Pojawiła się pierwsza partia  raportów oceniających tak zwane „ryzyko systemowe” stwarzane przez największe platformy internetowe. Raporty te wynikają z aktu o usługach cyfrowych (DSA), nowego europejskiego prawa regulującego platformy takie jak Google, Meta, Amazon czy X. Oczekiwały ich niecierpliwie grupy społeczeństwa obywatelskiego na całym świecie. Spółki powinny ocenić w swoich raportach, czy ich usługi przyczyniają się do szerokiego zakresu ledwo zdefiniowanych zagrożeń. Wykraczają one poza rozpowszechnianie nielegalnych treści i obejmują niejasno zdefiniowane kategorie, takie jak negatywny wpływ na uczciwość wyborów, utrudnianie korzystania z praw podstawowych lub podważanie dyskursu obywatelskiego. Ostrzegaliśmy już, że subiektywność tych kategorii prowadzi do polaryzacji aktu DSA.  

W świetle nowego dochodzenia na podstawie aktu DSA w sprawie potencjalnej roli odegranej przez TikTok w wyborach prezydenckich w Rumunii przyglądamy się raportom i ramom, które je stworzyły, aby zrozumieć ich wartość i ograniczenia.  

Krótko o ustawie DSA  

Ustawa DSA obejmuje wiele różnych usług. Reguluje rynki internetowe, takie jak Amazon czy Shein, sieci społecznościowe, takie jak Instagram i TikTok, wyszukiwarki, takie jak Google i Bing, a nawet sklepy z aplikacjami, takie jak te prowadzone przez Apple i Google. Nakłada różne obowiązki na różne usługi w zależności od ich rodzaju i rozmiaru. Ogólnie rzecz biorąc, im niższy stopień kontroli dostawcy usług nad treściami udostępnianymi za pośrednictwem jego produktu, tym mniej obowiązków musi on spełnić.   

Na przykład usługi hostingowe, takie jak przetwarzanie w chmurze, muszą zapewniać punkty kontaktowe dla organów rządowych i użytkowników oraz podstawową sprawozdawczość w zakresie przejrzystości. Platformy internetowe, czyli wszelkie usługi, które udostępniają publicznie treści generowane przez użytkowników, muszą spełniać dodatkowe wymagania, takie jak dostarczanie użytkownikom szczegółowych informacji o decyzjach dotyczących moderowania treści i prawie do odwołania się. Muszą również spełniać dodatkowe obowiązki dotyczące transparentności.  

Chociaż ustawa DSA stanowi niezbędną aktualizację unijnych przepisów dotyczących odpowiedzialności i poprawy praw użytkowników, mamy wiele obaw związanych z obraną przez nią drogą:  

  • Martwią nas uprawnienia nadane organom do żądania danych użytkowników oraz obowiązek dostawców usług do proaktywnego udostępniania danych użytkowników organom ścigania.  
  • Jesteśmy również zaniepokojeni sposobami, w jakie zaufane osoby oznaczające treści w mediach społecznościowych lub na innych platformach cyfrowych jako potencjalnie naruszające zasady lub jako szkodliwe (ang. flaggers) mogą prowadzić do nadmiernego ich usuwania.  
  • Przestrzegamy przed nadużywaniem mechanizmu wynikającego z aktu DSA w postępowaniu w sytuacjach kryzysowych takich jak pandemia. 

Wprowadzanie ryzyk systemowych 

Najbardziej rygorystyczne zobowiązania wynikające z aktu DSA dotyczą dużych platform internetowych i wyszukiwarek, które mają ponad 45 milionów użytkowników w UE. Do tej pory Komisja Europejska wyznaczyła ponad 20 usług, które stanowią „bardzo duże platformy internetowe” (VLOP) lub „bardzo duże wyszukiwarki internetowe” (VLOSE). Te spółki, w tym X, TikTok, Amazon, Google Search, Maps oraz Play, YouTube i kilka platform pornograficznych, muszą proaktywnie oceniać i ograniczać „ryzyko systemowe” związane z projektowaniem, działaniem i korzystaniem z ich usług. Nieostateczna lista ryzyk wynikająca z aktu DSA obejmuje cztery szerokie kategorie: 1) rozpowszechnianie nielegalnych treści, 2) negatywny wpływ na korzystanie z praw podstawowych, 3) zagrożenia dla wyborów, dyskursu obywatelskiego i bezpieczeństwa publicznego oraz 4) negatywne skutki i konsekwencje w odniesieniu do przemocy ze względu na płeć, ochrony małoletnich i zdrowia publicznego oraz fizycznego i psychicznego dobrostanu danej osoby.  

Akt DSA nie zawiera zbyt wielu wskazówek na temat tego, w jaki sposób VLOP i VLOSE mają analizować, czy przyczyniają się do nieco arbitralnej listy wymienionych zagrożeń. Podobnie akt nie precyzuje, jak należy rozumieć te ryzyka, co prowadzi do obaw, że mogą one być szeroko interpretowane i prowadzić do szerokiego usuwania zgodnych z prawem, ale przerażających treści. Równie niewiele jest wytycznych co do ograniczania ryzyka, ponieważ akt DSA wymienia jedynie kilka środków, które platformy mogą zastosować, o ile będą miały taką wolę. Niektóre z tych wytycznych są niezwykle szerokie, na przykład dostosowanie projektu, funkcji lub funkcjonowania usługi lub „wzmocnienie procesów wewnętrznych”. Inne, takie jak wprowadzenie środków weryfikacji wieku, są znacznie bardziej szczegółowe, ale wiążą się z wieloma problemami i same w sobie mogą podważać prawa podstawowe.   

Zarządzanie ryzykiem w kontekście wyborów prezydenckich w Rumunii 

Zgodnie z aktem DSA platformy muszą co roku publikować raporty szczegółowo opisujące, w jaki sposób analizowały i zarządzały ryzykiem. Raporty te są uzupełniane przez oddzielne raporty sporządzane przez zewnętrznych audytorów, których zadaniem jest ocena zgodności platform z ich obowiązkami w zakresie zarządzania ryzykiem i innymi zobowiązaniami wynikającymi z aktu DSA.  

Aby lepiej zrozumieć zalety i ograniczenia tych raportów przeanalizujmy przykład ostatnich wyborów w Rumunii. Pod koniec listopada 2024 r. ultranacjonalistyczny i prorosyjski kandydat Calin Georgescu niespodziewanie wygrał pierwszą turę wyborów prezydenckich w Rumunii. Po doniesieniach lokalnych grup społeczeństwa obywatelskiego oskarżających TikTok o wzmacnianie treści pro-Georgescu oraz odtajnionym briefie opublikowanym przez rumuńskie służby wywiadowcze, w którym zarzuca się cyberataki i operacje wywierania wpływu, rumuński Trybunał Konstytucyjny unieważnił wyniki tych wyborów. Wkrótce potem Komisja Europejska wszczęła formalne postępowanie przeciwko platformie TikTok za niewystarczające zarządzanie ryzykiem systemowym związanym z uczciwością rumuńskich wyborów. W szczególności dochodzenie Komisji koncentruje się na „systemach rekomendacji TikTok, w szczególności na ryzyku związanym ze skoordynowaną nieautentyczną manipulacją lub zautomatyzowanym wykorzystywaniem usługi oraz polityce TikTok w zakresie reklam politycznych i płatnych treści politycznych”. 

Własny raport oceny ryzyka platformy TikTok poświęca osiem stron potencjalnemu negatywnemu wpływowi na wybory i dyskurs obywatelski. Co ciekawe, definicja tej konkretnej kategorii ryzyka przez TikTok koncentruje się na rozpowszechnianiu dezinformacji wyborczych, ale nie wspomina o skoordynowanych nieautentycznych zachowaniach lub manipulowaniu systemami rekomendacji. To pokazuje szeroki margines, z jakim platformy definiują ryzyko systemowe i wdrażają własne strategie jego ograniczania. Pozostawienie platformom zdefiniowania istotnych ryzyk nie tylko uniemożliwia porównanie podejść przyjętych przez różne spółki, ale może również prowadzić do zbyt szerokiego lub wąskiego podejścia – potencjalnie podważając prawa podstawowe lub stojąc w sprzeczności z obowiązkiem skutecznego radzenia sobie z ryzykiem, jak w tym przykładzie. Należy również zauważyć, że wprowadzanie w błąd i dezinformacja to terminy niezdefiniowane w międzynarodowym prawie praw człowieka, a zatem nie nadają się dobrze jako solidna podstawa do ograniczenia wolności słowa.  

TikTok opisuje w swoim raporcie środki podjęte w celu złagodzenia potencjalnych zagrożeń dla wyborów i dyskursu obywatelskiego. Przegląd ten szeroko opisuje niektóre interwencje związane z wyborami, takie jak etykiety dla treści, które nie zostały sprawdzone pod kątem faktów, ale mogą zawierać dezinformacje, oraz opisuje zasady platformy TikTok, takie jak  zakaz reklam politycznych, który jest niezwykle łatwy do obejścia. W żaden sposób nie wskazuje ani nie sugeruje, że solidność i użyteczność zastosowanych środków jest udokumentowana lub została przetestowana, nie zwiera też żadnych punktów odniesienia, względem których TikTok uważa ryzyko za skutecznie złagodzone. Nie zawiera na przykład danych liczbowych dotyczących tego, ile elementów treści otrzymuje określone etykiety i jak wpływają one na interakcje użytkowników z daną treścią.  

Podobnie raport nie zawiera żadnych danych dotyczących skuteczności egzekwowania przez TikTok zakazu reklam politycznych. Podobnie „metodologia” oceny ryzyka platformy TikTok, również zawarta w raporcie, nie pomaga odpowiedzieć na żadne z tych pytań. I po raz kolejny jesteśmy rozczarowani, patrząc na raport sporządzony przez zewnętrznego audytora, w tym przypadku KPMG: KPMG stwierdziła, że nie można ocenić zgodności TikTok z ryzykiem systemowym z powodu dwóch wcześniejszych, toczących się dochodzeń Komisji Europejskiej w związku z potencjalnym nieprzestrzeganiem obowiązków w zakresie ograniczania ryzyka systemowego. 

Ograniczenia wynikające z podejścia do zarządzania ryzykiem wynikającego z aktu DSA 

Jaka jest zatem wartość raportów dotyczących ryzyka i audytu, publikowanych mniej więcej rok po ich sfinalizowaniu? Odpowiedź może brzmieć: bardzo niewielka.  

Jak wyjaśniono powyżej, spółki mają dużą swobodę w ocenie ryzyka i postępowaniu z ryzykiem. Z jednej strony konieczny jest pewien stopień elastyczności: każdy VLOP i VLOSE różni się znacznie pod względem logiki produktu, polityki, bazy użytkowników i wyborów projektowych. Z drugiej strony wysoki stopień elastyczności w określaniu, czym dokładnie jest ryzyko systemowe, może prowadzić do znacznych niespójności i sprawiać, że analiza ryzyka będzie niewiarygodna. Pozwala to również organom regulacyjnym na przedstawianie własnych definicji, a tym samym potencjalne rozszerzanie kategorii ryzyka, które uznają za stosowne, aby poradzić sobie z pojawiającymi się lub politycznie istotnymi kwestiami.  

Zamiast nadawać sens różnorodnym i potencjalnie sprzecznym definicjom ryzyka, firmy i organy regulacyjne powinny zaproponować wspólne punkty odniesienia i włączyć w ten proces ekspertów społeczeństwa obywatelskiego. 

Mówiąc o benchmarkach: Istnieje krytyczny brak ustandaryzowanych procesów, metodologii oceny i szablonów raportowania. Większość raportów z oceny zawiera bardzo niewiele informacji na temat tego, w jaki sposób przeprowadzane są faktyczne oceny, a raporty audytorów wyróżniają się niemal całkowitym brakiem wglądu w sam proces audytu. Informacje te są kluczowe, ale odpowiednie przeanalizowanie samych raportów bez zrozumienia, czy audytorzy otrzymali niezbędne informacje, czy napotkali jakieś przeszkody w badaniu konkretnych kwestii oraz w jaki sposób dowody zostały przedstawione i udokumentowane, jest prawie niemożliwe. A bez metodologii obowiązujących we wszystkich obszarach porównanie podejść przyjętych przez różne spółki pozostanie bardzo trudne, jeśli nie niemożliwe.  

Przykład platformy TikTok pokazuje, że w raportach dot. ryzyka i audytu brak „dymiącej strzelby”, na którą być może liczyli niektórzy. Oprócz wyjaśnionych powyżej niedociągnięć wynika to z nieodłącznych ograniczeń samego aktu DSA. Mimo że akt DSA stara się przyjąć holistyczne podejście do złożonych zagrożeń społecznych, które przenikają przez różne, ale powiązane ze sobą wyzwania, jego system raportowania jest zmuszony do uwzględnienia jedynie zobowiązań przedstawionych przez sam akt DSA. Wszelkie ramy oceny prawnej będą miały trudności z uchwyceniem złożonych wyzwań społecznych, takich jak uczciwość wyborów lub bezpieczeństwo publiczne. Ponadto zjawiska tak złożone jak procesy wyborcze i dyskurs obywatelski są kształtowane przez szereg różnych instrumentów prawnych, w tym europejskie przepisy dotyczące reklam politycznych, ochrony danych, cyberbezpieczeństwa i pluralizmu mediów, nie wspominając o niezliczonych przepisach krajowych. Oczekiwanie ostatecznej odpowiedzi na temat potencjalnego wpływu dużych usług online na złożone procesy społeczne na podstawie raportu o ryzyku zawsze będzie zatem niewystarczające.  

Co dalej?  

Raporty wykazują jednak niewielką poprawę w zakresie odpowiedzialności i przejrzystości spółek. Nawet jeśli raporty mogą nie zawierać twardych dowodów niezgodności, których niektórzy mogliby się spodziewać, stanowią one punkt wyjścia do zrozumienia, w jaki sposób platformy próbują radzić sobie ze złożonymi kwestiami występującymi w ich usługach. W obecnym kształcie są one w najlepszym razie podstawą iteracyjnego podejścia do zgodności. Jednak wiele zagrożeń opisanych przez DSA jako systemowe i ich związki z usługami online są nadal słabo rozumiane.  

Zamiast polegać na platformach lub organach regulacyjnych w celu zdefiniowania, w jaki sposób należy konceptualizować i ograniczać ryzyko, potrzebne jest wspólne podejście – takie, które opiera się na wiedzy społeczeństwa obywatelskiego, naukowców i aktywistów oraz kładzie nacisk na najlepsze praktyki. Podejście oparte na współpracy pomogłoby zrozumieć te złożone wyzwania i sposoby radzenia sobie z nimi w sposób wzmacniający prawa użytkowników i chroniący prawa podstawowe.

Related Issues

European Union
Digital Services Act (Ustawa o usługach cyfrowych)
EU Policy
Election Security

Related Updates

International issues banner, a colorful graphic of a globe
Deeplinks Blog by Karen Gullo | April 14, 2023

EFF, International Allies Warn That Proposed UN Cybercrime Treaty, Rather Than Making Us More Secure, Could Legitimize Intrusive Surveillance and Drag Down Global Privacy and Free Expression Standards

EFF and international allies Access Now, Article 19, Epicenter, and Global Partners Digital are in Vienna this week and next for the fifth round of negotiations on the proposed UN Cybercrime Treaty, along with the over 100 representatives of Member States hashing out a new draft text.While we have not...