Od kilku tygodni Microsoft i funkcja Recall wywołuje wśród użytkowników niemałe emocje. Co prawda gigant technologiczny częściowo ograniczył jej masowe wdrożenie w Windowsie 11, ale na pewno nie złożył jeszcze broni.
Redakcja Android.com.pl zapytała ekspertów, jakie warunki musiały być spełnione, aby narzędzie mogło działać legalnie na komputerach polskich użytkowników.
Microsoft i funkcja Recall – Spis treści
Recall w Copilot: o co właściwie chodzi?
Funkcja Recall w nowych komputerach Microsoft Copilot+ w założeniu miała śledzić każdą aktywność użytkownika, od przeglądania stron internetowych po rozmowy głosowe, i przechowywać te dane lokalnie na urządzeniu.
Microsoft twierdzi, że aplikacja zapewnia „fotograficzną” pamięć wszystkiego, co wydarzyło się na komputerze, co ma na celu ułatwienia odnajdywania i przypominania sobie wcześniejszych działań.
Pomimo zapewnień Microsoftu, że użytkownicy mają kontrolę nad zapisywanymi danymi, pojawiły się liczne obawy dotyczące prywatności. Ponadto gromadzenie danych budzi niepokój o ingerencję w dane użytkowników oraz możliwe przyszłe wykorzystanie ich przez Microsoft, na przykład do ukierunkowanych reklam czy szkolenia modeli AI. Więcej o funkcji Recall można przeczytać na stronie producenta.
Użytkownicy obawiają się o prywatność i… mają rację
Microsoft, w odpowiedzi na te obawy, podkreśla, że użytkownicy mają pełną kontrolę nad zapisywanymi migawkami. Można je w każdej chwili wyłączyć, wstrzymać, filtrować aplikacje oraz usuwać zrzuty ekranu. Firma twierdzi również, że przetwarzanie zawartości odbywa się lokalnie na komputerze Copilot+ i jest bezpiecznie przechowywane na urządzeniu.
Po licznych protestach ze strony użytkowników Microsoft zdecydował się częściowo wycofać Recall w Windows 11. Funkcja będzie teraz opcjonalna, ale domyślnie wyłączona. Użytkownicy mają szansę włączyć ją tylko po dodatkowej weryfikacji tożsamości za pomocą Windows Hello. Decyzja Microsoftu jest odpowiedzią na te obawy, choć nie rozwiązuje wszystkich problemów.
Recall a prawo telekomunikacyjne
Aby funkcja była zgodna z prawem, Microsoft musiałby zadbać o zgodność z przepisami o ochronie danych w każdym kraju oraz ogólne rozporządzenie o ochronie danych (RODO).
O to, jakie warunki musiałyby być spełnione, zapytaliśmy ekspertów – Kamila Kozioła, prawnika i eksperta od spraw dot. danych osobowych i cyberbezpieczeństwa w Kancelarii Andersen oraz Natalię Gaweł, prawniczkę i managerkę w Kancelarii Andersen.
Dominika Kobiałka: Użytkownicy obawiają się, że Microsoft będzie mieć pełen dostęp do treści zapisanych na ich komputerach. Czy mają czego się bać? Co na to prawo telekomunikacyjne?
Kamil Kozioł, Natalia Gaweł: W świetle obowiązujących przepisów prawa, urządzenia końcowe użytkowników (komputery, smartfony, tablety) oraz informacje na nich zgromadzona podlegają ścisłej ochronie jako część ich sfery prywatnej.
Bezwzględnie zakazane jest nieuprawnione ingerowanie w nią przez dostawców jakiegokolwiek rodzaju usług telekomunikacyjnych lub świadczonych drogą elektroniczną. Żeby mogli oni przechowywać informacje na urządzeniach użytkowników końcowych lub pozyskiwać dostęp do informacji już na nich przechowywanych, muszą spełnić szereg warunków. Zostały one wyartykułowane w art. 173 ust. 1 Prawa telekomunikacyjnego, który stanowi polską implementację europejskiej dyrektywy o prywatności i łączności. Przepisy w tym zakresie są zatem niemal identyczne w całej Unii Europejskiej.
Jak wynika z przytoczonej regulacji prawnej, przechowywanie informacji lub uzyskiwanie informacji już przechowywanej w urządzeniu końcowym abonenta lub użytkownika końcowego jest możliwe wyłącznie pod warunkiem, że użytkownik zostanie poinformowany o celu przechowywania lub uzyskania dostępu oraz wyrazi na to zgodę.
D.K.: Czy jest jakiś wyjątek od tej reguły? I – co najważniejsze dla użytkowników i naszych czytelników – czy jest jakakolwiek możliwość, że Microsoft miał dostęp do treści lokalnie zapisanych na komputerze?
K.K., N.G.: Tak, jest pewien wyjątek. Wskazany przepis stanowi, że spełnienie powyższych warunków nie jest wymagane, jeśli dostęp do informacji zapisanych na urządzeniu będzie niezbędny do świadczenia usługi żądanej przez użytkownika – co może być furtką dla uzyskania dostępu do danych w migawkach. Na chwilę obecną nie zapowiedziano takiej usługi, nie można jednak wykluczyć, że w przyszłości takowa się pojawi.
W kontekście przytoczonych powyżej przepisów, w zasadzie nie ma prawnej możliwości, by Microsoft za pomocą funkcji Recall uzyskiwał swobodny dostęp do treści lokalnie zapisanych na komputerze użytkownika bez jego wiedzy i zgody.
Gdyby do tego doszło, firmie grozi kara pieniężna za naruszenie zasad dostępu do informacji zapisanych lokalnie na urządzeniu użytkownika końcowego. Kary pieniężne nakłada Prezes UKE, w drodze decyzji, w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Ustalając wysokość kary pieniężnej, Prezes UKE uwzględnia zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe.
Zastosowanie przepisów RODO
D.K.: Są jeszcze przepisy RODO, które obowiązują wszystkie państwa członkowskie UE, a ponadto także działają w granicach Europejskiego obszaru gospodarczego. Jak się ma ochrona prywatności w świetle tych regulacji?
K.K., N.G.: W kontekście ogólnego rozporządzenia o ochronie danych, powszechnie znanego jako RODO, można pokrótce powiedzieć, że w przypadku użytkowników prywatnych nie będzie miało zastosowania. Wynika to z faktu, że danych osobowych (rozumianych jako przede wszystkim informacje o naszej aktywności na komputerze oraz unikalnym identyfikatorze) w ramach funkcji Recall nie będzie przetwarzał Microsoft, a dostęp do nich będzie mieć wyłącznie użytkownik.
Nieco inaczej będzie w przypadku służbowych komputerów, gdyż kontrolę nad nimi sprawuje pracodawca. Z tej perspektywy Windows Recall może stać się bardziej narzędziem inwigilacyjnym i monitorującym pracownika, a w tym wypadku zastosowanie znajdą przepisy RODO oraz Kodeksu pracy.
Zgodnie z art. 22[3] Kodeksu pracy, pracodawca może wprowadzić monitoring w zakładzie pracy, w tym monitoring komputerów, o ile jest to niezbędne dla zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy (czyli kontroli tego, czy pracownik pracuje w godzinach pracy) oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy (czyli jak pracuje i co z tymi narzędziami robi).
D.K.: Jaka jest Państwa opinia – biorąc pod uwagę, że Microsoft będzie chciał pracować nadal nad tą usługą – czy mamy się czego obawiać?
K.K., N.G.: W chwili obecnej Windows Recall pozostaje pod wieloma względami – szczególnie w kwestii prywatności i bezpieczeństwa – niewiadomą. Wykorzystanie tej funkcji w firmach, na służbowych komputerach wydaje się być co najmniej wątpliwe prawnie, a w przypadku użytkowników prywatnych może rodzić ryzyka, gdy migawki zostaną przejęte (mogą być użyte do spear-phishingu, przełamania innych zabezpieczeń, ekstrakcji danych czy po prostu szantażu).
Pozytywną informacją jest to, że dane pochodzące z migawek mają pozostać na komputerach i nie będą transferowane do Microsoft. Pewne wątpliwości w tym zakresie pozostają, dlatego my – jako osoby o szczególnym zamiłowaniu do prywatności – nieprędko włączymy tę funkcję. Będziemy jednak obserwować informacje od niezależnych ekspertów bezpieczeństwa, którzy niewątpliwie dość szybko rozłożą Recall na czynniki pierwsze.
D.K.: Bardzo dziękuję za rozmowę.
K.K., N.G.: Dziękujemy.
Źródło: oprac. własne. Zdjęcie otwierające: Microsoft / materiały prasowe
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.