Byznys s naším soukromým životem prosperuje. A nadále bude

Koruna, v lepším případě dvě, v nejlepším pak aspoň pětikoruna. I kdyby většina z nás řekla, že cena vlastního života je nevyčíslitelná, ve virtuálním světě je to míň, než kolik vysypete z kapsy v drobných. Informace o běžném zaměstnanci ve výrobě žijícím v nájemním bytě a živícím děti mají hodnotu necelé desetiny amerického dolaru.

Zklamání se nevyhnul ani autor tohoto textu, při zadání svých pravdivých údajů do kalkulačky, kterou na základě dat globálních společností připravil deník The Financial Times, zjistil, že stojí nějakých 20 centů, tedy asi čtyři české koruny. A to mu do karet hrálo několik okolností.

Obecné informace, jako je věk, pohlaví či místo pobytu, mají zanedbatelnou cenu. Nepatrně může stoupnout například pro prodejce aut nebo dovolených, pokud se uživatelé právě o nákup těchto věcí zajímají. Hodnotu zvedají některé milníky a velké změny v životě – zasnoubení, očekávání potomka nebo vychovávání prvního dítěte. Stejně vlastnictví nemovitosti či snaha zhubnout. Kupodivu třeba vlastnictví lodi nebo letadla uživateli u obchodníků s daty nepřidá víc než děti. Nejvíce ale cenu zvyšují všemožné choroby, které naženou i desítky centů.

Právě internetový byznys se zdravím totiž na využívání osobních informací stojí nejvíc. „V této podobě jsou zajímavé pro byznys různého druhu, od šedé farmacie až po nabízení zázraků v oblasti učení cizích jazyků. Parametry, podle kterých se počítá cena, umožňují profilování klienta, a tím i cílenou nabídku šitou na míru. Tak se zvyšuje míra jistoty, že si klient přímo nabízené zboží koupí,“ vysvětluje vedoucí oddělení ochrany utajovaných informací a fyzické bezpečnosti státní IT agentury NAKIT a přední český odborník na kybernetickou bezpečnost Aleš Špidla.

Necelých devět tisíc korun

Posledním pokusem, jak si připadat ceněný, je modelový příklad milionářského generálního ředitele čekajícího narození potomka a nastěhovaného do vlastní nové nemovitosti. Pro zvýšení hodnoty a ve snaze překonat magickou hranici jednoho dolaru je smyšlenému řediteli přidána alergie, touha trochu shodit a zájem o koupi nového vozu. Konečná cena těchto údajů je ale stále jen 0,9704 dolaru.

Když se nizozemský student Shawn Buckles před pár lety rozhodl nabídnout balík citlivých osobních informací o sobě v aukci, získal za ně pěkných 350 eur, tedy v přepočtu necelých devět tisíc korun. Měl ale velké štěstí, že jeho data koupila společnost The Next Web, která je používá na konferencích k demonstraci bezpečnostních rizik. A to nejenom proto, že je kupec nezneužije, ale i proto, že za ně zaplatil štědrou sumu.

Tolik za svá data nikdo nedostane, přestože balíček obsahoval škálu informací od historie prohlížení webu po obsah e-mailů. Tedy až na Federika Zanniera, který prodal kompletní záznam svého internetového života hned 213 kupujícím za celkem 2733 dolarů. Zannier však sdílel naprosto všechno. Stisky kláves, pohyby myší, GPS polohu, a dokonce screenshoty a fotky z webkamery.

Případy obou studentů jsou však jedinečné, protože data nabízeli v aukci, respektive na Kickstarteru. Zároveň byli průkopníky podobných akcí, a tak se stali zábavným a marketingově zajímavým experimentem. Sám Buckles si to uvědomuje: „Četl jsem, že cena osobních dat se teď pohybuje pod 50 centy, chtěl jsem proto těm svým dát nějakou přidanou hodnotu.“

Využít a zneužít lze cokoliv

Kolik přesně stojí informace o nás, je těžké určit. Především je velký rozdíl mezi osobními údaji a osobními daty. Údaj je prakticky cokoliv, podle čeho může být člověk jednoznačně identifikován, typicky jméno a příjmení, ale i e-mail, který je obsahuje. Osobní data jsou všechno, co člověk vytváří, tedy obrázky, textové soubory, e-maily a další. Ty samozřejmě často obsahují osobní údaje. Jako osobní údaj může posloužit i kombinace údajů, které k identifikaci nevedou.

A v tom spočívá jedno z největších kouzel kyberprostoru, kde lze propojit informace z mnoha zdrojů, a získat tak kompletní profil klienta, někdy bohužel spíše oběti. Cokoliv, co jde převést na nuly a jedničky – pohyb ve fyzickém světě, pohyb ve virtuálním světě, profil spotřeby elektrické energie, nákupy určitého druhu zboží, návštěvy na internetových stránkách a mnoho dalšího –, lze k profilování využít a zneužít.

„Například hledáte v České republice muže. Těch je spousta. Narodil se v Ostravě. Těch je také tolik, že k identifikaci jediného nedojde. V minulém roce mu bylo 60 let. Ještě pořád je jich dost. Bydlí v Židlochovicích. Tady přihořívá. A pracuje v Praze. Hoří! Takový je jen jeden,“ říká Aleš Špidla, který byl tímto nepřímo identifikován. Upozorňuje přitom, že informace obecně jsou v současné době nejcennějším zbožím, a to nejenom pro účely byznysu a kyberzločinců. Zároveň jsou těžkou municí v informačních operacích a hybridních válkách.

Nejcennější artikl současnosti

Cenově na odlišné úrovni jsou takzvané citlivé osobní údaje, které obsahují informace třeba o zdravotním stavu, sexuální orientaci nebo náboženském vyznání. „Asi nejdražší komoditou je zdravotnická dokumentace, kdy se cena pohybuje od stovek až po zhruba pět tisíc dolarů za kompletní zdravotnickou dokumentaci jednotlivce,“ vypočítává Špidla s tím, že cena se odvíjí od toho, jaké osoby se tyto informace týkají.

„Představte si, že je odcizena a následně prodána zdravotnická dokumentace týkající se významného politika nebo celebrity. Informace o tom, že se v poslední době léčil na psychiatrii nebo venerologii, už jsou dostatečným nábojem k vydírání, ať už pro peníze, nebo změnu postojů či rozhodování. Nebo si představte majitele firmy, který ji z důvodu těžké nemoci chce prodat. Informace o jeho zdravotním stavu v rukou možného zájemce o koupi by původnímu majiteli výrazně zhoršila jeho vyjednávací pozici,“ dodává Špidla.

Osobní informace jsou bezpochyby nejcennějším artiklem současnosti, mluví se o nich dokonce jako o ropě 21. století. Jejich hodnota pravděpodobně nadále poroste. Podle Světového ekonomického fóra bude v roce 2020 připojeno k internetu 50 miliard zařízení. Všechna přitom budou přenášet informace o svých uživatelích a produkovat nové. Kdo jsou, co dělají a podobně. Jejich objem bude 44krát vyšší než před deseti lety. Není proto divu, že firmy dnes považují tyto informace za své největší bohatství.

Komerční prospěch

Stačí se podívat na Facebook a jeho nejnovější hospodářské výsledky. Největší sociální síť světa loni utržila 40,65 miliardy dolarů (zhruba 840,5 miliardy korun), o 47 procent víc než o rok dříve. Z drtivé většiny za to může reklama, jejíž cílení má základ ve sledování a analýze chování uživatelů na Facebooku i mimo něj. Jen v posledním čtvrtletí činily příjmy z reklamy 12,78 z 12,98 miliardy dolarů. Po vydělení 2,13 miliardy aktivních uživatelů se ukáže, že v průměru mají data facebookového uživatele hodnotu dva dolary měsíčně. Leč není tomu úplně tak.

S daty lidí se obchoduje a manipuluje na denní bázi a v mnohem větších objemech, aniž by to jejich původci věděli. Cokoli uživatel na internetu udělá, totiž zanechá nějakou datovou stopu a všemožné firmy ji rády analyzují a využívají ke svému komerčnímu prospěchu. Právě díky nim dokážou mnohem lépe nabízet svým uživatelům různé služby a produkty a efektivněji vydělávat peníze. Ať už jde o reklamu, nebo zboží.

Ten, kdo je teď naštvaný, že z tohoto multimiliardového byznysu nic nemá, zatímco jiní vydělávají doslova na něm, by měl vědět, že už dnes existuje jednoduchý způsob, jak svá data zpeněžit. Umožňují to platformy, kterým se uživatel upíše ke sledování. Jako Datacoup, americký startup, jenž nashromážděná data prodává firmám, z čehož pak dotyčnému plyne měsíční „výplata“. Její výše závisí na tom, co vše je člověk ochotný o sobě prozradit.

V nastavení lze zvolit širokou škálu kategorií – od aktivit na sociálních sítích až po údaje o platebních kartách a finančních transakcích. Je však předem nutné upozornit, že na živobytí si tím člověk nevydělá. V praxi jde měsíčně o jednotky dolarů, a každý si proto musí zvážit, zda mu to za absolutní obnažení se a ztrátu soukromí stojí.

Většinou zadarmo

Jak je tento zjevný nepoměr mezi velikostí obchodů s daty a cenou soukromí jednotlivce možný? Firmy totiž data sbírají a nakupují ve velkém. Data tisíců, desetitisíců či statisíců osob mají velkou hodnotu, zatímco data jednotlivce téměř nulovou.

„Možná je to ovlivněno i tím, že uživatelé si sami svých dat moc necení. Většinu dávají firmám zadarmo, respektive za možnost využívat zdarma jejich služby. Další na sebe bez zaváhání prozrazují na sociálních sítích, v internetových diskusích a podobně. Někdy k tomu dávají souhlas, přičemž vůbec nevědí, k čemu se upisují,“ říká Jan Vobořil, výkonný ředitel neziskové organizace Iuridicum Remedium, zabývající se ochranou občanských svobod.

Ne vždy to přitom ale lze svádět na nevědomost. Studie univerzity v italském Trentu ukázala, že zúčastnění studenti jsou ochotni poskytnout svá data o využívání chytrých telefonů za částky, jejichž medián činil pouhá dvě eura. Někdo doufá, že obchodování a zneužívání dat zabrání nové, přísné evropské obecné nařízení o ochraně osobních údajů, též známé pod zkratkou GDPR. To začne platit koncem letošního května a firmám hrozí při nesprávném a nedovoleném zpracování osobních údajů obří sankce vypočítávané z obratu. Žádný zákon ale tuto situaci nejspíš úplně nevyřeší.

„Firmy se sice možná na první pohled snaží o lepší přístup k datům uživatelů, zároveň ale vznikají nové a důmyslnější způsoby, jak je šmírovat,“ hodnotí současný vývoj Vobořil, jehož Iuridicum Remedium každoročně udílí českou verzi anticen za porušování soukromí Big Brother Awards.

Bezpečnost informací

Drtivá většina osobních údajů se nachází a zpracovává v informačních systémech. Pokud jsou z hlediska kybernetické a informační bezpečnosti dobře nastaveny, má k nim potenciální škůdce ztíženou cestu. GDPR je nástroj, jak správce a zpracovatele osobních údajů přimět, aby byli skutečně zodpovědní a zavedli technická a organizační opatření, která sníží riziko úniku a krádeže osobních údajů.

„Velký problém vidím v tom, že se sami ke svým osobním údajům chováme nezodpovědně. Co bychom na sebe nikdy v životě nevykřičeli před 50 lidmi v restauraci, radostně vychrlíme na sociálních sítích před miliony lidí. Bezpečnost informací není hlavně otázka zákonů a nařízení. Daleko více je to otázka pudu sebezáchovy jednotlivce, instituce, firmy, státu, společenství států,“ říká Špidla.

Jeden příklad za všechny. Loni v létě ocenil známý server Hacker News blogový příspěvek českého bezpečnostního experta a vývojáře Michala Špačka. Na příkladu svého známého, který patrně v touze pochlubit se umístil na Instagram fotky letenek na dovolenou, v praxi ukázal, jak lze jen pomocí fotky a dalších snadno dohledatelných informací odcizit účet klienta u letecké společnosti, a výrazně mu tak zkomplikovat život na cestách. To už se skutečně zdá lepší data prodat přes Datacoup a jemu podobné firmy.