Fréttamaðurinn sem vissi allt um Karl Bernhardsen

15.05.2020 - 19:07
Mynd: pixabay / pixabay
Gagnafyrirtæki sem fáir kannast við safna nákvæmum upplýsingum um ferðir fólks. Gögnin eiga að vera dulkóðuð en blaðamenn hafa afhjúpað að svo er ekki. Þegar staðsetningahnitum frá ákveðnu símtæki er safnað yfir langan tíma er oft barnaleikur að átta sig á því hverjum sá sími tilheyrir. Umfjöllun NRK um þessi mál hefur valdið usla í Noregi og hún kom Helgu Þórisdóttur, forstjóra Persónuverndar á óvart. 

Fréttamaðurinn sem vissi allt

Þú þarft kannski ekki heimilisfangið mitt? Spurði Karl Bjarne Bernhardsen, þrítugur norðmaður, fréttamann norska ríkisútvarpsins, NRK þegar þeir ákváðu að hittast. Bernhardsen var enn dálítið hvumsa. Símtalið frá fréttamanninum hafði í besta falli verið skrítið, í versta falli skelfilegt. Hann hafði lýst ferðum hans síðasta árið með ískyggilegri nákvæmni; leiðinni sem hann ók í vinnuna, því þegar hann skrapp frá eitt hádegið til að sækja um nýja vinnu, hvert hann hafði farið í heimsóknir og hvaða dýr hann skoðaði í dýragarðsferð sem hann mundi varla eftir að hafa farið í sjálfur. Fréttamaðurinn vissi meira að segja af því að hann hefði farið upp á spítala, þó hann væri ekki meðvitaður um að hann og Anne kærasta hans hefðu verið á fæðingardeildinni að eignast sitt fyrsta barn. Svo vissi fréttamaðurinn auðvitað hvar hann bjó, það hafði verið auðveldast fyrir hann að átta sig á því. Í gögnunum sem hann hafði fyrir framan sig var heimili Bernhardsens þakið appelsínugulum punktum. Það fór ekki á milli mála að þar hélt hann sig drjúgan hluta sólarhringsins. Fréttamaðurinn er ekki sá eini sem getur komist að öllu þessu um Bernhardsen. Langt því frá. Upplýsingarnar eru til sölu á opnum markaði.

Sniðug öpp í skiptum fyrir upplýsingar

Flest eigum við snjallsíma með innbyggðu staðsetningartæki og flest fyllum við símana okkar af alls kyns sniðugum öppum. Mörg þessara appa eru ókeypis, á móti krefjast þau þess að við samþykkjum að veita þeim ýmsar upplýsingar. Fáar upplýsingar eru jafn verðmætar og upplýsingarnar um hvert við förum helst og hvað við erum þar lengi. Þessar upplýsingar geta eigendur appana selt sérhæfðum gagnasölufyrirtækjum fyrir háar fjárhæðir og þau geta svo selt þær áfram. Það er braskað með þær. 

Keyptu stóran gagnapakka

Við þurfum að samþykkja að veita þessar upplýsingar og mörg gerum við það, enda halda öppin því oftast fram að gögnin séu örugg og dulkóðuð. Það fái enginn að vita hversu oft þú fórst í ísbíltúr eða til læknis, þetta snúist um kauphegðun og markaðsgreiningar, hvaða auglýsingum sé best að beina til þín og þinna líkra. Fréttamennirnir vildu kanna hvort þetta stæðist skoðun, hvort gögnin væru persónurekjanleg eða ekki. Í lok síðasta árs keypti NRK gagnapakka frá bresku gagnasölunni Tamoco. Eitt margra fyrirtækja sem sérhæfir sig í staðsetningargögnum. Þessi fyrirtæki heita ýmsum nöfnum sem hringja fáum bjöllum. Skyhook, Gimbal, X-mode, Safe Graph. NRK greiddi Tamoco rúmar 500 þúsund íslenskar krónur fyrir aðgang að staðsetningargögnum sem náðu til alls ársins 2019. Í gögnunum voru GPS-hnit sem rekja mátti til 140 þúsund farsíma eða spjaldtölva í Noregi. Sum tæki höfðu skilið eftir sig nokkra punkta á þessu tæpa ári, önnur höfðu sent frá sér mörg þúsund staðsetningarhnit. 

Barnaleikur að rekja punktana

Hverju hniti fylgdi nákvæm tímasetning og kóði símtækisins. Oft var hægt að sjá nákvæmlega hvar ákveðinn sími hafði verið á ákveðnum tímapunkti yfir langan tíma. Fréttamennirnir keyrðu hnitin saman við kort af Noregi. Þau völdu nokkur tæki af handahófi og skoðuðu punktana sem þau höfðu skilið eftir sig, sérstaklega þá staði sem voru beinlínis útataðir í gulum punktum. Þannig tókst þeim að rekja gögnin til ákveðinna persóna. Ein þeirra var Karl Bjarne Bernhardsen. Það var ekkert svo flókið. Bara þessi gögn og smá gúgl á netinu. Fréttamennirnir sáu að ákveðið símtæki var alltaf í ákveðnu húsi yfir nóttina og lögðu saman tvo og tvo, líklega bjó eigandinn þar. Smá netleit gerði þeim ljóst að í húsinu bjó par. Á Facebook-síðu mannsins kom fram að hann ynni hjá flutningafyrirtæki, það var einmitt þar sem símtækið hans var yfirleitt á virkum dögum.

Mynd með færslu
 Mynd: pixabay
Gögnin eiga að vera dulkóðuð en eru persónurekjanleg.

Þetta var ekki það eina, með hjálp gagnanna mátti skoða líf Bernhardsen nánast dag fyrir dag, punktarnir bjuggu til einskonar dagbók. Í 200 daga af 365 höfðu ýmis öpp í símanum hans safnað upplýsingum um ferðir hans og sent til fyrirtækja, stundum á hverri mínútu. Loforð Tamoco um dulkóðun reyndust innantóm.

Njósnað um heila þjóð

Í desember í fyrra birti bandaríska blaðið New York Times yfirgripsmikla umfjöllun um gagnasöfnin fyrirtækja í staðsetningasölugeiranum. Blaðamenn New York Times gátu líkt og fréttamenn NRK auðveldlega rakið hnitin til einstaklinga. Hverjir komu í Hvíta húsið, Pentagon eða í heimsókn til fræga fólksins, hvenær fylgdu þingmenn börnunum í skólann, hvenær voru háttsettir hershöfðingjar á leið heim til sín í brynvörðum bílum, hverjir áttu leynifundi og hvar. Allt þetta mátti lesa út úr gögnunum. Punktarnir gátu líka gefið vísbendingar um hvort farið væri að fjara undan hjónabandi fólks og hvort það glímdi við geðraskanir eða fíkn.

Hvað ef ofbeldismaður fær upplýsingarnar í hendur?

Greinarhöfundar velta því upp hvaða afleiðingar það gæti haft, kæmust viðkvæm gögn í hendur erlendra leyniþjónusta, hvernig það gæti komið þolendum ofbeldis ef gerandinn gæti rakið ferðir þeirra, hvort ríkisstjórnir gætu kortlagt líf mótmælenda og reynt að hafa áhrif á þá og hvort atvinnurekendur gætu keypt þjónustu sem lætur þá vita, fari starfsmenn í atvinnuviðtal annað. 

Dýrin í Kristiansand

Í janúar hafði NRK samband við Bernhardsen og í eldhúsinu heima hjá honum fór Trude Furuly, fréttamaður, yfir gögnin með honum. Honum fannst óhuggulegt að sjá hversu nákvæmar upplýsingarnar voru, sérstaklega upplýsingarnar um veru hans á sjúkrahúsinu, þegar sonur hans fæddist, og ferðalag fjölskyldunnar um sumarið. NRK hafði betri yfirsýn en hann sjálfur yfir ferð hans í dýragarðinn í Kristiansand. Það hversu lengi hann stóð og skoðaði apana. Hann sýndi Furuly mynd sem hann hafði tekið af öpunum á símann sinn. Hvað ef ég væri ríkur eða valdamikill spurði hann sig? Hvað ef glæpamenn hefðu öll þessi gögn undir höndum? Hann komst að þeirri niðurstöðu að ríkið ætti að veita borgurum meiri vernd. Til hvers eru þessar upplýsingar notaðar og eru einhver takmörk fyrir því hver getur nálgast þær? Spurði hann. Seinna henti hann stórum hluta appanna í símanum sínum, hann hafði nefnilega ekki hugmynd um hver þeirra höfðu safnað upplýsingunum og selt áfram. Fréttamenn NRK gátu heldur ekki áttað sig á því. 

Mynd með færslu
 Mynd: piqsels
Lemúr í dýragarðinum í Kristiansand.

Ráðamenn fordæma 

Umfjöllun NRK hefur vakið mikla umræðu í Noregi. Neytendasamtök Noregs segja upplýsingasöfnun fyrirtækisins ekki standast persónuverndarlög.  Inger Lyse Blyverket, formaður samtakanna, segir að það sé engin leið fyrir neytendur að átta sig á því hvar persónulegar upplýsingar um þá hafna og til hvers þær eru notaðar. Gagnasalarnir hafi heldur ekki yfirsýn. Þeir selji til einhverra sem selji áfram til alls konar fyritækja. Eitt app geti sent upplýsingar til margra gagnasala og oft selji þeir hver öðrum gögn. Gögnin eru jafnvel seld í rauntíma og engin leið að afturkalla söluna. Þau gera fyrirtækjum kleift að fá heildstæða af neytandanum, þau fá ekki bara upplýsingar um virkni hans á netinu heldur líka hvað hann gerir í raunheimum. 

Ráðherrar í Noregi hafa lýst hneykslun sinni. Norska Persónuverndarstofnunin hefur hafið rannsókn á Tamoco og hyggst reyna að fá bresku systurstofnunina í samstarf. 

Engin svör en áður varla samkjaftað

Sum fyrirtækin sem NRK hafði samband við neituðu að selja því gögn, sögðust í ljósi nýju evrópsku persónuverndarlöggjafarinnar frá 2018 ekki selja gögnin innan Evrópu. Tamoco og fleiri fyrirtæki voru þó alveg til í það. Kaupin gengu greiðlega, fréttamennirnir sögðust vilja kaupa gögnin til að átta sig á því hvernig Norðmenn notuðu almenningssamgöngur. Seinna upplýstu þau fyrirtækið um hvað raunverulega vakti fyrir þeim og sendu ítrekað fyrirspurnir um gagnasöfnunina og rekjanleikann en fengu engin svör. 

Hægt að sjá ferðir í ríkið eða á Húð- og kyn

Helga Þórisdóttir, forstjóri Persónuverndar, heyrði fyrst af þessari umfangsmiklu gagnavinnslu um Norðmenn í þessari viku. „Persónuverndin í Noregi upplýsti okkur um þetta fyrr í þessari viku. Þetta þótti svo stórt mál að þetta var tekið fyirr á fundi Evrópska persónuverndarráðsins sem við eigum sæti í, það var óskað eftir því að ráðið tæki þetta til skoðunar. Þetta er orðið bara iðnaður sem nýju persónuverndarlögin eiga einmitt að tækla.“

Mynd með færslu
 Mynd: RÚV
Helga Þórisdóttir

Hvað er það sem stingur ykkur við þetta núna, því þið vissuð að það væri verið að afla ýmissa upplýsinga í gegnum þessi öpp?

 „Það sem er kannski sláandi þarna er það, að fólk heldur svo oft og maður heyrir svo oft viðkvæðið ég hef ekkert að fela en ef þú þarft að fara, ég segi ekki huldu höfði, eða ef þú vilt ekki láta alla vita hvar þú býrð, hvar þú vinnur og hvar þú ert með börnin á leikskóla. Þú kannski ferð með börnin í læknisskoðun og það er hægt að finna út á hvaða deild spítalans þú fórst með barnið, nú eða sjálfan þig. Hver þarf að leita á húð- og kynsjúkdómadeildina. Á Íslandi eru Vínbúðirnar sérstakar búðir og ljóst að það er hægt að finna út hver fer í Vínbúðina og hversu oft. Það eru allir þessir gagnapunktar sem búa til stærðir sem eru orðnar að þessari helstu söluvöru nútímans í dag, sala persónuupplýsinga. Til hvers, jú auglýsingum er þá beint að okkur, svo er hitt að hafa áhrif á skoðanir okkar, til dæmis eins og við höfum verið að skoða hér hjá Persónuvernd, hvernig er verið að vinna í kjósendum fyrir kosningar. Síðan er það að gagnagrunnar með svona upplýsingum eru leið til fjárkúgunar. Þetta er bara ákveðin ný tegund af glæpum og ný tegund af veruleika. Nýja persónuverndarlöggjöfin tæklar þetta að því leytinu til að þarna þurfa fyrirtæki sem beita svona aðferðum að standa fyrir gjörðum sínum. Reikningsskil gjörða þeirra þurfa að liggja fyrir og það eru gríðarlegar sektarheimildir sem persónuverndarstofnanir eru að fá til þess einmitt að ná þessum fyrirtækjum sem eru að misfara svona alvarlega og illa með þessar persónuupplýsingar.“

Misjafn tilgangur

Er það markmið fyrirtækjanna að safna þessum gögnum og nota þau í markaðsgreiningar eða er það markmið þeirra að selja nákvæm, persónurekjanleg gögn um mig og þig? 

„Þau eru væntanlega misjöfn eins og þau eru mörg, það eru þessir óprúttnu aðilar inni á milli sem svífast einskis með þessar upplýsingar því þetta er svo mikil söluvara. Sumir vinna þetta með réttum hætti og það er hægt að gera svo margt uppbyggilegt með gögn, hvað varðar tölfræði og annað en að sama skapi er fólk kannski of mikið að hlaða niður forritum án þess að hugsa hvaða upplýsingum í símanum  mínum er ég að veita þessu forriti aðgang að. Af hverju þarf þetta forrit að fá upplýsingar um það hvar ég er á hverjum tíma? “

Nú veitir fólk samþykki fyrir því að eitthvert app, hvort sem það er afsláttarmiðaapp eða veðurapp eða hvað það er, að það safni þessum upplýsingum. Hlýtur þetta þá ekki að standast persónuverndarlöggjöfina? 

„Það er það sem er þá hluverk persónuverndaryfirvalda og mögulega annarra að sýna fram á hvort nægileg fræðsla hafi verið veitt, áður en appinu var hlaðið niður, það þarf að vega og meta það, hvort veitt hafi verið nægileg fræðsla til að hægt sé að segja þetta er áhætta sem fólk tekur eða er hægt að segja að gagnasöfnunin fari langt út fyrir öll velsæmismörk og geti ekki verið talin standast.“

Ísland ekki eyland

Veistu hvort það eru fyrirtæki að rekja ferðir íslendinga? 

„Netöryggissérfræðingar hafa bent á að Ísland er ekki eyja þegar kemur að netöryggismálum. Það hlýtur það sama að geta átt við um Ísland eins og næstu nágrannalönd. Hafi einhver áhuga á að kynna sér einhverjar stærðir hér eða einhverja aðila , þá er allavega nokkuð ljóst að þá er ýmislegt hægt að gera.“  

Hægt er að fara í stillingar í snjallsímanum og slökkva á Location services, það sama er hægt að gera á Google-aðgangi, í umfjöllun New York Times segir þó að gagnasalarnir séu sífellt að finna nýjar leiðir til að verða sér úti um staðsetningargögn. Þessar ráðstafanir verji fólk því ekki algerlega. 

Hægt að nýta gögnin í góðum tilgangi

Stórfyrirtæki sem New York times talaði við sögðust ekki nota nákvæm staðsetningargögn, þau noti upplýsingarnar til að vinna betri markaðsgreiningar, sjá hvort fólk fari í ákveðna búð eftir að hafa séð auglýsingu á samfélagsmiðli. Dæmi eru um að hjálparsamtök hafi nýtt gögnin til að kortleggja faraldra og borgir hafi nýtt þau í skipulagsvinnu. Í umfjöllun New York Times er því þó haldið fram að mörg fyrirtækjanna selji þessi nákvæmu gögn, og rétt eins og þeim var lekið til fjölmiðla, af áhyggjufullum manni sem nýlega hafði hætt í starfi hjá gagnasölu, geti þeim verið lekið til glæpamanna. 

arnhildurh's picture
Arnhildur Hálfdánardóttir
Fréttastofa RÚV
Síðast:
Þessi þáttur er í hlaðvarpi