SoDA

Gdy prywatność staje się towarem. Jak radzić sobie z zagrożeniami i chronić swoje dane – Simplito

Wyobraź sobie następującą sytuację: wysyłasz prywatną wiadomość lub łączysz się na rozmowę wideo, a po jakimś czasie odkrywasz, że dostawca usług może przeszukiwać twoją konwersację w poszukiwaniu danych. Brzmi jak koszmar każdego, kto dba o prywatność – niestety, to rzeczywistość dzisiejszego świata, w którym dane są stają się cenniejsze niż złoto. Niedawne zmiany w polityce firm technologicznych sprawiają, że ten scenariusz staje się coraz bardziej realny. Jeśli rozmawiasz jedynie o pogodzie, można to jeszcze jakoś przełknąć. Ale gdy twoja konwersacja zawiera informacje poufne lub sekrety… to już nie jest coś, co warto zostawić losowi. Od aplikacji terapeutycznych przekazujących intymne szczegóły reklamodawcom po narzędzia sztucznej inteligencji uczące się na podstawie prywatnych rozmów – w tym artykule poznasz kilka rzeczywistych incydentów, które obrazują, jak dane użytkowników stają się coraz łatwiejszym łupem.

Dlaczego dzieje się to akurat teraz? Wyścig o rozwój sztucznej inteligencji przekształcił nasze dane w prawdziwy skarb. Firmy modyfikują swoje polityki prywatności i licencje oprogramowania tak, aby uzyskać szerszy dostęp do treści tworzonych przez użytkowników, zarówno w celu trenowania modeli AI (najnowszy trend), jak i dla potrzeb reklamy behawioralnej (praktyka znana od lat). Niestety, te pozornie niewielkie zmiany często oznaczają realne straty dla naszej prywatności. Przyjrzyjmy się kilku znaczącym przykładom i ich konsekwencjom, aby lepiej zrozumieć ten niepokojący trend.

Wpadka z aplikacją Signal: nawet najbezpieczniejsze narzędzia nie są odporne na ludzkie słabości

Szyfrowane komunikatory pokroju Signal’a to współcześnie synonim prywatności. Zastosowane w tej aplikacji szyfrowanie typu end-to-end gwarantuje, że wiadomości mogą odczytać wyłącznie uczestnicy konwersacji – nawet serwery Signal nie mają do nich dostępu. Jednak w marcu bieżącego roku jeden z amerykańskich urzędników przez pomyłkę dodał dziennikarza do poufnej grupy Signal, w której omawiano zaawansowane i ściśle tajne plany militarne. Nie była to awaria techniczna, lecz zwykły błąd ludzki. Otwarta polityka Signal zezwala na rejestrację każdemu – i tak oto umożliwiła taki scenariusz. Ten przypadek został szczegółowo opisany przez The Guardian w lipcu 2024 roku.

Warunki Zoom i bojkot: czy nasze spotkania karmią sztuczną inteligencję?

W 2023 roku Zoom po cichu wprowadził do swoich Warunków Świadczenia Usług nowe klauzule, które umożliwiły firmie wykorzystywanie transkrypcji audio, wideo oraz czatów do trenowania modeli sztucznej inteligencji. Gdy zmiana wyszła na jaw, wywołała burzę w Internecie i na blogach technologicznych. Wielu użytkowników groziło anulowaniem subskrypcji. W odpowiedzi Zoom zobowiązał się, że nie będzie wykorzystywał treści klientów do szkolenia AI bez ich wyraźnej zgody.

Aplikacje terapeutyczne, które zawiodły zaufanie: BetterHelp i Cerebral

BetterHelp, platforma terapii online, zapewniała użytkowników, że ich dane pozostaną poufne. W rzeczywistości firma potajemnie udostępniała informacje platformom, takim jak Facebook i Snapchat w celach reklamowych. FTC uznała tę praktykę za wprowadzającą w błąd i ukarała firmę grzywną w wysokości 7,8 miliona dolarów. Zachęcam do zapoznania się z oficjalnym komunikatem prasowym FTC.

Kolejna aplikacja, Cerebral, korzystała z narzędzi śledzących, takich jak Meta Pixel i Google Analytics. Narzędzia te przekazywały dane pacjentów, w tym imiona i nazwiska, daty urodzenia, informacje o ubezpieczeniu, a nawet wyniki badań przesiewowych zdrowia psychicznego, stronom trzecim (w tym Facebookowi). The Verge poinformował o naruszeniu, które dotknęło ponad 3,1 miliona pacjentów.

Głód danych ChatGPT

Kiedy OpenAI wydało ChatGPT, wielu użytkowników nie zdawało sobie sprawy, że ich rozmowy są domyślnie przechowywane i potencjalnie wykorzystywane do trenowania sztucznej inteligencji. Problem ujawnił się, gdy pracownicy Samsunga wkleili do chatbota zastrzeżony kod źródłowy – pojawiło się realne ryzyko, że  kod ten mógł stać się częścią danych treningowych AI. Oczywiście, można zrezygnować z tej opcji, ale kto rzeczywiście wie o takiej możliwości? I czy można jej w pełni zaufać?  O podejściu firm możemy się dowiedzieć z innego przypadku: OpenAI zostało pozwane przez The New York Times i inne duże organizacje medialne za wykorzystywanie materiałów chronionych prawem autorskim bez pozwolenia do trenowania swoich modeli. Te sprawy sądowe podważają podstawy obecnych praktyk szkoleniowych AI. Dodatkowo ostatnie informacje z bloga OpenAI potwierdzają, że mimo tych opcji w pewnych okolicznościach wszystkie wysyłane do chat bota dane mogą być przez firmę przechowywane.

Kiedy twój kod staje się podręcznikiem AI: GitHub Copilot

GitHub Copilot, uruchomiony przez Microsoft, wykorzystuje sztuczną inteligencję do podpowiadania linii kodu. Deweloperzy szybko odkryli jednak, że został wytrenowany na miliardach linii kodu open source. W niektórych przypadkach reprodukował kod objęty restrykcyjnymi licencjami, czasami nawet wraz z informacjami o prawach autorskich i dokładnymi kopiami oryginalnego kodu (szczególnie gdy GPT został poproszony o wygenerowanie niestandardowego i bardziej złożonego kodu).

Programiści złożyli pozew zbiorowy pod koniec 2022 roku, twierdząc, że stanowiło to naruszenie warunków licencji open source. Choć część pozwu została oddalona, debata o tym, z czego sztuczna inteligencja powinna, a z czego nie powinna się uczyć, trwa nadal. Sędzia oddalił większość roszczeń, pozostawiając jedynie dwa: jedno oskarżające GitHub o naruszenie umowy, drugie o naruszenie ustawy Digital Millennium Copyright Act (DMCA). Sędzia stwierdził, że kod rzekomo skopiowany przez GitHub nie był wystarczająco podobny do oryginalnej pracy.

Dlaczego te przykłady mają znaczenie

Niezależnie od tego, czy mówimy o aplikacjach do przesyłania wiadomości, platformach terapeutycznych, rozmowach wideo, chatbotach czy asystentach kodowania – wiele nowoczesnych narzędzi po cichu gromadzi więcej danych, niż moglibyśmy się spodziewać. Przedstawione przykłady pokazują, w jaki sposób nasze rozmowy, dokumentacja zdrowotna czy własność intelektualna mogą być wykorzystywane bez wiedzy lub zgody użytkownika. Co więcej, ilustrują one, jak łatwo firmy zarządzające danymi mogą przyjąć założenie, że mają prawo do przejęcia ich na własność.

Takie działania doprowadziły do nałożenia grzywien regulacyjnych, pozwów sądowych i rosnącego braku zaufania do usług, które kiedyś uważaliśmy za oczywiste. Wywołały również szerszą dyskusję na temat prywatności i etyki sztucznej inteligencji.

Co możesz zrobić jako użytkownik

  1. Zapoznaj się z warunkami świadczenia usług i polityką prywatności – zwłaszcza po aktualizacjach.
  2. Korzystaj z ustawień ograniczających udostępnianie danych (np. wyłącz historię czatu w ChatGPT).
  3. Preferuj usługi oferujące lokalne przetwarzanie lub wyraźne gwarancje prywatności.
  4. Zastanów się dwukrotnie przed wklejaniem poufnych informacji do narzędzi AI.

Narzędzia, z których korzystamy na co dzień, szybko ewoluują – podobnie jak zagrożenia dla naszych danych. Świadomość jest jednak pierwszą linią obrony. Ucząc się na prawdziwych przykładach, takich jak Signal, Zoom, BetterHelp, Cerebral, ChatGPT i GitHub Copilot, możemy podejmować bardziej świadome decyzje dotyczące tego, jak i gdzie udostępniamy nasze informacje.

A co jeśli jesteś właścicielem serwisu?

Jak zdobyć zaufanie użytkowników? Zawsze możesz dbać o dane swoich użytkowników i chronić je nie tylko przed innymi, ale nawet przed sobą. Niektóre firmy już przestrzegają tej zasady, na przykład Apple oferuje usługę Advanced Data Protection for iCloud.

Prywatność nie umarła. Potrzebuje jednak naszej ochrony – teraz bardziej niż kiedykolwiek.

Tworząc usługę, należy pamiętać o wdrożeniu odpowiedniej autoryzacji i zarządzania dostępem. Najlepszą rzeczą, jaką można jednak zrobić, jest zaszyfrowanie wszystkich danych użytkownika (o ile to możliwe),  a następnie wyrzucenie klucza… Ale można lepiej – pozwolenie na posiadanie klucza wyłącznie jego właścicielom – użytkownikom. Na rynku dostępnych jest wiele bibliotek i rozwiązań, które pomagają w kompleksowym szyfrowaniu komunikacji użytkowników. Od darmowych i prostych opcji, takich jak podstawowe funkcje szyfrowania (np. OpenSSL), przez szeroko stosowane protokoły open source, wymagające pewnego wysiłku i wiedzy (takie jak Matrix lub Signal Protocol, aż po kompletne, łatwe w użyciu, wieloplatformowe rozwiązania dla wszystkich ważnych typów komunikacji, takie jak platforma PrivMX.

Podsumowanie

Jeśli naprawdę cenisz prywatność swoich użytkowników, szyfruj ich dane i pozwól im posiadać klucze – to podstawa prawdziwego cyfrowego zaufania. Kompleksowe szyfrowanie z kluczami użytkownika to nie tylko funkcja, ale najskuteczniejszy sposób na zapewnienie prywatności danych, bezpieczeństwa i zaufania użytkowników.

Jeśli jesteś użytkownikiem, wybieraj swoje cyfrowe narzędzia ostrożnie jak nigdy dotąd.


Błażej Zyglarski, Członek Zarządu i CTO, SIMPLITO
Błażej Zyglarski ma ponad 20-letnie doświadczenie w roli wykładowcy akademickiego, programisty fullstack/mobile oraz założyciela firm IT i fundacji działających na rynku europejskim. W swoich projektach zawsze stawia na pierwszym miejscu ochronę danych, szyfrowanie i zabezpieczenia. Obecnie pełni rolę Członka Zarządu oraz CTO w SIMPLITO, koordynując rozwój platformy PrivMX, wspierającej deweloperów w tworzeniu aplikacji z wykorzystaniem szyfrowania end-to-end (E2E). Prywatnie pasjonuje się systemami smart home, drukiem 3D oraz grami planszowymi.

Najnowsze artykuły

Najnowsze artykuły

Katowice. Miasto, które Cię zadziwi

SoDA współtworzy Fundusz Rozwoju Technologii Przełomowych

SoDA wybiera nowe Prezydium Rady Dyrektorów na lata 2025–2027.