Korisnici plaćaju cenu rupa u propisima o zaštiti privatnosti.
Enkripcija s-kraja-na-kraj predstavlja više od izraza koja je trenutno popularan.
Ona ima ozbiljan uticaj na privatnost korisnika, u svetu u kojem su platforme za razmenu poruka uobičajeni deo svakodnevnog života.
Enkripcija sprečava da konverzaciju nadgleda sama platforma za poruke, da čet ne bude prodat trećoj strani radi finansijske dobiti, a važna je i u slučaju da dođe do curenja podataka kompanije.
To su važne, vitalne karakteristike upotrebe enkripcije.
Usled toga se postavlja sledeće pitanje: kada su širom sveta počele da se usvajaju zakonske regulative o privatnosti - poput Opšte uredbe o zaštiti podataka (engleski: GDPR, od General Data Protection Regulation) koju je usvojila EU - zašto aplikacije za razmenu poruka nisu enkripciju s-kraja-na-kraj učinile sastavnim tj. ključnim i automatski aktiviranim delom svojih platformi.
Kako bismo to razumeli, prethodno moramo da razumemo rupe koje su prisutne u sadašnjoj zakonskoj regulativi o privatnosti.
S obzirom na to da je regulativa definisana veoma široko, moguće ju je tumačiti na različite načine. U okviru spomenutog GDPR-a, isti set obaveza važi i za domaću radnju i za najveću tehnološku kompaniju, pa je jasno da se već time stvara prostor za različite interpretacije. Na kraju, sami entiteti odlučuju na koji način će se ponašati u okviru pravila. Ako se regulativa ili zakon sprovode u više različitih zemalja - kao što se GDPR primenjuje u zemljama Evropske unije - oni će se različito primenjivati u svakoj konkretnoj zemlji. Primera radi, Nemačka je usvojila dodatne zakone o privatnosti (FDPA, od engleskog: Federal Data Protection Act), u skladu sa GDPR-om. Dakle, nemačke korporacije moraju da se povinuju strožoj regulativi.
Različiti propisi i različita tumačenja nužno nose sa sobom i mnogo informacija. To za posledicu ima to da su obaveštenja o zaštiti podataka postala veoma dugačka, pa brojni korisnici jednostavno pristaju na uslove i bez čitanja. Zvuči poznato?
Uz spomenuti GDPR u Evropi, drugi zakoni od važnosti širom sveta jesu Zakon o privatnosti potrošača u američkoj državi Kalifornija (CCPA), Opšti zakon o zaštiti podataka (LGPD) u Brazilu i Akt o zaštiti ličnih informacija (POPI) u Južnoj Africi.
Svaki od navedenih propisa u sebi sadrži nijanse kojima se prilagođavaju kulturi u kojoj se primenjuju, ali jedan zajednički imenitelj jeste taj da kompanije nisu u obavezi da omoguće korisnicima enkripciju s-kraja-na-kraj. Ta opcija se ostavlja na slobodan izbor platformama za razmenu poruka. Iako se zahvaljujući propisima znatno smanjio rizik od toga da se podaci korisnika sakupljaju i dele dalje trećim stranama, u zakonima i dalje postoje pukotine koje bivaju sve vidljivije.
Vlade protiv enkripcije s-kraja-na-kraj
Ako propisi o privatnosti imaju očigledne rupe u tome kojim se podacima može pristupiti, zašto onda nije obavezno da svaka platforma za razmenu poruka poseduje enkripciju s-kraja-na-kraj kao standardno podešavanje, tj. ono koje je aktivirano od starta korišćenja platforme? Odgovor možda leži u tome što su spoljni uticaji možda veći nego što smo svesni. Neki od lidera u velikim tehnološkom kompanijama su i bivši članovi vlada, pa i ne predstavlja toliko iznenađenje što enkripcija nije opcija.
U prošlosti, korporacije u Velikoj Britaniji menjale su svoj stav o privatnosti kako bi se pridržavale onoga što želi vlada. Tokom 2021. godine, kako bi se poštovala želja vladinih agencija SAD da se uvede zaštita za decu, kompanija Apple kompromitovala je sopstvenu enkripciju s-kraja-na-kraj tako što je dozvolila nadgledanje naloga korisnika na iCloud platformi. Prvobitno, Apple je planirao da enkripcija njihovih sigurnosnih kopija (eng: backups) bude potpuna. Međutim, na to se žalio Federalni istražni biro (FBI), pa se od tog plana u potpunosti odustalo.
Neke vlade protive se enkripciji s-kraja-na-kraj i, radi nadgledanja i bezbednosti, vršile su pritisak na platforme za komunikaciju da takvu enkripciju izbegnu. U zakonima o privatnosti brojnih zemalja naći ćete izuzetke od obaveze privatnosti u slučaju da vlada ili organi bezbednosti nekoga procesuiraju. Vlada i mediji nekada promovišu takve zakone pod velom privatnosti, a u realnosti, te regulative čine da vlada može da pristupi podacima građana. Australijski propisi o privatnosti imaju navedena tri razloga iz kojih se mogu tražiti podaci koje sakupljaju kompanije, čak i one poruke koje su pod enkripcijom. Ako se poruke mogu dešifrovati kako bi ih videle vlade, onda to kompromituje ceo koncept enkripcije za sve korisnike.
Vlade se protive enkripciji s-kraja-na-kraj iz želje da nadgledanjem podataka zaštite decu na internetu i da otkriju i uhvate dilere drogom. Ipak, ako aplikacija dozvoljava pristup svim svojim podacima, onda to spomenute podatke čini ranjivim i otvara rizik da im pristupe i drugi. Manje demokratske vlade mogle bi da oponašaju takve regulative, što bi u praksi za rezultat imalo smanjene individualne slobode. Ako propisi na zapadu obavezuju globalne kompanije da ukinu enkripciju s-kraja-na-kraj kada je to potrebno, onda bi i nedemokratske zemlje to mogle da traže. Tu dolazimo do tanke linije između dobrih namera i kršenja prava.
Platforme bez enkripcije ne predstavljaju zaštitu od kriminala
Možda je prvobitni utisak da platforme bez enkripcije pomažu da se spreči kriminal tako što daju vladama pristup ličnim podacima korisnika. Ipak, to potencijalno znači da bi i kriminalci mogli da imaju pristup istim podacima. Hakeri i drugi akteri s one strane zakona konstantno unapređuju svoje sposobnosti kako bi došli do privatnih podataka i eksploatisali ih - bilo prodajom tih podataka pogrešnim ljudima, bilo korišćenjem podataka za prevare i druge kriminalne aktivnosti.
Ukoliko podaci uopšte nisu dostupni nikome, rizik takvog upada ne postoji. Zato bi kompanije trebalo da nastave da ulažu u zaštitu ličnih podataka i da na minimum svode količinu ličnih podataka koje drže u svojim bazama. U pojedinim zakonima vidimo korake u pravom smeru, npr. u Aktu o digitalnim uslugama (DSA, od engleskog Digital Services Act). Njime se, među drugim obavezama, zabranjuje platformama poput Google, Amazon i Facebook da koriste osetljive informacija korisnika radi ciljanih reklama.
Kako funkcioniše enkripcija nekih aplikacija:
Namena aplikacija za razmenu poruka nije da služe kriminalcima, ali u današnjem svetu, kriminalci imaju brojna sredstva komunikacije i van platformi za razmenu poruka. Na primer, komunikacija za teroristički napad u Londonu odvijala se putem poruka u nacrtima (eng: draft) unutar zajedničkog mejl naloga. Kriminalne organizacije u stanju su, i to bez prevelikog napora, čak i da naprave sopstvene aplikacije za razmenu poruka. Zapravo, kriminalci će uvek pronaći način da budu kriminalci, pa lišavanje privatnosti drugih korisnika to neće promeniti.
Kriminal može biti sprečen čak i uz prisustvo enkripcije s-kraja-na-kraj, pošto žrtva može dobrovoljno da podeli svoje konverzacije sa vlastima. Takođe, kada je kriminalac priveden, njegovi uređaju se konfiskuju, pa vlasti i na taj način dobijaju pristup enkriptovanoj komunikaciji, objasnila je Idit Arad, glavni pravni zastupnik kompanije Rakuten Viber.
Da zaključimo, enkripcija s-kraja-na-kraj može da se primenjuje, a vlasti treba da koriste druge načine da se bore sa kriminalom.
Enkripcija je budućnost
Nažalost, sva je prilika da enkripcija s-kraja-na-kraj neće u skorije vreme biti uvrštena u globalne propise o privatnosti. Iz više razloga. Prvo, u trenutnim regulativama o privatnosti ne spominju se tačni metodi za zaštitu ličnih podataka, već samo načelna pravila koja su otvorena za različite interpretacije. Zato što nema konkretnog spiska obaveza, mnoge korporacije pomeraju liniju dozvoljenog. Drugo, vladini zvaničnici i dalje žele da imaju pristup ličnim podacima, radi bezbednosti ili odbrane od kriminala.
Zasad, odgovornost za korišćenje enkripcije s-kraja-na-kraj leži na vlasnicima aplikacija za razmenu poruka i na korisnicima koji biraju platforme s takvom enkripcijom. Ukoliko korisnici budu vršili pritisak na provajdere platformi za razmenu poruka da se enkripcija s-kraja-na-kraj podrazumeva kao default podešavanje, to će znatno umanjiti rizik od toga da osetljivi lični podaci padnu u pogrešne ruke. Uz to, korisnici će ograničiti i rizik od toga da njihove lične konverzacije budu otkrivene, zloupotrebljene ili iskorišćene za sticanje profita.
Dok ne dođemo do tačke u kojoj je enkripcija s-kraja-na-kraj sastavni deo naših zakona o privatnosti, edukacija korisnika biće ključna za napredak zaštite podataka. Brojni korisnici ne razmišljaju mnogo o tome, niti se informišu pre odluke koju će aplikaciju da koriste, već im to postane važno jedino kada je prekasno i kada su podaci već iscureli. Nadajmo se da će budućnost propisa o privatnosti biti enkripcija s-kraja-na-kraj kao podešavanje koje se podrazumeva za sve od starta.
Izbor aplikacija za dopisivanje je zaista ogroman, ali svaka od njih ima svoje prednosti i mane. Ukoliko želite da vidite šta koja aplikacija prikuplja od vaših ličnih podataka posetite našu priču upravo o tome. Takođe, nedavno smo predstavili i istraživanje na sličnu temu, u kojem su poređeni Messenger, WhatsApp, Signal, Telegram, Viber i druge aplikacije međusobno. Šta mislite, koja je najbolja po vaše podatke?