Kontrola Big Techów po europejsku, czyli Digital Markets Act w pigułce
Próby uregulowania rynku cyfrowego są trochę jak kosmici: niby możliwe, ale nikt tak naprawdę tego nie widział. Unijna ustawa o rynkach cyfrowych znana też jako Digital Markets Act (DMA) może być pierwszą udaną próbą stworzenia regulacji na rynku, który nierzadko wymyka się spod kontroli prawa spisanego, jeszcze zanim istniał powszechny dostęp do Internetu. Ale czym tak naprawdę jest Digital Markets Act i dlaczego nazywany jest batem na Big Techy?
Poprzednie próby koncentrowały się na "objawach" braku stabilności, takich jak Rozporządzenie o ochronie danych osobowych (znanych nam jako RODO), które miało umożliwić obywatelom Unii Europejskiej kontrolę nad tym, gdzie i w jaki sposób są przetwarzane ich dane. Digital Markets Act skupia się (albo przynajmniej próbuje) na przyczynie owego braku stabilności: platformach cyfrowych. A właściwie firmach dostarczających nam owe platformy cyfrowe, sklepy z aplikacjami, przeglądarki internetowe, reklamy i aplikacje.
Co to jest Digital Markets Act?
Digital Markets Act, niekiedy tłumaczony na język polski jako akt o rynkach cyfrowych, to rozporządzenie zaproponowane przez Komisję Europejską w grudniu 2020 roku. Ma zwiększyć konkurencyjność na europejskich rynkach cyfrowych poprzez uniemożliwienie wielkim koncernom (tzw. Big Techom) nadużywania ich dominującej pozycji na rynku, pozwolenie mniejszym firmom na zdobycie własnej pozycji oraz stworzenie bezpieczniejszej przestrzeni cyfrowej, w której chronione są podstawowe prawa wszystkich użytkowników usług cyfrowych.
Propozycja Digital Markets Act (DMA) została przedłożona przez Komisję Europejską do Parlamentu Europejskiego i Rady Unii Europejskiej 15 grudnia 2020 r. wraz z ustawą o usługach cyfrowych (DSA). DMA jest częścią europejskiej strategii cyfrowej "Kształtowanie Cyfrowej Przyszłości Europy" (Shaping Europe's Digital Future). 24 marca 2022 roku Parlament Europejski ustalił, że DMA ma zostać wprowadzone w życie przez państwa członkowskie.
DMA wprowadza listę obowiązków dla tzw. strażników dostępu oraz reguluje to, które firmy podpadają pod definicje owego strażnika. W przypadku gdy któryś ze strażników naruszy zasady opisane w Digital Markets Act, może się liczyć z karą finansową o wartości sięgającej do 10 proc. światowego obrotu.
Wśród obowiązków i wytycznych, jakie Digital Markets Act nakłada na strażników dostępu, możemy wyróżnić między innymi:
- Zakaz wymiany danych pomiędzy platformami należącymi do tej samej firmy (np. Facebook i WhatsApp należące do Meta; Google Maps i Google Chrome należące do Google).
- Przepisy regulujące ochronę biznesowych użytkowników platform (w tym reklamodawców i wydawców).
- Instrumenty prawne przeciwko metodom autoreferencyjnym stosowanym przez platformy w celu promowania własnych produktów (nawiązujące do sprawy, w której Google uniemożliwiło reklamowanie innych wyszukiwarek poprzez umieszczenie w umowach z podmiotami odpowiedniej klauzuli).
- Wytyczne dotyczące preinstalacji niektórych usług (pokłosie monopolistycznych zabiegów Google, w ramach których dostęp do usług Google na telefonach z systemem Android wymaga instalacji przeglądarki Google Chrome).
- Zapewnienie reklamodawcom i wydawcom dostępu do narzędzi do pomiaru skuteczności reklam.
- Przepisy dotyczące zapewnienia interoperacyjności, możliwości przenoszenia i dostępu do danych dla przedsiębiorstw i użytkowników końcowych platform (np. integralność iMessage z Androidem oraz innymi komunikatorami).
- Zapewnienie możliwości łatwego odinstalowywania aplikacji i zmiany ich ustawień domyślnych.
- Zapewnienie ekranu "wyboru", z którego użytkownik może wybrać, z jakiej wyszukiwarki, przeglądarki i wirtualnego asystenta chce korzystać
Fraza-klucz: strażnik dostępu
Kluczową kwestią dla zrozumienia Digital Markets Act są tak zwani strażnicy dostępu (ang. gatekeepers). W myśl definicji zaprezentowanej przez Komisję Europejską, strażnicy dostępu to firmy, które (za pośrednictwem swoich aplikacji i usług) stanowią ogniwo komunikacji pomiędzy przynajmniej dwiema grupami użytkowników (np. sprzedający i kupujący).
Kiedy dana firma przyciągnie do swojej usługi dużą ilość użytkowników danej grupy (np. sprzedających), strażnicy dostępu mogą stać się monopolistą na danym rynku (np. zakwaterowanie krótkoterminowe), zmuszając jedną z grup (np. oferujących zakwaterowanie) do ogłoszenia się w swoim serwisie. Jednocześnie doprowadzi to do sytuacji, w których inna, potencjalna grupa użytkowników (np. szukający zakwaterowania) mogą natrafić na przeszkody nie do pokonania wynikające ze specyfiki usługi oferowanej przez strażnika.
Digital Markets Act definiuje strażnika dostępu jako firmę z jednego z dziesięciu różnych sektorów, które w wolnym tłumaczeniu możemy nazwać "podstawowymi platformami usługowymi" (ang. Core Platforms Services, CPS). Podstawowe platformy usługowe ustawodawca dzieli na:
- Wyszukiwarki internetowe (np. Google, Bing).
- Usługi pośrednictwa internetowego (np. Google Play, AppStore, Huawei AppGallery).
- Serwisy społecznościowe (np. Facebook, Twitter, Instagram, LinkedIn).
- Platformy udostępniania wideo (np. YouTube).
- Platformy komunikacyjne (np. WhatsApp, Gmail, Discord).
- Usługi reklamowe (np. Google Ads).
- Systemy operacyjne (np. Android, Windows, iOS, macOS, Linux).
- Usługi w chmurze (np. Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud).
- Przeglądarki internetowe (np. Google Chrome, Microsoft Edge, Mozilla Firefox).
- Wirtualni asystenci (np. Google Assistant, Siri).
Jednakże samo oferowanie usług w jednym z dziesięciu wyżej wymienionych sektorów to nie jedyny czynnik, który bierze pod uwagę Komisja Europejska. Dana firma musi spełniać jeszcze cztery kolejne warunki, aby ustawodawca przyczepił jej etykietę strażnika dostępu:
- musi być obecna w przynajmniej trzech krajach Unii Europejskiej,
- ma znaczący wpływ na wewnętrzny rynek Uni Europejskiej (definiowany jako roczny obrót w wysokości 7,5 miliarda euro lub kapitalizację rynkową o łącznej wartości 75 miliardów euro),
- służy jako ważna "brama" dla użytkowników biznesowych przy docieraniu do użytkowników końcowych (baza użytkowników przekracza 45 milionów użytkowników końcowych miesięcznie przy jednoczesnym posiadaniu przynajmniej 10 tysięcy użytkowników biznesowych rocznie),
- cieszy się ugruntowaną i trwałą pozycją, którą - najprawdopodobniej - będzie utrzymywać przez kolejne lata (spełnia wszystkie powyższe wymogi przez przynajmniej trzy lata z rzędu).
Firmy, które spełniły powyższe kryteria ilościowe, będą miały obowiązek powiadomienia Komisji Europejskiej. W ciągu 45 dni KE zdecyduje, czy dana firma zostanie strażnikiem dostępu. Jednocześnie DMA daje Komisji Europejskiej możliwość mianowania danego przedsiębiorstwa strażnikiem dostępu w przypadku spełniania warunków jakościowych, nawet jeżeli nie spełnia warunków ilościowych. W takim przypadku KE będzie brać pod uwagę ilość użytkowników biznesowych, ruch sieciowy generowany przez platformę, korzyści skali i zakresu, strukturę konglomeratu biznesowego, przywiązanie użytkowników (tak końcowych jak i biznesowych) do platformy itp.
Eksperci z kancelarii prawnej Crowell & Moring przewidują, że w myśl obecnej treści Digital Markets Act, Komisja Europejska mianuje "strażnikami dostępu" nie więcej niż 10 do 15 przedsiębiorstw, głównie (o ile nie wyłącznie) ze Stanów Zjednoczonych
Big Tech i Wielki Grymas, czyli dlaczego Digital Markets Act nie podoba się wielkim spółkom
Biorąc pod uwagę wysokie progi jakościowe, ilościowe, dotychczasowe spory na linii Komisja Europejska-Big Tech i przewidywania ekspertów, w dyskursie publicznym Digital Markets Act jest uważany za akt legislacyjny stworzony z myślą o "ujarzmieniu" Big Techów w europejskiej przestrzeni cyfrowej.
Digital Markets Act jak żaden inny dotąd ustanowiony akt prawny uderza w Big Tech - tu pod postacią Google, Apple, Meta, Amazon i Microsoftu. Zdecydowana większość z zapisów zawartych w DMA to pokłosie różnych spraw, które wywołały spięcie na linii Bruksela - Big Tech, a które finalnie zakończyły się wielomilionowymi karami za praktyki monopolistyczne i faworyzujące własne usługi.
Digital Markets Act przynosi ze sobą nie tylko zbiór praw, obowiązków i wytycznych, ale także środków kontroli strażników dostępu przez Komisję Europejską. Strażnicy dostępu będą zobowiązani do informowania KE o wszelkich "koncentracjach" (fuzjach przedsiębiorstw, przejęciach czy utworzenia spółek venture), w których strony lub podmiot docelowy świadczą usługi CPS lub ich usługi powiązane są z gromadzeniem danych na temat użytkowników.
Kolejnym źródłem frustracji dla Big Techów jest wprowadzenie audytu technik profilowania konsumentów. W ciągu sześciu miesięcy od nadania tytułu strażnika dostępu musi on przedłożyć Komisji Europejskiej niezależnie audytowany opis technik profilowania konsumentów, które stosuje w swoich podstawowych platformach usługowych. Przegląd owego opisu będzie podawany do wiadomości publicznej z uwzględnieniem konieczności poszanowania tajemnicy przedsiębiorstwa i w myśl DMA będzie aktualizowany co najmniej raz w roku.
Na strażników dostępu zostanie nałożony również obowiązek ustanowienia jednostki ds. zgodności, w skład której będzie wchodzić przynajmniej jeden specjalista ds. zgodności (tzw. compliance officer). Compliance officer musi być niezależny od działalności operacyjnej firmy, a strażnik dostępu musi owemu compliance officerowi zapewnić wystarczające uprawnienia i dostęp do organu zarządzającego daną firmą, tak aby compilance officer był w stanie monitorować zgodność działań strażnika dostępu z regulacjami prawnymi Unii Europejskiej. Ponadto zasady zarządzania wewnętrznego muszą zapewniać niezależność i brak konfliktu interesów compliance officerów.
