‘Onze persoonlijke data worden massaal en heimelijk gestolen, door zowel China als de VS’

Aynne Kokas. (2022). Trafficking data: How China is winning the battle for digital sovereignty, Oxford University Press.


Zowel Amerikaanse als Chinese technologiebedrijven azen op onze persoonlijke data, hoe banaal die ook lijken. Voor wie moeten we het meest bang zijn en wat maakt die data zo waardevol? ‘Een blender met internetverbinding, die moet je niet in huis halen,’ zegt professor mediastudies Aynne Kokas.


Vooraf

Eind mei kreeg Meta, het moederbedrijf van Facebook, Whatsapp en Instagram, een ongeëvenaarde boete van 1,2 miljard dollar van de Europese privacywaakhond. Meta brengt Europese data over naar de VS, maar daar staat de bescherming van de privacy op een veel te laag niveau. Over vier maanden moet Meta de kwestie opgelost hebben. Ook andere Amerikaanse bedrijven dreigen in de problemen te komen.
In essentie gaan de Europese regels niet samen met het verdienmodel achter Facebook. Dat de privacywetgeving in Amerika te slecht is om ‘gelijkwaardig’ te zijn aan de Europese GDPR-privacywet is een publiek geheim. Vooral dankzij de hardnekkige strijd van de Oostenrijkse privacy-activist Max Schrems werd het ook een juridische kwestie, waarvoor de Europese Commissie en Washington nu proberen diplomatieke oplossingen te zoeken. Een dialoog tussen Peking en Europa over zulke datatransfers is er niet.


Overdreven datavergaring door het Chinese Tiktok, beveiligingscamera’s van het Chinese Hikvision in Vlaamse straten ... met de regelmaat van de klok luidt het alarm over digitale surveillance door China. Toch winnen Chinese apps gestaag marktaandeel. Gebruikers lijken murw geslagen door de gevaren waar ze weinig greep op hebben en sommigen werpen tegen dat ook Amerikaanse bedrijven niet vrij van zonden zijn (DS 10 juni). En, klinkt het nog, is spionage door een autocratie niet altijd gevaarlijker dan wanneer een democratie dat doet?

Zo zwart-wit is het niet volgens de Amerikaanse professor mediastudies Aynne Kokas (Universiteit Virginia, directeur van het East Asia Center en lid van de Amerikaanse Council for Foreign Relations). ‘Er is intense technologische concurrentie tussen China en de Verenigde Staten’, zegt ze. ‘Voor Amerikaanse beleidsmakers loont het om eenzijdig de digitale risico’s bij China te leggen, terwijl de Amerikaanse bedrijven juist gegroeid zijn dankzij een zeer slechte omgang met privacy (zie inzet). De doorsnee consument in de VS ziet zijn of haar persoonlijke data dagelijks ontvreemd en doorgesluisd worden door technologiebedrijven.’

Netflix mag niets weten

Kokas is gespecialiseerd in cybersecurity en datahandel. In haar nieuwste en bekroonde boek, het resultaat van tien jaar onderzoek in zowel China, Japan als de VS, noemt ze die systematische transnationale gegevenshandel ‘data trafficking’, naar analogie met mensensmokkel. ‘Van online games tot de geconnecteerde robotstofzuiger en zelfs het seksspeeltje met een app: er is een massale en heimelijke diefstal van onze gegevens aan de gang’, zegt ze. Ook Amerikaanse bedrijven smokkelden data naar Chinese onderaannemers, zonder de consument in te lichten. Dat is niet langer alleen een probleem van individuele consumentenbescherming vandaag, maar een van ‘digitale soevereiniteit’ voor de komende decennia.

Dat heeft China paradoxaal genoeg beter en vroeger begrepen dan andere landen. ‘Dat China Netflix geen toegang wou geven tot de eigen markt, had niet alleen te maken met de inhoud’, benadrukt Kokas. ‘Het wil niet dat buitenlandse bedrijven een patroon kunnen ontdekken in de Chinese samenleving: waar mensen naar kijken, wanneer en waarom.’

Uw boek benadrukt dat Chinese bedrijven de tradities van Amerikaanse technologiebedrijven volgen. Waarom lopen die Amerikaanse bedrijven niet beter in de pas?

‘Omdat de Amerikaanse overheid er niet in slaagt een echte bescherming van de privacy af te dwingen en de eigen bedrijven te reguleren. Dat gebrek aan regels is net de reden waarom Wall Street en Silicon Valley, vanuit het motto ‘move fast and break things’, dominant konden worden. Zij laten klanten online diensten gebruiken in ruil voor hun privacy: in sommige gevallen wordt de gebruiker zelfs een onbetaalde arbeider die data genereert voor het technologiebedrijf.’

‘In Europa vertrekt men vaak vanuit het voorzorgsprincipe: men probeert schade te voorkomen door desnoods producten wat langer uit de markt te houden. Amerikaanse wetgevers accepteren meer risico. Ze denken: eerst zien hoe het uitdraait, en als er iets verkeerd loopt, zien we wel. Het probleem is dat het extreem moeilijk wordt om dan nog een stap terug te zetten. De economische belangen van bedrijven wegen politiek door, en de meeste politici begrijpen amper hoe de technologie werkt. Dat bleek duidelijk in 2018 uit de tenenkrullende vragen die senatoren aan Mark Zuckerberg stelden toen hij een senaatscommissie te woord moest staan.’

China en de VS beschrijft u als de twee kolonisatoren die de wereld afschuimen voor data. ‘Achter de schermen kunnen beide zich vinden in het principe van massale surveillance.’ Maar is dat in het totalitaire China niet veel onrustwekkender dan in de VS?

‘De race naar de bodem begon in de VS en wordt verergerd door China. Bedrijven in beide landen doen aan exploitatie, maar de Amerikaanse overheid heeft geen gecentraliseerde visie op wat het wil met data en mist dan ook hefbomen. Bedrijven zijn er heer en meester over hun eigen data-rijkjes. De Chinese overheid heeft wel een uniek wettelijk kader ontworpen om haar controle over online gegevens te maximaliseren. Het is vooral een verschil in context en machtsbalans.’

Vibrator met app

In tegenstelling tot China hebben de VS een liberale democratie als staatsvorm, schrijft Kokas, ‘maar de principes en normen van de rechtsstaat liggen in de VS steeds harder onder vuur’, schrijft ze. ‘De onthullingen van Edward Snowden of het Cambridge Analytica-schandaal (waarbij een privaat bedrijf kiezers via gestolen data doelgericht beïnvloedde, red.) tonen hoe techbedrijven de illiberale tendens in de VS versterken.’

Zijn Chinese bedrijven brave partijsoldaten?

‘Ik zou het zo niet uitdrukken, want vele onder hen proberen hun autonomie wel degelijk te verdedigen. De partijstaat kan op het einde van de rit wel op de rem staan. Dat geldt overigens ook voor westerse bedrijven in China. Tesla zou waarschijnlijk liever de data van zijn gebruikers uit China exporteren en gebruiken, om productontwikkeling op grotere schaal te doen. Maar Peking laat dat niet toe. Hetzelfde geldt voor Apple, dat wettelijk verplicht is data van Chinese gebruikers op Chinese overheidsservers op te slaan.’

Wat maakt al die banale data uit slimme toestellen zo waardevol? Is het geen surrealistisch idee dat de data van een Amerikaanse maker van babyfoons of seksspeeltjes, opgeslagen op Chinese servers, over tien jaar een strategische bedreiging vormen voor een land?

‘Een goede vraag, zeker omdat iemand die een vibrator met een app koopt waarschijnlijk helemaal niet stilstaat bij cybersecurity. Ik zie verschillende risico’s. Het eerste is doelgerichte spionage van bepaalde individuen: hun gedrag, hun verplaatsingen, IP-adressen. Hoewel China zich daar zeker schuldig aan maakt bij bepaalde dissidenten, zijn de meeste mensen niet interessant genoeg om zo diepgravend te monitoren. Een tweede risico zijn de software-updates. We zijn geneigd daar weinig op te letten, maar het is een risico bij toestellen die langdurig in ons huis actief zijn, herhaaldelijk software-updates krijgen en waar de instemming van de gebruiker als het ware al gegarandeerd is. De data van zo’n toestel zijn in het begin misschien niet veel waard, maar dat verandert als je jarenlang data uit een bepaalde omgeving kan oppikken. Dat is nog los van het risico dat zo’n toestel ingezet wordt bij een ddos-aanval (distributed denial of service, waarbij iemand een toestel overneemt om in te zetten bij een cyberaanval, red.). Het derde risico is dat iemand heel veel stukjes banale informatie verzamelt en zo een heel precies beeld krijgt van menselijk gedrag of van een bepaalde samenleving.’

Hoe dan?

‘Denk aan audiodata of gebruikspatronen, waar mensen zijn, met wie ze samenzijn, wanneer ze meestal thuis zijn, wat ze daar verkiezen te doen en waarom. De Chinese overheid kan misschien niet veel met de data van het vibratorbedrijf, maar wel met het totaalplaatje aan data op haar servers. We moeten het zien als een mozaïek aan gegevens. Combineer je die mozaïek met socialemediagebruik, informatie over kredietkaarten en betalingen, en je krijgt een vrij accuraat beeld van hoe een samenleving functioneert. Laat daar AI op los en je kunt gedrag gaan voorspellen. Op termijn kom je zo uit bij zo goed als onweerstaanbare marketing. Daarom is het ook een kwestie van economische competitiviteit. De technologie evolueert veel sneller dan de beveiliging erachter.’

Is China daarom zo bevreesd om data over Chinezen vrij te geven aan het buitenland? Omdat het competitiever wil zijn dan andere landen?

‘Ja, Chinese beleidsmakers begrijpen dat private bedrijven met al die data nieuwe producten kunnen ontwikkelen of collectief gedrag sturen. Ze zijn daar bang voor, en niet ten onrechte. Wij zijn ons nu ook veel bewuster van desinformatie of verkiezingsmanipulatie via sociale media. China wil niet dat iemand de Chinese samenleving op die manier kan doorgronden.’

Behalve dan de overheid zelf.

‘Ja, de Chinese overheid heeft zelfs al de eerste dataplatformen, inclusief de activiteiten van gebruikers op die platformen, onder haar soevereine heerschappij gebracht (alles wat buitenlanders op Chinese apps als Tiktok of Shein doen, valt wettelijk onder het gezag van de Chinese overheid, red.). Dat is ongezien. Andere landen, zoals Vietnam, beginnen trouwens mee te gaan in die visie.’

Vormt onze Europese privacywetgeving een afdoende barrière?

‘Telkens opnieuw blijkt hoe moeilijk het is om, eenmaal een technologisch model gelanceerd is, er nog wettelijke barrières rond veiligheid of digitale rechten aan toe te voegen. Paradoxaal genoeg maakt goede Europese wetgeving dat veel ontwikkelaars juist uit Europa wegtrekken, naar een minder strenge plek. Daardoor kunnen beleidsmakers geen invloed op die bedrijven uitoefenen. Europa en Japan hebben beide interessante wetgeving over online privacy, maar het ideaal benadert niet altijd de realiteit. Je bent veel tijd kwijt met toestemming geven voor zaken die je eigenlijk niet echt wil.’

Wat kunnen wij daar zelf nog aan doen?

‘Ik kan alleen maar oproepen tot meer bewustzijn. Beslis voor jezelf welke technologie je echt nodig hebt, probeer te doorgronden hoe die werkt, en gebruik niet meer dan wat je nodig hebt. Een blender die op het netwerk kan en je helpt om brownies te maken: haal die gewoon niet in huis. We hoeven niet zomaar te aanvaarden dat commerciële technologieën aan de intiemste details over ons huis en ons hoofd kunnen. We mogen gerust ook meer vragen van onze overheid. Als er energielabels bestaan, waarom kan de overheid dan geen labels uitreiken rond de veiligheid en privacy van online technologieën?’

Kijken jongere generaties vandaag anders naar de online wereld dan de eerste generaties die het internet leerden gebruiken?

‘Ik heb geen kinderen en ergens is het een opluchting dat ik hen niet hoef te begeleiden in de moeilijke keuzes rond sociale media, want het is aartsmoeilijk. Maar ik zie bij mijn studenten, zowel Chinese als Amerikaanse, voor welke scherpe keuzes ze staan. Die generatie heeft geen sociaal leven meer dat onafhankelijk van het digitale bestaat. Het is ofwel geen connecties met anderen maken, ofwel de surveillance ondergaan. Het is een teken aan de wand dat ik hen het woord “panopticon” tegenwoordig niet meer moet uitleggen. Wat allesdoordringende surveillance is, begrijpen ze allemaal.’


DS, 07-07-2023 (Giselle Nath)