Πραγματική έναντι φαινομενικής ιδιωτικότητας: οι ερωτήσεις που αξίζει να θέσει κανείς
Λειτουργική σύνθεση του κύκλου 2: οι ερωτήσεις που διακρίνουν μια υπηρεσία με αρχιτεκτονική ιδιωτικότητα από μία με δηλωτική ιδιωτικότητα. Ένα ερωτηματολόγιο για τον Ευρωπαίο επαγγελματία πριν υιοθετήσει οποιοδήποτε ψηφιακό εργαλείο για ευαίσθητα δεδομένα.
Η διαφορά μεταξύ αρχιτεκτονικής ιδιωτικότητας και δηλωτικής ιδιωτικότητας
Στη διάρκεια των επτά προηγούμενων άρθρων αυτού του κύκλου διασχίσαμε διαφορετικά στρώματα του ίδιου ζητήματος. Το δίκαιο των διεθνών διαβιβάσεων με το Schrems II. Τη μαθηματική ιδέα του κρυπτογραφικού hash που σφραγίζει κάθε Cuaderno. Την αρχιτεκτονική επιλογή του kill switch και τη θεσμική αιχμαλωσία που σχεδόν πάντα τη συνοδεύει. Τον μηχανισμό της κρυπτογράφησης από άκρο σε άκρο και τη λειτουργική ερώτηση για το πού βρίσκονται τα κλειδιά. Την ευθυγράμμιση των κινήτρων ανάλογα με το επιχειρηματικό μοντέλο. Την αυτοκυρίαρχη κρυπτογραφική ταυτότητα. Το self-hosting ως αναλογική στρατηγική. Κάθε άρθρο ασχολήθηκε με μία γωνία. Αυτό, το τελευταίο του κύκλου, τα συγκεντρώνει σε ένα ερωτηματολόγιο.
Η διάκριση που αξίζει να συγκρατήσει κανείς είναι απλή: υπάρχουν υπηρεσίες των οποίων η ιδιωτικότητα είναι αρχιτεκτονική και υπάρχουν υπηρεσίες των οποίων η ιδιωτικότητα είναι δηλωτική. Η πρώτη είναι ενσωματωμένη στον τεχνικό σχεδιασμό: ορισμένες παραβιάσεις της δέσμευσης ιδιωτικότητας είναι τεχνικά δύσκολες ή αδύνατες επειδή η αρχιτεκτονική δεν τις επιτρέπει. Η δεύτερη είναι κατατεθειμένη στο κείμενο της νομικής δήλωσης: ορισμένες παραβιάσεις θα ήταν συμβατικά κολάσιμες αν συνέβαιναν, αλλά τεχνικά τίποτα δεν τις εμποδίζει. Τα δύο μοντέλα μπορούν να συμμορφώνονται με τον ΓΚΠΔ· αλλά το ένα προστατεύει εκ κατασκευής και το άλλο προστατεύει διά της υπόσχεσης, και η διαφορά είναι λειτουργικά τεράστια.
Οι ερωτήσεις που ακολουθούν είναι σχεδιασμένες για να διακρίνουν τη μία περίπτωση από την άλλη. Δεν είναι προηγμένες τεχνικές ερωτήσεις. Είναι οι ερωτήσεις που οποιοσδήποτε ειλικρινής πάροχος μπορεί να απαντήσει στη δημόσια τεκμηρίωσή του. Η ποιότητα και η ακρίβεια της απάντησης λένε τόσα για το προϊόν όσα και η ίδια η απάντηση. Οι ερωτήσεις ομαδοποιούνται σε έξι στρώματα· αξίζει να τις θέσει κανείς όλες πριν υιοθετήσει την υπηρεσία για ευαίσθητα δεδομένα, όχι μόνο εκείνες που εντοπίζει το πρώτο ένστικτο.
Στρώμα 1: αρχιτεκτονική
Ας ορίσουμε έναν όρο πριν συνεχίσουμε. Με τον φορέα εννοούμε την εταιρεία που παρέχει την υπηρεσία: την οντότητα που ελέγχει τους διακομιστές και το λογισμικό, όχι κάποιο συγκεκριμένο πρόσωπο. Με αυτή τη διευκρίνιση, το θεμελιώδες αρχιτεκτονικό ερώτημα είναι: τι κάνει ο φορέας με το περιεχόμενο μεταξύ αποστολέα και παραλήπτη; Υπάρχουν τρεις πιθανές απαντήσεις και αξίζει να ξέρει κανείς να τις διακρίνει, γιατί και οι τρεις διαφημίζονται ενίοτε με παρόμοιο λεξιλόγιο.
- Η πρώτη: το περιεχόμενο περνά από διακομιστή του φορέα σε καθαρή μορφή, όπου ο φορέας μπορεί να το διαβάσει ακόμη κι αν υπόσχεται ότι δεν θα το κάνει.
- Η δεύτερη: το περιεχόμενο περνά από διακομιστή του φορέα κρυπτογραφημένο, όπου ο φορέας δεν μπορεί να το διαβάσει αν τα κλειδιά βρίσκονται αποκλειστικά στις συσκευές των χρηστών.
- Η τρίτη: το περιεχόμενο δεν περνά από κανέναν διακομιστή του φορέα, επειδή δεν υπάρχει διακομιστής του φορέα σε αυτή τη συγκεκριμένη ροή.
Η διαφορά μεταξύ αυτών των τριών δεν είναι βαθμού: είναι είδους.
Η συμπληρωματική ερώτηση —ήδη διατυπωμένη στο Cuaderno για την κρυπτογράφηση— είναι: ποιος έχει τα κρυπτογραφικά κλειδιά που επιτρέπουν την ανάγνωση του περιεχομένου; Αν τα έχει ο χρήστης και μόνο ο χρήστης, η κρυπτογράφηση είναι πραγματική. Αν τα έχει επιπλέον ο φορέας σε οποιαδήποτε μορφή —ακόμη και υπό το όνομα «ανάκτηση λογαριασμού» ή «συγχρονισμός μεταξύ συσκευών»—, η κρυπτογράφηση είναι ονομαστική. Η ερώτηση δεν επιδέχεται ειλικρινή ενδιάμεση απάντηση.
Στρώμα 2: επιχειρηματικό μοντέλο
Η ερώτηση για το επιχειρηματικό μοντέλο έχει τόση σημασία όση και η αρχιτεκτονική ερώτηση, και για τον ίδιο ουσιαστικό λόγο: τα κίνητρα παράγουν, με την πάροδο του χρόνου, συστηματικά διαφορετικά προϊόντα ακόμη και με πανομοιότυπους δηλωμένους σκοπούς. Πώς βγάζει χρήματα σήμερα ο φορέας; Μία μόνο πηγή, δύο, μείγμα; Αν η χρηματοδότηση περιλαμβάνει διαφήμιση ή κερδοφορία από δεδομένα, ποια δεδομένα κερδοφορούνται και σε ποια νομική βάση του ΓΚΠΔ γίνεται αυτό; Καλύπτει ο σκοπός που δηλώνεται στη νομική δήλωση τα δεδομένα τρίτων που ο επαγγελματίας προτίθεται να εμπιστευτεί στην υπηρεσία;
Και η ερώτηση δεύτερης τάξης, που δεν διατυπώνεται πάντα: ποια είναι η οικονομική κατάσταση του φορέα σε ορίζοντα τριών ή πέντε ετών; Μια εταιρεία σε φάση επιχειρηματικών κεφαλαίων λειτουργεί υπό διαφορετικές πιέσεις από μια εταιρεία σε σταθερή κερδοφορία. Η αλλαγή του μοντέλου χρηματοδότησης είναι, επανειλημμένα, η στιγμή κατά την οποία η σιωπηρή σύμβαση με τους χρήστες ξαναγράφεται χωρίς διαπραγμάτευση.
Στρώμα 3: δικαιοδοσία
Για τον Ευρωπαίο επαγγελματία, η ερώτηση της δικαιοδοσίας δεν είναι ρητορική. Σε ποια δικαιοδοσία είναι συστημένος ο φορέας; Σε ποια χώρα βρίσκονται φυσικά οι διακομιστές που επεξεργάζονται τα δεδομένα; Είναι η απάντηση στις δύο προηγούμενες ερωτήσεις η ίδια ή διαφορετική, και αν διαφέρει, ποια νομοθεσία εφαρμόζεται; Μια ευρωπαϊκή περιοχή που λειτουργεί από μια αμερικανική εταιρεία δεν είναι, για τους σκοπούς του Schrems II, ευρωπαϊκή απάντηση: η εταιρεία υπόκειται στον FISA 702 ανεξάρτητα από το πού βρίσκονται οι διακομιστές.
Η συμπληρωματική λειτουργική ερώτηση είναι: αν έφτανε αύριο μια έγκυρη εντολή υπηρεσιών πληροφοριών στη δικαιοδοσία του φορέα ζητώντας την παράδοση των δεδομένων μου ή των δεδομένων των πελατών μου, τι θα συνέβαινε; Αν η ειλικρινής απάντηση αρχίζει με «η εταιρεία θα ήταν υποχρεωμένη να τα παραδώσει», η υπηρεσία δεν προστατεύει έναντι αυτής της εντολής όσο κι αν η διαφήμιση υπαινίσσεται το αντίθετο. Αν η ειλικρινής απάντηση αρχίζει με «η εταιρεία δεν θα μπορούσε να τα παραδώσει επειδή δεν τα έχει σε καθαρή μορφή», η υπηρεσία όντως προστατεύει· και η διαφορά εξαρτάται σχεδόν εξ ολοκλήρου από τα δύο πρώτα στρώματα, όχι από την ποιότητα της πολιτικής απορρήτου.
Στρώμα 4: φορέας και kill switch
Ποια τεχνική ικανότητα διατηρεί ο φορέας για να αναστείλει, να μπλοκάρει, να διαγράψει ή να υποβαθμίσει την υπηρεσία εξ αποστάσεως; Η ερώτηση δεν είναι παρανοϊκή: είναι λειτουργική. Οι ψηφιακές πλατφόρμες έχουν ασκήσει αυτή την ικανότητα επανειλημμένα τα τελευταία χρόνια, άλλοτε με δική τους πρωτοβουλία, άλλοτε υπό εντολή κυβερνήσεων, άλλοτε μετά από αλλαγές ιδιοκτησίας ή πολιτικής. Αν η ικανότητα υπάρχει, αξίζει να γνωρίζει κανείς υπό ποιες συμβατικά δηλωμένες προϋποθέσεις ασκείται και να κρατά περιθώριο για τις μη δηλωμένες προϋποθέσεις που η πρακτική των τελευταίων ετών έδειξε εξίσου σημαντικές: απρόσμενη δικαστική εντολή, διεθνής κύρωση, αλλαγή εταιρικής διοίκησης, εξαγορά από οντότητα με άλλη πολιτική.
Η αδελφή ερώτηση είναι αυτή του σχεδίου συνέχειας: αν ο φορέας ασκούσε την ικανότητα εναντίον του επαγγελματία —για οποιονδήποτε λόγο, δίκαιο ή όχι—, πόσος χρόνος δραστηριότητας θα παρέμενε διαθέσιμος, ποια διαδικασία εξαγωγής δεδομένων υπάρχει και σε ποιον εναλλακτικό πάροχο θα μπορούσε κανείς να μεταναστεύσει; Αν η απάντηση αρχίζει με «δεν θα έπρεπε να συμβεί», δεν είναι λειτουργική απάντηση· είναι υπόσχεση.
Στρώμα 5: ταυτότητα και πρόσβαση
Ποιος ελέγχει τα διαπιστευτήρια πρόσβασης στην υπηρεσία; Αν ο φορέας μπορεί να επαναφέρει την πρόσβαση του χρήστη χωρίς τη συμμετοχή του χρήστη —διαδικασία που τυπικά ονομάζεται «ανάκτηση λογαριασμού»—, ο φορέας είναι, τεχνικά, ο θεματοφύλακας του λογαριασμού και μπορεί επίσης να τον παραχωρήσει σε όποιον το ζητήσει μέσω της κατάλληλης διαδικασίας. Αν ο φορέας δεν μπορεί να επαναφέρει την πρόσβαση επειδή η ταυτότητα βρίσκεται κρυπτογραφικά στη συσκευή του χρήστη, ο φορέας δεν μπορεί ούτε να την παραχωρήσει, ούτε καν υπό εντολή. Οι δύο τρόποι είναι θεμιτοί ανάλογα με το πλαίσιο· αλλά, για άλλη μια φορά, είναι διαφορετικοί, και αξίζει να γνωρίζει κανείς ποιον υιοθετεί.
Τι συμβαίνει με τα δεδομένα του επαγγελματία αν ο επαγγελματίας χάσει την πρόσβαση; Υπάρχουν μηχανισμοί ανάκτησης —λογαριασμού, αρχείου, συνεδρίας— που εξαρτώνται από τον φορέα; Είναι αυτοί οι μηχανισμοί συμβατοί με τη δεοντολογία του κλάδου αν ο φορέας εξαναγκαστεί να τους χρησιμοποιήσει;
Στρώμα 6: μέλλον
Αυτό το τελευταίο στρώμα συνήθως παραμελείται επειδή απαιτεί προβολή. Τι θα συνέβαινε αν η υπηρεσία εξαγοραζόταν από άλλη εταιρεία; Σχεδόν όλες οι εξαγορές συνεπάγονται αναθεώρηση των όρων της υπηρεσίας τους επόμενους μήνες. Τι θα συνέβαινε αν οι κανονιστικές απαιτήσεις άλλαζαν; Το ευρωπαϊκό δίκαιο αύξησε τις υποχρεώσεις απόσυρσης και μπλοκαρίσματος από το 2022, δεν τις μείωσε. Τι θα συνέβαινε αν ο φορέας εξαφανιζόταν; Ένα σημαντικό μέρος των υπηρεσιών cloud δεν διαθέτει τεκμηριωμένο σχέδιο εξόδου για το σενάριο παύσης του φορέα· ο επαγγελματίας ανακαλύπτει το πρόβλημα όταν δεν υπάρχει πλέον χρόνος να το προετοιμάσει.
Υπάρχει μια διατύπωση που αξίζει να συγκρατήσει κανείς γι' αυτό το στρώμα: οι αρχιτεκτονικές που εξαρτώνται λιγότερο από τον φορέα είναι πιο ανθεκτικές σε αλλαγές του φορέα. Το self-hosting σε οποιαδήποτε από τις μορφές του, η αυτοκυρίαρχη κρυπτογραφική ταυτότητα, οι επικοινωνίες χωρίς διακομιστή στη μέση, όλα αυτά μειώνουν τη μελλοντική επιφάνεια κινδύνου μέσω της διαδικασίας μείωσης της παρούσας επιφάνειας εξάρτησης. Δεν την εξαλείφουν· τη μειώνουν.
Η διαφορά μεταξύ δομής και υπόσχεσης
Αν έπρεπε να αποστάξουμε τον κύκλο σε μία μόνο φράση, θα ήταν αυτή: οι δομικές απαντήσεις διατηρούνται ακόμη κι αν ο φορέας, η διοίκηση ή η νομοθεσία αλλάξουν· οι απαντήσεις μέσω υπόσχεσης διατηρούνται όσο αυτός που υπόσχεται μπορεί και θέλει να τις διατηρήσει. Και οι δύο μπορεί να είναι σωστές τη στιγμή που υιοθετούνται. Μόνο μία από τις δύο αντέχει ανεξάρτητα από το πέρασμα του χρόνου και την αλλαγή των συνθηκών.
Αυτό δεν σημαίνει ότι κάθε επαγγελματίας πρέπει να απαιτεί δομικές απαντήσεις από όλες τις υπηρεσίες που υιοθετεί. Η αναλογικότητα παραμένει θεμιτή: ένα λογιστικό φύλλο για εσωτερική λογιστική δεν χρειάζεται την ίδια απάντηση με τον ιατρικό φάκελο ενός ασθενούς. Σημαίνει, ναι, ότι η επαγγελματικότητα συνίσταται στο να γνωρίζει κανείς τι είδους απάντηση έχει αποδεχτεί σε κάθε περίπτωση και στο να έχει αποφασίσει συνειδητά ότι αυτό το είδος απάντησης είναι αναλογικό προς το συγκεκριμένο δεδομένο.
Το ερωτηματολόγιο, ταξινομημένο
Δώδεκα συγκεκριμένες ερωτήσεις που συνθέτουν τον κύκλο, ταξινομημένες ώστε η απάντηση σε καθεμία να ενημερώνει την επόμενη:
- Περνά το περιεχόμενο από διακομιστή του φορέα; Αν περνά: σε καθαρή μορφή, κρυπτογραφημένο με κλειδιά του φορέα ή κρυπτογραφημένο με κλειδιά αποκλειστικά του χρήστη;
- Αν επικαλείται κρυπτογράφηση από άκρο σε άκρο, πού βρίσκονται τα κρυπτογραφικά κλειδιά; Γνωρίζει ή διατηρεί ο φορέας κάποιο μέρος τους σε οποιαδήποτε μορφή, συμπεριλαμβανομένης της «ανάκτησης»;
- Ποια μεταδεδομένα παράγει και διατηρεί η υπηρεσία; Για πόσο χρόνο; Σε ποιον είναι ορατά;
- Πώς χρηματοδοτείται ο φορέας; Αν η χρηματοδότηση περιλαμβάνει διαφήμιση ή κερδοφορία από δεδομένα, καλύπτει ο δηλωμένος σκοπός δεδομένα τρίτων που έχει εμπιστευτεί ο επαγγελματίας;
- Ποια είναι η οικονομική κατάσταση του φορέα σε ορίζοντα τριών ή πέντε ετών; Υπάρχουν παράγοντες που υποδηλώνουν επικείμενη αλλαγή μοντέλου (εκκρεμής εισαγωγή στο χρηματιστήριο, γύρος χρηματοδότησης που εξαντλείται, πιθανή εξαγορά);
- Σε ποια δικαιοδοσία είναι συστημένος ο φορέας; Σε ποια χώρα βρίσκονται φυσικά οι διακομιστές; Αν διαφέρουν, ποια εθνική νομοθεσία εφαρμόζεται στην επεξεργασία;
- Τι θα συνέβαινε αν μια έγκυρη εντολή υπηρεσιών πληροφοριών στη δικαιοδοσία του φορέα ζητούσε την παράδοση των δεδομένων μου; Θα μπορούσε η εταιρεία να τη συμμορφωθεί τεχνικά;
- Ποια τεχνική ικανότητα διατηρεί ο φορέας για να αναστείλει, να μπλοκάρει ή να διαγράψει την υπηρεσία; Υπό ποιες συμβατικές προϋποθέσεις; Υπό ποιες ιστορικά τεκμηριωμένες μη συμβατικές προϋποθέσεις;
- Ποιο σχέδιο εξόδου υπάρχει αν ο φορέας ασκούσε αυτή την ικανότητα εναντίον μου, δίκαια ή άδικα; Υπάρχει τεκμηριωμένη διαδικασία εξαγωγής δεδομένων σε εναλλακτικό πάροχο;
- Ποιος ελέγχει τα διαπιστευτήρια πρόσβασης; Μπορεί ο φορέας να τα επαναφέρει χωρίς τη συμμετοχή μου; Αυτό με προστατεύει ή με εκθέτει;
- Υπάρχει ευρωπαϊκή, αυτο-φιλοξενούμενη ή χωρίς διακομιστή στη μέση εναλλακτική για αυτή τη συγκεκριμένη λειτουργία; Ποιο είναι το πραγματικό της κόστος, σε σύγκριση με τον εκτιμώμενο κίνδυνο;
- Αν η σημερινή απόφαση εξεταζόταν σε πέντε χρόνια από έναν επιθεωρητή, έναν ελεγκτή ή έναν πελάτη που επλήγη από παραβίαση, θα ήταν η τρέχουσα επιλογή υπερασπίσιμη με τα διαθέσιμα σήμερα επιχειρήματα ή θα απαιτούσε συγγνώμη για το ότι δεν τέθηκαν εύλογες ερωτήσεις;
Οι ερωτήσεις δεν περιμένουν τέλειες απαντήσεις. Περιμένουν ειλικρινείς απαντήσεις, που ο ειλικρινής φορέας ξέρει να δίνει και ο λιγότερο ειλικρινής φορέας αποφεύγει να διατυπώσει με ακρίβεια. Η λειτουργική διαφορά μεταξύ των δύο ειδών φορέα, το λέμε χωρίς δραματικότητα, συνήθως γίνεται αντιληπτή διαβάζοντας αργά τις απαντήσεις που προσφέρουν εκούσια, ακόμη και πριν χρειαστεί να ζητήσει κανείς περισσότερα.
Με αυτό το άρθρο κλείνουμε τον δεύτερο κύκλο των Cuadernos Lacre. Ξεκινήσαμε με το εκδοτικό χρέος που κληρονομήσαμε από το Schrems II και τελειώνουμε με ένα λειτουργικό ερωτηματολόγιο. Στην πορεία διασχίσαμε έννοιες — hash, κρυπτογράφηση, ταυτότητα — και εφαρμοσμένες αναλύσεις — kill switch, επιχειρηματικό μοντέλο, self-hosting. Η δηλωμένη εκδοτική πρόθεση της έκδοσης δεν ήταν να κατακλύσει τον αναγνώστη με τον εξαντλητικό κατάλογο των προβλημάτων, αλλά να του παραδώσει εργαλεία ώστε να διακρίνει, μπροστά σε οποιαδήποτε νέα υπηρεσία, τι είδους απάντηση αποδέχεται. Αυτή η διάκριση — μεταξύ αρχιτεκτονικής και υπόσχεσης — είναι το εργαλείο. Τα υπόλοιπα κάθε επαγγελματίας θα τα θέσει στην υπηρεσία των δεδομένων που θεωρεί, στην πρακτική του, άξια της ερώτησης.
Πηγές και περαιτέρω μελέτη
- Αυτή η έκδοση, κύκλος 2 (Μάιος 2026) — Schrems II, πέντε χρόνια μετά, Τι είναι πραγματικά το SHA-256, Kill switch και θεσμική αιχμαλωσία, Κρυπτογράφηση από άκρο σε άκρο, πραγματική εξήγηση, Το επιχειρηματικό μοντέλο ως σήμα εμπιστοσύνης, Οι 24 λέξεις: τι είναι μια κρυπτογραφική ταυτότητα, Self-hosting ως επαγγελματική πρακτική. Τα επτά άρθρα στα οποία στηρίζεται αυτό το ερωτηματολόγιο.
- Κανονισμός (ΕΕ) 2016/679 — Γενικός Κανονισμός για την Προστασία Δεδομένων. Νομικό πλαίσιο αναφοράς για όλες τις ερωτήσεις που θέτει το ερωτηματολόγιο, ιδίως τα άρθρα 5, 6, 25, 28, 32, 33 και το κεφάλαιο V.
- Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων — κατευθυντήριες γραμμές και λειτουργικές γνωμοδοτήσεις για το Schrems II, τις διεθνείς διαβιβάσεις, τις εκτιμήσεις αντικτύπου και την προορατική λογοδοσία (δημοσιεύσεις 2020-2024).
- Ισπανική Αρχή Προστασίας Δεδομένων — κυρώσεις που δημοσιεύθηκαν 2022-2024 σε υπευθύνους επεξεργασίας για ακατάλληλα μέσα διαβίβασης ή για τυπικές εκτιμήσεις αντικτύπου χωρίς ουσιαστικό περιεχόμενο.
- noyb.eu — Ευρωπαϊκό Κέντρο για τα Ψηφιακά Δικαιώματα, υπό τη διεύθυνση του Maximilian Schrems. Δημόσιο αποθετήριο καταγγελιών, προσφυγών και αναλύσεων για την πραγματική, όχι φαινομενική, συμμόρφωση με τους ευρωπαϊκούς κανόνες προστασίας δεδομένων.