Kill switch i instytucjonalne przejęcie

Obietnica, która opiera się na możliwości jej wycofania

W 2017 roku, podczas huraganu Irma, kilku właścicieli Tesli na Florydzie odkryło, że ich samochód, po otrzymaniu zdalnej aktualizacji od producenta, nagle zyskał dodatkowe kilometry zasięgu. Nie zapłacili za nie. Bateria zawsze mogła je zapewnić; producent zdecydował, w celu segmentacji rynku, nie pozwalać na to klientowi. Podczas sytuacji awaryjnej Tesla tymczasowo aktywowała pełną pojemność. Po ustąpieniu awarii, dezaktywowała ją.

To, co wiadomości opisywały jako gest hojności, przy uważnym czytaniu okazało się czymś innym. Właściciel nigdy nie był właścicielem całego produktu, za który zapłacił. Producent zachował techniczną możliwość — zdalnego rozszerzania lub ograniczania funkcji — i zdecydował się z niej skorzystać na korzyść klienta w tym konkretnym przypadku. Mógł wybrać przeciwnie. Historia nie opowiada o akcie dobroci; opowiada o architekturze władzy.

Ten artykuł zajmuje się tą architekturą. Nazywamy ją, zgodnie z konwencją branżową, kill switch: zdalny wyłącznik, który pozwala operatorowi dezaktywować, modyfikować lub wycofywać funkcje produktu, usługi lub urządzenia, które użytkownik uważał już za swoje. Pytanie nie brzmi, czy operator jest uczciwy. Pytanie brzmi, co się stanie, gdy przestanie nim być, lub gdy ktoś zmusi go do użycia wyłącznika w innym kierunku.

Czym dokładnie jest kill switch

Termin pochodzi z języka angielskiego i jest trudny do przetłumaczenia: interruptor de muerte brzmi dramatycznie; interruptor remoto brzmi zbyt neutralnie. Tym, co definiuje kill switch, nie jest dramatyzm, lecz prosta właściwość: techniczna zdolność do zdalnej dezaktywacji czegoś, znajdująca się w rękach kogoś innego niż użytkownik, który z tego korzysta. Może to być całkowite wyłączenie —samochód, który nie zapala, plik, który zostaje usunięty, konto, które zostaje zawieszone— lub wyłączenie częściowe —funkcja, która znika, bateria, która traci zasięg, subskrypcja, która zostaje przerwana.

Nie każda zdalna kontrola to kill switch. Rutynowa aktualizacja bezpieczeństwa, autoryzowana przez użytkownika podczas instalacji produktu, nim nie jest. Nie jest nim również system antykradzieżowy, który właściciel może sam aktywować po kradzieży telefonu. Kill switch, w ścisłym znaczeniu, ma trzy cechy: jego użycie jest decyzją operatora, a nie użytkownika; nie wymaga punktowej zgody osoby poszkodowanej do aktywacji; i jest stosowany wobec produktu lub usługi, którą użytkownik uważał już w pełni za własną.

Europejska galeria aktywnych wyłączników

Tesla często powtarza ten wzorzec, w swoim przypadku w sposób udokumentowany: umowne ograniczenia zasięgu stosowane w używanych pojazdach, które zmieniły właściciela, wycofywanie funkcji wspomagania jazdy po cofnięciu licencji, jednostronne modyfikacje zachowania produktu między wersjami oprogramowania układowego. John Deere od lat znajduje się w centrum europejskiej i amerykańskiej debaty na temat prawa do naprawy: zakup traktora obejmuje warstwę oprogramowania, której obsługa zależy od oficjalnej sieci producenta; gdy ta sieć odmawia rejestracji, traktor ogranicza podstawowe funkcje. BMW zaoferowało w 2022 roku miesięczną subskrypcję na aktywację ogrzewania siedzeń w samochodach, które miały je już zainstalowane fizycznie; presja publiczna wymusiła wycofanie modelu, ale zdolność techniczna pozostała.

W sferze oprogramowania wzorzec ten jest strukturalny. Adobe Creative Cloud cofa miesięczne licencje, gdy subskrypcja nie zostaje odnowiona, pozostawiając bezużytecznymi pliki, które użytkownik stworzył za pomocą tych narzędzi. Microsoft może dezaktywować kopie systemu Windows, które uzna za nieoryginalne, bez praktycznej możliwości odwołania. Google usuwa aplikacje z Play Store, wykonując nakazy sądowe lub decyzje wewnętrzne; odinstalowana aplikacja jest usuwana również z telefonów, na których się znajdowała. Apple Pay został dezaktywowany w Rosji w marcu 2022 r., gdy Apple zastosowało się do sankcji międzynarodowych: legitymowalne w tym kontekście, ale procedura była zawsze dostępna.

Uzasadniony argument ze strony producenta

Ten, kto projektuje jeden z takich systemów, zazwyczaj przedstawia w pełni słuszne argumenty:

1. Zapobieganie kradzieży. Jeśli mój samochód lub telefon zostanie skradziony, doceniam fakt, że producent może go zdalnie unieruchomić.
2. Zapobieganie oszustwom. Nieopłacone subskrypcje wymagają mechanizmu odcięcia; bez tego mechanizmu model biznesowy upada.
3. Zapobieganie nadużyciom. Niebezpieczne narzędzie w niewłaściwych rękach może skorzystać na możliwości jego odwołania.
4. Zgodność z przepisami. Niektóre nakazy prawne zmuszają operatora do usuwania treści, wyłączania funkcji lub zawieszania kont, a system bez wyłącznika to system, który nie może ich spełnić.

Wszystkie cztery argumenty są prawdziwe. Żaden z nich nie zmienia natury sprawy. To prawda, że kill switch ułatwia zapobieganie kradzieży; prawdą jest również, że ta sama zdolność służy do wywierania nacisku na żywego klienta, a nie tylko do szkodzenia złodziejowi. To prawda, że model subskrypcyjny wymaga odcięcia; prawdą jest również, że odcięcie może zostać wykonane jutro wobec obecnego klienta z powodu innego niż przewidziany w umowie. Kwestią nie jest to, czy kill switch ma legalne zastosowania. Kwestią jest to, że gdy już istnieje, jego zastosowania nie ograniczają się do tych przewidzianych w początkowej dokumentacji.

Zawłaszczenie instytucjonalne

Tutaj pojawia się pojęcie, które nadaje artykułowi tytuł. Zawłaszczenie instytucjonalne (institutional capture) to sytuacja, w której podmiot — prywatna firma, administracja, organ regulacyjny — kończy wykonując uprawnienia, które nabył lub zostały mu przyznane w ograniczonych celach, do celów szerszych, innych lub wręcz sprzecznych z pierwotnymi. Ekonomia polityczna zna to zjawisko od dziesięcioleci w regulacji finansowej. Przemysł technologiczny odkrywa je na własną rękę.

Mechanizm jest następujący. Firma projektuje kill switch w legalnych celach: antykradzieżowych, zarządzania subskrypcjami, zgodności. Firma dokumentuje te cele w swoich warunkach użytkowania, w swojej polityce prywatności, w swoich komunikatach publicznych. Mijają lata. Rząd wydaje nakaz na podstawie nowych przepisów; firma czuje się zmuszona do użycia wyłącznika w kierunku nieopisanym w jej pierwotnej dokumentacji. Aktywistyczny akcjonariusz wchodzi do zarządu i modyfikuje politykę handlową; wyłączniki istnieją i są stosowane zgodnie z nową polityką. Firma zostaje przejęta przez większą; warunki świadczenia usług zostają jednostronnie przepisane z trzydziestodniowym wypowiedzeniem. W każdym przypadku klient, który zaufał wyłącznikowi w celach udokumentowanych, odkrywa, że wyłącznik nadal tam jest, ale odpowiada na inne interesy.

Paradygmatyczny przypadek dla europejskiego czytelnika: sprawa Apple przeciwko FBI w San Bernardino w 2016 roku. Po zamachu w Kalifornii FBI zażądało od Apple odblokowania iPhone'a sprawcy. Apple odmówiło, podtrzymując częściowo argumenty zasad, a częściowo argument techniczny: system, tak jak został zaprojektowany, nie pozwalał samej firmie na odblokowanie urządzenia bez przepisania oprogramowania bazowego. Najsolidniejsza obrona nie była moralna; była architektoniczna. Apple nie opierało się na obietnicy nieużywania wyłącznika; opierało się na braku wyłącznika. Inne firmy, z wyłącznikami obecnymi w swojej architekturze, nie mogły utrzymać tego samego stanowiska wobec równoważnych nacisków.

Europejska trajektoria regulacyjna

Prawo europejskie w ostatniej kadencji parlamentarnej dążyło do zwiększenia możliwości zdalnego sterowania, a nie do ich zmniejszenia. Akt o usługach cyfrowych (DSA), w pełni stosowany od lutego 2024 r., zobowiązuje platformy do umożliwienia szybkich mechanizmów usuwania treści na polecenie właściwego organu; mechanizmów, które nie istniałyby bez podstawowej zdolności technicznej. Akt o sztucznej inteligencji (AI Act), wchodzący w życie etapami od sierpnia 2024 r., wymaga od dostawców niektórych systemów SI wysokiego ryzyka posiadania środków pozwalających na ich dezaktywację lub znaczący nadzór ludzki: jest to normatywna forma obowiązkowego kill switch. Z kolei Akt o rynkach cyfrowych (DMA) wprowadza obowiązki w zakresie interoperacyjności: przeciwstawny nurt ograniczający efekty blokady.

Dla europejskiego profesjonalisty szczera interpretacja jest następująca: pytanie „czy operator może dezaktywować tę usługę dla mnie?” z roku na rok ma coraz więcej odpowiedzi twierdzących ze względu na wymogi prawne, a nie mniej. Nie podważa to legitymacji przepisów — DSA odpowiada na realne problemy — ale wzmacnia jedną rzecz: ufność, że operator nie użyje przełącznika, wymaga dodatkowo ufności, że żadne przyszłe zobowiązanie prawne nie zmusi go do użycia go w kierunku, którego dziś się nie przewiduje. Jest to ufność, która nie spoczywa wyłącznie na firmie; spoczywa na całym środowisku regulacyjnym.

Pytanie o projektowanie, które rzadko jest stawiane

Większość współczesnych projektów technicznych zakłada, że przełącznik będzie istniał, a następnie obiecuje, że nie będzie go nadużywać. Istnieje alternatywa, bardziej wymagająca, ale całkowicie wykonalna: projektowanie przy założeniu, że przełącznik nie powinien istnieć. To nie jest slogan. Wiąże się to z konkretnymi decyzjami: architektura rozproszona zamiast scentralizowanej, uprawnienia na urządzeniu użytkownika zamiast pochodnych od konta, treści szyfrowane kluczami, których operator nie posiada, zamiast treści szyfrowanych kluczami, które operator przechowuje, tożsamość kryptograficzna użytkownika zamiast tożsamości zarządzanej przez operatora. Każda z tych decyzji wiąże się z realnymi kosztami technicznymi i realnymi konsekwencjami handlowymi. Wszystkie one mają jednak wspólną cechę: po ich podjęciu eliminują niektóre nakazy prawne jako możliwy obiekt działania. Tego, czego nie można wykonać, nie można nakazać wykonać.

Dla czytelnika profesjonalnego

Pięć pytań, które należy zadać dostawcy każdej krytycznej usługi profesjonalnej przed jej przyjęciem, sformułowanych w kolejności, w jakiej zadałby je inspektor ds. ciągłości działania:

1. Czy istnieje techniczna zdolność dostawcy do zdalnego zawieszenia, zablokowania, usunięcia lub pogorszenia jakości moich usług, danych lub produktu?
2. W jakich przypadkach zadeklarowanych w umowie dostawca może skorzystać z tej zdolności?
3. W jakich przypadkach niezadeklarowanych — nakaz sądowy, sankcja międzynarodowa, jednostronna zmiana polityki, przejęcie korporacyjne — może on również z niej skorzystać?
4. Jeśli zostanie ona wykonana, jaki czas ciągłości działalności zawodowej mi przysługuje i jaki plan wyjścia jest dostępny?
5. Czy istnieje alternatywa architektoniczna, w której odpowiedź na pytanie pierwsze brzmi „nie” ze względu na konstrukcję, a nie obietnicę?

Odpowiedź na pytanie piąte nie zawsze jest dostępna lub proporcjonalna. Osobisty arkusz kalkulacyjny prawdopodobnie nie zasługuje na takie wymaganie. Aktywne akta prawne, historia choroby pacjenta, księgowość podatkowa, rozmowa chroniona deontologicznie – tak. Proporcjonalność jest decyzją profesjonalną; uczciwa lektura pytania pierwszego nią nie jest: albo wyłącznik istnieje, albo nie.

---

Ochrona, która zachowuje możliwość wycofania, nie jest ochroną strukturalną; jest to zaufanie pod inną nazwą. Zaufanie, jak powiedzieliśmy w innym Zeszycie, jest ważnym rozwiązaniem społecznym, gdy jest udzielane temu, kto na nie zasługuje, ale jest kruche przy pierwszej zmianie właściciela. Najczystsza obrona strukturalna to taka, której nie można wycofać, ponieważ w ogóle nie istnieje. Jak ze wszystkim w architekturze: wybór projektowy, a nie decyzja marketingowa.