EN
Wszystkie sprawy A Meta

Cambridge Analytica

87 milionów profili Facebooka i wybory 2016

Explainer · 60s

Cambridge Analytica — 87 milionów profili i wybory 2016

Animacja statyczna (SVG + CSS). Bez dźwięku. Bez narzędzi śledzących. Otwórz w pełnym oknie ↗

A02 — Cambridge Analytica: 87 milionów profili Facebooka i wybory 2016

Kategoria: Manipulacja wyborcza / nieuprawnione przetwarzanie danych / psychometria polityczna Firma/firmy: Meta (Facebook), Cambridge Analytica, SCL Group, Global Science Research (GSR) Lata: 2013–2018 (założenie CA: grudzień 2013; zbiórka danych: 2014–2015; ujawnienie: marzec 2018) Status: CA i SCL — upadłość (maj 2018); ugody Meta wypłacone; precedens dla prawa prywatności ID karty: A02

Metadane

PoleWartość
Kraj/regionUSA, Wielka Brytania, globalnie (wpływ na wybory 2016, Brexit)
Rok ujawnienia17 marca 2018 (Observer, NYT); pierwsze sygnały: grudzień 2015 (Harry Davies, Guardian)
Lata trwania praktyki2014–2015 (zbiórka), 2015–2016 (wykorzystanie), 2016–2018 (ukrywanie)
Łączna kara / ugoda~5,725 mld USD (łącznie)
WalutaUSD + GBP + EUR
Podstawa prawnaFTC Act sec. 5, GDPR (dla UK), UK DPA 1998, prawo stanowe USA (Teksas)
SygnalistaChristopher Wylie
Dziennikarka śledczaCarole Cadwalladr (The Observer/Guardian)
Liczba poszkodowanychOficjalnie: do 87 mln (wg Facebooka); ICO: ok. 30 mln; UK: 1,1 mln
Status (na dziś)Zakończone — wszystkie kluczowe ugody wypłacone

W skrócie

Brytyjsko-amerykańska firma konsultingowa Cambridge Analytica (założona w grudniu 2013 w Delaware jako filia SCL Group, z inwestycją miliardera Roberta Mercera ~15 mln USD i operacyjnym zaangażowaniem Steve’a Bannona jako wiceprezesa) zbudowała w latach 2014–2015 gigantyczną bazę psychometryczną opartą o dane 87 milionów profili użytkowników Facebooka. Dane zostały pozyskane przez naukowca z Uniwersytetu Cambridge Aleksandra Kogana i jego firmę Global Science Research (GSR), poprzez aplikację quizową “thisisyourdigitallife” — 270 000 osób pobrało aplikację, wypełniało quiz osobowości za drobne wynagrodzenie z Amazon Mechanical Turk, a Facebook Graph API v1.0 pozwalała aplikacji pobrać dane także wszystkich ich znajomych (średnio 300 na osobę) bez wiedzy i zgody tych znajomych. Dane zostały przekazane CA niezgodnie z regulaminem Facebooka i wykorzystane do targetowania politycznego na rzecz kampanii Teda Cruza, a następnie Donalda Trumpa w wyborach prezydenckich 2016.

Sprawa wybuchła 17 marca 2018 po równoległych publikacjach The Observer (Carole Cadwalladr), The New York Times i Channel 4 News. Sygnalistą był Christopher Wylie, były dyrektor badań CA — 28-letni Kanadyjczyk o różowych włosach, który opisał siebie jako “tego, który zbudował narzędzie wojny psychologicznej Steve’a Bannona”. Ujawnił dokumenty, zrzuty ekranu umów i nagrania. Channel 4 dołożył do tego ukrytą kamerę z dyrektorem CA Alexandrem Nixem, chwalącym się oferowaniem kampaniom “pięknych Ukrainek” do kompromitacji konkurentów.

Skutki: Facebook zawiesił CA 16 marca 2018; 1 maja 2018 CA i SCL ogłosiły upadłość; akcje Facebooka spadły o 24% (utrata ~134 mld USD kapitalizacji w tygodniu); Mark Zuckerberg zeznawał przed Kongresem USA 10–11 kwietnia 2018 (blisko 10 godzin pytań). Kary dla Facebooka: 5 mld USD FTC (2019, największa kara FTC w historii), 100 mln USD SEC (2019), 725 mln USD ugoda pozew zbiorowy (2022), ugoda pozwu akcjonariuszy na nieujawnionych warunkach (17 lipca 2025; akcjonariusze żądali 8 mld USD), 1,4 mld USD ugoda stanu Teksas (2024), 500 tys. GBP w UK (ICO). Alexander Nix i Aleksandr Kogan dostali 20-letnie zakazy prowadzenia określonej działalności (FTC, grudzień 2019).

Oś czasu

  • Jesień 2013 — Christopher Wylie spotyka Steve’a Bannona po raz pierwszy. Wkrótce potem Wylie i Alexander Nix spotykają się z Robertem i Rebekah Mercerami w Nowym Jorku.
  • Późny 2013 — Robert Mercer finansuje pilotażowy projekt 1,5 mln USD z SCL Group; testowanie psychograficznego targetingu w wyborach gubernatorskich w Wirginii.
  • 31 grudnia 2013 — Cambridge Analytica LLC zarejestrowana w Delaware.
  • Wiosna 2014 — Aleksandr Kogan zakłada Global Science Research (GSR).
  • 4 czerwca 2014 — SCL Group podpisuje umowę z GSR na pozyskanie danych z Facebooka. Mercer inwestuje 15 mln USD w joint venture.
  • Lipiec 2014 — amerykański prawnik Laurence Levy ostrzega, że CA może naruszać prawo wyborcze dotyczące udziału zagranicznych obywateli w wyborach USA (Brytyjczycy Nix, Wylie a USA).
  • Lato–jesień 2014 — aplikacja “thisisyourdigitallife” na Facebooku zbiera dane od 270 000 użytkowników — oni wyrażają zgodę za ~1 USD przez Mechanical Turk, ale nie ich 87 mln znajomych, których dane również są pobrane.
  • Styczeń 2015 — druga umowa GSR–SCL, dostarczenie rozszerzonego zbioru z personality scores.
  • Kwiecień 2015 — Facebook deprecjuje Graph API v1.0 (Friends API).
  • 11 grudnia 2015Harry Davies w The Guardian publikuje pierwszy artykuł: “Ted Cruz using firm that harvested data on millions of unwitting Facebook users”. Pierwsze publiczne ujawnienie. Facebook nie podejmuje natychmiastowych działań.
  • Kwiecień 2015 – kwiecień 2016 — Cambridge Analytica pracuje dla kampanii Teda Cruza w prawyborach GOP. Po wygranej Trumpa przenosi operacje na jego kampanię.
  • Maj 2016 — Trump zatrudnia CA; Steve Bannon zostaje szefem kampanii Trumpa w sierpniu 2016.
  • Listopad 2016 — Trump wygrywa wybory prezydenckie USA.
  • Czerwiec 2016 — referendum w sprawie Brexitu; późniejsze doniesienia o udziale CA zostaną przez ICO uznane za marginalne (“no significant breaches”).
  • 20 stycznia 2017 — Bannon obejmuje funkcję Chief Strategist Białego Domu.
  • Kwiecień 2017 — Bannon zbywa udziały w CA zgodnie z wymaganiami etycznymi (udziały miał wart 1–5 mln USD).
  • Marzec 2017 — CA zaczyna być kontrowersyjna, ale skandal jeszcze nie wybucha.
  • Wrzesień 2017 — Christopher Wylie zaczyna współpracę z The Guardian i Carole Cadwalladr.
  • Październik 2017 – luty 2018 — dziennikarskie śledztwo; Wylie gromadzi dokumenty, umowy, e-maile.
  • 16 marca 2018, wieczór (USA) — Facebook wyprzedza publikację i ogłasza zawieszenie CA oraz SCL Group z platformy.
  • 17 marca 2018The Observer (Cadwalladr, Wylie jako sygnalista) i The New York Times publikują zsynchronizowane śledztwa. UK Information Commissioner Elizabeth Denham wydaje oświadczenie: “badamy okoliczności, w jakich dane Facebooka mogły zostać bezprawnie pozyskane i wykorzystane”.
  • 19 marca 2018Channel 4 News publikuje pierwszą część śledztwa z ukrytą kamerą w CA. Facebook wysyła śledczych do biur CA; ICO nakazuje im się wstrzymać.
  • 20 marca 2018Channel 4 News pokazuje drugą część: Alexander Nix chwali się “dostarczaniem pięknych Ukrainek do domów konkurentów”.
  • 21 marca 2018 — Mark Zuckerberg publikuje pierwsze publiczne oświadczenie po 5 dniach ciszy.
  • 26 marca 2018 — FTC ogłasza otwarcie dochodzenia.
  • 10–11 kwietnia 2018 — Mark Zuckerberg zeznaje przed Kongresem USA (Senat i Izba Reprezentantów); łącznie ~10 godzin zeznań.
  • 22 maja 2018 — Zuckerberg zeznaje przed Parlamentem Europejskim.
  • 1 maja 2018 — CA i SCL Group składają wniosek o upadłość.
  • 24 października 2018 — brytyjski ICO wydaje Monetary Penalty Notice na 500 000 GBP wobec Facebooka (kara maksymalna w ramach przedRODO-wskiego UK DPA 1998); Facebook zapłaci po ugodzie 30 października 2019.
  • 24 lipca 2019FTC ogłasza karę 5 miliardów USD dla Facebooka — największa w historii FTC; 20-letnia zgoda na nadzór.
  • 24 lipca 2019 — SEC nakłada karę 100 mln USD za wprowadzanie inwestorów w błąd.
  • 6 grudnia 2019 — FTC zawiera zgody administracyjne z Alexandrem Nixem i Aleksandrem Koganem: 20-letnie zakazy określonej działalności; obowiązek usunięcia danych i modeli.
  • Grudzień 2022 — Meta zgadza się na ugodę 725 mln USD w pozwie zbiorowym (In re: Facebook Inc. Consumer Privacy User Profile Litigation, N.D. Cal.).
  • 2022 — stan Teksas pozywa Meta za naruszenie prawa stanowego ochrony biometrii (BIPA-podobne); sprawa nie dotyczy bezpośrednio CA, ale ogólnego naruszenia prywatności.
  • 30 lipca 2024ugoda 1,4 mld USD w Teksasie (sprawa rozpoznawania twarzy, ale historycznie łączona z całościowym rozrachunkiem Meta).
  • 17 lipca 2025ugoda na nieujawnionych warunkach w pozwie akcjonariuszy (shareholder derivative suit) w Delaware Court of Chancery przeciwko zarządowi Meta i samemu Zuckerbergowi personalnie; akcjonariusze pierwotnie żądali 8 mld USD odszkodowania (zwrot kar i kosztów po skandalu CA). Strony zawarły ugodę na początku drugiego dnia procesu, bez ujawnienia kwoty.

Mechanizm

Jak to działało — warstwa techniczna

Graph API v1.0 (2010–2015) pozwalała aplikacji, której użytkownik dał zgodę na dostęp do swoich danych, pobrać również dane jego znajomych, o ile znajomi mieli w ustawieniach prywatności odpowiednie pole włączone (domyślnie — tak). To była projektowa decyzja Facebooka, nie błąd. Mark Zuckerberg zeznając przed Kongresem przyznał: “Facebook audytuje dziesiątki tysięcy aplikacji”, które miały podobny dostęp.

Aleksandr Kogan stworzył aplikację “thisisyourdigitallife” — quiz osobowości oparty na psychometrii OCEAN (Big Five: Openness, Conscientiousness, Extraversion, Agreeableness, Neuroticism). Użytkownicy rekrutowani przez Amazon Mechanical Turk (płaceni groszami) zgadzali się na udział w rzekomym “badaniu akademickim”. Po instalacji aplikacja pobierała:

  • Dane użytkownika: profil publiczny, urodziny, polubienia, lokalizacja
  • Dane znajomych: imiona i nazwiska, polubienia, biografie, lokalizacje — wszystko bez ich zgody

Kogan osiągnął 270 000 zainstalowanych aplikacji → ~87 milionów powiązanych profili. Dane przekazał CA/SCL Elections, łamiąc regulamin Facebooka (Kogan obiecał Facebookowi wykorzystanie tylko akademickie). W FTC complaint (grudzień 2019) ujawniono, że aplikacja kłamała użytkownikom: komunikat informował “nie pobierzemy żadnych identyfikujących Cię informacji” — w rzeczywistości pobierała Facebook User ID, który jest unikalnym identyfikatorem.

Warstwa polityczna — psychografia i microtargeting

CA utrzymywała, że dysponuje ~5000 punktów danych na osobę dorosłego Amerykanina. Połączenie danych z Facebooka z:

  • publicznymi bazami wyborczymi (imiona, adresy, historia głosowania)
  • komercyjnymi brokerami danych (zakupy, czasopisma, abonamenty)
  • ankietami online

pozwalało — zdaniem CA — przewidywać osobowość OCEAN i tworzyć segmenty mikrotargetowe. Np. segment “paranoiczny gun owner w Pennsylwanii” otrzymywał inne reklamy niż “optymistyczna matka w Michigan”.

Krytyczna uwaga: po zakończeniu postępowania brytyjski ICO stwierdził w raporcie dla Parlamentu (2020), że wiele sprzedażowych materiałów CA i twierdzeń Wylie’go było przesadzonych. Wewnętrzna komunikacja CA wskazywała na “sceptycyzm co do rzeczywistej trafności przetwarzania”. Innymi słowy: CA sprzedawała psychograficzną magię, ale jej metody były w dużej części konwencjonalną analityką danych plus aura tajemnicy. Paradoks: to nie czyni sprawy mniej poważną — oznacza tylko, że faktyczny wpływ CA na wybory 2016 jest trudny do zmierzenia, ale naruszenia prywatności i regulaminu Facebooka były całkiem realne i wpłynęły na 87 mln osób.

Dlaczego to było nielegalne/szkodliwe

  • Regulamin Facebooka — Kogan zadeklarował użycie akademickie, przekazał komercyjnie; CA wiedziała
  • USA Federal Election Campaign Act — podejrzenia o udział obywateli UK w decyzjach amerykańskiej kampanii (Nix, Wylie, wielu z CA byli Brytyjczykami)
  • UK Data Protection Act 1998 — podstawa grzywny ICO 500 tys. GBP
  • FTC Act sec. 5 — Facebook wprowadzał konsumentów w błąd co do zakresu ochrony danych i miał Consent Order z 2012 roku (Facebook v. FTC), który już wtedy zobowiązywał go do ochrony prywatności — sprawa CA była jego naruszeniem
  • Prawo stanowe Teksasu (UCL) — przez wprowadzanie w błąd co do ochrony danych obywateli stanu

Odkrycie

Kto odkrył i kiedy

Christopher Wylie (sygnalista) — Kanadyjczyk urodzony 1989 w Victorii w Kolumbii Brytyjskiej. Samouk w dziedzinie analizy danych, bez formalnego wykształcenia w IT — studiował prawo w London School of Economics. Od 2013 do 2014 pracował jako dyrektor badań w SCL Elections/CA. To on — jako 24-latek — zaproponował Bannonowi psychometryczny model targetingu, zaczerpnięty z prac dr Michała Kosińskiego z Cambridge Psychometrics Centre. Kogan był jego substytutem po tym, jak Kosiński odmówił współpracy. Wylie odszedł z CA w 2014, ale przechowywał dokumentację.

W 2017, zainicjowawszy kontakt z Carole Cadwalladr, Wylie przekazał jej dokumenty, umowy, zrzuty ekranu, faktury, nagrania. W wywiadzie dla The Observer z 17 marca 2018 opisał siebie i CA:

“Wykorzystaliśmy Facebooka, by zbierać miliony profili ludzi. I zbudowaliśmy modele, by wykorzystać to, co wiedzieliśmy o nich, i celować w ich wewnętrzne demony. To była podstawa, na której zbudowano całą firmę.”

Harry Davies — GUARDIAN — grudzień 2015 — formalnie pierwszy dziennikarz, który ujawnił sprawę ponad 2 lata przed wybuchem. Jego artykuł “Ted Cruz using firm that harvested data on millions of unwitting Facebook users” zawierał wiele kluczowych faktów. Facebook otrzymał zapytania prasowe, wewnętrznie wszczął “dochodzenie”, ale nie podjął publicznych działań. Dopiero w marcu 2019 Facebook przyznał, że “miał obawy” już w grudniu 2015 — wbrew wcześniejszym oświadczeniom, że dowiedział się dopiero w 2018.

Kanał 4 News — undercover sting (19–20 marca 2018)

Channel 4 News wysłał reporterów podających się za klientów kampanii politycznej ze Sri Lanki. Alexander Nix (CEO CA) w nagraniach przechwala się:

  • oferowaniem “pięknych Ukrainek w domu konkurenta”
  • nagrywaniem łapówek w ukrytych filmach
  • operacjami pod fałszywymi tożsamościami i fikcyjnymi firmami
  • fabrykowaniem emocjonalnie poruszających treści dla kampanii, dopasowanych do obaw wyborców

Po emisji — Mark Turnbull, dyrektor zarządzający CA Political Global, zostaje zawieszony. Alexander Nix zostaje zawieszony 20 marca 2018, potem usunięty z CA.

Osoby kluczowe

Sygnalista

  • Christopher Wylie (ur. 1989) — eks-dyrektor badań CA. Po ujawnieniu opublikował książkę Mindfck: Cambridge Analytica and the Plot to Break America* (2019). Konsultował dla regulatorów i komisji parlamentarnych (UK Parliament, US Congress, EU Parliament).

Dziennikarze śledczy

  • Carole Cadwalladr (The Observer/The Guardian) — przez 2 lata sama prowadziła śledztwo, często w samotności; była pozywana przez Arrona Banksa (sfinansował CA/Leave.EU), wygrała apelację w UK High Court — precedens dla prawa prasy brytyjskiej. Otrzymała Polk Award (2018) i Orwell Prize (2018).
  • Harry Davies (The Guardian) — pierwszy (grudzień 2015), zlekceważony.
  • Matthew Rosenberg, Nicholas Confessore, Gabriel J.X. Dance (The New York Times) — równoległe śledztwo, publikacja 17 marca 2018.
  • Jake Kanter, Lisa Carlin, Job Rabkin (Channel 4 News) — sting operation.

Sprawcy / beneficjenci

  • Alexander Nix — CEO CA; po ujawnieniu zawieszony, usunięty; FTC zakaz 20-letni (2019).
  • Aleksandr Kogan — naukowiec Cambridge (2012–2018, potem opuścił uniwersytet); FTC zakaz 20-letni.
  • Steve Bannon — wiceprezes CA; architekt kampanii Trumpa; późniejsze zarzuty oszustwa finansowego w sprawie “We Build the Wall” (2020), ułaskawienie przez Trumpa (2021), skazanie za kontempt Kongresu (2022).
  • Robert Mercer — miliarder finansujący (Renaissance Technologies); ~15 mln USD w CA.
  • Rebekah Mercer — córka Roberta, członkini rady CA, współwłaścicielka Breitbart.
  • Mark Zuckerberg — CEO Meta; zeznania w Kongresie i PE; stało się frazą o “senatorze ze szklanych okularów”.
  • Sheryl Sandberg — COO Meta (do 2022).

Regulatorzy

  • Elizabeth Denham — UK Information Commissioner (2016–2021); prowadziła dochodzenie ICO.
  • Joe Simons, Rohit Chopra, Rebecca Kelly Slaughter — komisarze FTC w 2019.
  • Ken Paxton — AG Teksasu, doprowadził do ugody 1,4 mld USD.

Reakcja firmy

Meta (Facebook) — początkowa obrona

Pierwsza publiczna reakcja: post Paula Grewala (VP & Deputy General Counsel) 17 marca 2018: “Twierdzenie, że to data breach, jest całkowicie fałszywe. Aleksandr Kogan zażądał i uzyskał dostęp do informacji od użytkowników, którzy wybrali jego aplikację, i wszyscy zaangażowani wyrazili zgodę.”

Alex Stamos, wówczas CSO Facebooka, również tweetował, że “to nie był wyciek” — tweet później skasował. Zaledwie 10 dni później sam Stamos ogłosił odejście z Facebooka.

Analiza: technicznie Facebook miał rację, że to nie “breach” w sensie hakerskim — nikt nie włamał się na serwery. Ale dla 87 milionów użytkowników, których dane zostały wykorzystane politycznie bez ich wiedzy, różnica była akademicka. Oświadczenie to przeszło do kanonu niezdarnej reakcji PR-owej Big Tech.

Zeznania Zuckerberga w Kongresie (10–11 kwietnia 2018)

Zuckerberg stał się obiektem memów ze względu na:

  • zapis Senatora Hatcha pytającego, jak Facebook zarabia (Zuck: “Senator, wyświetlamy reklamy”)
  • wygląd niemal robotyczny, “przygotowany”
  • podkładkę z notatkami do samej siebie na stole, którą fotograf Getty Images zoomował

Działania naprawcze Meta

  • zawieszenie CA, SCL, GSR
  • audyt “dziesiątek tysięcy aplikacji” z dostępem do danych
  • nowe polityki dewelopersikie
  • “Download your data” rozszerzone
  • wprowadzenie “Ad Library” — publicznego rejestru reklam politycznych
  • rozwiązanie API v1.0 (już wcześniej, w 2015)

Postępowanie prawne

USA — FTC

  • Consent Order 2012 — Facebook już był pod nadzorem FTC za wcześniejsze naruszenia prywatności. Sprawa CA naruszyła ten order.
  • 24 lipca 2019 — 5 mld USD — największa kara FTC w historii (do tego momentu); wynegocjowana ugoda w zamian za 20-letni Consent Order 2019, który ustanawia Independent Privacy Committee i kwartalne raporty dla FTC.

USA — SEC

  • 24 lipca 2019 — 100 mln USD — za wprowadzanie inwestorów w błąd (nie ujawnił ryzyka nadużyć danych przez CA w raportach 10-K przez ponad 2 lata, mimo że wiedział od grudnia 2015).

USA — Teksas

  • 2022–2024 — Ken Paxton pozywa Meta za naruszenie Teksas Capture or Use of Biometric Identifier Act (CUBI) i Deceptive Trade Practices Act.
  • 30 lipca 2024ugoda 1,4 mld USD — największa w historii stanu Teksas w sprawie prywatności.

USA — pozew zbiorowy konsumencki

  • 2018–2022 — In re Facebook, Inc. Consumer Privacy User Profile Litigation (N.D. Cal., MDL 2843).
  • Grudzień 2022 — ugoda 725 mln USD. Certyfikacja klasy 17 kwietnia 2023. Termin składania claimów: 25 sierpnia 2023.

USA — pozew akcjonariuszy (shareholder derivative)

  • 2021–2025 — pozew akcjonariuszy w Delaware przeciwko zarządowi Meta.
  • 17 lipca 2025ugoda na nieujawnionych warunkach w Delaware Court of Chancery; akcjonariusze pierwotnie domagali się 8 mld USD (zwrot kar i kosztów po skandalu CA). Kwota faktycznej wypłaty pozostaje pod klauzulą poufności.

UK — ICO

  • Październik 2018 — grzywna 500 000 GBP — maksymalna wg DPA 1998. Komentarz Elizabeth Denham: gdyby sprawa zdarzyła się po 25 maja 2018 (RODO), grzywna byłaby znacząco wyższa — do 4% rocznego obrotu globalnego.

Orzecznictwo powiązane

  • Facebook v. FTC (2012) — pierwszy Consent Order, nadbudowa nad sprawą CA.
  • In re Facebook, Inc. Consumer Privacy User Profile Litigation — obecnie precedens dla definicji szkody w sprawach prywatności w USA.

Kary i ugody

DataOrgan / StronaKwotaJurysdykcjaPodstawa
24.10.2018ICO UK500 000 GBPUKDPA 1998
24.07.2019FTC5 000 000 000 USDUSAFTC Act sec. 5 + Consent Order 2012
24.07.2019SEC100 000 000 USDUSASecurities Act, disclosure
06.12.2019FTC (Nix)zakaz + brak kwotyUSAFTC Act
06.12.2019FTC (Kogan)zakaz + brak kwotyUSAFTC Act
12.2022Pozew zbiorowy (Meta)725 000 000 USDUSAFederal i stanowe
30.07.2024Stan Teksas1 400 000 000 USDUSACUBI, DTPA
17.07.2025Pozew akcjonariuszynieujawnione (żądano 8 mld USD)USA (Delaware)Breach of fiduciary duty

Razem (przybliżenie): ~15,7 mld USD + 500 tys. GBP (choć ugoda teksańska jest uznawana także za pokrycie sprawy biometrycznej, a ugoda akcjonariuszy obejmuje szersze zagadnienia nadzoru).

Precedensy i implikacje

Dla prawa UE

  • Sprawa zbiegła się w czasie z wejściem w życie RODO (25 maja 2018). Wiele przepisów RODO zostało dopracowanych w reakcji na CA:
    • Art. 25 — privacy by design jako obowiązek, nie rekomendacja
    • Art. 32 — wymóg pseudonimizacji i szyfrowania
    • Art. 35 — ocena skutków dla ochrony danych (DPIA)
  • DSA (2022) — wymóg oznaczania reklam politycznych, mitygacji ryzyk systemowych
  • Regulation on Political Advertising (2024) — reguluje targeting oparty na profilowaniu politycznym

Dla prawa USA

  • Po CA wiele stanów przyspieszyło prace nad prawem prywatności:
    • California CCPA (2018, efektywna od 2020)
    • California CPRA (2020, efektywna od 2023)
    • Virginia VCDPA, Colorado CPA, Connecticut CTDPA itd.
  • Niesprawiedliwość federalnego prawa — do dziś USA nie ma federalnego prawa prywatności, co kontrastuje z UE.

Dla praktyki Big Tech

  • Zamknięcie Graph API v1.0 (2015) — już wcześniej, ale CA je ujawniło jako realne zagrożenie
  • Obowiązkowe audyty aplikacji trzecich stron
  • Transparentność reklam politycznych — Facebook Ad Library, Google Transparency Report
  • Wzrost niezależnych audytów — firm jak Mozilla, EFF, NOYB

Dla polityki i demokracji

Po CA stało się powszechne obserwowanie wyborów 2016 jako precedensu “złamanej demokracji przez dezinformację technologiczną”. Akademicki konsensus jest bardziej ostrożny (rzeczywisty wpływ CA trudny do zmierzenia), ale dyskurs publiczny skutecznie przesunął się — społeczeństwa zaczęły postrzegać Big Tech jako zagrożenie demokratyczne, co w linii prostej przełożyło się na mandat regulatorów do wprowadzenia DSA, DMA i innych ram.

Pozwy zbiorowe

SprawaSądStanWartośćPoszkodowani
In re Facebook Inc. Consumer Privacy User Profile Litigation (MDL 2843)N.D. Cal.Ugoda 12.2022, wypłaty 2024725 mln USDok. 250–280 mln użytkowników FB w USA (2007–2022)
Shareholder derivative (In re Meta Platforms, Inc. Stockholder Litigation)Delaware ChanceryUgoda 17.07.2025nieujawnione (żądano 8 mld USD)Akcjonariusze Meta

Wnioski dla obywateli

Co to dla mnie znaczy?

Jeśli miałeś konto na Facebooku w latach 2013–2015, jest statystycznie prawdopodobne, że Twoje dane (polubienia, lokalizacja, znajomi) zostały pobrane przez aplikację “thisisyourdigitallife”, mimo że sam jej nie instalowałeś — wystarczyło, że zrobił to jeden ze znajomych z otwartymi ustawieniami prywatności. Dane te posłużyły do profilowania politycznego w USA i prawdopodobnie innych krajach.

Jak się chronić?

  1. Przeglądaj okresowo aplikacje trzecie, które mają dostęp do Twojego konta Facebook (Ustawienia → Aplikacje i strony)
  2. Wyłącz “Platform for Friends” — ustawienie pozwalające znajomym dzielić się Twoimi danymi z aplikacjami, z których Ty nie korzystasz
  3. Regularnie pobieraj swoje dane (Ustawienia → Pobierz informacje) — żebyś wiedział, co Facebook o Tobie ma
  4. Zastanów się, czy w ogóle potrzebujesz Facebooka — koszty prywatności są realne
  5. Edukuj znajomych i rodzinę — problem “wirusowego” udostępniania danych nie kończy się na Twoich ustawieniach

Jakie mam prawa?

  • RODO art. 15 — prawo dostępu do Twoich danych u Facebooka
  • RODO art. 17 — “prawo do bycia zapomnianym”
  • RODO art. 21 — sprzeciw wobec przetwarzania w celach marketingowych i profilowania politycznego
  • Jeśli jesteś rezydentem USA: możesz dołączyć do innych pozwów zbiorowych (większość aktualnie zamkniętych, ale nowe powstają)

Gdzie się zgłosić?

  • Polska: UODO — uodo.gov.pl
  • NOYBnoyb.eu
  • Irlandzki DPC — główny regulator Meta w UE

Dla mediatorów, prawników i doradców

  • Sprawa CA to kanoniczny przykład asymetrii informacyjnej między platformą a użytkownikiem; w sprawach sądowych wokół ochrony danych często podnosi się jako precedens “konstruktywnej zgody” jako fikcji.
  • Dla mediatorów rodzinnych i rozwodowych: psychometryczne targetowanie jest wykorzystywane nie tylko politycznie — również komercyjnie (kampanie hipoteczne, ubezpieczeniowe), co może mieć implikacje dla sprawiedliwości kontraktowej i wyzysku konsumenckiego.

Ciekawostki

  • Christopher Wylie miał 24 lata, gdy zaproponował Bannonowi psychometryczny model; różowe włosy, eccentric look stały się ikoną publicysyczną sprawy. Jego cytat: “Zbudowałem narzędzie wojny psychologicznej Steve’a Bannona. To była jego platforma do manipulowania ludźmi.”
  • Alexander Nix w ukrytej kamerze Channel 4 zaprezentował całą tablicę brudnych tricków: “pięknie Ukrainki w domu polityka”, “bomby ze zwłokami w kampaniach afrykańskich” — aktualnie krążący mem kompromitacji na samym szczycie.
  • Aleksandr Kogan to postać tragikomiczna — urodzony w Mołdawii, wychowany w Brooklynie, Cambridge lecturer od 2012, pobrał ok. 800 000 USD za dostarczenie danych CA (plus koszty), a po 2018 stracił pracę na uniwersytecie. Przed incydentem był znany z badań nad oksytocyną i życzliwością — ironiczny kontrast z tym, co zrobił.
  • Mark Zuckerberg jako mem — jego zeznania przed Senatem USA dały viralowe obrazy: sztywna poza, identyczne niebieskie koszule, poduszka na krześle, podkładka z notatkami zaczynająca się od “MOŻESZ NIE ODPOWIADAĆ”.
  • Steve Bannon odwiedzał Warszawę i Budapeszt w latach 2017–2020, wspierając Orbán i PiS; wątki te nie weszły jednak do formalnego śledztwa ICO, choć pojawiały się w komentarzach Wylie’go.
  • Boris Johnson miał spotkania z Alexandrem Nixem w 2016, będąc brytyjskim ministrem spraw zagranicznych; Foreign Office zasięgał porad CA.
  • Emma Briant, akademik z Uniwersytetu w Essex, prowadziła równoległe badania CA i SCL przez lata przed wybuchem sprawy; jej wiedza została wykorzystana przez dziennikarzy i parlamenty.
  • Lukoil, rosyjski gigant naftowy, wg Wylie’go wyrażał zainteresowanie danymi CA (możliwość targetowania amerykańskich wyborców) — podczas spotkań w Turcji i Londynie 2014–2015. Alexander Nix w Parlamencie UK zaprzeczył jakimkolwiek powiązaniom.
  • Pierwszy sygnał w Guardianie (grudzień 2015) to Harry Davies — ale to Carole Cadwalladr jest zapamiętana, bo wróciła do tematu z Wyliem jako sygnalistą.
  • Carole Cadwalladr została pozwana przez Arrona Banksa (miliarder brytyjski, sfinansował kampanię Leave.EU) o zniesławienie; wygrała apelację w UK High Court w 2023 — precedens obrony dziennikarstwa śledczego przed SLAPP.
  • Jeden z najbardziej “czytanych” cytatów Zuckerberga z zeznań: Senator Hatch — “Jak Państwo utrzymują biznes?”. Zuck: “Senator, wyświetlamy reklamy.” Chwila ta została zmemifikowana jako symbol technologicznej przepaści między regulatorami a Big Tech.
  • Po upadłości CA założono firmy spadkowe — Emerdata Ltd. — wielu tych samych ludzi, nowe nazwy. Powtarzalny wzorzec w Big Tech.
  • Witryna [thisisyourdigitallife.com] nie istnieje, ale cached wersje są w Wayback Machine — aplikacja była wyjątkowo prosta graficznie, co kontrastuje z jej skalą.

Źródła

  1. Carole Cadwalladr, Emma Graham-Harrison, “Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach”, The Observer/The Guardian, 17 marca 2018. URL: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election (dostęp: 2026-04-17)
  2. Matthew Rosenberg, Nicholas Confessore, Carole Cadwalladr, “How Trump Consultants Exploited the Facebook Data of Millions”, The New York Times, 17 marca 2018. URL: https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html (dostęp: 2026-04-17)
  3. Harry Davies, “Ted Cruz using firm that harvested data on millions of unwitting Facebook users”, The Guardian, 11 grudnia 2015. URL: https://www.theguardian.com/us-news/2015/dec/11/senator-ted-cruz-president-campaign-facebook-user-data (dostęp: 2026-04-17)
  4. Channel 4 News, “Exposed: Undercover secrets of Trump’s data firm”, 19–20 marca 2018. URL: https://www.channel4.com/news/exposed-undercover-secrets-of-donald-trump-data-firm-cambridge-analytica (dostęp: 2026-04-17)
  5. Federal Trade Commission, “FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook”, 24 lipca 2019. URL: https://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions-facebook (dostęp: 2026-04-17)
  6. FTC, “Cambridge Analytica Kogan-Nix Complaint”, dokument administracyjny, grudzień 2019. URL: https://www.ftc.gov/system/files/documents/cases/182_3106_kogan-nix_complaint.pdf (dostęp: 2026-04-17)
  7. ICO UK, “Investigation into the use of data analytics in political campaigns”, raport dla Parlamentu, październik 2020. URL: https://ico.org.uk/media/action-weve-taken/2618383/20201002_ico-o-ed-l-rtl-0181_to-julian-knight-mp.pdf (dostęp: 2026-04-17)
  8. Christopher Wylie, Mindfck: Cambridge Analytica and the Plot to Break America*, Random House, 2019.
  9. Wikipedia (English), “Facebook–Cambridge Analytica data scandal”, stan na marzec 2026. URL: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Analytica_data_scandal (dostęp: 2026-04-17)
  10. Wikipedia (English), “Cambridge Analytica”. URL: https://en.wikipedia.org/wiki/Cambridge_Analytica (dostęp: 2026-04-17)
  11. Wikipedia (English), “Aleksandr Kogan (scientist)”. URL: https://en.wikipedia.org/wiki/Aleksandr_Kogan_(scientist) (dostęp: 2026-04-17)
  12. Ziad Ramley, “Cambridge Analytica: A timeline of events”, Medium, 21 marca 2018. URL: https://medium.com/@ziadramley/cambridge-analytica-a-timeline-of-events-326ab3ef01a9 (dostęp: 2026-04-17)
  13. Jackson School of International Studies, University of Washington, “Facebook and Data Privacy in the Age of Cambridge Analytica”, analiza akademicka. URL: https://jsis.washington.edu/news/facebook-data-privacy-age-cambridge-analytica/ (dostęp: 2026-04-17)
  14. SourceWatch, “Cambridge Analytica”, hasło encyklopedyczne. URL: https://www.sourcewatch.org/index.php/Cambridge_Analytica (dostęp: 2026-04-17)
  15. TEXTIFIRE Medium, “A Special Relationship & the Birth of Cambridge Analytica”, 8 maja 2019. URL: https://medium.com/textifire/a-special-relationship-the-birth-of-cambridge-analytica-97633129cb06 (dostęp: 2026-04-17)

Ostatnia aktualizacja: 2026-04-17 Karta w bazie: A02_cambridge_analytica.md

Powiązane sprawy

Sprawy dzielące firmę, mechanizm, precedens prawny lub jurysdykcję.