazana w 2022 roku. Historia pokazuje: to, co firma przechowuje „w chmurze", często leży tam bez podstawowych zabezpieczeń.
2019 rok przynosi też punkt zwrotny dla Apple. We wrześniu „The Guardian" publikuje tekst o „Siri grading": Apple zatrudniał zewnętrznych podwykonawców, którzy słuchali fragmentów nagrań Siri — w tym przypadkowo włączonych nagrań intymnych rozmów, wizyt lekarskich, sesji terapeutycznych — i oceniali, czy Siri zareagowała poprawnie. Użytkownicy nie wiedzieli. Apple wstrzymuje program i dodaje opcjonalny opt-in. Podobne programy u Google (OK Google) i Amazon (Alexa) zostają ujawnione w tym samym czasie.
Wniosek roku 2019: asystenci głosowi — Siri, Alexa, OK Google — nagrywają więcej, niż nam się wydaje. Część nagrań słucha człowiek. Zgoda jest schowana w regulaminie. Użytkownik domyślnie uczestniczy w programie, o którego istnieniu może w ogóle nie wiedzieć.
Sprawy: C02
2020 · Wzorzec
Clearview AI pokazuje, że twarzy nie wyłączysz.
18 stycznia 2020 roku Kashmir Hill z „New York Timesa" publikuje artykuł „The Secret Company That Might End Privacy as We Know It". Tekst ujawnia Clearview AI — spółkę założoną przez Hoana Ton-Tata i Richarda Schwartza. Clearview pobrał z internetu ponad 3 miliardy zdjęć (publicznie dostępnych, z Facebooka, LinkedIna, Instagrama, VKontakte, YouTube'a) i zbudował narzędzie do rozpoznawania twarzy. Policjant wrzuca zdjęcie — dostaje tożsamość. Bez zgody osób, których twarze trafiły do bazy.
Do stycznia 2020 roku Clearview sprzedał narzędzie około 2400 agencjom ścigania w USA — FBI, DEA, lokalnym policjom w większości stanów. Niektórzy funkcjonariusze testowali je na byłych partnerkach, dziennikarzach, znajomych. Kontroli nie było. Clearview twierdził, że narzędzie „działa tylko w sprawach karnych". W praktyce działało tak, jak chciał konkretny użytkownik.
Reakcja w USA jest umiarkowana. Niektóre stany (Illinois — z silnym prawem BIPA) pozywają. Clearview w 2022 roku płaci w Illinois 9 milionów dolarów ugody. Większość stanów — nic. Reakcja w Europie jest potężna. Włoski Garante — 20 milionów euro kary (2022). Francuski CNIL — 20 milionów euro (2022). Grecki organ — 20 milionów euro (2022). Hamburski regulator — zakaz przetwarzania (2020). Wielka Brytania — 7,5 miliona funtów (2022). Clearview nie zapłacił z europejskich kar ani eurocenta — utrzymuje, że nie ma siedziby w Europie i nie podlega RODO. Spór prawny trwa.
W tym samym roku — pandemia. W marcu 2020 Zoom rośnie z 10 milionów uczestników dziennie do 300 milionów w kwietniu. Marketing firmy chwali się szyfrowaniem „end-to-end". 1 kwietnia 2020 roku Bill Marczak z Citizen Lab publikuje analizę techniczną: szyfrowania end-to-end w Zoomie nie ma. Klucze są generowane na serwerach Zooma, część ruchu przechodzi przez centra danych w Chinach. FBI wydaje ostrzeżenie przed „zoombombingiem" — nieproszeni uczestnicy wchodzą na spotkania i wyświetlają pornografię albo treści obraźliwe.
Zoom reaguje szybko. Prezes Eric Yuan ogłasza 90-dniowy plan bezpieczeństwa. W październiku 2020 roku — prawdziwe szyfrowanie end-to-end (opcjonalne). W listopadzie 2021 — 85 milionów dolarów ugody w pozwie zbiorowym. Osobna ugoda z FTC w listopadzie 2020.
Rok 2020 to moment, w którym staje się jasne, że prywatność nie jest pojedynczym naruszeniem — to systemowy wzorzec. Twarzy nie wyłączysz. Szyfrowania nie zweryfikujesz sam. A platform nie da się po prostu unikać — są infrastrukturą codziennej pracy, edukacji, opieki zdrowotnej. Pandemia narzuciła wszystkim korzystanie z Zooma. Nauczyciele nie mieli wyboru. Lekarze nie mieli wyboru. Nastolatki musiały używać TikToka, bo tam były ich klasy. Ludzie mają pozornie wybór — w praktyce go nie mają.
Ten rok zmienił jeszcze jedno. W lipcu 2020 roku Trybunał Sprawiedliwości UE wydaje orzeczenie „Schrems II". Privacy Shield — framework transferu danych między UE a USA z 2016 roku — zostaje unieważniony. Ten sam problem, co przy Safe Harbor. To samo rozwiązanie — żadne. Firmy dostają „Standard Contractual Clauses" jako prowizoryczne narzędzie. Ale fundamentalny problem — FISA, PRISM, brak ochrony w USA — pozostaje.
2021 · Sygnalistka
Frances Haugen wynosi dokumenty. Pegasus wychodzi na światło.
5 października 2021 roku Frances Haugen zeznaje przed Senatem USA. Ma 37 lat, jest absolwentką Harvard Business School i byłą product managerką w zespole Civic Integrity w Facebooku. Zeznaje przez dwie godziny. W dłoni trzyma teczkę kopert — wewnętrzne dokumenty Facebooka, które wyniosła, zanim firma rozwiązała ten zespół w grudniu 2020 roku.
Dokumenty — około 22 tysięcy stron — zostały ujawnione w serii „Facebook Files" publikowanej przez „Wall Street Journal" od września 2021 roku (autor: Jeff Horwitz). Najważniejsze ustalenia: Facebook od lat wiedział, że Instagram szkodzi psychice nastolatek (wewnętrzne badania pokazały, że 32 procent dziewcząt, które źle czują się z własnym ciałem, po Instagramie czuje się jeszcze gorzej). Facebook miał program „XCheck" (cross-check), który wyłączał moderację dla 5,8 miliona „użytkowników VIP". Algorytm News Feed od 2018 roku był nastrojony na maksymalizację „meaningful social interactions" — w praktyce promował treści gniewne i polaryzujące.
Haugen złożyła skargi w SEC, zeznawała w Wielkiej Brytanii, Francji, Niemczech i przed Unią Europejską. Meta — zwana wtedy jeszcze Facebookiem — odpowiada rebrandingiem. 28 października 2021 roku firma zmienia nazwę na Meta. Kilka miesięcy później Mark Zuckerberg chwali się wizją „metawersum". Inwestorzy nie są przekonani. W 2022 roku akcje spadają o 26 procent w jeden dzień po raporcie kwartalnym — największy jednodniowy spadek w historii amerykańskiej giełdy.
Drugie wydarzenie 2021 roku: Pegasus Project. 18 lipca organizacja dziennikarska Forbidden Stories i Amnesty International — we współpracy z siedemnastoma redakcjami na całym świecie — publikują serię artykułów o izraelskiej firmie NSO Group. Jej oprogramowanie „Pegasus" — komercyjny spyware — było używane przez ponad 45 rządów do szpiegowania dziennikarzy, aktywistów, adwokatów, opozycjonistów. Lista 50 tysięcy numerów telefonów „osób interesujących" wycieka.
Wśród ofiar: Jamal Khashoggi (saudyjski dziennikarz, zamordowany w 2018 roku), Nathalie Chiriacescu (adwokatka rodziny Khashoggiego), prezydent Francji Emmanuel Macron, premier Pakistanu Imran Khan, aktywiści meksykańscy, dziennikarze z Azerbejdżanu, Rwandy, Indii. I nie tylko bezpośrednie cele. W niektórych przypadkach — osoby z otoczenia celu, żeby przez nie do niego dotrzeć.
W listopadzie 2021 roku WhatsApp, spółka Mety, dostaje 225 milionów euro kary od irlandzkiego DPC za naruszenie obowiązków informacyjnych. Sierpień 2021 — Apple ogłasza plan skanowania zdjęć na urządzeniach klientów pod kątem CSAM (Child Sexual Abuse Material). Kryptograf Matthew Green i Electronic Frontier Foundation protestują: to precedens, który w innych rękach może posłużyć do szpiegowania dysydentów. Apple wycofuje plan po trzech tygodniach.
Rok 2021 to także rok, w którym Frances Haugen mówi publicznie coś, co wielu podejrzewało, ale nikt od środka nie potwierdził: „Facebook stawia zysk ponad bezpieczeństwo. Wielokrotnie. Systemowo". To nie jest anegdota. To wzorzec, udokumentowany własnymi materiałami firmy. Debata o regulacji się zmienia — ale zmienia się też wymiar polityczny. Wcześniej firmy technologiczne były traktowane jak „coś, co należy wspierać". Od 2021 roku są traktowane jak „coś, co należy regulować".
2022 · Nabywca
Musk kupuje Twittera. Mudge Zatko zeznaje przeciwko Twitterowi.
Kwiecień 2022 roku. Elon Musk po cichu skupuje 9 procent akcji Twittera. 14 kwietnia składa publiczną ofertę: 44 miliardy dolarów za całą firmę. 54,20 dolara za akcję. Żart z liczby 420 nie jest przypadkowy. Zarząd Twittera broni się przez dwa miesiące, w końcu się zgadza. 13 lipca Musk próbuje się wycofać. Twitter pozywa. W październiku Musk musi sfinalizować transakcję. 27 października 2022 roku Elon Musk staje się właścicielem Twittera.
Pierwszy dzień: Musk zwalnia prezesa Paraga Agrawala, CFO Neda Segala, dyrektorkę prawną Vijayę Gadde, głównego radcę prawnego Seana Edgetta. Wygania ich z biura. W listopadzie 2022 zwalnia połowę pracowników — około 3700 osób. W grudniu — kolejne zwolnienia. Zespoły odpowiedzialne za bezpieczeństwo, moderację i etykę AI zostają rozwiązane albo zdziesiątkowane.
W tle trwa inna sprawa. 23 sierpnia 2022 roku Peiter „Mudge" Zatko — legenda hakerska, były szef bezpieczeństwa Twittera (zwolniony w styczniu 2022) — składa formalną skargę sygnalistyczną w SEC, FTC i Departamencie Sprawiedliwości. Zarzuty: Twitter ma „skrajnie krytyczne luki bezpieczeństwa". Połowa pracowników ma dostęp do danych użytkowników bez uzasadnienia. Twitter wprowadza w błąd inwestorów co do liczby botów (kluczowy argument Muska w sporze o akwizycję). Serwery są niezgodne z nakazami FTC z 2011 roku.
Zeznania Zatko przed Senatem, 13 września 2022 roku, są technicznie precyzyjne. Mówi o „shadow IT", o braku segmentacji sieci, o zagranicznych agentach (Hindus, Saudyjczyk) wewnątrz firmy. Twitter reaguje: Zatko został zwolniony za „słabe wyniki". Ale FTC wszczyna postępowanie. Sprawa kończy się w maju 2024 roku — X (nowa nazwa firmy) zgadza się z FTC na dodatkowe wymogi audytowe. Kar formalnych nie było.
W międzyczasie Musk przekształca Twittera w X. W lipcu 2023 roku zmienia logo. Niebieski ptaszek znika. Algorytm wyświetla więcej treści kont płatnych (Twitter Blue, potem X Premium). Niezależni badacze tracą dostęp — wielu z nich korzystało z wygaszonego API. Moderacja staje się wybiórcza. Treści antysemickie, spiskowe, seksistowskie wracają do feedu.
Ale 2022 ma też inne cezury. 25 sierpnia 2022 roku kalifornijski prokurator generalny Rob Bonta ogłasza pierwszą karę w historii CCPA (California Consumer Privacy Act, wzorowanej na RODO): Sephora, 1,2 miliona dolarów. Powód: nieinformowanie klientów, że ich dane są „sprzedawane" (w rozumieniu CCPA — udostępniane trackerom reklamowym). Sephora nie informowała, że sprzedaje. Argumentowała, że to wcale nie jest sprzedaż. Kalifornia: owszem, jest.
Ten sam rok przynosi coś jeszcze. W czerwcu 2022 roku Emily Baker-White z BuzzFeeda publikuje nagrania z wewnętrznych spotkań ByteDance/TikTok. Na nagraniach amerykańscy inżynierowie TikToka mówią o „dostępie z Chin do wszystkiego". Chińska firma macierzysta TikToka, ByteDance, ma — niezależnie od narracji PR — dostęp do danych amerykańskich użytkowników. Od 2023 roku TikTok rusza z programem „Project Texas" — wydzieleniem amerykańskiej infrastruktury. Postępowania prawne trwają do 2025 roku.
Rok 2022 jest pierwszym, w którym publicznie — nie w artykułach prasowych, ale w zeznaniach pod przysięgą przed Senatem — ludzie pracujący w największych firmach technologicznych mówią: „to jest zepsute, od środka, systemowo". Jeśli Haugen (2021) była jednostkowym sygnałem, to 2022 pokazuje, że jest to zjawisko strukturalne: ludzie z wewnątrz odchodzą, bo widzieli, jak wygląda środek.
Sprawy: E03
2023 · Rekord
RODO przestaje być kartką. Zaczyna być kwotą.
22 maja 2023 roku irlandzki Data Protection Commission — pod naciskiem Europejskiej Rady Ochrony Danych — nakłada na Meta Ireland karę 1,2 miliarda euro. Największą w historii RODO. Podstawa: transfer danych europejskich użytkowników Facebooka do Stanów Zjednoczonych bez podstawy prawnej, trzy lata po orzeczeniu Schrems II, które taki transfer unieważniło. Meta korzystała ze Standard Contractual Clauses — ale te, jak orzekł TSUE, nie spełniały wymaganych standardów.
Meta zapowiada apelację. Ale fundamentalnie nie ma już jak się bronić. Transfer do USA w dotychczasowej formie jest nielegalny. Firmy europejskie muszą albo trzymać dane w Europie (drogie), albo czekać na nową ramę prawną — Data Privacy Framework wchodzi w lipcu 2023 i NOYB Schremsa już zapowiada skargę „Schrems III".
Ta sama Meta kilka miesięcy wcześniej dostała 390 milionów euro kary za reklamy behawioralne oparte o „wykonanie umowy" zamiast świadomej zgody. 4 stycznia 2023 roku. To efekt dziewięcioletniej drogi Maxa Schremsa. W praktyce oznacza, że Meta nie może już „automatycznie" serwować reklam spersonalizowanych — musi zapytać o zgodę. W listopadzie 2023 roku firma wprowadza opcję „subskrypcji" — zapłać 9,99 euro miesięcznie, żeby nie widzieć reklam. Alternatywa: zgoda na reklamy. NOYB natychmiast składa skargę: to nie jest „świadoma, dobrowolna zgoda", to szantaż.
Wrzesień 2023 — TikTok dostaje 345 milionów euro od irlandzkiego DPC za naruszenia ochrony danych dzieci. Konta nieletnich były domyślnie publiczne. Funkcja „Family Pairing" pozwalała dorosłym komunikować się z dziećmi bez weryfikacji. Algorytm serwował dzieciom treści dla nich niedozwolone. TikTok zapowiada apelację.
Listopad 2024 — LinkedIn dostaje 310 milionów euro od irlandzkiego DPC. Powód: firma wykorzystywała dane użytkowników (treść postów, wiadomości, kontakty) do treningu wewnętrznych modeli AI — bez zgody, bez podstawy prawnej. Microsoft (właściciel LinkedIn od 2016 roku) zapłaci, ale — jak wszyscy — apelacji nie wyklucza.
Rok 2023 to moment, w którym europejskie egzekwowanie prawa o danych zaczyna realnie kosztować. Ale dla firm, których roczny przychód liczy się w setkach miliardów, nawet rekordowa kara to 0,7 procenta sprzedaży. „Kara jako koszt prowadzenia działalności" — teza tego portalu — zostaje potwierdzona księgowo. Meta płaci i funkcjonuje. TikTok się odwołuje. LinkedIn płaci. Żadna z tych firm nie zmienia fundamentalnie swojego modelu biznesowego.
Ważniejsze niż kwoty jest jednak to, że europejscy regulatorzy dopracowali mechanizm — i używają go już systematycznie. Irlandzki DPC, pod nadzorem Europejskiej Rady, wydaje decyzje w spójnym tempie. Praca analityczna, prawna, dowodowa staje się powtarzalna. To, co w 2010 roku zaczął sam jeden Caspar w Hamburgu, w 2023 roku jest już maszyną.
I jeszcze jedno. W grudniu 2023 roku Parlament Europejski i Rada UE zatwierdzają AI Act — pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Systemy „wysokiego ryzyka" (rekrutacja, kredyt, edukacja) muszą przechodzić audyt. Systemy „zabronione" (social scoring, inwigilacja biometryczna w przestrzeni publicznej — z wyjątkami) są zakazane. Główne przepisy wchodzą w życie w 2026 roku. Ale już teraz firmy technologiczne — zwłaszcza twórcy modeli generatywnych, tacy jak OpenAI, Anthropic czy Google DeepMind — muszą projektować z myślą o tej regulacji.
2024 · Skalowanie
AI trenuje na nas bez pytania. Clearview Włochy — znów.
Rok 2024 to rok, w którym „generative AI" — ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), Llama (Meta), Grok (xAI) — staje się produktem codziennego użytku. Hype z 2023 roku zmienia się w infrastrukturę. A z infrastrukturą przychodzą pytania. Czym trenuje się model? Z jakich danych? Za czyją zgodą?
Wrzesień 2024. LinkedIn (spółka Microsoftu) po cichu aktywuje nową funkcję: dane użytkowników — treść postów, wiadomości, interakcje — będą wykorzystywane do treningu „wewnętrznych modeli AI". Nie ma wielkiego ogłoszenia. Jest mała zmiana w ustawieniach. Domyślnie „włączone". Użytkownik musi wiedzieć, gdzie kliknąć, żeby wyłączyć. Opt-out, nie opt-in.
Reakcja jest szybka. NOYB składa skargę. Irlandzki DPC wszczyna postępowanie. Listopad 2024 — kara 310 milionów euro dla LinkedIn. Podstawa: brak podstawy prawnej przetwarzania. Uzasadniony interes nie wystarcza — musi być zgoda. LinkedIn zapłaci, ale zapowiada apelację. Tymczasem w tym samym czasie Meta (AI Studio), Grok (xAI) i Gemini (Google) robią to samo. Trenują na danych użytkowników. Czasem z opt-outem. Czasem bez.
Marzec 2024: włoski Garante nakłada drugą karę na Clearview AI. 20 milionów euro (poprzednia była w 2022 roku). Firma od 2022 roku ignoruje wszystkie europejskie kary. Argumentuje: nie działa w Europie, nie ma siedziby, biura ani pracowników. RODO — jej zdaniem — jej nie dotyczy. Garante argumentuje inaczej: jeśli Clearview przetwarza dane europejskich obywateli (zdjęcia pobrane z internetu, które pokazują osoby mieszkające w Europie), to podlega RODO. Spór prawny trwa.
W 2024 roku Clearview ma już — według własnych danych — ponad 50 miliardów zdjęć twarzy w bazie. To około sześciu zdjęć na każdego człowieka na Ziemi. Baza rośnie dalej, mimo wszystkich kar, postępowań i pozwów.
Sierpień 2024. xAI — firma Elona Muska — uruchamia Grok Imagine. Generator obrazów wbudowany w X (dawnego Twittera). Produkt nie ma filtrów bezpieczeństwa typowych dla DALL-E czy Midjourney. W ciągu kilku dni w sieci pojawiają się deepfake'i: Taylor Swift w scenach seksualnych, politycy w kompromitujących pozach, fałszywe sceny przemocy. Irlandzki DPC wszczyna postępowanie. Komisja Europejska — pod kątem DSA (Digital Services Act) — też. Grok Imagine dodaje filtry we wrześniu 2024 roku, pod presją.
Listopad 2024 — Komisja Europejska nakłada na Metę 798 milionów euro kary za nadużywanie pozycji dominującej na rynku reklam na Facebook Marketplace. Pierwsza kara antymonopolowa (nie RODO) dla Mety w Europie. Pokazuje, że Komisja zaczyna egzekwować DMA (Digital Markets Act) — ustawę, która weszła w życie w marcu 2024 roku i która nakłada na „gatekeeperów" określone obowiązki.
W 2024 roku wzorzec staje się czytelny: europejscy regulatorzy używają czterech narzędzi równocześnie — RODO (dane), DMA (antymonopol), DSA (moderacja i deepfake) i AI Act (modele). Firmy amerykańskie po raz pierwszy mają poczucie, że Bruksela jest realnym graczem. Do tej pory Bruksela była „bogata, ale wolna". W 2024 staje się „wolna, ale twarda".
Jest jeszcze jeden motyw. W listopadzie 2024 roku Donald Trump wygrywa wybory prezydenckie w USA. Elon Musk zostaje jednym z jego najbliższych doradców. Mark Zuckerberg, Jeff Bezos i Sundar Pichai — wszyscy trzej wpłacają po milionie dolarów na fundusz inauguracyjny Trumpa. Era „Big Techu, który przeprasza przed Senatem" się kończy. Zaczyna się era „Big Techu w Białym Domu".
2025 · Dzień dzisiejszy
Sandboxing — ominięty. Tryb incognito — ominięty. DMA — pierwsza kara.
3 czerwca 2025 roku zespół akademicki z IMDEA Networks (Madryt), Radboud University (Nijmegen) i KU Leuven (Leuven) publikuje raport. Autorzy: Gunes Acar, Narseo Vallina-Rodriguez, Aniketh Girish, Nipuna Weerasekara. Tytuł: „Disclosure of Covert Tracking via Native-to-Browser Bridges on Android".
Ustalenia: Meta (aplikacje Facebook i Instagram) oraz Yandex (przeglądarka Yandex Start) od wielu lat wykorzystywały lokalny kanał komunikacji — localhost, port 12387 (Meta) i 29009/29010 (Yandex) — między aplikacją mobilną a przeglądarką. Skrypty na stronach internetowych łączyły się z tym lokalnym portem. Aplikacja mobilna, znająca tożsamość użytkownika Facebooka lub Yandex ID, odpowiadała. W ten sposób anonimowa sesja przeglądarkowa była łączona z realną tożsamością. Tryb incognito — ominięty. VPN — ominięty. Blokada ciasteczek stron trzecich — ominięta. Sandboxing przeglądarki — czyli w istocie wszystkie mechanizmy Androida do izolowania aplikacji — ominięty.
Tego samego dnia, 3 czerwca 2025 roku, o godzinie 7:45 czasu środkowoeuropejskiego, Meta wyłącza praktykę. Yandex — trochę później tego samego dnia. Dziesięć lat praktyki (pierwsze dowody sięgają 2015 roku). Trzy godziny od publikacji do reakcji. Ta szybkość pokazuje, że technicznie było to zawsze trywialne do wyłączenia. Nie wyłączono, bo nie musiało być wyłączone.
Postępowania Komisji Europejskiej są już w toku. DSA — art. 35 (risk assessment) jest naruszany systemowo, jeśli platforma obchodzi mechanizmy kontrolne użytkownika. DMA — art. 5(2) zakazuje łączenia danych między serwisami tej samej firmy bez wyraźnej zgody. Irlandzki DPC, pod naciskiem EDPB, wszczął własne postępowanie. Niemiecki BfDI, francuski CNIL, włoski Garante — wszyscy działają równolegle.
W kwietniu 2025 roku Komisja Europejska nakłada pierwszą w historii karę DMA: na Metę, 200 milionów euro. Apple — 500 milionów za nadużycia antykonkurencyjne w App Store. W maju — 530 milionów euro dla TikToka za transfery danych do Chin. W sierpniu — propozycja 120 milionów euro dla X za deepfake'i Grok Imagine.
Matryca trwa. Regulatorzy nadążają, ale tylko częściowo. Sprawy są coraz bardziej techniczne, coraz bardziej rozproszone geograficznie, coraz trudniejsze do udokumentowania. Model firm technologicznych — rozrzucony między Irlandię (biuro), USA (serwery), Chiny (kod) i Kajmany (finanse) — jest z definicji trudny do pozwania. Trybunały działają wolniej niż cykle rozwoju produktów.
Są też inne sygnały. W marcu 2025 roku Komisja Europejska zapowiada „DMA 2.0" — drugą wersję ustawy, z silniejszymi narzędziami. W kwietniu brytyjski parlament przyjmuje „Online Safety Act 2.0". W maju kalifornijski senator wnosi ustawę o zakazie wykorzystywania danych nieletnich do treningu AI (poza COPPA, z własną podstawą prawną). W lipcu Brazylia ogłasza program ochrony biometrii obywateli. W październiku Chiny wprowadzają dodatkowe ograniczenia na eksport danych.
Rok 2025 nie jest rokiem, w którym wszystko się kończy. Jest rokiem, w którym wszyscy widzą skalę problemu. 33 udokumentowane sprawy, 12 firm, 480 źródeł. Każda z tych spraw była „nadzwyczajna" w chwili ujawnienia. Razem tworzą obraz. Nie wyjątki. Wzorzec.
Tego właśnie dotyczy ten portal. Nie opisu pojedynczych skandali — chociaż zawiera ich trzydzieści trzy. Dotyczy uświadomienia, że skandale te nie są wypadkami drogowymi. Są inżynieryjnymi wyborami. Celowymi. Systemowymi. I udokumentowanymi.