U Berlinu i Briselu smo promovisali knjigu “Beyond the Face: Biometrics and Society”, koja obuhvata pet godina našeg rada na proučavanju i analizi društvenih posledica masovnog biometrijskog nadzora putem tehnologija poput prepoznavanja lica. U tri osnovna segmenta – Tehnologija, Pravo, Praksa – knjiga upoznaje čitaoce sa aktuelnim globalnim iskustvom sukoba temeljnih ljudskih prava i profitom vođene industrije.
Nakon maratonske rasprave predstavnici institucija EU postigli su politički dogovor o Aktu o veštačkoj inteligenciji (AI Act). Iako je ostalo da se Akt finalno usvoji, trijalog su obeležili pritisci država članica EU na evroparlamentarce da prihvate tekst sa manje zabrana kada je reč o upotrebi invazivnih tehnologija za nadzor.
Akt o digitalnim tržištima (Digital Markets Act, DMA) je još jedan od novih instrumenata pomoću koga se EU suprotstavlja koncentraciji moći tzv. “čuvara kapija”, odnosno velikih kompanija koje su dominantnim pozicijama ostvarile značajnu prednost u odnosu na konkurenciju. Očekivanja od DMA su velika, najviše kada je reč o slobodi korisnika da biraju digitalne proizvode i usluge.
Koje su obaveze Mete, Gugla i ostalih čuvara kapija → SHARE Fondacija
PLUS:
Vodič za odgovore na sajber incidente namenjen civilnom društvu i medijima → Internews
Obostrana enkripcija kao ključna mera zaštite naših podataka u klaudu → Lawfare
Državna špijunaža korisnika putem iOS i Android notifikacija → Reuters
Počelo suđenje povodom upotrebe Pegasus-a u Meksiku → The Record
Nakon skoro dve godine od inicijalnog predloga, Akt o digitalim tržištima (Digital Markets Act – DMA) usvojen je i stupio je na snagu u novembru 2022. godine, nekih pola godine nakon svog “sestrinskog” Akta o digitalnim uslugama. Ovaj regulativni tandem značajno teži da utiče na reformu obaveza i ograničenja koje neke od najvećih onlajn platformi, i tehnoloških kompanija u čijem su posedu, imaju prema svojim korisnicima. Prema zaključcima Evropske komisije, ove velike platforme zbog svojih ogromnih brojeva korisnika predstavljaju nefer konkurente i podstiču monopolističke uslove u kojima manje kompanije pružaoci digitalnih usluga nemaju šanse da se sa njima takmiče. Iz tog razloga, uloga DMA je da spreči tehnološke čuvare kapija od učestvovanja u antikonkurentskim praksama. U prevodu, tehnološki giganti moraju da se igraju fer sa svim ostalim takmičarima u globalnoj ekonomiji pažnje.
Ko su čuvari kapija (gatekeepers)?
U svojoj želji da reguliše i ponudi otvoreniji i transparentniji digitalni prostor za sve, DMA za cilj ima da omogući korisnicima onlajn servisa lakše kretanje i iskustvo na internetu. To u prevodu znači veću slobodu za korisnike da uz saglasnost biraju koje usluge datih kompanija žele da koriste bez obaveze prihvatanja celog paketa njihovih usluga.
Prema zakonu, kompanije se kvalifikuju za poziciju čuvara kapija ako su dobro pozicionirane na tržištu (ostvaruju promet preko € 7,5 milijardi u prethodnoj godini), zahvataju veliku korisničku bazu (imaju u proseku 45 miliona aktivnih korisnika u EU) i zbog svoje rasprostranjenosti imaju mogućnosti da utiču na tržišne uslove (usluge koje nude čine značajni kanal između preduzeća i korisnika (core platform service)).
Među čuvare mogu spadati kompanije koje nude usluge onlajn posredovanja, internet pretraživače, društvene mreže, platforme za deljenje videa, usluge instant komunikacije, operativne sisteme, veb pretraživače, virtuelne asistente, usluge čuvanja podataka i računarstva u oblaku (cloud services), kao i usluge oglašavanja na mreži, uključujući sve reklamne mreže, reklamne berze i bilo koje drugo oglašavanje koje kompanija kao posrednik može pružati.
Važno je napomenuti da je Evropska komisija jedina koja može da odredi koje kompanije spadaju u čuvare kapija, i za sada se na tom spisku nalazi samo šest.
Čuvari kapija u ovom smislu su trenutno najveće tehnološke kompanije koje komanduju najvećim delom tržišta – Alfabet, Amazon, Epl, Meta, Majkrosoft i BajtDens. Svaka od nabrojanih kompanija trenutno “drži” po neki ćošak interneta pod svojom kontrolom – Gugl (Alfabet) je ubedljivi broj jedan kada je u pitanju pretraživanje interneta, Meta kroz Fejsbuk, Instagram i Vacap kontroliše svet društvenih mreža i instant komunikacije, onlajn kupovina nalazi se u džepu nikoga drugog do Bezosa i Amazona, a Epl i Majkrosoft dele operativne sisteme i onlajn usluge u oblaku. Kao najmlađi član petorke, roditeljska kompanija Tiktoka, najbrže rastuće društvene mreže u istoriji, BajtDens je za manje od decenije došao do skoro 2 milijarde aktivnih korisnika i približava se Metinom ćošku.
Ono što je obećavajuće je da će spisak ovih kompanija biti redovno razmatran i najkasnije na tri godine će biti utvrđivano da li je potupun ili zahteva izmene. U prevodu, kako bi se ostalo u stopu sa dinamičnim promenama u digitalnom prostoru, Evropska komisija će u kratkom roku ažurirati spisak i dodavati potencijalne nove čuvare kapija.
Nakon što su označene kao čuvari, kompanije će imati obavezu da se u roku od šest meseci odazovu kako bi objasnile Komisiji na koje načine planiraju da sprovedu pravila propisana zakonom, kao i da javno objave bilo kakve tehnike profilisanja korisnika koje su koristile u prošlosti i koje će morati godišnje da objavljuju. Provere kompanija će biti obavezne najmanje jednom godišnje i Komisija će na osnovu tih provera objavljivati izveštaje za javnost o njihovom poslovanju, koje će sadržati transparentne podatke.
Glavni ciljevi DMA
Najvažniji cilj ove zakonske uredbe jeste da utiče na takozvanu demokratizaciju tržišta, odnosno da onemogući velikim tehnološkim kompanijama da učestvuju u nefer praksama koje sputavaju slobodnu razmenu informacija i decentralizovani internet. Kroz poravnavanje konkurencije i postavljanje jednakih uslova za sve, korisnicima će takođe biti proširen izbor usluga među kojim mogu da biraju. Među tim praksama posebno se izdvajaju:
1. Samo-preferiranje (self-preferencing)
Prema DMA, kompanije koje su dobro pozicionirane na tržištu neće smeti da promovišu svoje servise iznad konkurentskih jer na taj način onemogućavaju manjim servisima da se takmiče sa njihovim. Iako je na samom početku ovo i bila zamisao Leri Pejdža i Sergej Brina kada su napravili Gugl, svetski pretraživač koji je nudio rezultate po njihovoj korisnosti i popularnosti, a ne po netransparetnom nameštanjem istih, danas je situacija drastično drugačija. Često se dogodi da odemo na Gugl u potrazi za informacijom i tek nakon što završimo pretragu shvatimo da nismo ni napustili pretraživač, a kamoli prvu stranu. Prema jednom istraživanju iz 2020. godine, utvrđeno je da se čak dve trećine Gugl pretraga završilo bez napuštanja naslovne strane pretraživača, odnosno bez klika ka organskim rezultatima. Ovo znači da Gugl neuporedivo više favorizuje sopstvene rezultate u pretragama umesto da dopušta korisnicima da pristupe rezultatima koji bi potencijalno bili korisniji ili bolje plasirani sami po sebi. Na ovaj način Gugl ovim drugim manjim stranicama uskraćuje saobraćaj kroz pristup korisnika, što je u njihovom slučaju ponekad i jedini način na privuku oglašivače.
2. Vezivanje i grupisanje (tying and bundling)
U slučaju onlajn kupovine, Amazon koji kontroliše 82% posto tržišta i za neke male biznise predstavlja jedini kanal do kupaca, počeo je da prioritizuje svoje proizvode po sistemu preporuke, postavljajući ih na bolja mesta na samoj stranici i uglavnom nudeći povoljnije opcije ili primamljivije ponude kao što su kombinacije proizvoda. Cela priča postaje još gora kada postane jasno da Amazon dizajnove većine ovih proizvoda krade od tih manjih kompanija koje prodaju svoje uglavnom mnogo kvalitetnije, i samim tim skuplje, proizvode na njihovom sajtu. Ove prakse nazivaju se vezivanje i grupisanje (tying and bundling) i predstavljaju nekonkurentsko ponašanje od strane Amazona zbog kojeg je kompanija i tužena zbog održavanja monopolističkog okruženja. Pored malih prodavaca, sami korisnici su ugroženi ovim praksama jer se lanac saglasnosti za davanje ličnih podataka komplikuje.
Pre DMA, ove velike kompanije nisu bile u obavezi da na transparentan način prikupljaju saglasnost od svojih korisnika, već se to ili radilo preko posrednika koji koriste ove servise na svojim sajtovima, ili su se korisnički podaci odavali servisima-saradnicima. Ovo je jedna velika tačka u DMA, jer je profilisanje korisnika i korišćenje podataka u svrhe oglašavanja problem koji zaslužuje mnogo više pažnje kako bi se rešio, dok je sama industrija onlajn oglašavanja često jako zatvorena i nejasna svakome ko je spolja posmatra.
U praktičnom smislu to znači da korisnici neće biti ograničeni samo na aplikacije koje su pravljene isključivo za Eplovu prodavnicu aplikacija, već će moći da na svoje uređaje instaliraju aplikacije koje se mogu naći i u Gugl Plej prodavnici ili čak aplikacije koje su kreirane nezavisno od operativnih sistema. Što se tiče samih kompanija kao što su Epl i Alfabet, one neće smeti proizvođačima ovih aplikacija da naplaćuju arbitrarne nadoknade kako bi uvrstili njihove aplikacije u svoju ponudu niti da onemogućavaju svojim korisnicima da isražuju usluge koje mogu da potiču od manjih i neetabliranih proizvođača.
Na ovaj način, podstriče se povećanje i otvaranje tržišta aplikacija i za manje programere i start ap kompanije koje žele da ponude svoje servise na nekim od najkorišćenijih uređaja bez da moraju da odvajaju velike sume kako bi se našli u katalogu.
4. Pristup podacima (access to data)
Kao što je navedeno već, sve kompanije određene kao čuvari moraće da dostavljaju transparentne izveštaje o svojim praksama prikupljanja podataka ali i profilisanju svojih korisnika. Pored toga, kompanije će biti u obavezi da, po zahtevu, dele podatke (koji su prikupljeni uz eksplicitnu saglasnost korisnika) sa manjim preduzećima i oglašivačima koji rade na njihovim platformama. Na ovaj način će manja preduzeća imati priliku da personalizuju svoje usluge u skladu sa bazom korisnika kojoj služe na određenim platformama.
Čuvari će takođe biti u obavezi da korisnicima dostave sve podatke koje od njih korisnici mogu da zatraže, bilo da je razlog uklanjanje istih ili promena davalaca usluga. Čuvari takođe moraju da dozvole korisnicima da u svakom trenutku povuku svoju saglasnost za deljenje svojih ličnih podataka i da to znači prestanak njihovog korišćenja. Takođe je važno da su sve ove opcije korisnicima predstavljene na jasan i vidljiv način, bez korišćenja tamnih šablona (dark patterns) za prikupljanje saglasnosti ili obmanu korisnika.
5. Među-operabilnost (interoperability)
Kao jedan od najinteresantnijih zahteva celog zakona, čuvari će morati da rade na tome da ‘otvore’ svoje servise kako bi mogli nesmetano da funkcionišu sa drugim servisima koji nude iste usluge. Na primer kada je u pitanju instant komunikacija, prema DMA Vacap i Fejsbuk Mesendžer biće u obavezi da svojim korisnicima dopuste nesmetano dopisivanje sa drugim korisnicima koji ove servise nemaju bez da su ovi drugi u obavezi da ih instaliraju.
Interesantno je da iako je na kraju odlučeno da iMessage nije jedan od Eplovih klučnih usluga, grupa evropskih telekomunikacionih kompanija, i Gugl, poslala su Evropskoj komisiji pismo u kojem traže da iMessage ipak bude uključen u DMA. To bi značilo da bi Epl morao da tretira ovu svoju uslugu kao platformu za instant komunikaciju što nikada u prošlosti nije eksplicitno navedeno, ali je primećeno od strane korisnika. Ovakva zatvorenost u okviru sopstvenog operativnog sistema omogućavao je Eplu da svojim korisnicima bliže približi ideju da je među-operabilnost moguća samo ako posedujete različite Eplove uređaje.
Kakve su sankcije?
U slučaju nepoštovanja pravila postavljlenih od strane DMA, Evropska komisija direktno je odgovorna za izricanje kazne ovim velikim kompanijama, i što se istih tiče, biće osetne. U slučaju nesaglasnosti sa pravilima, kompanija će biti u obavezi da plati 10% svoje godišnje zarade, a u slučajevima da se isti prekršaji ponavljaju u periodu od osam godina cifra će rasti i do 20%.
Šta sve ovo može da znači?
Iako većina onoga što je nabrojano u DMA zvuči pozitivno i obećavajuće, važno je sačekati neko vreme kako bismo videli šta će sve ovo značiti u praksi. Koliko je velika petorka (plus BajtDens) spremna da sarađuje i izmeni svoje poslovne modele, u nekim slučajevima skroro pa do korena? Ove kompanije su prve svesne da u slučaju otvaranja tržišta i demokratizacije ponude postoji velika šansa da će njihove usluge pretrpeti (opravdane) gubitke.
Iako su prve reakcije relativno umerene od strane američkih kompanija koje ispunjavaju uslove za čuvare kapija, BajtDens se pobunio oko svojeg uključivanja na spisak, uprkos tome što su prihvatili da ispunjavaju uslove. Određeni broj kompanija očekuje da će se naredne ili u narednih nekoliko godina pridružiti spisku i u ovom trenutku ostalo je da se vidi kako će prvi krug sprovođenja proći i kakav će primer velike tehnološke kompanije postaviti svojom (ne) saradljivošću.
Mila Bajić je glavna istraživačica SHARE Fondacije sa fokusom na odnos novih medija, tehnologije i privatnosti.
Kasno noću u petak, 8. decembra, završeni su dugotrajni pregovori o konačnoj verziji predloga zakona o veštačkoj inteligenciji (AI Act), dok se ove nedelje očekuje prvi od desetak tehničkih sastanaka na kojima će se precizirati detalji o primeni zakona.
Između ostalog, navodi se da će “prediktivni” sistemi samo delimično biti zabranjeni, odnosno da nisu sve primene sistema veštačke inteligencije u radu policije i “predikciji” kriminala svrstane u grupu nedopustivih rizika – što je značajno slabija zaštita od one za koju su evroposlanici letos glasali. Konačno rešenje zabrane obuhvata neke prediktivne sisteme zasnovane na “ličnim odlikama i karakteristikama”, ali ne i geografske sisteme za predikciju kriminala koji su već u širokoj upotrebi među evropskim policijskim službama. Ovakva delimična zabrana, primećuju kritičari, otvara mogućnost da se kasnije stvaraju dodatni izuzeci za primenu.
Posebno zabrinjava opcija da se svaka primena sistema veštačke inteligencije u kontekstu “nacionalne bezbednosti” potpuno izuzme iz opsega uredbe, uključujući zabrane nedopustivih rizika i zahteve za transparentnost upotrebe.
Najteži deo pregovora odnosio se na zabrane, odnosno klasifikacije sistema AI kao nedopustivo rizične. Predlog koji je usvojen, kako navode oni koji su imali uvid, zabranjuje daljinsko biometrijsko prepoznavanje u realnom vremenu (real-time remote biometric identification, RBI) na javno dostupnim mestima – osim kada se koristi za pretragu konkretnih osumnjičenih osoba ili žrtava određenih krivičnih dela, za sprečavanje “konkretnih, značajnih i neposrednih pretnji životu ili fizičkoj bezbednosti fizičkih lica ili konkretnih, aktuelnih pretnji terorističkim napadom”, kao i za “ciljanu pretragu konkretnih žrtava otmice, trgovine ljudima i seksualne eksploatacije ljudi, kao i za pretragu nestale dece”.
Upotrebu RBI u javnom prostoru mora da odobri sud ili nezavisan organ i ograničena je vremenom i prostorom, dok ne sme da podrazumeva stalno poređenje svih ljudi na javnim mestima sa podacima iz kompletnih policijskih ili drugih baza. U hitnim situacijama, sudsko odobrenje mora se dati naknadno u roku od 24 sata.
Naknadno daljinsko biometrijsko prepoznavanje (ne u realnom vremenu, već na video snimcima) nije zabranjeno, već je klasifikovano u visokorizičnu kategoriju i dozvoljeno je samo kada ili postoji prethodno odobrenje suda, ili kada je upotreba neophodna u okviru istrage za ciljanu pretragu osobe osuđene ili osumnjičene za ozbiljno krivično delo koje se već dogodilo. Države članice EU mogu da uvedu strožije zakone o upotrebi sistema za naknadno daljinsko biometrijsko prepoznavanje.
Takođe, zabranjena je biometrijska kategorizacija, odnosno sistem koji “kategorizuje fizička lica na osnovu njihovih biometrijskih podataka da bi se dedukovali njihovi politički stavovi, članstvo u sindikatima, verska ili filozofska uvernja, pol ili seksualna orijentacija iz ovih biometrijskih podataka”.
Unete su zabrane koje se odnose na prepoznavanje emocija, neke primene visokorizičnih AI sistema u privatnom sektoru, dok su dopunjeni kriterijumi klasifikacije rizika.
Objavljivanje usvojene verzije regulative očekuje se narednih meseci.
Jedno od najobuhvatnijih istraživanja o upotrebi biometrijskih sistema širom sveta, knjiga SHARE Fondacije “Beyond the Face: Biometrics and Society” [Iza lica: Biometrija i društvo] predstavljena je u ponedeljak, 4. decembra u Berlinu i u sredu, 6. decembra u Briselu.
U Berlinu je promocija okupila zajednicu za zaštitu digitalnih prava i sloboda u prostorijama organizacije Tactical Tech, gde su autori sa prisutnima razmatrali pravne i društvene posledice masovnog biometrijskog nadzora.
U Evropskom parlamentu u Briselu organizovana je diskusija o ključnim nalazima studije, koju su otvorili evroposlanica Viola fon Kramon i evroposlanik Sergej Lagodinski. Kao ozbiljnu opasnost, evroposlanici su istakli potencijalni presedan u Srbiji sa primenom tehnologije za biometrijski nadzor ka stvaranju društva distopijskog nadzora. U diskusiji je učestvovao i Patrik Brejer, takođe poslanik u Evropskom parlamentu.
Promocija knjige u Briselu poklopila se sa završnom fazom trijaloga o novoj evropskoj regulativi veštačke inteligencije (AI Act) – poslanik Lagodinski je odmah nakon diskusije sa svojim primerkom knjige otišao u salu za pregovore o zabrani nedopustivo rizičnih sistema. Uticaj AI Akta imaće dalekosežne posledice po regulisanje i upotrebu sistema za biometrijski nadzor širom sveta, stoga je od izuzetnog značaja ovako detaljno dokumentovana analiza primene biometrijskog nadzora u različitim zemljama, iz perspektive problematičnih odredbi budućeg evropskog zakona koje bi mogle da legitimišu takve prakse.
Studija društvenih posledica masovnog biometrijskog nadzora sadrži detaljan opis tehnologija različitih proizvođača koje javni i privatni akteri koriste za nadzor; komparativnu analizu propisa kojima je ova oblast regulisana u SAD, EU i nizu zemalja Afrike, Azije i Latinske Amerike; kao i neke od slučajeva praktične primene biometrijskog nadzora, od Mijanmara i Velike Britanije, do Njujorka i Beograda, a za potrebe kontrole granica, nadzora javnih prostora u velikim gradovima ili suzbijanja opozicionih aktivnosti.
Na preko 300 stranica, u tri osnovna segmenta – Tehnologija, Pravo, Praksa – knjiga upoznaje čitaoce sa aktuelnim globalnim iskustvom sukoba temeljnih ljudskih prava i profitom vođene industrije biometrijskog nadzora. Uprkos obilju dokaza, vlasti u državama širom sveta i dalje veruju da ovi sistemi doprinose bezbednosti društva.
Knjiga je slobodno dostupna, zasad samo na engleskom jeziku. Urednici izdanja su Ela Jakubovska (EDRi), Andrej Petrovski i Danilo Krivokapić (SHARE). Autori tekstova su Bojan Perkov (Tehnologija), Jelena Adamović i Duje Kozomara (Pravo), Mila Bajić i Duje Prkut (Praksa).
Dvoje pripadnika organizacija civilnog društva iz Beograda obratilo se SHARE Fondaciji nakon što su dobili upozorenje od kompanije Apple da su potencijalne mete državno-sponzorisanih tehničkih napada. U saradnji sa međunarodnim partnerima, došli smo do zaključka da su u pitanju bili pokušaji infekcije telefona preko ranjivosti koja se dovodila u vezu sa Pegasus-om.
Najnoviji izveštaj o digitalnim pravima u Srbiji daje pregled za period jul-oktobar 2023. Najčešće povrede bile su u vezi sa informacionim poremećajima, kao što su pretnje novinarima i aktivistima u onlajn prostoru. U izveštaju smo takođe obradili pitanje informacione bezbednosti u Srbiji, imajući u vidu da je oktobar posvećen upravo ovoj važnoj oblasti.
Akt o digitalnim uslugama EU (Digital Services Act, DSA) doneo je novine kada je reč o odgovornosti internet platformi za sadržaj koji se na njima objavljuje, uzimajući u obzir ogromnu moć koju su ovi akteri akumulirali. Velike onlajn platforme (VLOP) i servisi za pretraživanje (VLOSE) sada imaju niz novih obaveza, naročito u pogledu transparentnosti.
Kratak pregled DSA i njegovog uticaja na internet sadržaje → SHARE Fondacija
PLUS:
Uticaj OpenAI sage na debatu o veštačkoj inteligenciji → Tech Policy Press
Da li će biometrijski nadzor javnih prostora biti zabranjen u EU? → Euronews
Google Chrome otežava korišćenje dodataka za blokiranje oglasa → Ars Technica
Otvorena izložba “Calculating Empires” Kejt Kroford i Vladana Jolera → Fondazione Prada
Evropski akt o slobodi medija: ugrožena zaštita novinara od špijunaže → The Guardian
Usvajanjem Akta o digitalnim uslugama (Digital Service Act – DSA) 23. aprila 2022. godine, Evropska unija (EU) je napravila značajan iskorak u pravcu izgradnje jedinstvenog modela upravljanja digitalnim okruženjem. Novi normativni okvir odnosi se na sve digitalne posrednike čije su usluge dostupne na prostoru EU, a posebno na veoma velike platforme (npr. Instagram) i veoma velike onlajn pretraživače (npr. Google Search). Što više korisnika imaju, digitalne platforme imaju veću odgovornost za suzbijanje štetnog sadržaja i dezinformacija, a algoritmi i prakse njihovog moderiranja moraju biti transparentniji. U suprotnom, njihovo poslovanje na teritoriji EU može biti i zabranjeno. Zaštita prava korisnika/ca u EU mogla bi se indirektno odraziti i na zemlje Zapadnog Balkana. Međutim, bez pune implementacije DSA, korisnici/e u ovom delu Evrope neće imati na raspolaganju sve mehanizme zaštite.
Optimistična očekivanja da će nas društvene mreže povezati, da ćemo slobodno stvarati i deliti informacije, udruživati se u nove zajednice, više se uključiti u politički život i razmenjivati najbolje argumente, brzo su nestala pred navalom lažnih vesti, botova i neograničenog nadzora u kojem smo konvertovani u set podataka koji ne razumemo ni kako ni zašto se generiše. Međutim, ovo nisu problemi digitalnog sveta kao binarne alternative oflajn svetu u kojem “stvarno” živimo. Danas je to – jedan svet, pa stoga “sve što je nelegalno izvan mreže, mora da postane nelegalno i na mreži”. Ovo je vodeći princip oko kojeg je razvijen novi evropski normativni okvir, u čijem centru je Akt o digitalnim uslugama kojim Evropska unija nastoji da:
stvori sigurno digitalno okruženje u kojem će biti zaštićena prava korisnika/ca;
utvrdi posebne obaveze velikih platformi;
osigura viši nivo transparentnosti i odgovornosti u digitalnom okruženju;
sačini okvir za suzbijanje nelegalnog onlajn sadržaja, proizvoda i usluga;
uspostavi jedinstveni sistem nadzora i sprovođenja mera, uključujući i sankcije na nivou cele Evropske unije.
Na koga se DSA odnosi?
Akt o digitalnim uslugama zahvata ukupan korpus digitalnih usluga koje se nude građanima i građankama na teritoriji EU, bez obzira na sedište kompanije ili zemlju osnivanja. Međutim, obaveze i odgovornosti pružalaca digitalnih usluga razlikuju se u zavisnosti od obuhvata korisnika, ali i vrste intervencije i nivoa uticaja koji u javnosti mogu ostvariti svojim posredovanjem. Akt razlikuje:
usluge samo posredovanja (“mere conduits”) koje se odnose na omogućavanje pristupa i prenos informacija u komunikacionoj mreži, bez bilo kakve intervencije u pogledu pokretanja procesa transmisije informacija, modifikovanja sadržaja ili selekcije potencijalnih primalaca usluga (npr: pružaoci usluga pristupa internetu)
usluge privremenog skladištenja informacija (“caching”) koje nude automatsko, privremeno i prolazno skladištenje informacija u komunikacijskoj mreži, isključivo u svrhu efikasnijeg prenosa informacija prema drugim primaocima usluge na njihov zahtev (npr: oblaci)
usluge hostinga (“hosting”) koje podrazumevaju skladištenje informacija dobijenih na zahtev i od strane samog primaoca usluge, u čiji sadržaj pružalac usluge ne interveniše (npr: web hosting)
Piramida nivoa odgovornosti pružalaca digitalnih usluga prema DSA
U okviru usluga hostinga posebno se izdvajaju onlajn platforme, koje na zahtev mogu ne samo da pohranjuju informacije, već i da ih diseminuju u javnosti, čime one svima potencijalno postaju dostupne. To su sve vrste onlajn trgovina, platforme ekonomske saradnje, društvene mreže. Među njima, najviši stepen odgovornosti imaju veoma velike onlajn platforme i veoma veliki onlajn pretraživači (VLOPSEs), koji mesečno imaju 45 miliona aktivnih korisnika, odnosno 10% stanovništva EU. U ovom trenutku, na teritoriji EU ih je ukupno 19 (17 VLOPs i 2 VLOSEs).
VLOPSEs koje na teritoriji EU svoje poslovanje treba da usklade sa DSA
Šta DSA jeste, a šta nije?
Regulatorni i samoregulatorni mehanizmi koji su prethodili DSA polazili su od pretpostavke o neutralnoj tehnologiji digitalnih platformi. Ubrzo se, međutim, pokazalo da algoritamska infrastruktura platformskog ekosistema nije “samo posrednička”. Digitalne platforme podstiču i rezultat su konvergencije tehnologije i preovlađujućih društvenih vrednosti, ali i profitno orijentisanih politika poslovanja platformi. Sa druge strane, preporuke, nacionalna zakonodavstva i platformska samoregulacija nisu dali adekvatan odgovor na zabrinutost za javni interes, koja je tražila sveobuhvatan politički i institucionalni odgovor na poslovanje platformi, kao i viši nivo intervencije.
Pristup moderiranju sadržaja kakav su razvile digitalne platforme pokazao je značajne nedostatke kako u pogledu kapaciteta i efikasnosti automatizovanih alata koji sprovode moderaciju, tako i po pitanju kriterijuma uređivanja, granica slobode izražavanja i slično. Posebno su, primera radi, negodovali mediji širom sveta koji su blokiranje, filtriranje ili označavanje sadržaja doživljavali kao intervenciju eksternih “arbitara istine” koji su postali “najmoćniji urednici na svetu”.
Najzad, zemlje poput Nemačke i Francuske pokušale su da razviju sopstvene regulatorne okvire koji bi uredili digitalni prostor na njihovim teritorijama. Međutim, nacionalni odgovor na transnacionalne izazove bio je nedovoljan, a regulatorni mehanizam sa skromnom praksom implementacije bio je podložan političkim zloupotrebama.
Ove izazove EU nastoji da prevaziđe uvođenjem jedinstvenog, horizontalnog pristupa prema kojem se DSA uklapa u postojeće evropske regulatorne instrumente koji već definišu šta je nelegalno (sadržaj, dobra, usluge), a uređivanju digitalnog prostora pristupa sistemski. Tako regulacija ne adresira jedinice sadržaja kao pojedinačne ishode rada platformi i drugih pružalaca digitalnih usluga, već procedure koje oni primenjuju i načine na koje ih sprovode. Tako se regulator fokusira na sistemski uzrok problema, koji je istovremeno i fundament poslovanja VLOPSEs.
Put regulacije digitalnog prostora u EU
Šta DSA omogućava korisnicima/cama digitalnih platformi?
Lakše prijavljivanje nelegalnog sadržaja
Obaveza digitalnih platformi koje posluju na teritoriji EU je da razviju lako dostupne mehanizme putem kojih bi korisnici/e mogli da prijavljuju sadržaj koji smatraju nelegalnim ili štetnim. Platforme su dužne da uz obrazloženje odgovore na prijave korisnika/ca, a prioritet u postupanju imaju pouzdani partneri (“trusted flaggers”). To su pojedinci, organizacije ili institucije koje imaju posebnu ekspertizu za prepoznavanje nelegalnog i štetnog sadržaja. Apple, Pinterest, Facebook, Instagram i TikTok već imaju razvijena uputstva za prijavljivanje takvog sadržaja.
Veća transparentnost moderacije sadržaja
Jedna od najosetljivijih odluka koja se neposredno odnosi na korisnike/ce svakako je označavanje ili uklanjanje objavljenog sadržaja. Platforme su sada dužne da obrazlože korisnicima/cama svaku intervenciju u sadržaj, a postoji i mogućnost osporavanja ovih odluka. Za sada Facebook i Instagram pokazuju veći nivo transparentnosti u skladu sa novim pravilima. Svi podaci o odlukama o moderiranju sadržaja, informacije o timovima koji sprovode moderaciju, stopama greške automatizovanih sistema i slično, pohranjuju se u jedinstvenoj bazi (DSA Transparency Database) kojom upravlja Evropska komisija i javno su dostupni. Prvi izveštaji o transparentnosti moderacije, koji su takođe obavezni, objavljeni su uz brojne primedbe o nestandardizaciji izveštavanja, jezičkoj ekspertizi, kvalitetu i obuhvatu objavljenih podataka.
Izbor sadržaja i kontrola nad personalizacijom
DSA omogućava da korisnici/ce imaju veću kontrolu nad selekcijom sadržaja koji se pojavljuje na njihovim feedovima. To znači da mogu da imaju uvid na osnovu čega se taj sadržaj selektuje, ali i da odustanu od personalizovanih preporuka, ukoliko to žele. VLOPs čak imaju obavezu da ponude potpuno ukidanje personalizovanog sadržaja, što su za sada implementirali Facebook, Instagram i TikTok. Slično je i sa reklamama. Platforme moraju jasno da označe reklamni sadržaj, a VLOPs i da u posebnim repozitorijumima omoguće uvid u informacije o reklamnim kampanjama koje plasiraju svojim korisnicima/cama.
Posebna zaštita dece i sadržaja koji objavljuju
Digitalne platforme koje su dostupne deci biće u obavezi da primene posebna pravila koja se odnose na bezbednost i zaštitu privatnosti dece, njihovog fizičkog i psihičkog blagostanja. Širok je spektar mera zaštite dece, od verifikacije uzrasta i roditeljskog nadzora, do različitih alata za ukazivanje na zloupotrebe i dobijanje podrške. Tako primera radi, na YouTube i TikTok se kontrola diseminacije sadržaja koji deca objavljuju ograničava tako što su njihovi profili automatski “privatni”. Tako sadržaj koji deca dele može biti dostupan samo onima kojima oni odobre pristup.
Ograničavanje ciljanog oglašavanja
Na prostoru EU ograničava se svaki vid targetiranja maloletnika kao ciljne grupe za reklamiranje proizvoda ili usluga. Ovo pravilo prvo su počeli da primenjuju Google, YouTube, Instagram, Facebook, Snapchat. Takođe, više nije dozvoljeno korišćenje osetljivih podataka pri formiranju ciljnih grupi za reklamiranje, odnosno ličnih podataka kao što su nacionalna ili etnička pripadnost, veroispovest, seksualna orijentacija i slično.
Politika i integritet izbora
DSA posebno propisuje mere suzbijanja rizika u izbornim procesima, poput dezinformacija i propagande, uz punu zaštitu slobode izražavanja. To podrazumeva povećanje resursa za efikasnije postupanje po prijavama i saradnju sa lokalnim fact-checking partnerima kako bi se u što kraćem roku uklonio ilegalni sadržaj koji bi mogao da utiče na izborni proces. Prvi test za nova pravila bili su izbori u Slovačkoj, održani 30. septembra 2023. godine.
Pouzdanost proizvoda i usluga na digitalnom tržištu
DSA adresira i problem distribucije nelegalnih proizvoda i usluga, kao i lažnih identiteta i podataka kompanija koje posluju kao treće strane na evropskom digitalnom tržištu. Prema DSA, njihova verodostojnost i pouzdanost predmet je posebnih kontrola. Prvo, provajderi digitalnih tržišta moraće da imaju informacije o prodavcima, a njihov identitet moraće da bude poznat i kupcima. U slučaju identifikovanja nelegalnih proizvoda, posrednici na digitalnim tržištima dužni su da o tome obaveste kupce uz mogućnost nadoknade štete.
Jedinstvena pravila za sve
Obaveza digitalnih platformi koje posluju na teritoriji EU je da imenuju zastupnike koji će biti kontaktna tačka u vezi sa svim pitanjima koja se tiču implementacije novog seta pravila. Platforme su u obavezi da uspostave saradnju sa nadležnim organima, a posebno kada je reč o prijavljivanju sumnji na krivična dela.
DSA Timeline
Kako DSA uređuje evropski digitalni prostor?
Akt o digitalnim uslugama ima koregulatorne i regulatorne elemente i uključuje nacionalni i evropski institucionalni okvir, kao jedinstveni mehanizam koji treba da oblikuje transparentnije i sigurnije digitalno okruženje u EU. U centru tog sistema je Koordinator za digitalne usluge. Svaka država imenuje Koordinatora kao nezavisno telo koje ima ovlašćenja nad sprovođenjem obaveza propisanih u DSA na nacionalnom nivou, uz podršku Evropskog odbora za digitalne usluge, koji predstavlja savetodavni organ na evropskom nivou.
Nadležnost nad poslovanjem, uslugama i sadržajem veoma velikih onlajn platformi i veoma velikih onlajn pretraživača ima direktno Evropska komisija, a kazne koje može propisati iznose do 6% globalnog godišnjeg prihoda platforme, odnosno pretraživača. Za najteža i ponovljena kršenja pravila predviđena je i mogućnost zabrane poslovanja na teritoriji Evropske unije.
Institucionalni okvir DSA
Zašto je važno inicirati implementaciju DSA u zemljama Zapadnog Balkana?
U digitalnom svetu gde su teritorijalne granice zamagljene, nema sumnje da implementacija DSA u EU može imati pozitivne efekte i na Zapadni Balkan. Međutim, samo indirektno i ne u dovoljnoj meri. Tek puna implementacija ovog okvira od strane država Zapadnog Balkana omogućila bi sveobuhvatno, temeljno, ravnomerno i sistemsko suzbijanje problema u digitalnom okruženju, koji u regionalnom kontekstu neretko deluju i izazovnije i kompleksnije. Oslanjajući se na iskustva adaptacije evropskih normativnih rešenja u lokalni zakonodavni okvir kakav je bio u slučaju GDPR i Zakona o zaštiti podataka o ličnosti, potrebno je da zakonska rešenja kojima bi zaštita prava građana u digitalnom okruženju bila usaglašena sa DSA, u potpunosti budu u skladu i sa nacionalnim pravnim okvirima i mehanizmima, kao i sa kapacitetima za njihovu doslednu primenu.
Evropska unija ne skriva zabrinutost zbog “prelivanja” dezinformacija i propagandnih aktivnosti koje se kreiraju ili distribuiraju iz zemalja Zapadnog Balkana u evropski digitalni prostor, posebno u zemljama sa srodnim jezicima. To može biti dodatni argument u prevazilaženju eventualno skromne zainteresovanosti digitalnih platformi za sprovođenje obaveza propisanih ovim aktom izvan EU.
Ključni cilj harmonizacije lokalne regulative sa normama propisanim DSA trebalo bi da bude jednak evropskom – uspostavljanje zajedničkog okvira demokratskih vrednosti u onlajn prostoru, uz puno poštovanje ljudskih prava i sloboda. U ovom trenutku, to je najsnažniji pravni instrument koji bi mogao i građanima zemalja Zapadnog Balkana da omogući ostvarivanje garantovanih prava i u digitalnom okruženju. Ukoliko platforme nisu u obavezi da sprovode pravila DSA u ovom regionu, ne postoje jedinstveni mehanizmi zaštite građana i javnog interesa kako od nelegalnosti u poslovanju platformi, tako i od interesa političkih i ekonomskih struktura kojima platformska infrastruktura postaje nezamenjiv resurs. Najzad, DSA deluje i emancipatorski i podsticajno za sve digitalne kompanije sa prostora Zapadnog Balkana koje bi htele da prošire svoje poslovanje i investicije na evropski digitalni prostor i tako preveniraju dodatna usklađivanja sa pravnim okvirom EU.
NAPOMENA: Evropska komisija je 20. decembra 2023. proglasila dodatne tri VLOPs: Pornhub, Stripchat i XVideos.
Snežana Bajčeta je istraživačica SHARE Fondacije u oblastima digitalnih tehnologija, medija i novinarstva.
U periodu od jula do oktobra 2023. godine zabeleženo je ukupno 25 slučajeva povreda digitalnih prava u Srbiji. Najveći broj povreda (19) u ovom periodu odnosio se na onlajn informacione poremećaje, a najviše je bilo slučajeva ugrožavanja sigurnosti u kojima su uglavnom targetirani novinari i javne ličnosti. Imajući u vidu da je ovaj izveštaj pisan uoči oktobra koji godinama unazad predstavlja mesec digitalne bezbednosti, u fokusu izveštaja za treću četvrtinu 2023. godine biće zaštita u digitalnom prostoru i opšte stanje digitalne bezbednosti u Srbiji.
Napadi i pretnje sve glasnije i rasprostranjenije i inovativnije
U julu je na Iksu (bivšem Tviteru) objavljen spisak skoro 15 hiljada botova Srpske napredne stranke. Iako nije potpuno jasno odakle je spisak potekao niti da li su sva imena na njemu verifikovana, deljenje imena i prezimena, kao i mesta prebivališta u kombinaciji sa korisničkim imenima odnosno linkovima samih naloga predstavlja zloupotrebu ličnih podataka. Ništa ovo nije učinilo očiglednijim nego činjenica da su samo danima nakon curenja ovog spiska u javnost usledili brojni napadi na ljude koji su se na njemu našli.
Pored stranačkih botova, mediji Danas, N1 i Nova S ponovo su napadani, nazivani antisrpskim propagandistima i diseminatorima laži i targetirani videima na društvenim mrežama. Ovo je daleko od prvog puta da su se ovi mediji našli na meti napada koji neretko dolaze i sa vrha same vlasti. Kontinuirano napadanje ovih medija i njihovih novinara doprinosi učvršćivanju atmosfere straha i nasilja u društvu i može čak dovesti do porasta autocenzure
U pionirskom potezu, opozicioni političari našli su se u dosada nepoznatoj situaciji – glavni i odgovorni urednik Pinka Željko Mitrović na svojoj televiziji pustio je dipfejkove Dragana Đilasa, Marinike Tepić, Borisa Tadića i Vuka Jeremića. Videi gostovanja političara sa drugih televizija poslužili su kao platno za inspirisanog Mitrovića koji se nije ustručavao da im potpuno izmeni kontekst i rečenice koje su izgovarali i na ovaj način dočara ono što je on nazvao “prikaz srpske stvarnosti”. Pored svog autorskog dela doduše, MItrović nigde nije naglasio da su u pitanju fabrikovani sadržaji što je izazvalo veliku pometnju, kako kod političara čiji su snimci zloupotrebljeni, tako i kod šire javnosti. Ono što je ipak ostalo nepoznato je kakve su zaključke gledaoci Pinka izvukli iz ove humoreske.
Napadi na žene i devojke ne popuštaju
Gotovo polovina napada na mrežama zabeleženih u periodu izveštavanja sadržali su elemente tehnološki izvršenog rodno zasnovanog nasilja. Kako ova vrsta nasilja nije podložna ni socio-ekonomskom statusu, godinama niti političkom opredeljenju, na meti su se našle i poznate ličnosti i političarke i devojke i žene koje nisu ni na koji način u žiži javnosti. Grupa devojaka iz beogradskog naselja Batajnica više puta pokušala je da skrene pažnju na uznemiravanje koje trpe preko broja društvenih mreža od strane jedne osobe. Osim obljavljivanja njihovih ličnih podataka kao što su mesta na kojima rade, njihovih imena i prezimena i brojeva telefona pa čak i adresa, ovi nalozi objavljivali su i njihove fotografije bez saglasnosti. Na nalozima su se takođe pojavili i video zapisi koji su generisani posredstvom veštačke inteligencije, takozvani dipfejkovi koji zloupotrebljavaju likove ovih devojaka. Uprkos brojnim prijavama, kako nadležnima tako i vlasnicima ovih mreža, odziv je slab. Nalozi iako su ugašeni pojavljuju se novi koji nastavljaju da dele ove sadržaje, a od policije nijedna devojka nije dobila ni broj slučaja a kamoli druge informacije o toku bilo kakve potencijalane istrage. Tehnološki zasnovano nasilje predstavlja problem u porastu u Srbiji, od masovnih Telegram grupa koje su učestvovale distribuciji i proizvodnji i dalje kolokvijalno poznate osvetničke pornografije1, preko napadačkih diskursa onlajn koji su se pojavili kao odgovor na kampanju #nisamprijavila koja je za cilj imala pružanje međusobne podrške između prebroditeljki seksualnog nasilja.
Iako nam se možda čini da su ovakve vrste slučajeva relativni noviteti, važno je imati u vidu da je tehnologija samo pospešila prethodno postojeće načine na koje su žene i devojčice trpele nasilje, pogotovo u javnom prostoru. Skoro 20 godina nakon što je u javnosti procureo intimni snimak pevačice Severine Vučković bez njene saglasnosti, on se i dalje pominje i koristi u javnosti uz opravdanje da je sada, kako bi to neki opisali, Naime, kreator Istok Pavlović je iskorirstio kadar iz ovog videa, koji je i dalje javno dostupan na mnogobrojnim pornografskim sajtovima širom interneta, za svoj video u kojem vrši demostraciju novih fotošopovih mogućnosti. Video je ipak naišao na dosta negativnih reakcija, ali uprkos tome, Pavlović nije našao za shodno da isti ukloni, već je odbranio svoju odluku tvrdeći da se i sama pevačica sada šali na račun videa i da je on sada “deo istorije i opšte pop kulture”. Naravno ovo ni na koji način nije na njemu da proceni niti je važno da li je istina pošto između broja koraka koje je trebalo načiniti pre eventualnog korišćenja bilo kog dela ovog videa, izostao je isti onaj kao i pre 19 godina – a to je traženje saglasnosti od same Severine, koja je ceo razlog zašto je video doživeo toliku popularnost. Monetarna zarada i dizanje lične popularnosti preko lika i dela žena (i neretko njihove eksploatacije) zato nije ništa novo, ali je i dalje razočaravajuće i retko sankcionisano.
Sajber bezbednost u medijskom sektoru i organizacijama civilnog društva
Prema redovnom monitoringu sajber incidenata, u protekla tri meseca najbrojniji su bili DDoS napadi na medijske sajtove. Neki mediji su bili i uzastopno izloženi DDoS.
Sajt Južnih vesti tokom 3. jula pretrpeo je ozbiljan DDoS napad. Na sreću, posledice su uspešno otklonjene. O napadu su čitaoce obavestili preko Tviter naloga.
O najjačem sajber napadu na portal Demostata izvestio je NUNS. IT stručnjaci Demostata su radili na otklanjanju posledica i oporavku sajta, koji nije bio dostupan nekoliko dana. Kako se navodi, ovo nije jedini napad na njihov portal.
Insajder je izgubio pristup nad svojim YouTube kanalom 31. avgusta. Naziv kanala je promenjen u TeslaLive i sa njega je strimovano obraćanje Ilona Maska. Digital tim Insajdera uspeo je da povrati kontrolu nad kanalom i ukine hakerski prenos. O upadu su obavestili YouTube, koji je privremeno suspendovao kanal uz uveravanja da će problem uskoro biti rešen i kanal vraćen Insajderu.
Nastavile su se i pretnje bombama; tokom avgusta, tri pretnje o postavljenim bombama poslate su elektronskim putem na adresu Radio-televizije Vojvodine. Ekipa MUP-a detaljno je svaki put pregledala obe zgrade RTV-a i utvrdila da opasnosti nema, a zaposleni su bili svaki put evakuisani.
1 ispravniji termin bi moža bilo rodno zloostavljanje posredstvom audio-vizuelnog sadržaja ili distribucija seksualno eksplicitnog sadržaja bez saglasnosti
Analiza domaćih istraživanja o sajber kulturi u 2023. godini
Sajber kultura se odnosi na skup vrednosti, običaja i normi ponašanja koji su karakteristični za onlajn zajednice i digitalno okruženje. To obuhvata razumevanje i poštovanje principa kao što su internet sloboda, privatnost, bezbednost podataka, etičko ponašanje na internetu i različite norme komunikacije u digitalnom prostoru. Sajber kultura igra ključnu ulogu u oblikovanju interakcija i ponašanja ljudi na internetu. Korisnici često definišu informacionu bezbednost kao sigurnost ličnih podataka i njihovo bezbedno čuvanje onlajn
U istraživanju Nacionalnog CERT-a o sajber kulturi u Srbiji na čijim je rezultatima zasnovan ovaj tekst, izdvojene su ključne karakteristike sajber kulture da bi se na osnovu njih procenilo kako građani Srbije opažaju sajber bezbednost, kako se ponašaju i koliko je smatraju bitnom.
Kolektivizam: Ova karakteristika naglašava važnost solidarnosti i pripadnosti grupi ili zajednici u sajber kulturi. Pojedinci se moraju identifikovati kao deo šireg „sajber kolektiva“ i pridržavati se zajedničkih normi. Kolektivizam ne podrazumeva samo bliskost, već i svest pojedinca o svom mestu u društvu i doprinos grupi.
Prema rezultatima istraživanja, većina građana (66%) podržava mogućnost anonimnosti na internetu, dok samo 12% smatra da anonimnost ne bi trebalo da bude moguća. Oko trećine ispitanih prihvata da njihove aktivnosti budu nadgledane ako to doprinosi bezbednosti na internetu. Samo 10% veruje da internet postaje bezbedniji ako su njihovi uređaji bezbedni.
Upravljanje i kontrola: Ova karakteristika se odnosi na način na koji se IKT uređuju i regulišu. Pitanje upravljanja uključuje stavove prema kontroli nad IKT-om, posebno u vezi sa nadzorom i pitanjem gde povući granicu između individualne slobode i kolektivne sigurnosti u sajber prostoru.
Oko 40% korisnika interneta u Srbiji ima negativan stav prema nadgledanju aktivnosti na internetu i nije spremno da se odrekne anonimnosti radi bezbednosti. Manje od 20% direktno pogođenih prijavljuje slučaj policiji, a samo 31% smatra da bi kriminalističke službe mogle da im pomognu ukoliko se nađu na meti sajber kriminala.
Poverenje: Poverenje je ključna komponenta svih održivih demokratija i igra važnu ulogu u sajber kulturi. To se odnosi na poverenje između građana, građana i vlade, kao i poverenje u sigurnost informacionih sistema. Pitanje poverenja postaje ključno u oblasti informacione bezbednosti, jer se građani podstiču da koriste nove tehnološke alatke, ali istovremeno očekuju da njihovi lični podaci budu sigurni.
Samo jedan od četiri korisnika interneta u Srbiji smatra da država može zaštititi bezbednost njihovih podataka, što ukazuje na nisko poverenje u državne organe.
Shvatanje rizika: Ova karakteristika ukazuje na vezu između kompetencija, učenja i rizika u sajber kulturi. Studije su pokazale da ljudi sa veštinama i znanjem u oblasti informacione bezbednosti često smatraju da mogu kontrolisati pretnje i skloni su preuzimanju većih rizika. To može dovesti do nerealnog optimizma i potcenjivanja bezbednosnih rizika.
Svaki drugi korisnik smatra da se izlaže rizicima na internetu, dok svaki peti izbegava korišćenje onlajn usluga zbog pretnji. Osobe koje smatraju da su mobilno i elektronsko bankarstvo rizični, ređe koriste ove usluge. Oko 53% internet populacije u Srbiji smatra da je dobro informisano o onlajn pretnjama, dok 15% misli da nije dobro informisano.
Većina ljudi vidi veće pretnje spolja (npr. hakovanje) nego pretnje koje stvaraju sopstvenim postupcima. Skoro svaki peti korisnik interneta u Srbiji se uzdržava od korišćenja onlajn usluga zbog pretnji.Većina korisnika je zabrinuta zbog krađe identiteta i zloupotrebe bankovnih kartica. Osobe koje se ne osećaju sigurno u oceni šta je bezbedno, smatraju da su aktivnosti kao što su onlajn plaćanje karticom, eUprava i e-banking znatno rizičnije.Iako postoje razlike u percepciji rizika između različitih uzrasta, osećaj nesigurnosti je prisutan u svim grupama. Većina korisnika se oslanja na samostalno rešavanje problema kada dođe do bezbednosnosg incidenta, osim u slučaju zaraze računara virusom, kada traže pomoć IT stručnjaka.Važno je napomenuti da se samo mali procenat korisnika odlučuje da prijavi ozbiljnije bezbednosne incidente policiji, iako veći broj njih razmišlja da to uradi u hipotetičkim scenarijima. Ovaj raskorak sugeriše da postoje prepreke za prijavljivanje bezbednosnih incidenata policiji.Bezbednost na internetu je kompleksno pitanje i većina korisnika se oseća zabrinuto zbog različitih bezbednosnih rizika. Obuke i kampanje za podizanje svesti su neophodne kako bi se korisnici bolje osposobili za prepoznavanje i reagovanje na bezbednosne pretnje. Takođe, važno je raditi na uklanjanju prepreka koje mogu sprečiti korisnike da prijavljuju bezbednosne incidente policiji kako bi se unapredila bezbednost onlajn prostora.
Tehnološki optimizam i digitalizacija: Digitalizacija podstiče korišćenje informacionih tehnologija i doprinosi ekonomskom rastu. Stav građana prema digitalizaciji utiče na njihov odnos prema tehnologiji. Pitanje poverenja u digitalne usluge i strah od sajber kriminala su izazovi sa kojima se građani suočavaju u procesu digitalizacije.
Većina korisnika interneta u Srbiji (78%) ima pozitivan stav prema upotrebi novih tehnologija.
Kompetentnost: Građani se često suočavaju s obavezom korišćenja IKT-a za različite usluge, pa je razvijanje osnovnih digitalnih veština neophodno. Pitanje je gde i kako se ove veštine stiču, s obzirom na to da se retko uče formalno.
Više od polovine korisnika (58%) smatra da uvek može razlikovati sigurno od nesigurnog na internetu. Kada procenjuju svoje znanje o informacionim tehnologijama i informacionoj bezbednosti, većina sebe ocenjuje ocenom 3 (na skali od 1 do 5). Veći broj korisnika smatra da je njihovo znanje o informacionoj bezbednosti lošije nego znanje o informacionim tehnologijama. Oko 58% korisnika zna šta je informaciona bezbednost, dok 13% priznaje da ne zna.
Interesovanja: Interesi oblikuju stavove, veštine i znanje građana prema IKT-u. Građani s interesovanjem za IKT imaju prednost u odnosu na one bez tog interesovanja.
Većina korisnika (62%) pokazuje interesovanje za informacione tehnologije. Interesovanje za informacionu bezbednost je nešto manje, prisutno kod svakog drugog ispitanika. Osobe koje su zainteresovane za informacionu bezbednost često imaju dobre bezbednosne prakse. Većina ispitanih izražava veće interesovanje nego znanje, kako za informacione tehnologije tako i za bezbednost, što ukazuje na potrebu za edukativnim programima i dobru prognozu za njihov uspeh. Oko 60% ciljne populacije izražava želju da učestvuje u nekoj vrsti obuke o informacionoj bezbednosti.
Ponašanje: Ponašanje građana u sajber prostoru ima direktan uticaj na informacionu bezbednost i digitalizaciju. Postoje određena poželjna ponašanja, kao što su zaštita lozinki i redovno ažuriranje softvera, koja se podstiču kako bi se smanjili rizici u digitalnom okruženju. Bez obzira na znanje, kompetentnost ili interesovanje na kraju je bitno koliko se pojedinci i građani u celosti pridržavaju dobrih bezbednosnih praksi.
Prema rezultatima istraživanja korišćenje antivirusnog softvera je rasprostranjeno, ali mnogi ne koriste firewall, ne ažuriraju redovno softvere, niti redovno prave rezervne kopije podataka.
Ovi rezultati ukazuju na kompleksan odnos građana prema sajber bezbednosti, gde se ističu nisko poverenje u institucije i državu, ali i visok nivo podrške za očuvanje anonimnosti na internetu i pozitivan stav prema tehnologijama. Takođe, postoji svest o rizicima, ali i otpor prema određenim merama kontrole i nadgledanja.
Konačno, bez informisanih građana nema bezbednog informacionog društva. Edukacija i podizanje svesti o informacionoj bezbednosti je najefikasniji način za unapređenje bezbednih navika. Dok standarde bezbednosti postavljaju eksperti, bolja informisanost građana neophodan je doprinos bezbednijem onlajn okruženju.
Sajber bezbednost u IKT sistemima o posebnog značaja
Godišnji izveštaj o sajber pretnjama u IKT sistemima od posebnog značaja pruža sveobuhvatan pregled incidenata, među kojima su najzastupljeniji skeniranje portova, koje omogućava prikupljanje informacija i identifikaciju ranjivosti. Ova vrsta napada je česta u bankarstvu, finansijama, digitalnoj infrastrukturi i uslugama informacionog društva.
Na drugom mestu su pokušaji otkrivanja kredencijala, gde napadači nastoje da pristupe sistemima isprobavanjem korisničkih imena i lozinki. Ovaj napad je efikasan i često se koristi u organima vlasti, energetici, proizvodnji i drugim sektorima.
Pokušaj iskorišćavanja ranjivosti sistema je na trećem mestu po učestalosti i ugrožava integritet, dostupnost i autentičnost podataka. Ova vrsta napada se bazira na poznatim ili novim ranjivostima i zahteva efikasno upravljanje zakrpama.
Fišing je četvrti najzastupljeniji napad, koji često cilja korisnike poštanskih usluga i e-trgovine. Napadači šalju lažne e-poruke u kojima traže lične podatke korisnika i finansijske informacije. Fišing je najčešći u sektorima saobraćaja, zdravstva, nuklearnih objekata, upravljanja otpadom i proizvodnje hemikalija. Takođe se javlja u pravnim licima koja osniva Republika Srbija, autonomne pokrajine i lokalne samouprave, proizvodnji oružja i vojne opreme, kao i u sektorima komunalnih usluga i upravljanja javnim dobrima.
Napadi fišing kampanjama usmereni na korisnike e-trgovine prate sličnu metodologiju. Počinju tako što napadači kontaktiraju oglašivače, predstavljajući se kao potencijalni kupci i postavljaju pitanja o dostupnosti proizvoda i mogućnosti elektronske kupovine. Zatim, pod izgovorom da su već izvršili uplatu putem aplikacije, šalju lažne linkove oglašivačima i traže da unesu bankarske podatke (broj kartice i CVV broj) kako bi se navodno izvršila uplata. Nacionalni CERT je izdao obaveštenja i saopštenja o ovim fišing napadima kako bi upozorio građane na ovu prevaru.
Što se tiče zlonamernog softvera (malware), najzastupljenije vrste u 2022. godini bile su trojanci, virusi i špijunski softver. Trojanci su najzastupljeniji u IKT sistemima za komunalne usluge i upravljanje javnim dobrima, dok se virusi često javljaju u sektoru saobraćaja i IKT sistemima od posebnog značaja za organe vlasti. Špijunski softver je na trećem mestu po zastupljenosti u IKT sistemima koji se odnose na dobra od opšteg interesa, i na četvrtom mestu u IKT sistemima za komunalne delatnosti. Čest je i u sektorima zdravstva i IKT sistemima od posebnog značaja. Ove pretnje ukazuju na važnost redovnog ažuriranja sistema i jačanja svesti korisnika o sajber bezbednosti.
Na kraju ne treba zaboraviti da je u većini slučajeva ljudski faktor najveći rizik po informacionu bezbednost. Stoga su kampanje, edukacija i podizanje svesti o sajber pretnjama i opasnostima veoma bitne.
Ninoslava Bodganović je ekspertkinja za sajber bezbednost u SHARE Fondaciji. Njeno polje delovanja su analiza stanja digitalne bezbednosti i izgradnja bezbednosnih mera i procedura u organizacijama za zaštitu od sajber napada, kao i pružanje pomoći u slučaju sajber incidenata.
Mila Bajić je glavna istraživačica SHARE Fondacije sa fokusom na odnos novih medija, tehnologije i privatnosti.
SHARE Fondacija upozorava na poguban uticaj zloupotrebe tehnologija protiv kritičke javnosti u Srbiji
Dvoje pripadnika civilnog društva iz Beograda dobili su 30. oktobra upozorenje kompanije Apple da su potencijalne mete državno sponzorisanih tehničkih napada. Zahvaljujući dobroj saradnji sa organizacijama civilnog društva u Srbiji, oni su kontaktirali SHARE Fondaciju odmah po prijemu upozorenja i zatražili proveru navoda kako bi se utvrdilo da li su njihovi uređaji napadnuti nekim poznatim špijunskim softverom.
Pošto je tim SHARE Fondacije, u saradnji sa organizacijom Internews, dobio potvrdu od predstavnika kompanije Apple da su upozorenja autentična, mobilni uređaji su analizirani kako bi se utvrdilo da li na njima ima tragova infekcije špijunskim alatima (spyware), među kojima su najpoznatiji Pegasus i Predator. Za konačnu potvrdu, tim SHARE Fondacije se obratio međunarodnim organizacijama Access Now i Amnesty International, koje poseduju visoku ekspertizu u oblasti digitalne forenzike.
Na osnovu pregledanih podataka, ove dve respektabilne organizacije su potvrdile da su na oba mobilna uređaja pronađeni tragovi pokušaja napada koji se dogodio 16. avgusta ove godine. Obe ekspertske organizacije došle su do istih nalaza – da je u inicijalnoj fazi napad pokušan preko ranjivosti u HomeKit funkcionalnosti iPhone uređaja. Špijunski softver Pegasus je ranije dovođen u vezu sa više metoda napada na HomeKit ranjivosti, uključujući i PWNYOURHOME.
SHARE Fondacija upozorava da napadi špijunskim softverom na predstavnike kritičke javnosti imaju poguban uticaj po demokratiju i ljudska prava, naročito u predizbornom periodu. Upotreba špijunskih softvera je nezakonita i nespojiva sa demokratskim vrednostima.
Podsećamo da ove i slične alate za tehničke napade na mobilne uređaje koriste nedemokratski režimi širom sveta za špijunažu predstavnika opozicije, civilnog društva, nezavisnih medija, disidenata i drugih aktera koji nastupaju u javnom interesu. Ovakve aktivnosti ugrožavaju slobodu izražavanja i udruživanja, kao i pravo na privatnost i tajnost komunikacije garantovano domaćim i međunarodnim propisima.
SHARE Fondacija poziva predstavnike medija i civilnog društva koji su dobili istu sistemsku poruku od kompanije Apple da se jave fondaciji za proveru upozorenja.
NAPOMENA: U skladu sa željama pripadnika civilnog društva koji su bili na meti napada, kao i sa bezbednosnim merama, SHARE Fondacija neće iznositi više detalja o ovom incidentu.
NAPOMENA 2: Deo teksta koji se odnosi na analizu uređaja i ranjivosti koje su ciljane je izmenjen 29. novembra 2023. u 12:32 radi preciznosti.
Onlajn platforme u vlasništvu kompanije Meta i preimenovani Tviter značajno su promenili odnos prema transparentnosti podataka i šta se sa njih može tehničkim metodama prikupiti. “Zatvaranje” podataka naročito predstavlja problem kada je reč o praćenju izbornih kampanja na internetu, kao i drugih pojava poput informacionih poremećaja.
Zašto je sve teže istraživati izbore na društvenim mrežama → SHARE Fondacija
U okviru tzv. prava na zaborav o kome smo već pisali, globalni gigant Gugl omogućio je da proces uklanjanja linkova ka zastarelim, nepotpunim i netačnim informacijama iz pretrage bude jednostavno dostupan i građanima Srbije. Neophodno je popuniti onlajn formular i što preciznije navesti koje podatke želite da uklonite iz rezultata pretrage.
U susret novim vanrednim izborima koji će se održati 17. decembra, podsećamo vas na najvažnije nalaze iz internet kampanje za izbore održane u aprilu prošle godine. Vladajuća stranka je još jednom pokazala visok stepen koordinacije i mobilizacije aktivista, a prvi put smo mogli da vidimo koliko su politički akteri potrošili novca na sponzorisane objave na Fejsbuku.
Kako je izgledala onlajn kampanja za prošlogodišnje izbore → SHARE Fondacija
Kompanija Google je nedavno omogućila građanima Srbije da podnesu zahtev za uklanjanje sadržaja sa ličnim podacima iz rezultata pretrage na .rs domenu popularnog servisa. Obrazac zahteva na srpskom jeziku dostupan je ovde, a procedura je prilično jednostavna. Google se tako pridružio zasad još malobrojnoj grupi globalnih internet servisa koji omogućavaju da se “pravo na zaborav” ostvari i u Srbiji. Ako želite da ga iskoristite, u ovom tekstu vas sprovodimo kroz neophodne korake koje treba preduzeti. Takođe, možete se obratiti SHARE Fondaciji da to uradi za vas.
Pogledajmo, dakle, Obrazac zahteva za uklanjanje ličnih podataka. Podnosilac zahteva ga popunjava u svoje ime ili u ime svog klijenta, člana porodice ili prijatelja. Google zadržava pravo da traži punomoćje ili neki drugi dokaz o zastupanju. Direktno u zahtev se ubacuju svi linkovi koji vode do spornih tekstova ili audio-vizuelnih sadržaja u kojima se nalaze podaci o ličnosti koje želimo da uklonimo. Preporuka je da se jednim zahtevom obuhvati između 10 i 100 linkova, radi brže obrade. Potrebno je popuniti i polje u kome se navodi koji podaci su sporni i dati dodatno kratko objašnjenje zašto smatramo da podaci treba da budu uklonjeni. Nakon podnošenja ovog relativno jednostavnog obrasca, Google tim može da vam se obrati sa zahtevom za dodatno objašenjenje ili može da donese odluku bez daljeg odlaganja. Važno je da napomenemo da usvojen zahtev znači da sporni linkovi koji sadrže lične podatke više neće biti dostupni putem pretrage – ali ostaju na internetu. Dakle, uspešnim zahtevom će sa pretrage sajta www.google.rs biti uklonjeni linkovi koji sadrže sporne podatke o ličnosti. Međutim, promenom teritorije ili pretragom recimo www.google.com (ili nekog drugog nacionalnog google domena), linkovi će se i dalje prikazivati u rezultatima pretrage. Ukoliko Google odbije da ukloni tražene linkove, podnosilac zahteva može da se žali protiv ove odluke lokalnom telu za zaštitu podataka o ličnosti.
Kriterijumi za brisanje
Pravo na zaborav u Srbiji regulisano je članom 30 Zakona o zaštiti podataka o ličnosti, koji praktično identičan sadržaj tog prava preuzima iz GDPR-a. Ukratko, svako ko želi uklanjanje podataka koji se na njega odnose od onoga ko tim podacima upravlja, ima to pravo, pod uslovom da dokaže da su objavljene informacije neistinite, prikupljene nezakonito ili bez pristanka onoga na koga se odnose, ili da njihovo objavljivanje više nije neophodno. Uz to, ceni se i postojanje javnog interesa za opstanak objavljene informacije. Ovo u praksi znači da ukoliko se informacije odnose na javnu ličnost, postoji veći interes javnosti da bude upoznata a manji stepen zaštite privatnosti i obrnuto, ukoliko je u pitanju ličnost koja ni na koji način ne učestvuje u javnom životu, stepen interesovanja javnosti je manji, pa samim tim i javni interes. Javni interes se ceni i u odnosu na temu, kao i u odnosu na protek vremena. Na primer, smatra se da javnost može biti zainteresovana da zna informaciju o teškim krivičnim delima, jer tako nešto može imati uticaj na bezbednost većeg broja građana. Takođe, ukoliko su podaci objavljeni relativno skoro, postoji veći stepen verovatnoće da su oni i dalje relevantni za javnost. Protekom vremena generalno opada značaj informacije, pa samim tim i raste mogućnost za uspešno uklanjanje podataka.
Drugim rečima, ovo pravo nije apsolutno, već se prilikom njegovog ostvarivanja vodi računa o balansiranju između prava na privatnost i prava javnosti da bude obaveštena. Treba voditi računa da prilikom razmatranja zahteva iz Srbije, Google tim primenjuje iste kriterijume koje propisuje Zakon o zaštiti podataka o ličnosti.
Brisanje sa drugih servisa
U skladu za našim Zakonom o zaštiti podataka o ličnosti, zahtev za uklanjanje spornih ličnih podataka se podnosi rukovaocu podataka. Rukovalac podataka je svako ko je u posedu ovih podataka o ličnosti i njima upravlja. U praksi, to će najčešće biti mediji, internet portali (YouTube, društvene mreže) i internet pretraživači. Ukoliko su uslovi za brisanje ispunjeni, ovi rukovaoci su dužni da postupe po zahtevu bez odlaganja i uklone sporne podatke o ličnosti. U Srbiji je već bilo uspešnih primera ostvarivanja prava na zaborav na internetu. SHARE Fondacija je vodila slučaj brisanja YouTube kanala, što je bio prvi uspešan primer ostvarenog prava na zaborav u Srbiji. Kroz primenu GDPR-a u Evropskoj uniji, praksa prava na zaborav razvila se posebno u odnosu na podatke koji su dostupni preko internet pretraživača, pre svega preko Google pretraživača. Činjenica je da je Google uvođenjem standardizovanog zahteva značajno olakšao postupak zainteresovanim podnosiocima. Međutim, ovo ne treba da vas obeshrabri da zahtev podnesete i drugim rukovaocima. Ukoliko oni nemaju standardizovane obrasce, moguće je da podnesete zahtev u slobodnoj formi, tako što ćete naznačiti koje podatke o ličnosti želite da se uklone i obrazložiti zašto smatrate da postoje uslovi za njihovo uklanjanje.
Javite nam se ukoliko imate potrebu za uklanjanjem podataka o ličnosti sa Google pretraživača ili internet portala, a treba vam pomoć. Pravni tim SHARE Fondacije će razmotriti vaš slučaj i pružiti vam korisne savete ukoliko postoji osnov za pokretanje postupka.
