Που (πρέπει να) βρίσκονται τα δεδομένα μας;
Πριν λίγες μέρες για τις ανάγκες μιας ακαδημαϊκής παρουσίασης σχετικά με «παραβιάσεις προσωπικών δεδομένων» (personal data breaches) θυμήθηκα εκείνη τη διαρροή δεδομένων των αεροπορικών εταιρειών που «άγγιξε» και την Ελλάδα, αφού σχετικές ενημερώσεις πήραμε και όσοι χρησιμοποιούμε συχνά την Aegean. Ψάχνοντας λίγο περισσότερο είδα ότι την παραβίαση στην ουσία την υπέστη η εταιρεία Sita, η οποία από ό,τι φαίνεται επεξεργάζεται όλα τα δεδομένα των ευρωπαίων που ταξιδεύουμε με αεροπλάνο, αφού εξυπηρετεί εκατοντάδες αεροπορικές εταιρείες μεταξύ των οποίων και όσες ανήκουν στη Star (Lufthansa group) αλλά και στην One World (British Airways group) alliance.
Τι εθνικότητας είναι η Sita; Κανείς δεν μπορεί να ξέρει, επειδή το κρύβει επιμελώς (έβαλε άλλωστε και τον Guardian να κάνει διόρθωση σχετικά). Τυπικά έχει έδρα στην Ελβετία (Γενεύη), ουσιαστικά ίσως στην Αμερική (Ατλάντα), όμως κανείς δεν μπορεί να είναι σίγουρος. Σε κάθε περίπτωση πάντως, αν κάτι γι αυτήν είναι σίγουρο είναι ότι δεν πρόκειται για ευρωπαϊκή εταιρεία.
Όλα τα δεδομένα, επομένως, από οποιαδήποτε πτήση κάθε Έλληνα πολίτη τηρούνται, άμεσα ή έμμεσα, στην Αμερική (ή, τέλοσπάντων, η αμερικανική κυβέρνηση μπορεί με τον έναν ή τον άλλον τρόπο να αποκτήσει πρόσβαση σε αυτά).
Το ίδιο ακριβώς ισχύει και για όλα τα οικονομικά δεδομένα κάθε Έλληνα πολίτη: Η Visa και η Mastercard είναι αμερικανικές εταιρείες.
Τι άλλο κάνει ένας άνθρωπος μέσα στην ημέρα του εκτός από το να καταναλώνει και ίσως να ταξιδεύει; Εργάζεται. Η Microsoft, η Google και η Apple είναι αμερικανικές εταιρείες. Θυμίζω επίσης ότι ενώ στο παρελθόν τα εργαλεία software τα αγόραζε κανείς «από το ράφι», τα εγκαθιστούσε στο εσωτερικό του δίκτυο και τα δεδομένα του τηρούνταν τοπικά, σήμερα όλα τα παραπάνω προϊόντα λειτουργούν στο cloud.
Φυσικά, δεν υπάρχει κανένας νομίζω λόγος να θυμίσω ότι και η διασκέδαση του μέσου Έλληνα παρέχεται απευθείας από αμερικανικές εταιρείες, από τα social media μέχρι το Netflix και τα ηλεκτρονικά παιχνίδια-πλατφόρμες.
Σταματώ εδώ, όχι τόσο για λόγους οικονομίας κειμένου όσο γιατί εδώ σταματούν οι γνώσεις μου. Δεν γνωρίζω τι συμβαίνει με τα δεδομένα των οπλικών συστημάτων, ούτε με τις τεχνολογικές υποδομές πίσω από τα κρατικά δεδομένα ασφαλείας, ούτε καν τις τεχνολογικές υποδομές πίσω από τα απλά δεδομένα των Ελλήνων πολιτών που τηρεί η ελληνική κυβέρνηση. Φαντάζομαι ότι μέτρα ασφαλείας τήρησης των δεδομένων θα έχουν ληφθεί τόσο σε ελληνικό όσο και σε ευρωπαϊκό επίπεδο, αν και μάλλον θα έπρεπε κανείς να είναι αφελής για να πιστέψει ότι οι, Αμερικανοί κατασκευαστές τους δεν έχουν λάβει και εκείνοι τα δικά τους μέτρα πρόσβασης και σε αυτά τα δεδομένα αν χρειαστεί. Άλλωστε, αυτή ακριβώς η υποψία δεν βρίσκεται πίσω από την αμερικανική εναντίωση να χρησιμοποιούμε κινεζικά προϊόντα για τις αντίστοιχες χρήσεις;
Συνεπώς σήμερα όλα τα δεδομένα μας ή και του ελληνικού κράτους οποιαδήποτε ώρα και στιγμή μιας οποιασδήποτε ημέρας τα επεξεργάζονται αμερικανικές εταιρείες, οι οποίες μάλιστα πιθανότατα, πολύ βολικά, παρέχουν και υπηρεσίες αποθήκευσης και τήρησής τους. Αντίστοιχα, ό,τι ισχύει για την Ελλάδα υποθέτω ότι ισχύει λιγότερο ή περισσότερο και για τα υπόλοιπα ευρωπαϊκά κράτη.
Πως φτάσαμε ως εδώ;
Πριν 20-30 χρόνια αυτή δεν ήταν καθόλου αυτονόητη κατάσταση ούτε για τα κράτη ούτε για τους πολίτες. Το λογισμικό βέβαια ήταν σημαντικό στην Ευρώπη και ήδη χρησιμοποιούνταν από τη δεκαετία του 1970 από τη δημόσια διοίκηση και του 1980 από τον ιδιωτικό τομέα. Όμως, αφενός μέχρι και τα μέσα της δεκαετίας του 1990 τα αρχεία ήταν ακόμα κυρίως σε χαρτί και αφετέρου το λογισμικό ήταν προορισμένο να εγκατασταθεί και να λειτουργήσει τοπικά. Αυτό το δεύτερο έχει, κυρίως, σημασία: Μέχρι και τις αρχές του 2000 κάθε κράτος, κάθε επιχείρηση και κάθε πολίτης αγόραζε πακέτα λογισμικού «από το ράφι», τα εγκαθιστούσε τοπικά μόνος του σε υπολογιστές που ελάχιστα συνδεδεμένοι ήταν μεταξύ τους, και τηρούσε τα δεδομένα του «δίπλα του». Οι ενημερώσεις λογισμικού γίνονταν «με το χέρι». Η τεχνική υποστήριξη παρεχόταν τοπικά, αναγκαστικά με «δια ζώσης» παρουσία τεχνικού.
Το internet, το cloud αλλά και οι επιθετικές συνδρομητικές πολιτικές των (αμερικανικών) εταιρειών ανέτρεψαν για πάντα αυτό το μοντέλο. Οι υπολογιστές, τα smartphones ή τα tablets συνδέονται πλέον ήδη από το άνοιγμα του κουτιού τους με τον κατασκευαστή τους για διαρκή παροχή ενημερώσεων λογισμικού. Οι εφαρμογές μας εγκαθίστανται με download και όχι μέσω cd ή άλλων drives (που πια έχουν εξαφανιστεί). Η τεχνική υποστήριξη παρέχεται αποκλειστικά online, μέσω απομακρυσμένης πρόσβασης.
Έτσι, κατά τα τελευταία είκοσι περίπου χρόνια μπορεί οι τεχνολογικές λύσεις να έγιναν φθηνότερες, ταχύτερες και αποτελεσματικότερες όμως αυτό το πέτυχαν μέσω της αναγκαστικής διαρκούς μετάδοσης των δεδομένων στον (Αμερικανό) κατασκευαστή τους.
“Στην Ελλάδα και στην υπόλοιπη Ευρώπη ανταλλάξαμε, δηλαδή, εθνική κυριαρχία με οικονομικά οφέλη. Δώσαμε έλεγχο, και πήραμε παραγωγικότητα.”
Αυτό περίπου είναι, όπως το βλέπω εγώ, το κοινωνικό, ιστορικό και τεχνολογικό πλαίσιο πάνω στο οποίο διεξάγεται σήμερα ο νομικός διάλογος για data sovereignty, data residency και data localisation. (Τους όρους τους αφήνω επίτηδες αμετάφραστους, όχι μόνο επειδή δεν υπάρχει γενικά αποδεκτή ελληνική απόδοση αλλά και προκειμένου να δώσω τη δυνατότητα σε όποιον ενδιαφέρεται να το ψάξει περισσότερο.) Όμως, όπως είπα, αυτή είναι η δική μου θεώρηση των πραγμάτων (για την οποία έχω ήδη γράψει στο 2045.gr και εδώ). Μια διαφορετική προσέγγιση των ίδιων ακριβώς γεγονότων και της ίδιας πραγματικότητας θα υποστήριζε ίσως ότι η ψηφιακή τεχνολογία έδωσε στην ανθρωπότητα πρωτοφανείς δυνατότητες να επεξεργαστεί δεδομένα φθηνά και γρήγορα και προς όφελος όλων μας. Και ότι δεν πειράζει που στη διαδικασία αυτή τα δεδομένα όλων μας τα τηρεί ένα και μόνο κράτος, επειδή το σύστημα των data centers είναι τόσο διάσπαρτο που κανείς στην ουσία δεν ξέρει που ακριβώς βρίσκεται τι.
Αυτές οι δύο διαμετρικά αντίθετες απόψεις (η σημερινή κατάσταση είναι ή δεν είναι πρόβλημα για τα κράτη και τους πολίτες τους) συγκρούονται σε παγκόσμιο ρυθμιστικό επίπεδο, σε έναν παγκόσμιο νομικό πόλεμο. Η Αμερική, εύλογα, επιθυμεί τη διατήρηση της παρούσας κατάστασης, ιδεολογικά μέσω της ελευθερίας των αγορών και του «ανοίγματος» της ψηφιακής οικονομίας και, πρακτικά, μέσω της συνεχιζόμενης ανοχής στον γιγαντισμό των ψηφιακών εταιρειών της, παρότι δημιουργούν πλέον και στο εσωτερικό της οικονομικά και κοινωνικά προβλήματα. Η Ευρώπη θέλει να διατηρήσει κάπως τον έλεγχο, όμως γνωρίζει ότι για να το πετύχει αυτό διαθέτει μόνο νομικά εργαλεία: Ο GDPR, η νομοθεσία για την κυβερνοασφάλεια και τώρα ίσως και η νομοθεσία για την Τεχνητή Νοημοσύνη βάζουν έμμεσα κανόνες στο που και πως τηρούνται τα δεδομένα. Δεν διαθέτει όμως ακόμα τις τεχνολογικές λύσεις για να υποστηρίξει τα θέλω της. Η Κίνα λειτουργεί το εντελώς δικό της σύστημα, μακριά από την Αμερικανική παντοδυναμία: Δικές της τεχνολογίες, δικές της πιστωτικές κάρτες, δικά της data centers, δικά της social media. H Ρωσία λιγότερο ή περισσότερο ακολουθεί το παράδειγμά της.
Στον παραπάνω νομικό και τεχνολογικό πόλεμο κερδίζονται και χάνονται πολλές μάχες. Για παράδειγμα, ο GDPR ήταν μια κερδισμένη, παγκόσμια μάχη για την Ευρώπη. Η Αυστραλία έχασε από το Facebook. Η Microsoft και η Apple προσπάθησαν, καθεμία με διαφορετικό βαθμό επιτυχίας, να αντισταθούν σε αιτήματα πρόσβασης από τις αμερικανικές αρχές. Η, κινεζική, Huawei «ταλαιπωρήθηκε» από τις αμερικανικές αρχές. Το TikTok το ίδιο.
Και για το μέλλον; Αν με ρωτάτε, είμαι εντελώς πεπεισμένος ότι τα δεδομένα των Ελλήνων πολιτών και του ελληνικού κράτους πρέπει να παραμένουν στην Ελλάδα, προστατευμένα κατά το δυνατό από οποιαδήποτε πρόσβαση τρίτου. Αντιλαμβάνομαι όμως ότι κάτι τέτοιο είναι εντελώς ανέφικτο, αφού οι τεχνολογικές ανάγκες για να συμβεί κάτι τέτοιο μας ξεπερνούν κατά πολύ.
Η Ευρώπη, επομένως, είναι η μόνη λύση. Η αναγκαστική επεξεργασία και τήρηση των δεδομένων σε ευρωπαϊκό έδαφος από ευρωπαϊκές εταιρείες είναι για εμένα μονόδρομος. Localisation, συνεπώς – το sovereignty ή το residency δεν αρκούν. Όπως θα σας πει οποιοσδήποτε νομικός, είναι πρακτικά αδύνατο να επιβάλεις δικό σου νόμο στο εσωτερικό τρίτου κράτους όταν στο κράτος αυτό δεν αρέσει ο νόμος σου. Αυτή όμως είναι η ουσία της εθνικής κυριαρχίας ακόμα και στην ψηφιακή εποχή, ο βασικός ρόλος του κράτους: Η προστασία των πολιτών του σύμφωνα με τους νόμους που οι ίδιοι ψήφισαν. Παλιά αυτό γινόταν εύκολα, με φυσικό τρόπο, εντός εθνικών συνόρων. Αν ψηφιακά σύνορα ίσως σήμερα δεν υπάρχουν (αν και οι Κινέζοι και οι Ρώσοι θα διαφωνούσαν με αυτό), είναι νομίζω καιρός σήμερα να τα δημιουργήσουμε.