Personvernutfordringer i sosiale medier
Personvernutfordringene blir dobbelt viktige for journalister. En ting er å ivareta forholdet til opplysninger om oss selv. I tillegg må vi også kunne ta ansvar for at informanters opplysninger og indentitet ikke komer på avveie.
Les mer om Kildevern og Digitalt kildevern
Sikkerhetsekseperten Bruce Schneier skiller mellom ulike kategorier av opplysninger som sosiale medier registrerer og lagrer om brukerne sine:
Tjenesteopplysninger («service data»)
Opplysninger som er obligatoriske for å ta i bruk tjenesten (for eksempl e-postadresse og navn)
Publiserte opplysninger («disclosed data»)
Opplysninger en selv publiserer, og som en har kontroll over (for eksempler innlegger og bilder)
Fortrolige opplysninger («entrusted data»)
Opplysninger en selv publiserer på sidene til andre brukere, og som en derfor ikke har kontroll over (for eksempler kommentarer)
Avledede opplysninger («derived data»)
Opplysninger som tjenesten trekker ut av andre opplysninger (for eksempler kan opplysninger om hva nyhetsartikler en leser, si noe om politiske preferanser)
Adferdsopplysninger («behavioral data»)
Opplysninger som tjenesten samler inn om hva du gjør og med hvem (for eksempler temaer du skriver om, eller lenker du trykker på)
Uventede opplysninger («incidental data»)
Opplysninger som andre publiserer om deg (for eksempler kommentar eller bilder)
Some rights reserved - Ill: Tilstand og trender for personvernet 2013
Mangel på åpenhet
En overordnet utfordring med mange sosiale medier er manglende åpenhet og transparens. De fleste tjenestetilbyderene krever samtykk til de vilkårene tjenesten har fastsatt, men samtidig gir disse vilkårene sjelden svar på hvilke opplysninger som behandles, hva som er formålet med behandlingen, hvordan opplysningene blir brukt, og hvor lenge opplysningene blir lagret.
Et utdrag fra personvernvilkårene til Twitter er et eksempel (her oversatt fra engelsk):
«Vi engasjerer visse pålitelige tredjepartsleverandører til å utføre funksjoner og tilby tjenester for oss. Vi kan dele din personlige informasjon med disse leverandørene, men bare det som er strengt tatt nødvendig for å utføre disse funksjonene og tjenestene, og kun i samsvar med beskyttelse beskrevet under personvern.»
Denne koblingen mellom tjenester er på den ene siden svært nyttig, men samtidig blir det nærmest umulig for brukerne å gjøre seg kjent med personvernpolicyen på tvers av alle tjenestetilbyderene. I praksis kan dette ha svært mye å si for personvernet til brukerne, ikek bare for din egen del, men også for de du er i kontakt med.
Noen eksempler på tjenester som kan være knyttet til en Twitter-konto ser du på illustrasjonen til høyre. Mange av disse har brukeren gjerne knyttet seg opp mot via mobiltelefonen, og som oftetst uten å sette seg skikkelig inn i hva de aktuelle tjenestene faktisk får rettigheter til å gjøre. Noen kan bare lese medlinger fra den aktuelle twitterkontoen, andre kan skrive medlinger som publiseres på Twitter, atter andre kan hente ut hele kontaktlisten din osv.
Twitter opplyser om at de deler informasjon med «tredjepartsleverandører», men opplyser ikke nærmere hvem disse er. Dette skyldes flere forhold knyttet til selve tjenesten, blant annet at Twitter benytter et såkalt API, som er åpent for de som ønsker å lage tjenester koblet til Twitter.
Samler og selger dine opplysninger
Amerikanske Federal Trade Commission (FTC) har godkjent at et amerikanske selskap kalt Social Intelligence Service kan samle inn og lagre opplysninger om brukere av sosiale nettsamfunn. Selskapets formål er å samle inn opplysninger om privatpersoners bruk av nettsamfunn som ligger åpent ute og lager egne mapper ut av denne informasjonen som de selger videre til interesserte selskaper.
Forbes.com har testet funksjonen og selskapet maktet å grave frem uønsket informasjon på personen det gjaldt, informasjon som personen selv kanskje ikke la mye vekt på, men som i denne settingen ble ubehagelig.
Kilde: Slettmeg.no
Det er vanlig at at de som tilbyr sosiale medier lar brukerne selv avgjøre tilgangen til en del av opplysningene de produserer eller genererer. En utfordring er likevel at standardinnstillingene ofte ikke er satt til det mest personvernvennlige nivået, og ikke minst at brukerne ikke i tilstrekkelig grad er oppmerksomme på hva standardinnstillingane faktisk innebærer.
Tilfellet nevnt i artikkelen om Journalisters bruk av sosiale medier, der Facebooks tidligere markedssjef fikk sine bilder på avveier, bør være eksempel godt nok. Problemene oppstår når brukerne aktivt må reservere seg mot indeksering og deling av personopplysninger med tredjeparter. Dette er den “brukervennlige” (les “kjappeste”) måten å gjøre det på, men mange lar dermed være å endre innstillingene. For en journalist kan dette få svært uheldige konsekvenser, både for utøvelsen av yrket og for informanter.
Hvem har ansvaret
For en vanlig nettbruker trenger ikke nasjonaliteten til en tjeneste å bety så mye. Ønsker du å blogge, er det i valget mellom blogg.nå og Blogger.com nærmest irrelevant at den første tjenesten er norsk og den andre amerikansk. For brukeren er tilgjengelighet, brukervennlighet og oppetid adskillig viktigere. Men dersom du skulle få behov for å komme i dialog med tjenestetilbyderen kan lokalisering komme til å bety noe. Selv om det kan være like vanskelig å komme i kontakt med en norsk tilbyder som med en utenlandsk, så vil det være lettere å spore opp hvem som er juridisk ansvarlig for en norsk tjeneste. Selv om Internett i seg selv er globalt, er lovgivingen som regulerer nettet, først og fremst nasjonal.
En konsekvens av dette er at sosiale medier, og andre tjenester som retter seg mot nordmenn, først og fremst forholder seg til lovverket i det landet der tjenesten driftes fra. En norsk bruker av Blogger.com vil ikke nødvendigvis kunne få fjernet et bilde som er publisert uten samtykke, slik norsk lovgiving gir rett til (se Retten til eget bilde). Dette skyldes at Blogger er eid av Google, som er et amerikansk selskap og i utgangspunktet forholder seg til amerikansk rett.