Sinetöity kirjekuori ja postinkantaja
Kuvittele, että lähetät kirjeen panssaroidussa kirjekuoressa. Kukaan ei voi avata sitä. Kukaan ei voi lukea, mitä siinä lukee. Olet rauhallinen. Mutta postinkantaja, joka kantaa sitä, tietää kuka sen lähetti, kenelle se on osoitettu, milloin se lähetettiin, mistä ja kuinka usein lähetät kirjeitä tuohon osoitteeseen. Sisältö on suojattu. Kaikki muu ei.
Juuri näin tapahtuu useimpien viestintäsovellusten kanssa, jotka väittävät tarjoavansa päästä päähän -salausta. Viestin sisältö voi olla salattu. Mutta sitä kuljettava palvelin näkee, kuka puhuu kenen kanssa, mihin aikaan, kuinka usein ja mistä sijainnista. Sitä kutsutaan metatiedoksi. Ja metatieto kertoo tarinasi paremmin kuin omat sanasi.
Mitä palvelin näkee, vaikka se ei lue viestejäsi
Viestipalvelin tarvitsee suunnittelunsa vuoksi tietää, kuka lähettää viestin ja kenelle se on osoitettu. Ilman tätä tietoa se ei voi toimittaa sitä. Se myös kirjaa, milloin se lähetettiin ja milloin se luettiin. Ja jos sovellus käyttää sijaintipalveluja, se voi tietää mistä.
Noilla tiedoilla — lukematta yhtäkään sanaa keskusteluistasi — voidaan tietää, kenen kanssa sinulla on läheinen suhde, kuinka usein puhutte, mihin aikoihin olette aktiivisia, oletteko samassa paikassa vai eri paikoissa. Käyttäytymismalleja voidaan havaita, uusia suhteita, viilentyviä suhteita, epätavallisia toimintoja. Kaikki avaamatta yhtäkään viestiä.
Epämukava kysymys
Jos sovellus lähettäisi viestisi selkotekstinä — salaamattomina, täysin luettavina — mutta tekisi sen suoraan laitteestasi toisen henkilön laitteeseen, kulkematta minkään palvelimen kautta, se olisi yksityisempi kuin päästä päähän -salauksella varustettu sovellus, joka kulkee keskuspalvelimen kautta.
Se kuulostaa ristiriitaiselta. Mutta mieti sitä. Ensimmäisessä tapauksessa jonkun pitäisi siepata suora yhteys kahden laitteesi välillä lukeakseen viestin — teknisesti mahdollista mutta vaikeaa ja paikallista. Toisessa tapauksessa on yritys, jolla on palvelin, joka kirjaa kaikki metatietosi jatkuvasti, automaattisesti, massiivisesti ja pysyvästi. Sisällön salaus on merkityksetöntä, jos elämäsi malli on jo tallennettu.
Miksi tämä ei muutu
Suuret viestintäalustat eivät poista palvelimiaan. Eivät voi. Heidän liiketoimintamallinsa riippuu viestintämallsiesi tuntemisesta. Tieto siitä, kenen kanssa puhut, milloin ja missä, on valtavan arvokas kaupallisesti. Tämä tieto ruokkii mainonta-algoritmeja, käyttäjien segmentointia ja käyttäytymisanalyysiä. Palvelimen poistaminen tarkoittaisi kaiken sen luopumista.
Se ei ole tekninen kysymys. Se on eturistiriita. Yritys, joka kuljettaa viestejäsi, on taloudellisesti motivoitunut tarkkailemaan, miten se kuljettaa niitä. Siksi sisällön salaus ei vaivaa heitä lainkaan: liiketoiminta ei ollut koskaan sisällössä. Se oli aina metatiedoissa.
Ainoa rakenteellinen ratkaisu
Ainoa tapa, ettei kenelläkään ole metatietojasi, on ettei kukaan ole välissä. Että viesti menee suoraan laitteestasi toisen henkilön laitteeseen. Ei palvelinta kuljettamaan sitä, ei yritystä tarkkailemaan sitä, ei kirjaa siitä, kuka puhui kenen kanssa.
Kun palvelinta ei ole, ei ole metatietoja kerättäväksi. Ei mallia analysoitavaksi. Ei historiaa luovutettavaksi oikeuden määräykseen. Ei tietokantaa hakkeroitavaksi. Yksityisyys ei riipu yrityslupauksesta tai tietosuojakäytännöstä, joka voi muuttua huomenna. Se riippuu arkkitehtuurista. Ja arkkitehtuuri ei valehtele.