Nie masz Facebooka. Myślisz że jesteś anonimowy. Raczej nie jesteś.
Share
Brak konta w social mediach to nie tarcza. To złudzenie które daje poczucie bezpieczeństwa dokładnie tam gdzie go nie ma.
Znam ten argument na pamięć.
"Nie mam Facebooka, Instagrama ani TikToka. Dbam o swoją prywatność."
Rozumiem skąd pochodzi. Jest intuicyjnie sensowny. Nie wrzucasz zdjęć, nie podajesz miejsca zamieszkania, nie klikasz w ankiety o ulubionym kolorze które zbierają dane do profilowania.
Problem polega na tym że Twoje dane są w internecie niezależnie od tego czy masz konto w social mediach. I niezależnie od tego czy kiedykolwiek świadomie je tam umieściłeś.
Gdzie są Twoje dane zanim otworzysz przeglądarkę
Zacznijmy od tego co dzieje się zanim w ogóle wejdziesz do internetu.
Mieszkasz gdzieś. Płacisz podatki. Prowadzisz lub prowadziłeś działalność gospodarczą. Masz numer PESEL, NIP, adres zameldowania. Może samochód zarejestrowany na Twoje nazwisko. Może nieruchomość w księdze wieczystej.
Wszystkie te informacje są w publicznych rejestrach. KRS, CEIDG, REGON, księgi wieczyste – dostępne dla każdego, bezpłatnie, bez logowania. Twoje imię, nazwisko, adres, historia działalności gospodarczej.
To jest punkt wyjścia do każdego researchu na Twój temat. I do tego nie potrzeba Facebooka.
Twój telefon wie więcej niż myślisz
Masz telefon. Telefon ma numer. Numer był gdzieś rejestrowany – przy zakupie karty SIM, przy zakładaniu konta w banku, przy rejestracji w sklepie internetowym, przy odbieraniu paczki.
Każda z tych rejestracji to punkt danych który gdzieś istnieje i który może wyciec.
Poza tym telefon cały czas wysyła sygnały. Łączy się z sieciami WiFi. Pinguje wieże komórkowe. Jeśli masz włączoną lokalizację w jakiejkolwiek aplikacji – a masz, bo inaczej nie działałoby nawigowanie, zamawianie jedzenia ani śledzenie paczki – Twoja historia lokalizacji gdzieś jest zapisana.
Aplikacje które instalujesz proszą o uprawnienia. Część z nich o uprawnienia których nie potrzebują do swojego działania. Latarka która prosi o dostęp do kontaktów nie potrzebuje kontaktów żeby świecić. Ale te kontakty są dla niej cenniejsze niż funkcja oświetlenia.
Twoja przeglądarka Cię śledzi. Nawet w trybie incognito.
Tryb incognito nie znaczy anonimowy. Znaczy że przeglądarka nie zapisuje historii lokalnie na Twoim urządzeniu.
Twój dostawca internetu nadal widzi co odwiedzasz. Strony które odwiedzasz nadal widzą Twój adres IP. Cookies śledzące nadal działają w sesji. Google Analytics na każdej stronie którą odwiedzasz nadal zbiera dane o tym że tam byłeś – jaką przeglądarkę masz, jaki system operacyjny, jakiej rozdzielczości ekran, skąd przyszedłeś.
Ta kombinacja informacji – system, przeglądarka, rozdzielczość, strefa czasowa, zainstalowane fonty – tworzy coś co nazywa się fingerprint przeglądarki. Jest na tyle unikalny że pozwala zidentyfikować Cię między sesjami nawet bez cookies i nawet bez logowania.
Nie musisz mieć Facebooka żeby Facebook wiedział że odwiedziłeś stronę która ma piksel Facebooka. A piksel Facebooka ma większość sklepów internetowych, blogów i portali informacyjnych. Na szczeście piksele zaczynają troche zamierać- ale sklep i tak moze wrzucic twój mail wraz pakietem 100 innych do Facebooka aby retargetował reklamy, jak kiedyś założysz tam konto.
Twoje dane są u innych nawet gdy Ty ich nie dajesz
To jest część której ludzie nie lubią słyszeć.
Twoi znajomi mają Facebooka. Wrzucają zdjęcia z imprez. Na niektórych zdjęciach jesteś Ty. Facebook ma algorytm rozpoznawania twarzy który działa na zdjęciach na których nie jesteś oznaczony. Twoja twarz jest w bazie Facebooka mimo że nie masz konta.
Twoi znajomi mają iPhone'a. Aplikacja kontakty synchronizuje się z chmurą. Twój numer telefonu i imię są w kontaktach kilkunastu osób. Każda z tych osób zainstalowała aplikację która prosiła o dostęp do kontaktów. Twój numer trafił do baz danych tych aplikacji bez Twojej wiedzy i zgody.
Twój pracodawca ma stronę internetową na której jesteś wymieniony jako pracownik. Firma wystawiła fakturę na Twoje dane jeśli prowadzisz JDG. Ktoś zrobił Ci zdjęcie na konferencji i wrzucił na LinkedIn.
Twoje dane żyją własnym życiem niezależnie od Twoich decyzji dotyczących własnych kont.
Co to znaczy praktycznie – test OSINT na sobie
Jest prosty eksperyment który możesz przeprowadzić teraz.
Wpisz swoje imię i nazwisko w Google. Potem dodaj miasto. Potem numer telefonu. Potem adres email który podajesz przy rejestracjach.
Każde z tych zapytań zwróci Ci inne fragmenty Twojego śladu cyfrowego. Stare komentarze na forach. Profil na serwisach branżowych o których zapomniałeś. Dane z CEIDG jeśli kiedykolwiek prowadziłeś działalność. Wpisy w katalogach firm. Zdjęcia które ktoś inny wrzucił a na których jesteś widoczny.
To co znajdziesz to tylko to co widzi zwykły użytkownik bez żadnych specjalnych narzędzi. Ktoś kto chce wiedzieć o Tobie więcej ma do dyspozycji narzędzia które agregują te dane automatycznie z dziesiątek źródeł jednocześnie.
Sprawdź też swój email na stronie haveibeenpwned.com. Zobaczysz w ilu wyciekach danych Twój adres już się pojawił. Większość osób jest zaskoczona wynikiem.
Czy to znaczy że prywatność nie istnieje
Nie. Znaczy że prywatność to spektrum a nie przełącznik włącz/wyłącz.
Brak Facebooka zmniejsza ilość danych które aktywnie produkujesz. To jest wartość. Ale nie eliminuje śladu cyfrowego który istnieje niezależnie od Twoich decyzji.
Prawdziwa higiena cyfrowa to nie jedno działanie – to system nawyków. Używanie wyszukiwarki która nie śledzi jak DuckDuckGo. VPN który ukrywa Twój adres IP przed dostawcą internetu i odwiedzanymi stronami. Unikalna skrzynka email dla różnych kategorii rejestracji. Regularne sprawdzanie co jest na Twój temat publicznie dostępne i usuwanie tego co możesz usunąć. Świadomość że każda rejestracja to decyzja o udostępnieniu danych.
Nie chodzi o paranoje. Chodzi o świadomość że Twoje dane istnieją, krążą i są przetwarzane – i że możesz mieć na to pewien wpływ jeśli wiesz gdzie patrzeć.
Brak Facebooka to dobry pierwszy krok.
Problem polega na tym że wielu ludzi traktuje go jako ostatni.
Jedno działanie które możesz zrobić dziś
Wejdź na haveibeenpwned.com i sprawdź swój główny adres email.
Zajmuje to trzydzieści sekund. Wynik powie Ci więcej o Twoim rzeczywistym śladzie cyfrowym niż godzina czytania artykułów o prywatności.
A jeśli zobaczysz że Twój email wyciekł z kilkunastu serwisów – wiesz co powinieneś zrobić z hasłami do tych serwisów.
Wskazówka: masz do tego menedżer haseł.
Skoro Facebook wie że odwiedziłem stronę mimo że nie mam konta – czy to nie jest nielegalne z perspektywy RODO?
Tak i nie– Trybunał Sprawiedliwości UE w sprawie Fashion ID orzekł że właściciel strony który osadza piksel Facebooka jest współadministratorem danych odwiedzających – razem z Facebookiem. Oznacza to że sklep który wbudował w swoją stronę piksel Facebooka odpowiada razem z Metą za przetwarzanie Twoich danych. Aby Meta mogła zassać twoje dane przez piksel, wpierw powinieneś wyrazić zgodę na pliki cookies. Problem polega na tym że większość właścicieli sklepów się tym nie przejmuje bo "wszyscy tak robią." UODO mógłby to egzekwować znacznie aktywniej niż robi.
Czy smart TV w salonie też mnie śledzi?
Tak i to bardziej niż telefon. Nowoczesne telewizory mają technologię ACR – Automatic Content Recognition – która rozpoznaje co oglądasz klatka po klatce i wysyła te dane do producenta. Nie tylko co włączasz przez własne konto – ale też co lecisz z zewnętrznego odtwarzacza czy konsoli. Wszyscy to robią i informują o tym w polityce prywatności którą akceptujesz przy pierwszym uruchomieniu. Możesz to wyłączyć w ustawieniach – ale opcja jest zazwyczaj głęboko schowana i domyślnie włączona. Twój salon to nie jest prywatna przestrzeń jeśli masz w nim połączony z internetem telewizor.
Pracodawca może sprawdzić mój ślad cyfrowy przed zatrudnieniem?
Powierzchownie może – i robi to. Googling kandydatów przed rozmową to standard. Problem zaczyna się gdy pracodawca trafi na informacje których nie powinien brać pod uwagę przy rekrutacji – stan zdrowia, poglądy polityczne, orientacja seksualna, wyznanie. Jeśli odrzuci kandydata na podstawie tych informacji to narusza przepisy antydyskryminacyjne – ale udowodnienie tego jest praktycznie niemożliwe bo nikt nie pisze w odmowie "nie zatrudniliśmy Cię bo widzieliśmy Twój post o chorobie." Z perspektywy RODO pracodawca który aktywnie szuka danych o kandydacie poza tym co kandydat sam dostarczył oraz platformami branżowymi typu Linkedin wchodzi w szarą strefę przetwarzania danych bez podstawy prawnej. Ale egzekwowanie tego jest iluzoryczne.
Czy anonimowość w internecie w ogóle istnieje?
Technicznie – tak, ale wymaga wysiłku który większość ludzi nie jest gotowa ponieść. Tor Browser, VPN bez logów płatny kryptowalutą, osobny komputer bez powiązania z Twoją tożsamością, email na tymczasową tożsamość, brak smartfona. Nawet wtedy – analiza stylu pisania, wzorce zachowań i błędy operacyjne potrafią zidentyfikować osobę którą chciano ukryć. Dla przeciętnego użytkownika pełna anonimowość jest nieosiągalna i prawdopodobnie niepotrzebna. To co jest osiągalne i warte wysiłku to zmniejszenie powierzchni ataku – mniej danych, mniej śladów, mniej połączeń między różnymi częściami Twojego cyfrowego życia. Nie znikasz. Stajesz się mniej interesującym celem.
Skoro i tak jesteśmy śledzeni to czy w ogóle warto się starać?
Tak, ale z właściwymi oczekiwaniami. Prywatność to nie przełącznik – albo mam, albo nie mam. To spektrum. Każde działanie które podejmujesz przesuwa Cię w stronę większej kontroli nad własnymi danymi – nawet jeśli nie daje Ci pełnej anonimowości. To jak z zamkami w drzwiach: nikt nie twierdzi że zamek uniemożliwia włamanie. Ale sprawia że Twoje mieszkanie jest trudniejszym celem niż sąsiada który zamka nie ma. Włamywacz wybierze łatwiejszą ofiarę. Tak samo działa większość ataków w sieci – nie są celowane personalnie w Ciebie, tylko szukają najłatwiejszego dostępnego celu. Bycie trudniejszym celem wystarczy w 90% przypadków.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.