Wat er hierna gebeurt zal je verbijsteren
Op 14 september 2015 gaf Maciej Cegłowski een lezing op de FREMTIDENS INTERNET conferentie in Kopenhagen, Denemarken. We vonden de lezing heel erg goed en hebben daarom toesteming gevraagd (en gekregen) om de lezing in het Nederlands op ons blog te publiceren. Met veel dank aan Tim Toornvliet voor de vertaling.
Goedemorgen!
De lezing van vandaag wordt gefilmd, opgenomen, getranscribeerd en alles dat ik zeg zal online onuitwisbare sporen achterlaten. Met andere woorden: het is gewoon een doorsnee dag op het internet.
Voor mensen als ik, die rondreizen om lezingen te geven over de dystopische toekomst, is het een ongelooflijk jaar geweest. De hoogtepunten tot nu toe:
We leerden dat AT&T tien jaar lang heeft samengewerkt met de NSA en vrijwillig veel meer data heeft gedeeld dan de wet van ze vereiste.
Ashley Madison, de beruchte datingsite voor getrouwde mensen, werd gehackt waardoor persoonlijke informatie en makkelijk te kraken wachtwoorden van miljoenen gebruikers onthuld werden. Sommige van deze gebruikers zijn al het slachtoffer geworden van actieve afpersing.
Australië nam een incoherente en veelomvattende dataretentiewet aan, terwijl het Verenigd Koninkrijk haast maakt om een eigen variant van die wet in te voeren.
Het vreselijke Hacking Team werd gehackt, wat ons een inkijkje gaf in de vuile markt voor kwetsbaarheden en surveillancetechnologie.
De Sony Pictures hack uit 2014 onthulde zeer gevoelige (en vermakelijke) e-mails en gegevens van werknemers.
En tot slot werden zeer gevoelige en indringende veiligheidsenquêtes van ten minste 18 miljoen sollicitanten gestolen van het US Office of Personnel Management.
Met deze lijst in gedachten zal ik een strikvraag stellen. Wat was het meest schadelijke datalek van de afgelopen twaalf maanden?
Het antwoord is: waarschijnlijk iets waar we niet eens van hebben gehoord.
Toen de Snowden-onthullingen voor het eerst naar buiten kwamen, voelde het alsof we mogelijk afstevenden op een Orwelliaanse dystopie. Nu weten we dat de situatie nog veel erger is.
Als je Orwell terugleest dan zul je opmerken dat Oceanië eigenlijk best goed was in gegevensbescherming. Onze eigen gedachtenpolitie is als een auto vol met clowns, zonder waarborgen of toezicht, zonder het vermogen de meest gevoelige informatie te beveiligen en met niemand achter het stuur.
De naastgelegen oorzaken voor de cultuur van totaalsurveillance zijn duidelijk.
Opslag is goedkoop, zodat we alles kunnen bewaren.
Computers zijn snel genoeg om deze informatie zowel real-time als retroactief te bekijken.
Onze dagelijkse activiteiten zijn gemedieerd door software die gemakkelijk ingesteld kan worden om alles dat langskomt op te nemen en te rapporteren.
Maar om surveillance te repareren, moeten we de redenen van haar bestaan benoemen. Ook deze zijn geen mysterie.
Staatssurveillance wordt gedreven door angst.
En bedrijfssurveillance wordt gedreven door geld.
Deze twee soorten surveillance zijn intiem met elkaar verstrengeld als een stel tangopartners. Ze bewegen met vastgeklonken passen, ogen schichtig, zoekend in elkaars ziel. De informatie die ze verzamelen is complementair. Door de ergste praktijken van zichzelf te verdedigen, maakt elke kant die van de ander mogelijk.
Vandaag wil ik het hebben over de private kant van dit partnerschap.
In zijn uitstekende boek over surveillance wijst Bruce Schneier ons erop dat we er nooit mee in zullen stemmen om volgapparaten te dragen en onze meest intieme gesprekken te rapporteren als de overheid dat van ons eist.
Maar in een dergelijke situatie zouden we meer wettelijke bescherming hebben dan nu het geval is. Door onszelf vrijwillig te laten volgen, verspelen we alle bescherming tegen hoe die informatie wordt gebruikt.
Degenen die controle hebben over de data krijgen een enorme macht over degenen die dat niet hebben. Die macht is niet openlijk, maar zit impliciet in de algoritmes die ze schrijven, de zoekopdrachten die ze draaien en de wereld die ze van zichzelf mogen bouwen.
In deze wereld wordt privacy een luxegoed. Mark Zuckerberg koopt de vier huizen die grenzen aan zijn huis in Palo Alto om verborgen te houden wat de rest van de wereld met hem deelt. Het waren ooit de beroemdheden en rijke mensen wie een privéleven werd onthouden, nu is het precies andersom.
Laten we het hebben over hoe we dit kunnen repareren.
Er is een fantastisch citaat van ene Martin McNulty die CEO is van een advertentiebedrijf dat Forward 3D heet:
“Ik had nooit gedacht dat de politiek van de privacy mijn dagelijkse werk in de reclame zou raken. Ik denk dat er een zorg is dat dit opgeklopt kan worden tot paranoia die de advertentie-industrie kan beschadigen.”
Ik ben zeker hier om de paranoia op te kloppen waarvan ik hoop dat het de advertentie-industrie zal beschadigen.
Maar hij heeft een goed punt. Er is niets aan adverteren dat inherent privacyvernietigend is. Het was ooit een vrij onschadelijk verdienmodel.
Het fenomeen dat advertenties verbonden zijn aan een complete invasie van onze privacy is vrij recent.
In den beginne was er reclame. Het was een eenvoudige drie-eenheid van uitgever, kijker en adverteerder.
Uitgevers schreven wat ze wilden en hielden rechthoeken leeg die gevuld konden worden met reclame. Adverteerders kochten de rechten om dingen in die rechthoeken te stoppen. Kijkers keken af en toe naar de rechthoeken en kochten de producten en diensten die ze daar zagen. Het leven was simpel.
Er waren reclamebureaus die hielpen om uitgevers aan adverteerders te koppelen, om uit te vogelen wat er in de rechthoeken moest komen en om een poging te wagen om te meten hoe goed de advertenties werkten. Maar deze primitieve vorm van reclame bleef meer kunst dan wetenschap.
Het gezegde ging dat de helft van de uitgaven aan reclame verspild waren, maar dat niemand kon vertellen welke helft.
Toen het internet kwam was iedereen zeer verheugd.
Voor het eerst konden adverteerders weten hoe vaak hun advertentie werd getoond en hoe vaak er op werd geklikt. Slimme mechanismen begonnen clicks met verkopen te verbinden.
Advertentienetwerken verschenen. Uitgevers hoefden niet langer al die lege rechthoeken zelf te verkopen. Ze konden gewoon aan Google vragen om ze te vullen en op het moment dat de pagina geladen werd zou AdSense dynamisch de ruimte aan de beschikbare advertenties koppelen. Iedereen verdiende geld. De adverteerders keken toe en zagen dat het goed was.
Al snel werd het web geteisterd door allerhande trackers, beacons, pixels, tracking cookies en bugs. Bedrijven leerden hoe ze hun data konden bundelen zodat ze klanten over vele websites konden volgen. Ze maakten profielen van alle gebruikers van het web. Ze konden voorspellen wanneer potentiële klanten iets duurs gingen doen, zoals trouwen of een baby krijgen, en ze op maat gemaakte advertenties tonen.
Ze leerden het op te merken als iemand iets in zijn winkelmandje stopte zonder het te kopen, zodat ze hem terug konden lokken met speciale aanbiedingen. Ze werden beter in het rekenen van verschillende prijzen op basis van wat mensen zich konden veroorloven – de droom van elke afgestompte econoom sinds de begindagen van het beroep.
Adverteerders waren in de hemel. Niet langer werd de helft van hun budgetten verspild. Alles werd gekwantificeerd op een mooi dashboard. Alomtegenwoordige surveillance en de verkooptechnieken die het mogelijk maakte verhoogden de verkoop met vijftien, twintig, zelfs dertig procent.
En toen kwamen de robots.
Oh de robots waren rudimentair in het begin. Slechts kleine stukjes code die een wegpagina laadden en deden alsof ze op advertenties klikten. Het was een makkie om ze te detecteren.
Maar er ging een hoop geld in online adverteren zitten en robots houden van geld. Ze leerden snel. Al snel gebruikten ze echte browsers, met javascript ingeschakeld, en was het al lastiger om ze te onderscheiden van echte mensen. Ze leerden hoe ze moesten scrollen, hoveren en hun muis net zo konden bewegen als jij en ik.
Advertentienetwerken hadden een tegenmaatregel voor elke verbetering van de robots. Ze leerden te speuren naar meer en meer subtiele signalen dat een impressie van een advertentie van een echt mens kwam, en gaandeweg schreven ze indringende scripts om diep in de browser van de bezoeker te graven.
Al snel begonnen de robots zicht te vermommen als mensen. Als een monster in een film dat iemands gezicht aantrekt als een masker, zo leerden de advertentieklikkende robots de identiteit van echte mensen te dragen.
Ze braken in op de computer van je grootouders en gebruikten hun browsergeschiedenis, cookies en alle trackingdata die op hun apparaat leefde om hun robotdaden te plegen. Met elke nieuwe iteratie werd het moeilijker om de mensen en robots uit elkaar te houden.
De robots waren vernuftig. Ze deden dingen als een dozijn advertenties laden in één pixel, de ene op de andere stapelend. Of anders draaiden ze een browser op een verborgen desktop met het geluid uit, terwijl ze video na video keken en op advertentie na advertentie klikten.
Ze leerden hoe ze echte websites moesten bezoeken en echte winkelwagentjes moesten vullen om de duurdere soorten retargeting-advertenties te stimuleren.
We leven tegenwoordig in een Blade Runner-wereld, met advertentierobots die doen alsof ze mensen zijn en Deckard-achtige figuren die ze proberen te ontmaskeren door steeds dieper in onze browsers te graven en Voight-Kampff-machines te implementeren in Javascript om te bepalen wie er menselijk is. Wij zijn degenen die hier middenin zitten.
De naam van de advertentienetwerken voor deze robotische misleiding is ‘advertentiefraude’ of ‘klikfraude’. (Adverteerders gebruiken graag moraliserende taal als hun geld de verkeerde kant op begint te stromen. Mensen erin luizen om advertenties te bekijken is goed; er zelf ingeluisd worden om advertenties te tonen aan geautomatiseerd verkeer is fout.)
Advertentiefraude werkt omdat de markt voor advertenties in hoge mate geautomatiseerd is. Net als bij algoritmische handel worden beslissingen in fracties van een seconde genomen en vindt het koppelen van uitgevers en adverteerders plaats buiten menselijke controle. Het is een verwarrende wereld van demand side platforms, supply side platforms, retargeting, pre-targeting, behavioral modeling, real-time bidding, ad exchanges, ad agency trading desks en duizenden andere flarden jargon.
Omdat de betalingssystemen ook geautomatiseerd zijn, is het makkelijk om je uit te laten betalen. En dat is hoe de robots floreren.
Het komt hier op neer: neppe websites die echte advertenties laten zien aan nep verkeer voor echt geld.
En het kost de adverteerders een fortuin.
Precies hoe veel geld het robotverkeer opslokt is moeilijk na te gaan. De robots merken het zelfs als ze gemonitord worden en schroeven hun activiteiten als gevolg daarvan terug.
Afhankelijk van de schattingen kost advertentiefraude 10-50% van je advertentiebudget. In sommige bekende gevallen was 90% van het gemonitorde advertentieverkeer niet menselijk.
Dus de winst die adverteerders hebben van massasurveillance – de vijftien tot dertig procent stijging in verkopen die ik eerder noemde – is een illusie. De meerwaarde verdwijnt als tranen in de regen dankzij geautomatiseerde advertentiefraude.
Adverteerders zijn weer terug bij af; ze weten nog steeds niet welke helft van hun advertentiebudget verspild is. Alleen hebben ze ondertussen onze privacy vernietigd.
De winnaars van dit spel zijn degenen die het casino draaien: grote advertentienetwerken, surveillancebedrijven en de compleet nieuwe industrie die bekend staat als “adtech”.
De verliezers zijn kleine uitgevers en kleine adverteerders. Universele klikfraude brengt de waarde van alle reclame omlaag, waardoor het moeilijker wordt voor niche-uitgevers om de eindjes aan elkaar te knopen. En het zorgt ervoor dat elke adverteerder die niet zwaar investeert in tegenmaatregelen en tracking met huid en haar opgegeten zal worden.
Maar de grootste verliezers zijn jij en ik.
Advertentiegerelateerde surveillance heeft onze privacy vernietigd en heeft het web voor iedereen veel gevaarlijker gemaakt. De praktijk van het aanbieden van ongecontroleerde inhoud van derden, op het laatste moment gekozen zonder menselijk toezicht, schept het ideale klimaat voor malware om zich te verspreiden. De behoefte aan robots die menselijke gebruikers kunnen nadoen stimuleert een markt voor gehackte thuiscomputers.
Het is niet toevallig dat het hele advertentiegedoe zo erg lijkt op de flitshandel in aandelen. Een klein aantal geraffineerde spelers loopt binnen ten koste van alle anderen. De grootste winsten gaan naar de meest meedogenloze partijen, wat leidt tot een race naar de bodem.
De oplossing van advertentiebedrijven voor klikfraude is om mensen nog meer te volgen. En ze proberen browsermakers zo ver te krijgen om mee te spelen. Als ze er mee weg zouden komen, zouden ze eisen dat je je webcam aan zou zetten om te controleren of je wel echt bent. En om je oogbewegingen te volgen en je gezichtsuitdrukkingen en ga zo maar door.
Ik geloof niet dat er een technologiebubbel is, maar er is zeker een advertentiebubbel. Als die barst zullen bedrijven wanhopiger worden en alle persoonlijke gegevens die ze van ons hebben uitstorten over elke gewillige koper. Dan zullen we zien of de afschrikwekkende waarschuwingen over de gevaren van surveillance terecht waren.
(EEN TERLOOPSE OPMERKING OVER WANHOOP)
Het is makkelijk om heel erg depressief te worden van dit alles. Het is belangrijk dat we onszelf niet toestaan om de moed te verliezen.
Als je boven een bepaalde leeftijd bent, zul je je herinneren hoe het was toen elke plek in de wereld vol hing met sigarettenrook. Vliegtuigen, cafés, treinen, kantoren, bars en zelfs de wachtkamer van je dokter – alles rook als een asbak. Tegenwoordig leven we in een wereld waar je weken kunt leven zonder een sigaret te ruiken als je dat niet wilt.
De mensen in 1973 leefden niet liever in een rokerige wereld dan wij, maar het veranderen leek ondoenlijk. Big Tobacco was een ogenschijnlijk onoverwinnelijke tegenstander. Het recht terugwinnen om schone lucht in te ademen vroeg om een combinatie van sociale druk, juridische actie, activisme, beleid en geduld.
Het duurde erg lang om erkend te krijgen dat blootstelling aan rook schadelijk was en zelfs nog langer om dat vertaald te krijgen in wetten en beleid. We hebben erg lang moeten geloven in onze capaciteit om deze verandering voor elkaar te krijgen voordat we van de resultaten konden genieten.
Ik gebruik deze analogie omdat de schadelijke aspecten van surveillance een lange incubatietijd hebben, net als de schadelijke effecten van roken. En hervormers krijgen te maken met hetzelfde soort goed gefinancierde weerstand. Dat betekent niet dat we niet kunnen winnen. Maar het betekent wel dat we moeten vechten.
Vandaag wil ik een paar manieren voorstellen om onze online privacy terug te winnen.
Ik noemde het rookvoorbeeld omdat het laat zien hoe een combinatie van strategieën – politiek, juridisch, beleidsmatig en cultureel – kan leiden tot resultaten die anders ongelooflijk lijken.
Dus laten we de nieuwe en oude strategieën bekijken die ons helpen om de cultuur van totale surveillance terug te duwen.
Technologische oplossingen
Voor de technische mensen die wij zijn, zullen technologische oplossingen altijd als eerste komen. Ze zijn aantrekkelijk omdat we ze zelf kunnen implementeren, zonder een verkoper, rechter, beleidsmaker of stemgerechtigde te hoeven overtuigen.
Ad-blocking
Ik beschouw ad-blocking als anti muggenspray. Met een combinatie van DEET, lange mouwen en een net over je gezicht heb je bijna volledige bescherming. Maar God verhoedde het dat er ook maar een centimeter huid onbedekt blijft.
Er is een hoop gaande op het gebied van ad blocking. De EFF heeft onlangs een tool gelanceerd die Privacy Badger heet en die tracking door advertenties bestrijdt in plaats van alleen het tonen ervan. En binnenkort zal iOS het toestaan dat gebruikers externe apps installeren die advertenties blokkeren.
Eén issue is dat je de ad blocker zelf moet vertrouwen. Blokkeren werkt nu goed omdat het niet wijdverspreid is. De kans is groot dat de technologie slachtoffer wordt van zijn eigen succes. Op dat moment zal het onder enorme druk komen te staan om advertenties door te laten. We zien al tekenen van zwakte bij AdBlock Plus en zijn idee van “acceptable ads“.
Er is ook een meer fundamentele verstrengeling van belangen. Denk aan het schouwspel van het Chrome team, werknemers van Google, dat vecht tegen het YouTube ads team, ook werknemers van Google. Onthoud dat Google al zijn geld verdient met advertentie-inkomsten.
Ik heb mensen uit het Chrome team ontmoet en ze zijn serieus en toegewijd aan het verdedigen van hun browser. Ik heb ook mensen uit het YouTube ads team ontmoet en zij haten hun leven en willen dood. Maar het is nog steeds een vreemde situatie om jezelf in te bevinden.
Wanneer ad-blocking meer gangbaar wordt, zullen we zien dat deze spanningen verergeren. En we zullen ook meer serieuze technische tegenmaatregelen zien. Nu al duiken er allerlei startups op die het expliciete doel hebben om ad blocking te verslaan. Hoewel dit de ware, grimmige conflictueuze aard van online advertenties onthuld, zullen sommige uitgevers het idee hebben dat ze geen andere keus hebben dan de oorlog aan hun bezoekers verklaren.
Ad blockers helpen ons een belangrijk principe te beschermen: dat de browser fundamenteel onze user agent is. Hij hoort aan onze kant te staan. Hij komt voor ons op. Wij mogen zijn gedrag bepalen. Geen gemoraliseer over onze plicht om ongewenste advertenties te bekijken die dat kan veranderen.
Tegenmaatregelen van consumenten
Een tweede, nieuwere soort van technologische tegenmaatregelen gebruikt surveillancegereedschap om prijsdiscriminatie te verslaan. Mensen hebben al lang in de gaten dat ze verschillende prijzen te zien krijgen, afhankelijk van waarvandaan ze een site bezoeken, of op wat voor dag van de week ze aan het winkelen zijn. Tot nu toe werd deze kennis onderling gedeeld als folklore, maar de laatste tijd zien we meer systematische inspanningen als $herrif.
$herrif verzamelt data van vele gebruikers om jou te kunnen laten zien hoe de prijs die jou getoond wordt verschilt van wat anderen zien bij hetzelfde product. Een voor de hand liggende volgende stap is om het voor gebruikers mogelijk maken om aankopen voor elkaar te doen, als een soort van arbitrage.
Technologische oplossingen zijn leuk, maar ze zijn ook enigszins ondemocratisch. Omdat ze het beste werken als weinig mensen ze gebruiken en omdat de tech-elite de eerste is om ze te adopteren, kunnen ze de zoveelste manier worden waarop het internet de klasse van nerds bevoordeeld ten koste van de rest.
Juridische middelen
De tweede aanvalslaag is via het rechtssysteem. In Europa is gegevensbescherming het favoriete wapen. Het EU-verdrag heeft een hoop te melden over privacy – het heeft een hoop te melden over alles – en individuele lidstaten als Duitsland hebben zelfs nog strengere bescherming ingevoerd. Het dwingen van Amerikaanse bedrijven die zaken willen doen in de EU om zich aan deze principes te houden, is een effectieve manier gebleken om hun gedrag in toom te houden.
De grootste zwakte in het Europese privacyrecht is dat het bestaat om individuen te beschermen. Haar bescherming is niet erg effectief tegen massasurveillance, wat niemand als een mogelijkheid beschouwde toen deze wetten werden geschreven.
Een voorbeeld van Europees privacyrecht in actie is het beruchte “recht om vergeten te worden”, waarbij rechtbanken Google dwingen om links naar informatie te verwijderen en zelfs (in een Orwelliaanse wending) eisen dat de site nieuwsverhalen over het bevel zelf niet meer toont.
In de VS is discriminatiewetgeving het favoriete wapen. Het hooggerechtshof oordeelde onlangs dat een patroon van discriminatie genoeg is; je hoeft geen intentie aan te tonen. Dat zet de deur open voor rechtszaken tegen websites die in de praktijk discrimineren tegen beschermde groepen mensen, om wat voor algoritmische reden dan ook.
Een probleem met juridische middelen is dat je experts uit het ene veld – de wet – vraagt om beleid te maken in een ander, technisch veld en daarbij verstrekkende beslissingen te nemen. Deze beslissingen, eenmaal genomen, worden bindende precedenten.
Dit schept opnieuw een situatie waarin elites de regels bepalen voor de rest. Het recht om vergeten te worden is wat dat betreft een goed voorbeeld van hoe het niet moet. Niemand begrijpt de volledige implicaties. Een panel van ongekozen experts maakt uiteindelijk de beslissingen op basis van losse zaken, wat het gevoel van een gebrek aan verantwoording nog eens versterkt.
Rechtbanken zijn terecht onwillig om beleid te maken. Zij zijn geen democratische instituties en moeten de wereld niet willen veranderen. Het rechtsstelsel loopt per definitie achter, wachtend tot er een brede sociale consensus is die beslissingen ondersteunt. En het procederen zelf is duur en traag.
Wetten en regelgeving
Er bestaat een mythe in Silicon Valley dat elke poging om het internet te reguleren het zal vernietigen, of dat alleen softwareontwikkelaars de industrie echt kunnen begrijpen.
Toen ik hierheen vloog om deze lezing te geven, was ik niet bang dat mijn vliegtuig uit de lucht zou vallen. Tachtig jaar aan effectieve technische regulering (en enorme boetes voor fraude) hebben van de commerciële luchtvaart de veiligste vorm van transport ter wereld gemaakt.
Toen ik vanochtend mijn telefoon oplaadde, had ik er om dezelfde reden vertrouwen in dat het appartement niet af zou branden. Ik heb geen idee hoe elektriciteit werkt, maar gezonde regulering weet al mijn hele leven te voorkomen dat mijn apparaten me elektrocuteren.
Het internet is niet anders. Laten we niet vergeten dat het is geboren uit regelgeving en overheidssubsidies. Het heeft wortels in militair onderzoek, publiek gefinancierde universiteiten en, om de een of andere reden, een deeltjesversneller. Het is niet alsof we een kwetsbare bloem zullen vertrappen door opeens te reguleren wat ooit wild en ongetemd was.
Dat betekent niet dat regelgeving niet kan falen. De Europese cookiewet is een prachtig voorbeeld van een regelgevingramp. Als ik een website in de EU wil bezoeken, dan moet ik eerst door een verplichte pop-up klikken die me vraagt of ik cookies wil gebruiken. Als ik niet toestem, dan kan de site praktisch onbruikbaar worden.
Mag ik jullie vragen om even je ogen te sluiten? Willen degenen die denken dat ze de privacyimplicaties van cookies echt begrijpen hun hand opsteken? (ongeveer tien handen gaan de lucht in, op een publiek van driehonderd).
Dank je. Je kunt je ogen weer openen. Degenen die hun hand opstaken, kom alsjeblieft even langs na deze lezing. Ik ben een programmeur en ik zwerf over de aarde om te spreken over deze dingen, maar ik heb niet het idee dat ik de implicaties van cookies voor privacy volledig begrijp. Het is een subtiel onderwerp.
Dus waarom zou mijn moeder hier een beredeneerde beslissing over moeten nemen elke keer dat ze het nieuws of het weer wil bekijken?
En ik zeg “elke keer”, want de enige manier waarop de Europese websites onthouden dat je geen cookies wilt gebruiken is… het plaatsen van een cookie. Mensen die de moeite doen om online tracking te voorkomen, worden belaagd bij elke pagina die ze laden.
Als ze slecht worden opgesteld introduceren wetten verwarring en bureaucratie, terwijl ze niets doen om het probleem op te lossen. Dus laten we proberen wat betere wetten te bedenken!
Zes oplossingen
Er zijn een paar vuistregels die we moeten volgen bij elke poging om het internet te reguleren.
Het doel van onze wetten zou moeten zijn om het aantal onomkeerbare beslissingen dat we nemen terug te brengen en dezelfde soort natuurlijk vergeetachtigheid af te dwingen die we offline hebben.
De wetten zouden begrijpelijk moeten zijn voor doorsnee mensen en principes moeten neerzetten zonder ze te verbinden aan een specifieke technische implementatie.
Wetten zouden van toepassing moeten zijn op hoe data is opgeslagen, niet hoe het is verzameld. Er zijn duizend-en-één manieren om data te verzamelen, maar uiteindelijk sla je het op of niet. Het reguleren van de database maakt wetten veel lastiger te omzeilen.
Wetten zullen vanzelfsprekend alleen gelden in een bepaalde jurisdictie, maar ze zouden diensten moeten dwingen om alle gebruikers in gelijke mate te beschermen, ongeacht hun nationaliteit of fysieke locatie.
Wetten moeten tanden hebben. Bedrijven die de wet overtreden moeten te maken krijgen met serieuze straffen die gericht zijn op de bestuurders van het bedrijf en die niet ontweken kunnen worden met juridische schijnbewegingen.
Iedereen die met opzet deze wetten overtreedt moet strafrechtelijk vervolgd worden.
Dat gezegd hebbende, hier zijn zes oplossingen die het internet volgens mij een veel fijnere plek zullen maken:
Het Recht om te Downloaden
Je moet het recht hebben om de data die je hebt geleverd, of die verzameld is door je gedrag te observeren, te downloaden in een bruikbaar elektronisch formaat.
Het recht om te downloaden spreekt voor zich, maar het heeft een paar verborgen bijeffecten. Het dwingt bedrijven om meer verantwoording af te leggen over de data die ze verzamelen in plaats van het klakkeloos in hun datamagazijn te pompen.
Neem de zaak Max Schrems, die na een hoop tegenwerking Facebook aanklaagde om 1200 pagina’s aan materiaal op CD te krijgen. Facebook probeerde te klagen dat het technisch niet mogelijk om aan het verzoek te voldoen. Ik weet zeker dat ze intern dingen hebben moeten veranderen als gevolg van de zaak.
Een universeel recht om te downloaden geeft gebruikers een goed beeld van hoe veel informatie er over hun gedrag wordt verzameld. Onderzoek na onderzoek laat zien dat mensen de mate van surveillance waaraan ze worden blootgesteld onderschatten.
Het Recht om te Verwijderen
Je moet het recht hebben om je account en alle verwante persoonlijke informatie compleet te verwijderen, bij elke online dienst en wanneer je maar wilt.
Programmeurs deinzen ervoor terug om dingen te wissen, omdat fouten zo gevaarlijk kunnen zijn. Veel online diensten (inclusief mijn eigen!) doen aan een soort van ‘soft delete’ waarbij accounts worden gemarkeerd, maar de data nooit wordt verwijderd.
Zelfs websites die accounts daadwerkelijk verwijderen, bewaren nog steeds backups, soms voor onbepaalde tijd, waar die data voor eeuwig blijft leven.
Het recht om te verwijderen zou strengere grenzen met zich meebrengen voor hoe lang we backups bewaren en dat is iets positiefs. Banken en overheden hebben wetten voor hoe lang ze documenten mogen bewaren. Zonder eindeloze backups zorgen we misschien beter voor de dingen die we wel bewaren.
Op basis van deze wet zou de CEO van Ashley Madison, een website die geld vroeg om je account te verwijderen – en het vervolgens niet deed, op dit moment terecht staan en een gevangenisstraf tegemoet zien.
Grenzen voor Gedragsgegevens
Bedrijven zouden gedragsgegevens niet langer op mogen slaan dan 90 dagen.
Gedragsgegevens zijn alle informatie over jou die je niet expliciet deelt, maar die diensten over jou kunnen observeren. Dat omvat je IP-adres, zendmasten, afgeleide locatie, recente zoekopdrachten, de inhoud van je winkelwagentje, je hartslag, je gezichtsuitdrukking, op welke pagina of advertenties je klikte, je browserversie en ga zo maar door. Op dit moment kan al deze data voor onbepaalde tijd worden opgeslagen en worden verkocht of weggegeven.
Het zou verboden moeten zijn voor bedrijven om gedragsgegevens te verkopen of op een andere manier te delen.
Het inperken van gedragsgegevens zou een hoop van het meest inbreukmakende gedrag aan banden leggen, terwijl bedrijven nog steeds de mogelijkheid hebben om aanbevelingen te doen, zoekopdrachten te voorspelen, spraakherkenning te trainen, hun stomme overgehypte neurale netwerken – alles wat ze willen. Ze mogen het alleen niet eeuwig bewaren.
Het Recht om Offline te Gaan
Elk apparaat met ingebouwde internettoegang zou verplicht een fysieke schakelaar moeten hebben die de verbinding met de antenne verbreekt en nog steeds normaal moeten werken als die schakelaar uit staat.
Dat betekent dat je met internet verbonden gloeilamp, thermostaat, hoeslaken, e-luier, fitness tracker, weegschaal, slimme beker, slim bord, slimme vork, slim mes, bloempot, broodrooster, garagedeur, babyfoon, yogamat, sport-utility vehicle en koelkast allemaal bruikbaar moeten zijn in hun normale, ‘domme’ vorm.
Als we per se genetwerkte apparaten moeten hebben dan hebben we een waterdichte methode nodig om ze los te koppelen. Ik wil niet in hoeven loggen in het web management interface van mijn slimme puntenslijper om hem te vragen te stoppen met draaien omdat een of andere tiener in Arizona uitgevonden heeft hoe hij hem de hele nacht aan kan houden.
Samsung kwam onlangs in de problemen met haar slimme koelkast. Omdat het geen SSL-certificaten valideerde, lekte de koelkast je Gmail-aanmeldingsgegevens (die werden gebruikt door z’n kalendertje) naar iedereen die er om vroeg. Het enige dat ik wilde was een paar ijsblokjes en in plaats daarvan werd m’n e-mail gehackt.
We hebben een uitknop voor het internet nodig.
Een Verbod op Advertentie Tracking door Derden
Websites die advertenties aanbieden zouden deze advertenties alleen mogen personaliseren op basis van twee dingen:
- de inhoud van de pagina zelf
- informatie die de website heeft over de bezoeker
Uitgevers mogen nog steeds gebruik maken van advertentienetwerken van derden (zoals AdSense) om advertenties te tonen. Ik ben geen monster. Maar die externe partijen zouden vergeetachtig moeten zijn en alleen de criteria mogen gebruiken die de uitgever verstrekt om de advertentie te personaliseren. Ze mogen geen eigen data verzamelen, opslaan of delen.
Dit verbod zou een flink deel van het advertentie-ecosysteem wegvagen en dat is precies wat er zo goed aan is. Het zou in het bijzonder de financiële prikkels wegnemen voor botnets en adware, die meeliften op de geschiedenis van gebruikers in een poging zichzelf te verkopen als ‘echte’ gebruikers.
Advertenties zullen dommer worden.
Websites zullen veiliger worden.
Je telefoon zal niet langer te heet worden om aan te raken of er vijf minuten over doen om een blogpost te laden.
Websites met niche-inhoud zullen misschien hun geld weer kunnen verdienen met advertenties.
Dit voorstel klinkt drastisch, maar het enige dat het doet is de status quo herstellen die we nog zo recent als 2004 hadden. Dat dit radicaal klinkt is een bewijs van hoe ver we ongebreidelde surveillance hebben toegestaan onze levens over te nemen.
Privacybeloftes
In tegenstelling tot de eerste vijf oplossingen is de laatste oplossing die ik voorstel geen verbod. Het is wel een juridisch mechanisme om bedrijven afdwingbare beloftes te laten doen over hun gedrag.
Neem bijvoorbeeld Snapchat, dat je zogenaamd een paar seconden lang foto’s zou tonen, om ze vervolgens te wissen. Ze doen die belofte in hun gebruikersvoorwaarden.
In werkelijkheid bewaarde Snapchat de foto’s veel langer op haar servers, inclusief gevoelige gebruikersgegevens als locatie – waarvan ze beweerde dat ze die niet verzamelde. En natuurlijk werd Snapchat gehackt.
Wat waren de gevolgen? De Federal Trade Commission vertelde Snapchat dat ze de komende twintig jaar haar privacypraktijken nauwlettend in de gaten zou houden om te voorkomen dat dit niet nog een keer zou gebeuren. Er kwam geen boete of andere sanctie. Dat was het.
Ik wil een systeem waar je beloftes kunt doen die pijnlijker zijn om te breken.
Mijn inspiratie hiervoor komt van het in 2001 opgerichte Creative Commons. Creative Commons gaf mensen het gereedschap om dingen te zeggen als: “je kunt dit gebruiken voor non-commerciële doeleinden” of “het staat je vrij dit te gebruiken als je mij als bron vermeldt.”
Als eigenaar van een website wil ik een soortgelijk juridisch mechanisme waarmee ik bindende beloftes kan doen als “ik sla geen persoonsgegevens op” of “ik zal alle foto’s compleet verwijderen binnen één minuut nadat je op de ‘verwijder’-knop hebt drukt.”
Een systeem van afdwingbare beloftes zou bedrijven kunnen laten concurreren op privacy. Het zou innovatieve, kortstondige diensten mogelijk maken die nu onhaalbaar zijn vanwege privacybezwaren.
Hoewel deze oplossingen ambitieus klinken, zou hun resultaat zijn dat we terugkeren naar de privacy status quo van voor de eerste dotcom-explosie. Hoe waardevol deze overwinning ook zou zijn, het blijft een enigszins passief en reactief doel.
Ik zou de laatste vijf minuten graag willen besteden aan een oratie over hoe we het debat boven privacy uit kunnen tillen en wat het zou betekenen als technologie onze levens daadwerkelijk zou verbeteren.
Afgelopen zomer maakte ik een lange treinreis van Wenen naar Warschau.
Terwijl ik uren lang uit het raam keek viel het me op dat alles dat ik zag – elke auto, huis, weg, verkeersbord en zelfs elke telefoonpaal – na 1990 is gebouwd. Sinds ik een kind was bezoek ik Polen regelmatig, maar de omvang van de transformatie van het land was nooit echt tot me doorgedrongen. Ik voelde me trots.
Ondanks alle fraude, slecht bestuur, incompetentie en de algemene Poligheid van de post-communistische transitie en ondanks alle ontberingen en mislukkingen, hebben we het land in twintig jaar tijd erg op Europa laten lijken. De materiële basis van het leven van mensen is onmetelijk veel beter geworden dan voorheen.
Ik vraag me af: hoe veel van jullie zijn in San Francisco geweest? (ongeveer een kwart van het publiek steekt zijn hand op)
Hoe veel van jullie was geschokt door de armoede en de hoeveelheid daklozen die je daar zag? (de meeste handen blijven omhoog)
Voor alle anderen: als je San Francisco bezoekt is dit iets dat je waarschijnlijk verontrustend zult vinden. Je zult mensen op straat zien leven. Velen hebben een psychische stoornis en schreeuwen en vloeken tegen denkbeeldige vijanden. Je zult merken dat elke publieke ruimte is ontworpen om het ongemakkelijk en moeilijk te maken om er zitten of te slapen, en dat mensen dat desondanks toch doen. Je zult menselijke uitwerpselen op de stoep zien en een daklozenkamp tegenover het gemeentehuis. Je zult zien dat je kilometers kunt lopen zonder een openbaar toilet of drinkfontein te treffen.
Als je wat langer in de stad verblijft, zullen andere dingen je opvallen. Er staan rijen buiten elke voedselbank en elk werkloosheidsloket. Zelfs in de rijkste delen van Silicon Valley zijn er wijken die gesegregeerd zijn naar ras en waar armoede verboden blijft. Een trage stadsbureaucratie waar alles nog op papier wordt gedaan. Een constante stroom van kleine misdrijven door de berooiden. Openbare scholen waar niemand zijn kinderen naartoe stuurt, tenzij er geen alternatief is. Inzamelingsacties voor niet bestaande publieke diensten.
Je kunt niet eens een degelijke internetverbinding krijgen in San Francisco.
De techindustrie is voor geen van deze problemen verantwoordelijk. Maar het is onthullend dat na veertig jaar onvoorstelbare groei en elf jaar van de grootste hoogconjunctuur die we ooit hebben gezien, we helemaal niets gedaan hebben om ze op te lossen. Ik kan zonder overdrijving zeggen dat de Loma Prieta aardbeving uit 1989 meer heeft gedaan voor San Francisco dan Google, Facebook, Twitter en alle andere techbedrijven die zich sindsdien in de stad hebben gevestigd.
Ondanks haar positie als middelpunt van de technologische revolutie heeft de Bay Area op de een of andere manier gefaald om de vruchten ervan te plukken.
Het is niet dat de sociale problemen van de stad onzichtbaar zijn voor de klasse van programmeurs. Maar blijkbaar zijn ze niet belangrijk genoeg om aandacht aan te besteden. Waarom zou je het daklozenprobleem op één plek oplossen als het overal kan? Waarom zou je überhaupt iets lokaal oplossen als de oplossingen schaalbaar zijn?
Dit is ‘trickle-down economics’ van het ergste soort.
Ondertussen hebben we onze stad in een pretpark voor inwoners veranderd, met een parallelle wereld van diensten voor de rijken.
Er zijn luxe shuttlebussen om ons naar ons werk te brengen, privétaxi’s, valet parking, was- en schoonmaakstartups die menselijke bedienden achter een webinterface verbergen. We hebben een dienstensector die ons direct elk denkbaar consumentenproduct bezorgt; plus nog een paar ondenkbare.
Er zijn niet minder dan zeven luxe-matrassenstartups. Er is een startup om je buurman te betalen om je pakketjes voor je op te vangen.
Mijn favoriet is een startup die je kunt betalen om eens per week je vuilnisbakken de drie meter tot aan de stoeprand te verplaatsen.
Als we op het hoogtepunt van onze economische bloei niet om ons heen kunnen kijken en de menselijke crisis binnen onze stad kunnen oplossen, wanneer kunnen we dat dan ooit wel? En als we niet bij willen dragen aan onze eigen buurten, om de plaatsen waar we wonen en ons doorheen bewegen handiger en comfortabeler te maken, wat zullen we dan ooit doen voor de plaatsen die we nooit zien?
Iemand die nog geen broodje kan smeren neem je niet aan als chef-kok in je restaurant.
Iemand die nog geen kamerplant in leven kan houden neem je niet aan als tuinman.
Maar we verwachten wel dat mensen ons de wereld opnieuw laten uitvinden, terwijl we niet eens onze eigen stad leefbaar kunnen maken.
Een paar maanden geleden stelde ik op Twitter voor dat Denemarken vijf jaar lang het bestuur van de stad over kon nemen. Jullie hebben ongeveer even veel mensen als in de Bay Area. Jullie kunnen wel een verandering van klimaat gebruiken. Het leek een veelbelovend idee.
Ik leerde iets die dag: de Denen zijn een ongelooflijk zelfkritisch volk. Ik ontving een storm aan tweets die me vertelden dat Denemarken een nachtmerrie van slecht bestuur en bureaucratie is.
Als ik zo rondloop in Kopenhagen zie ik dat niet echt, maar ik moet jullie mening respecteren.
Dus dat idee is weg. Maar we moeten iets doen.
Onze durfkapitalisten hebben een makkelijk antwoord: laat de markt het werk doen. We gaan gekke ideeën proberen, de meeste zullen falen, maar die paar die wel werken zullen uiteindelijk de wereld veranderen.
Maar er zit een bijzonder naar luchtje aan Californisch kapitalisme.
Investeren is een deftig beroep voor onze nieuwe adel geworden, zoals het bezitten van een landgoed vroeger in Engeland was. Het is een kenmerk van je klasse en een sociaal geaccepteerde manier voor rijke techies om hun tijd te besteden. De deftige investeerder beslissen welke ideeën het waard zijn om na te jagen en de mensen die ideeën aan ze pitchen passen hun voorstellen daarop aan.
De bedrijven die hieruit voortkomen streven niet langer naar winst, of zelfs omzet. De maatstaf van hun succes is in plaats daarvan de geschatte waarde – hoeveel ze anderen overtuigd hebben om hun te vertellen dat ze waard zijn.
De hele onderneming heeft een element van fantasie waar zelfs de tech-elite ongerust van begint te worden.
We hadden dit soort mensen vroeger in Polen, maar in plaats van durfkapitalisten noemden we ze centrale planners. Ook zij hadden de taak om enorme hoeveelheden geld dat niet van hen was uit te delen.
Ook zij geloofden oprecht dat ze de wereld aan het veranderen waren en ze hadden dezelfde soort excuses voor waarom het alledaagse leven niets te maken had met de glimmende, prachtige wereld die zogenaamd om de hoek lag te wachten.
Zelfs die stoffige ouderwetse bedrijven die nog steeds in winst geloven gedragen zich niet echt als kapitalisten. Microsoft, Cisco en Apple verdienen kapitalen die alleen maar overzees geparkeerd staan. Alleen Apple heeft al bijna $200 miljard aan cash dat maar ergens ligt te liggen.
We zouden beter af zijn als Apple voor elke werknemer een bontjas en een Bentley kocht, of zelfs al het geld maar in een groot vreugdevuur zou verbranden. Op die manier zouden we ten minste nog een paar banen voor geldscheppers en beveiligers creëren.
Overal waar ik kijk zie ik het onvermogen om de voordelen van technologische verandering te benutten.
Dus wat zijn de ideeën waarvan de centrale planners van Californië denken dat ze de wereld zullen veranderen?
Nou, op dit moment willen ze ruimteraketten bouwen en zichzelf onsterfelijk maken. Ik wou dat ik een grapje maakte.
Neem Bill Maris, van Google Ventures. Alleen al dit jaar mag Bill $425 miljoen van Googles geld investeren. Zijn zelfbenoemde doel is om eeuwig te leven.
Hij heeft uitgelegd dat het ergste aspect van miljardair zijn is dat je net als ieder ander in je graf zult belanden. “Ik hoop gewoon dat ik lang genoeg leef om niet sterven.”
Ik heb met Bill op school gezeten. Het is een aardige kerel. Maar hem onsterfelijk maken zal voor niemand in mijn stad het leven verbeteren. Het zal alleen de huurcrisis verslechteren.
En dan heb je Elon Musk.
Ik een tv-interview zei Musk deze week: “Ik probeer nuttige dingen te doen.” En toen deed hij zijn plannen uit de doeken om nucleaire wapens te laten ontploffen op Mars.
Deze mensen zijn het gezicht van onze industrie.
Peter Thiel heeft publiekelijk geklaagd over het feit dat het stemrecht voor vrouwen in 1920 democratisch kapitalisme onmogelijk heeft gemaakt.
Hij beweert dat “het lot van de wereld afhangt van de inspanningen van een enkel persoon die het mechanisme van vrijheid bouwt dat de wereld veilig stelt voor het kapitalisme.”
Ik ben zo klaar met deze shit. Zijn jullie niet klaar met deze shit?
Misschien kunnen we dit oplossen door de rode vlag te hijsen en te eisen dat de vruchten van onze technologische revolutie breder verdeeld worden dan binnen onze kleine gemeenschap van rijke geeks.
Ik zou met liefde 90% confiscatoire belasting betalen, volledig vergoed zwangerschapsverlof steunen, gratis gezondheidszorg, echte arbeidersrechten, wat er ook nodig is. Ik zal het juk van socialisme en thuisgemaakte overalls dragen.
Of misschien moeten we de zwarte vlag hijsen en weigeren deel te nemen aan het gecentraliseerde, Amerikaanse, plutocratische internet en werken aan een anarchistisch alternatief.
Of wat dacht je van het hijsen van de Deense vlag? Jullie hebben een troste geschiedenis van hegemonie en zijn waarschijnlijk nog steeds erg goed in veroveren.
Ik zou jullie willen aansporen om die kant van jezelf opnieuw te ontdekken, in jullie Vikingschip te klimmen en ons allemaal met het zwaard op de keel een moderne, egalitaire, Scandinavische sociaaldemocratie op te leggen.
Het enige dat ik niet wil doen is de witte vlag hijsen.
Ik weiger te geloven dat deze benauwde, verstikkende, stalkerige visie van het commerciële internet het beste is dat we kunnen.
BELEEFDE VRAAG- EN ANTWOORDSESSIE GEVOLGD DOOR EEN TSUNAMI VAN APPLAUS
Een warm woord van dank aan Joshua Schachter, Thomas Ptacek, Cathy O’Neil, and Ethan Zuckerman voor het meehelpen om sommige van deze ideeën vorm te geven. Of het me is gelukt om ze over te brengen is een ander verhaal en niet hun fout.