Nie da się dalej funkcjonować bez szpiegowania? Twórcy popularnej przeglądarki podjęli kontrowersyjną decyzję

Mozilla wprowadziła znaczące zmiany w swojej polityce prywatności, usuwając długoletnie gwarancje o niesprzedawaniu danych użytkowników i wprowadzając nowe zapisy w regulaminie. Te kontrowersyjne decyzje, podyktowane ewolucją prawnych definicji sprzedaży danych w różnych jurysdykcjach, wywołały burzliwą dyskusję wśród użytkowników Firefoxa.

Choć organizacja podkreśla, że jej model biznesowy nadal nie opiera się na monetyzacji danych osobowych, zmiana języka formalnych zobowiązań i dodanie klauzuli licencyjnej dotyczącej treści wprowadzanych do przeglądarki wzbudziły obawy o przyszłość prywatności w jednej z ostatnich etycznych alternatyw na rynku przeglądarek.

Idzie weekend, pomyśl o zabezpieczeniu:

Przez lata Mozilla jednoznacznie deklarowała: nie sprzedajemy danych o tobie i nie kupujemy danych o tobie. To hasło stało się symbolem różnicy między Firefoxem a przeglądarkami opartymi na modelu reklamowym. Tyle że organizacja zastąpiła to stanowisko bardziej wyważonym językiem. Mozilla nie sprzedaje danych o tobie (w sposób, w jaki większość ludzi rozumie "sprzedaż danych") i nie kupuje danych o Tobie.

Kluczową różnicą jest dodanie kwalifikatora dotyczącego potocznego rozumienia sprzedaży. Jak wyjaśnia oficjalny wpis na blogu Mozilli, zmiana wynika z rozszerzających się definicji prawnych - np. kalifornijska CCPA uznaje za sprzedaż już samo udostępnianie danych podmiotom trzecim, nawet bez transakcji finansowej. W praktyce oznacza to, że współpraca Mozilli z partnerami (jak wyszukiwarka Google będąca domyślnym dostawcą usługi w Firefoksie) mogłaby teoretycznie podlegać pod tak szerokie interpretacje. 

Równolegle z modyfikacją FAQ, Mozilla po raz pierwszy wprowadziła formalne Warunki korzystania dla Firefoksa. Kontrowersje wzbudził zwłaszcza zapis przyznający organizacji niewyłączną, bezpłatną, ogólnoświatową licencję na wykorzystanie informacji wprowadzanych przez użytkowników do przeglądarki. Choć Mozilla tłumaczy, że chodzi wyłącznie o techniczną możliwość przetwarzania poleceń (np. wpisywanych adresów URL), nieprecyzyjne sformułowanie pozwalało interpretować ten zapis jako prawo do dowolnego wykorzystania treści.

W odpowiedzi na falę krytyki, przedstawiciele Mozilli podkreślili, że licencja nie zmienia zasad opisanych w Polityce prywatności i służy wyłącznie zapewnieniu funkcjonalności przeglądarki. Wskazali także, że wszystkie dane przetwarzane są zgodnie z zasadą minimalizacji - Firefox domyślnie nie zbiera historii przeglądania ani nie wymaga zakładania konta.

Kalifornijska ustawa o ochronie konsumentów (CCPA) z 2018 r. stała się wzorem dla podobnych regulacji w stanach takich jak Wirginia czy Kolorado. Definiuje ona sprzedaż danych jako sprzedaż, wynajem, ujawnienie, udostępnienie, rozpowszechnianie, przekazanie lub w inny sposób komunikowanie danych osobowych w zamian za wynagrodzenie lub inną korzyść. Taka szeroka definicja obejmuje nawet scenariusze, gdzie dane są udostępniane partnerom bez bezpośredniej zapłaty, ale w ramach współpracy biznesowej. 

Dla Mozilli, której 90 proc. przychodów pochodzi z umów z wyszukiwarkami, oznacza to konieczność szczególnej ostrożności prawnej. Przykładowo gdy użytkownik wpisze zapytanie lokalizacyjne (restauracje w Warszawie), Firefox może przekazać tę frazę partnerowi w celu wyświetlenia sugerowanych wyników. Choć dane są anonimizowane, sam fakt przekazania informacji trzeciej stronie mógłby zostać zakwalifikowany jako sprzedaż w rozumieniu CCPA.

Problem Mozilli ilustruje szersze wyzwanie dla międzynarodowych firm technologicznych, czyli brak spójności w definiowaniu kluczowych pojęć prawnych. Podczas gdy w Europie RODO wyraźnie rozgranicza przetwarzanie danych od ich sprzedaży, w Stanach Zjednoczonych każde nowe stanowe prawo wprowadza własne interpretacje.

W praktyce oznacza to, że zapis nie sprzedajemy danych mógłby być prawnie ryzykowny w Kalifornii, nawet jeśli w Unii Europejskiej pozostaje prawdziwy. Dlatego Mozilla zdecydowała się na bardziej ogólnikowe sformułowania, które nie narażają organizacji na pozwy w konkretnych jurysdykcjach.

W grudniu Firefox 135 zastąpił przestarzałą funkcję Do Not Track (DNT) nowym standardem Global Privacy Control (GPC). Podczas gdy DNT było jedynie symbolicznym sygnałem ignorowanym przez większość witryn, GPC ma moc prawną w stanach takich jak Kalifornia, zmuszając strony do respektowania wyboru użytkownika. GPC jest częścią szerszego trendu w branży - podobne rozwiązania wdrażają m.in. DuckDuckGo i Brave.

Mozilla konsekwentnie rozwija funkcje blokujące śledzenie:

To jednak nie uspokaja wszystkich. Społeczność open source szybko wskazała na potencjalne nadużycia w nowych Warunkach korzystania. Obawy budziło zwłaszcza sformułowanie o informacjach przesyłanych przez przeglądarkę, które teoretycznie mogłoby obejmować treść wpisywanych wiadomości czy formularzy. 

W odpowiedzi na zarzuty, Mozilla opublikowała szczegółowe wyjaśnienia: 

Organizacja podkreśliła także, że nie posiada infrastruktury do gromadzenia szczegółowych danych - w przeciwieństwie do konkurentów, Firefox nie wymaga konta Microsoft/Google i domyślnie nie synchronizuje historii.

Z jednej strony usunięcie absolutnych deklaracji nigdy nie sprzedamy może osłabić zaufanie części użytkowników. Z drugiej - precyzyjniejsze dostosowanie do wymogów prawnych pozwala uniknąć kosztownych sporów i skupić się na realnej ochronie prywatności poprzez funkcje takie jak GPC czy Total Cookie Protection. 

Dla użytkowników istotne są następujące wnioski. Firefox nadal oferuje najbardziej zaawansowane mechanizmy prywatności spośród mainstreamowych przeglądarek, nowe zapisy prawne nie oznaczają zmiany w faktycznym traktowaniu danych (Mozilla nadal nie gromadzi historii przeglądania ani nie wymaga konta), a włączenie Global Privacy Control zapewnia silniejszą ochronę niż dawne DNT. Na szczęście nie jest jeszcze tak źle.