User agent

Zastanawiam się nad tym nieszczęsnym art. 173 prawa telekomunikacyjnego (ciasteczkowy potworek) i dochodzę do wniosku, że cały ten pomysł jest pokłosiem myślenia typu DRM – że urządzenie użytkownika działa z zasady przeciwko niemu. A to nie jest ten kierunek, który prowadzi do praw użytkownika – w tym jego prywatności.

Wspomniany artykuł ustawy mówi o „wyrażaniu zgody na przechowywanie informacji w urządzeniu użytkownika”. Czy nie jest to dziwne? Jakim cudem w ogóle ktoś mógłby przechować coś w moim urządzeniu bez mojej zgody? Musiałby chyba wyrwać mi je przemocą!

Tymczasem Panoptykon wydaje się wręcz wskazywać jako problem, że w ustawie nie ma wymogu pytania użytkownika o zgodę wprost, tylko akceptowana jest zgoda przez odpowiednie (zazwyczaj domyślne) ustawienie przeglądarki:

(...) dostępne na rynku przeglądarki nie rozróżniają sytuacji, w której zgoda na instalowanie ciasteczek wynika ze zmiany ustawień (na „tak”) czy też z pozostawienia domyślnych ustawień (większość przeglądarek domyślnie jest ustawiona na „tak”) – serwer dostaje identyczny komunikat. A więc nawet przy najlepszej wierze administrator takiego serwera nie będzie w stanie ocenić, czy to my się zgodziliśmy na przyjmowanie ciasteczek, czy sygnał „zgody” wysłała nasza przeglądarka, poza naszą świadomością.

(Barbara Gubernat, Katarzyna Szymielewicz, „Co wyszło z przepisu na ciasteczka?...)

Czy tylko mi zapala się tutaj czerwona lampka?

Jedna rzecz to niejasność natury technicznej. Ustawienie w przeglądarce „akceptuj ciasteczka” nie polega na wysyłaniu do serwera jakiegoś „sygnału zgody”, który administrator serwera musi „oceniać”. Nie wyrażamy żadnych zgód. Serwer wysyła prośbę o zapisanie ciasteczka, a my je zapisujemy albo nie.1

Ustawienie „akceptuj ciasteczka” jest życzeniem skierowanym do naszej przeglądarki, a nie do „sygnałem” dla serwera.

Bo mówiąc „my zapisujemy”, mam oczywiście na myśli „robi to w naszym imieniu przeglądarka”. I w tym zapośredniczeniu tkwi chyba zasadniczy problem.

User agent – cui bono?

Nie używamy w języku polskim żadnego odpowiednika określenia user agent. Mówimy raczej o „używanym oprogramowaniu”. Gubimy gdzieś ten istotny odcień znaczeniowy: user agent to program działający w imieniu użytkownika.

Wyobraźmy sobie, że mamy sekretarza. Sekretarz odbiera nasze listy i decyduje w naszym imieniu co z nimi zrobić. Możemy np. powiedzieć mu, że wszelkie zaproszenia na otwarcia i zamknięcia mają iść do kosza, natomiast zaproszenia na dyskusje do głównych mediów powinien przyjmować w ciemno. Różne możemy mieć preferencje i przekazywać różne wytyczne.

To jest relacja między użytkownikiem i jego agentem. I taka właśnie jest rola ustawienia „akceptuj ciasteczka” w przeglądarce internetowej. Nie jest to żadne „udzielenie zgody usługodawcy”, tak jak niewyrzucenie listu do kosza nie jest „wyrażeniem zgody na przesłanie listu”.

Czy mogę zaprosić...?

A teraz wyobraźmy sobie, że dochodzimy do wniosku, że masowo nie dogadujemy się ze swoimi sekretarzami. Zatrudniamy sekretarzy, którzy przyjmują zaproszenia na Dożynki i topienie Marzanny, a także rozsyłają nasze dane na prawo i lewo, ponieważ nigdy się nie pofatygowaliśmy, żeby im powiedzieć, żeby tego nie robili. Co z tym fantem zrobić?

Wniosek jest oczywisty. Należy wprowadzić następujące prawo: zanim ktoś spróbuje załatwić coś z naszym sekretarzem, musi najpierw zadzwonić do nas bezpośrednio, zapytać o zgodę na kontakt z sekretarzem i poinformować nas, w jaki sposób możemy wydać naszemu sekretarzowi odpowiednie instrukcje. Nie może od razu zwrócić się do naszego sekretarza, ponieważ z góry wiadomo, że sekretarz zadziała wtedy wbrew naszym życzeniom i trzeba mu to jakoś uniemożliwić.

Et voilà – otrzymaliśmy „prawo ciasteczkowe”.

Witamy w paranoi.

Gdzieś po drodze daliśmy sobie narzucić to absurdalne, paranoiczne myślenie, że urządzenie z zasady działa przeciwko swojemu właścicielowi. Że z natury rzeczy jest w zmowie z tą drugą stroną komunikacji, a użytkownika trzeba chronić przed przykrymi konsekwencjami tej zmowy.

To jest oczywiście myślenie ze świata DRM. To jest właściwie definicja DRM: urządzenie spiskuje z usługodawcą przeciwko swojemu właścicielowi. To jest dokładnie ta paranoja, którą musimy przyjąć za stan normalny, aby koncepcja DRM nie stawiała włosów na głowie.

Ale to z całą pewnością nie jest myślenie, które prowadzi do większych praw użytkownika i ochrony jego prywatności.

Nie powinnśmy mówić...

o „wyrażaniu zgody na ciasteczka”, ponieważ ciasteczka są by design pod kontrolą użytkownika.

Nie powinniśmy próbować docierać do użytkownika „nad głową” przeglądarki, żeby zapytać go wprost, czego sobie właściwie życzy.

Powinniśmy domagać się...

od serwisów przekazywania lepszej informacji o ciasteczkach (a także np. o programach, które są przesyłane użytkownikowi). Informacji nie w formie mętnych i ostatecznie bezużytecznych popupów ostrzegawczych, ale w postaci sformalizowanej, zrozumiałej dla przegądarki.

Powinniśmy domagać się od przeglądarek, żeby lepiej komunikowały nam decyzje, które musimy podejmować i informacje, które mogą nam w tym pomóc. Genialna wtyczka Ghostery pozwala np. dopuścić działanie Piwika, ale odciąć trackery reklamowe.

A przede wszystkim powinniśmy zawsze domagać się, żeby urządzenie użytkownika pozostawało pod jego kontrolą i działało w jego interesie. Żadne zmowy naszego user agenta przeciwko nam nie mogą być akceptowalne. Nie dawajmy sobie wmawiać, że tego rodzaju zmowa jest stanem normalnym.

1) Próby wciskania w ten proces „wyrażenia zgody” powodują chorobę, która od piątku jest w Polsce powszechna: absurdalne „ciasteczka zgody na ciasteczka” i działające dokładnie odwrotnie do zamierzeń „ciasteczka ukrywajace ostrzeżenia o ciasteczkach”.