Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
Pamiętacie z czasów dzieciństwa swoją ulubioną zabawkę, która stale wam towarzyszyła, jak Kubuś Puchatek Krzysiowi? Pamiętacie, jak wyobraźnia bez końca podsycała przygody? Co mogłoby być bardziej niewinne? Pozwólcie, że przedstawię moją przyjaciółkę, Caylę.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Cayla została wybrana zabawką roku w wielu krajach na całym świecie. Łączy się z Internetem i używa funkcji rozpoznawania mowy, żeby odpowiadać na pytania dziecka, tak jak zrobiłby to przyjaciel. Ale jej moc nie tkwi w wyobraźni dziecka, tylko w firmie, która na masową skalę zbiera dane osobowe, podczas gdy twoja rodzina niewinnie gawędzi w domowym zaciszu, łudząc się fałszywym poczuciem bezpieczeństwa. Ten przypadek zabrzmiał dla mnie jak sygnał ostrzegawczy, ponieważ zajmuję się ochroną konsumentów w moim kraju. Biorąc pod uwagę, że miliardy urządzeń, takich jak samochody, liczniki energii czy odkurzacze, mają się pojawić do 2020 roku, pomyśleliśmy, że warto zgłębić to zagadnienie. Co Cayla robiła z tymi ciekawymi informacjami, które zdobyła? Czy miała innego przyjaciela, z którym lojalnie dzieliła się nowościami? Tak, odgadliście. Miała. Żeby móc bawić się z Caylą, należy ściągnąć aplikację dającą dostęp do wszystkich funkcji. Rodzice muszą wyrazić zgodę na warunki, które mogą nagle zostać zmienione. Nagrania dziecka, przyjaciół i rodziny mogą być użyte dla celów reklamy ukierunkowanej. Wszystkie te informacje mogą być przekazywane osobom trzecim.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
To jeszcze nie wszystko. Każdy posiadacz smartfona może połączyć się z Caylą z pewnej odległości. Zapytana o to firma, która stworzyła i zaprogramowała Caylę, wydała serię oświadczeń, w których stwierdziła, że tylko ekspert w dziedzinie informatyki mógłby złamać zabezpieczenia. Sprawdzimy ich prawdomówność i spróbujemy wspólnie zhakować Caylę? Oto ona. Cayla wyposażona jest w Bluetooth, który może działać do 20 metrów, nieco mniej, jeśli na drodze stoi ściana. Oznacza to, że każdy, ja również, może połączyć się z lalką, będąc poza pokojem, w którym jest Cayla i jej przyjaciele. Żeby to zilustrować, włączę teraz Caylę. Raz, dwa, trzy. Włączona. Poprosiłem kolegę, żeby został na zewnątrz z podłączonym smartfonem. Żeby było jeszcze straszniej,
(Laughter)
(Śmiech)
let's see what kids could hear Cayla say in the safety of their room.
sprawdźmy, co dzieci mogą usłyszeć z ust Cayli w zaciszu swojego pokoju.
Man: Hi. My name is Cayla. What is yours?
Mężczyzna: Cześć. Mam na imię Cayla. A ty?
Finn Myrstad: Uh, Finn.
Finn Myrstad: Finn.
Man: Is your mom close by?
Mężczyzna: Czy mama jest obok?
FM: Uh, no, she's in the store.
FM: Nie, poszła do sklepu.
Man: Ah. Do you want to come out and play with me?
Mężczyzna: Czy chcesz wyjść i pobawić się ze mną?
FM: That's a great idea.
FM: Świetny pomysł.
Man: Ah, great.
Mężczyzna: Świetnie.
FM: I'm going to turn Cayla off now.
FM: Teraz wyłączę Caylę.
(Laughter)
(Śmiech)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
Nie potrzebowaliśmy hasła i nie musieliśmy obejść żadnych zabezpieczeń, żeby to zrobić. W 20 krajach opublikowaliśmy raport ujawniający tę poważną wadę zabezpieczeń oraz inne problematyczne kwestie. Co się stało? Cayla została zakazana w Niemczech, została wycofana ze sprzedaży przez Amazon i Wal-Mart. Teraz spoczywa w Muzeum Szpiegostwa w Berlinie.
(Laughter)
(Śmiech)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Cayla była jednak w sprzedaży w wielu sklepach na świecie jeszcze ponad rok po opublikowaniu raportu. Odkryliśmy, że jest niewiele zasad, które mają nas chronić, a te, które mamy, nie są odpowiednio egzekwowane. Musimy zadbać o bezpieczeństwo i prywatność, zanim te produkty wejdą na rynek, bo jaki jest sens zamykania domu na klucz, jeśli każdy może do niego wejść dzięki podłączonemu urządzeniu?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Pewnie myślicie: "Mnie nigdy się to nie zdarzy. Po prostu będę trzymać się z dala od tych urządzeń". Ale to nie zapewni wam bezpieczeństwa, bo nawet zwyczajnie łącząc się z Internetem, jesteście stawiani w sytuacji "wóz albo przewóz".
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Pozwólcie, że udowodnię. Jak większość z was, mam na telefonie dziesiątki aplikacji, które, jeśli używane odpowiednio, mogą ułatwiać nam życie, wprowadzać udogodnienia i pomagać w utrzymaniu zdrowia. Czy jednak zostaliśmy uśpieni fałszywym poczuciem bezpieczeństwa? Zaczyna się od zaznaczenia okienka. Tak - potwierdzamy, przeczytałem warunki. Ale czy naprawdę? Może wydawały się zbyt długie, bateria prawie się wyczerpała, a ostatnio, gdy próbowaliście to zrobić, nie mogliście ich zrozumieć? Przecież musieliście użyć tej aplikacji. Powstał brak równowagi sił, bo zgodziliśmy się, żeby nasze dane osobowe były zbierane i użytkowane w skali dotąd niewyobrażalnej.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
Dlatego wraz z kolegami zdecydowaliśmy się przyjrzeć temu bliżej. Postanowiliśmy przeczytać warunki popularnych aplikacji na przeciętnym telefonie. Żeby pokazać światu, jak nierealne jest oczekiwanie, że konsumenci rzeczywiście przeczytają warunki, wydrukowaliśmy je. Ponad 900 stron. Zasiedliśmy w biurze i czytaliśmy je na głos, transmitując eksperyment na żywo w Internecie. Jak widzicie, zajęło to sporo czasu. Dokładnie 31 godzin, 49 minut i 11 sekund zajmuje przeczytanie warunków na przeciętnym telefonie. To dłużej niż maraton filmowy wszystkich części "Harry'ego Pottera" i "Ojca chrzestnego" łącznie.
(Laughter)
(Śmiech)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
Czytanie to jedna sprawa, zrozumienie to już całkiem inna. To zajęłoby nam znacznie więcej czasu. To rzeczywiście stanowi problem. Od 20 - 30 lat firmy sprzeciwiają się wprowadzeniu ostrzejszych regulacji w Internecie, bo użytkownicy godzą się na podane zasady i warunki.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Dowiedliśmy tym eksperymentem, że uzyskanie świadomej zgody jest niemal niemożliwe. Czy uważacie, że uczciwe jest zrzucenie odpowiedzialności na klienta? Uważam, że nie. Powinniśmy żądać ograniczenia ofert niepodlegających negocjacjom i prostszych warunków użytkowania przed wyrażeniem zgody.
(Applause)
(Brawa)
Thank you.
Dziękuję.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Chciałbym opowiedzieć pewną historię miłosną. Aplikacje randkowe są jednymi z najpopularniejszych aplikacji świata. Przemysł jest już wart ponad, lub blisko, trzy miliardy dolarów rocznie. Oczywiście nie przeszkadza nam dzielenie się intymnymi szczegółami z naszą drugą połówką. Ale czy ktoś inny węszy, zapisuje i udostępnia informacje, które obnażają nasze dusze? Wraz z zespołem zdecydowaliśmy się to zbadać. Żeby zrozumieć tę kwestię pod każdym kątem i wykonać naprawdę dogłębną analizę, uświadomiłem sobie, że sam muszę ściągnąć jedną z najbardziej popularnych aplikacji randkowych.
So I went home to my wife ...
Wróciłem do domu, do żony,
(Laughter)
(Śmiech)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
którą niedawno poślubiłem. "Mogę stworzyć swój profil w znanej aplikacji randkowej dla czysto naukowych celów?"
(Laughter)
(Śmiech)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
Oto co odkryliśmy. Obok głównego menu ukrywało się zaznaczone już okienko, które dawało firmie randkowej dostęp do wszystkich zdjęć na Facebooku, w moim przypadku ponad 2 tys. zdjęć, niektórych dosyć osobistych. Co gorsza, kiedy przeczytaliśmy warunki użytkowania, odkryliśmy pewną rzecz. Do czytania będę musiał wyjąć okulary. Przeczytam to, bo to dość skomplikowane. OK.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
"Zamieszczając treści", co odnosi się do waszych zdjęć, rozmów i innych aktywności w serwisie randkowym, "w ramach używania usługi automatycznie przyznajesz firmie, podmiotom stowarzyszonym, licencjobiorcom i następcom prawnym nieodwołalne" - co oznacza, że nie możesz zmienić zdania, "bezterminowe" - co oznacza: na zawsze, "niewyłączne, zbywalne, podlegające sublicencji, opłacone, globalne prawo i licencję na użytkowanie, kopiowanie, gromadzenie, wyświetlanie, powielanie, nagrywanie, adaptację, zmienianie i rozpowszechnianie treści, przygotowywanie prac pochodnych lub włączanie treści w inne dzieła oraz przyznawanie licencji na powyższe w dowolnych mediach znanych obecnie i przyszłych".
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Oznacza to, że twoja historia randek i wszystko, co się z nią wiąże, już zawsze może być wykorzystywana w dowolnym celu. Wyobraź sobie, jak twoje dzieci oglądają zuchwałe zdjęcia randkowe w reklamie środków antykoncepcyjnych za jakieś 20 lat.
But seriously, though --
Ale tak poważnie...
(Laughter)
(Śmiech)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
co takie praktyki handlowe oznaczają dla ciebie? Na przykład straty finansowe, jako że dzięki historii wyszukiwania algorytmy zdecydują, czy dostaniesz kredyt hipoteczny. Oznaczają manipulację podświadomością. Firmy mogą przecież przeanalizować uczucia na podstawie zdjęć i rozmów i ukierunkować na ciebie reklamy, kiedy jesteś najbardziej bezbronny. Dyskryminację. Apka fitnessowa sprzedaje dane firmie ubezpieczeń zdrowotnych, uniemożliwiając ci przyszłe wykupienie ubezpieczenia. Wszystko to już dzieje się na świecie.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
Oczywiście nie każde wykorzystanie danych jest szkodliwe. Czasem jest tylko niedoskonałe albo wymaga dopracowania, a niektóre pomysły są genialne. Mam też dobre wiadomości. Firmy randkowe zmieniły swoją ogólnoświatową politykę, po tym jak ich zaskarżyliśmy. Organizacje takie jak moja, które walczą o prawa konsumenta, nie mogą być wszędzie. Także konsumenci nie mogą tego naprawić na własną rękę, bo jeśli będziemy wiedzieć, że nasze niewinne słowa będą nas później nawiedzać, przestaniemy mówić. Jeśli będziemy wiedzieć, że jesteśmy obserwowani i monitorowani, zmienimy nasze zachowanie. Jeśli nie mamy kontroli nad tym, kto posiada nasze dane i jak ich używa, to nie mamy też kontroli nad naszym życiem.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
Historie opowiedziane dzisiaj nie są odosobnionymi przykładami. Zdarzają się wszędzie i dowodzą tego, że potrzebne są zmiany. Jak to osiągnąć? Firmy muszą najpierw uświadomić sobie, że przyznając pierwszeństwo prywatności, mogą uzyskać zaufanie i lojalność użytkowników. Rządy muszą stworzyć bezpieczniejszy Internet, zapewniając egzekwowanie praw i aktualną legislację. A my, obywatele? Możemy głośno przypominać światu, że technika może naprawdę przynosić pożytek społeczeństwu, jeśli będzie uznawać podstawowe prawa.
Thank you so much.
Dziękuję bardzo.
(Applause)
(Brawa)