Privacy
Prywatność pod presją: nowe kodeksy, drony i kryptografia
Australia zaostrza ochronę dzieci w sieci, londyńska policja rozszerza monitoring, a Cloudflare przyspiesza przejście na kryptografię postkwantową.
Australijski kodeks ochrony dzieci w sieci uderzy w reklamodawców
Do 10 grudnia ma zostać sfinalizowany i zarejestrowany Children’s Online Privacy Code (COPC), który wprowadzi szerokie zabezpieczenia dla osób poniżej 18. roku życia. Za naruszenie przepisów reklamodawcom grożą kary do 3,3 miliona dolarów. Proponowane zmiany obejmują m.in. zakaz profilowania dzieci pod kątem spersonalizowanych reklam, wykorzystywania projektów platform skłaniających do podawania danych osobowych czy nieprzemyślanych zakupów oraz używania danych dziecka do marketingu bezpośredniego bez weryfikowalnej zgody rodzica lub samego dziecka. Jak podkreśliła prawniczka Tanvi Mehta Krensel podczas szczytu IAB Australia, wpływ kodeksu sięgnie daleko poza marki skierowane do dzieci – standardy, z którymi dorastają dzisiejsi mali użytkownicy, ukształtują ich oczekiwania wobec prywatności w dorosłym życiu.
IAB Australia ostrzega jednak, że projekt kodeksu może de facto narzucić standardy prywatności dzieci całej gospodarce cyfrowej. Urząd Ochrony Danych Osobowych (OAIC) sugeruje bowiem, by podmioty stosowały kodeks wobec wszystkich użytkowników, co – zdaniem IAB – jest wykroczeniem poza jego cel. Wprowadzono by wówczas test „ściśle niezbędności” zbierania danych, ostrzejszy niż obecny standard „racjonalnej konieczności”. Konsekwencją mogłoby być ograniczenie modeli biznesowych opartych na reklamie. IAB apeluje o wyjaśnienia, opóźnienie egzekwowania nawet o dwa lata oraz zastąpienie „ściśle niezbędności” dotychczasowym standardem. Eksperci radzą firmom już teraz przeglądać praktyki gromadzenia i usuwania danych, bo przepisy stają się „oparte na zasadach” – to, co było akceptowalne wcześniej, nie gwarantuje zgodności w przyszłości.
Londyńska policja rozbudowuje sieć dronów i wzywa do większej swobody w używaniu nowych technologii
Metropolitan Police planuje rozszerzenie pilotażowego programu dronów na cały Londyn – maszyny będą wysyłane na część zgłoszeń pod numer 999. Komisarz sir Mark Rowley ma ogłosić te plany w środę, argumentując, że drony są szybsze, cichsze i tańsze niż śmigłowce policyjne. W pilotażu w Islington drony startowały wyłącznie po zgłoszeniu, a operatorzy zdalnie przekazywali na żywo obraz z miejsca zdarzenia. Obecnie działa już dziewięć dronów z trzech baz, obsługujących około 200 incydentów tygodniowo. Rowley wezwie też do większej swobody we wdrażaniu technologii – takich jak rozpoznawanie twarzy i AI – bez konieczności uchwalania nowych przepisów, argumentując, że obecny system spowalnia policję w obliczu zagrożeń.
Organizacje broniące praw cyfrowych wyrażają zaniepokojenie. Big Brother Watch nazywa rozszerzenie wykorzystania dronów „niepokojącym” i zarzuca policji brak przejrzystości – nie ujawniono dokumentów określających zasady użycia dronów. Wcześniej w tym tygodniu Met ogłosiło rozszerzenie stałych kamer z rozpoznawaniem twarzy na londyński West End i Soho. Liberty domaga się wstrzymania wdrożenia do czasu ustanowienia ram prawnych. Rowley odpiera krytykę, twierdząc, że kampanie na rzecz nowych regulacji przy każdej nowej technologii ryzykują „spowolnienie postępu”. Jednocześnie policja stara się o kontrakt z firmą Palantir na przetwarzanie danych przez AI – umowa o wartości do 50 milionów funtów została zablokowana przez zastępcę burmistrza ds. policji, a Palantir zamierza zaskarżyć tę decyzję w sądzie.
Drone network part of Met Police’s London-wide tech push →
Cloudflare wyznacza rok 2029 na pełne przejście na kryptografię postkwantową
Trzy dni po podpisaniu przez prezydenta Trumpa rozporządzenia wykonawczego 14409 (z 22 czerwca 2026 r.) Cloudflare opublikował szczegółową mapę drogową przejścia na kryptografię postkwantową, przesuwając własny termin na 2029 rok – rok przed federalnym terminem 2030. Rozporządzenie nakłada na agencje federalne obowiązek migracji najbardziej wrażliwych systemów do 31 grudnia 2030 (szyfrowanie) i do 31 grudnia 2031 (uwierzytelnianie), a wykonawcy kontraktów rządowych muszą spełnić wymogi do 2030 roku. Głównym powodem przyspieszenia są przełomy badawcze Google i startupu Oratomic, które skróciły szacowany czas pojawienia się komputera kwantowego zdolnego do łamania obecnych szyfrów. Rozporządzenie ostrzega przed strategią „zbiór teraz, deszyfruj później” – dane przechwycone dziś mogą zostać odszyfrowane, gdy pojawi się odpowiednia maszyna.
Cloudflare podkreśla, że przejście składa się z dwóch odrębnych problemów. Szyfrowanie postkwantowe (ML-KEM) jest już szeroko wdrażane – ponad dwie trzecie ruchu przeglądarkowego w sieci Cloudflare korzysta z niego. Gorzej jest z uwierzytelnianiem (ML-DSA), którego podpisy są 38–72 razy większe od dotychczasowych, co powoduje awarie nawet 5% połączeń i spowolnienia. Trwają prace nad certyfikatami drzewiastymi Merkle, które mają zmniejszyć narzut. Cloudflare zaleca, by organizacje już teraz chronić cały ruch publiczny szyfrowaniem postkwantowym, aktualizować wymagania wobec dostawców i przeprowadzić inwentaryzację systemów narażonych na ataki kwantowe. Termin 2030 dla wykonawców może być wyzwaniem, ponieważ wiele kategorii sprzętu (np. sieciowego) wciąż nie ma standardowego wsparcia dla PQC – cykl wymiany sprzętu jest dłuższy niż pozostały czas.
Post-Quantum Encryption: Cloudflare Moves to 2029 as Federal 2030 Mandate Reaches Every Vendor →
Kanadyjscy pracownicy mają słabą ochronę przed inwigilacją w miejscu pracy
Toronto-Dominion Bank poinformował część pracowników zajmujących się przestępczością finansową i zarządzaniem ryzykiem, że wdroży narzędzie WorkiQ do śledzenia ich aktywności w przeglądarkach, komunikatorach i aplikacjach. Bank określił to jako „standardową praktykę w branży”, ale po protestach wycofał się z planów zbierania ruchów myszy i uderzeń klawiszy jako danych treningowych dla AI. Mimo to pracownicy mają niewiele narzędzi obrony – kanadyjskie prawo federalne PIPEDA nie obejmuje pracodawców podlegających prawu prowincjonalnemu w Ontario, gdzie działa większość sektora finansowego. Od października 2022 r. firmy zatrudniające co najmniej 25 osób muszą mieć pisemną politykę monitorowania, ale wymaga się jedynie ujawnienia, a nie ograniczenia – pracownik nie ma prawa sprzeciwu ani żądania usunięcia danych z akt.
W przeciwieństwie do unijnego RODO, które opiera się na zasadzie ograniczenia celu, kanadyjski pracownik w Ontario nie ma podobnego instrumentu prawnego, by zakwestionować wykorzystanie jego aktywności cyfrowej do trenowania modeli AI. Eksperci zwracają uwagę, że luki w ochronie prywatności w miejscu pracy są szczególnie dotkliwe w prowincjach bez własnego, odpowiedniego prawa. Sytuacja ta kontrastuje z UE, gdzie przepisy skuteczniej chronią dane osobowe pracowników przed inwigilacją i repurposingiem.
Canadian workers have few defences against workplace surveillance →
Po danych LGBTQ+ Trump może zacząć usuwać dane o rasie i pochodzeniu etnicznym
Administracja Trumpa, wprowadzając politykę uznawania tylko dwóch płci, nakazała agencjom zaprzestanie zbierania informacji o tożsamości płciowej. Według Williams Institute od marca usunięto elementy dotyczące orientacji seksualnej i tożsamości płciowej z ponad 360 rządowych zbiorów danych. CDC wyłączyło np. możliwość rejestrowania tożsamości płciowej ofiar przemocy transpłciowej, mimo że osoby transpłciowe są ponad czterokrotnie bardziej narażone na przemoc. Eksperci obawiają się, że podobny los spotka dane o rasie i pochodzeniu etnicznym. Sygnały są niepokojące: w kwietniu Administracja ds. Dzieci i Rodzin rozpoczęła proces usuwania informacji o rasie, pochodzeniu etnicznym i płci z danych programu LIHEAP (pomocy energetycznej dla ubogich), twierdząc, że dane demograficzne nie są wymagane ustawowo. OPM (Biuro Zarządzania Personelem) usunęło publiczne dane o rasie i pochodzeniu etnicznym z bazy danych federalnej siły roboczej obejmującej ponad 2 miliony osób, a także zaprzestało corocznego badania pracowników, redagując sekcje dotyczące różnorodności.
Urząd Zarządzania i Budżetu wielokrotnie opóźniał wdrożenie nowych standardów statystycznych dotyczących rasy i pochodzenia etnicznego, wprowadzonych w 2024 r., które dodawały kategorię dla osób z Bliskiego Wschodu i Afryki Północnej. Census Bureau, zamiast zastosować nowe pytania, wróciło do standardów z 1997 r. Denice Ross, była główna urzędniczka ds. danych w USA, uważa, że zmiany te wyglądają na szerszą próbę usunięcia danych mogących ujawnić nierówności. Meghan Maury-Fox z Data Index ostrzega, że dane o tożsamości płciowej są „prawie całkowicie usunięte z rządu federalnego”, a Lauren Bouton z Williams Institute dodaje, że brak danych utrudnia ocenę wpływu polityki administracji na pracowników federalnych LGBTQ+. Rzeczniczka Białego Domu Allison Schuster broni posunięć, twierdząc, że Trump „przywrócił zasługi i efektywność” po erze DEI za Bidena.
Trump Has ‘Almost Completely’ Erased LGBTQ+ Data. Is Race Next? →