Stephan nastoupil do Google v roce 2007 jako softwarový inženýr a od roku 2009 pracuje v týmu pro identitu, soukromí a bezpečnost. Vystudoval informatiku na Technické univerzitě v Mnichově, kde v roce 2003 završil studium ekvivalentem našeho magistra (Dipl. Inf.). Před příchodem do Google pracoval pro několik softwarových společností jako inženýr a konzultant podnikových softwarových řešení. Vedle řízení mnichovského centra má na starosti koordinaci inženýrských týmů v Evropě a USA, které pro uživatele vytvářejí a spravují nástroje pro soukromí a bezpečnost.
Jak moc se liší přístup Googlu k bezpečnosti a ochraně soukromí v Evropě a Spojených státech? Aplikujete některé lokální požadavky (například to, co nyní v Evropě vyplývá z GDPR) plošně, a pokud ano, jak přesvědčujete centrálu, že je něco takového vlastně docela dobrý nápad?
Google se v oblasti digitálního soukromí pohybuje již poměrně dlouho, jen v Mnichově se tématu věnujeme více než 10 let, máme tedy z první ruky celou historii toho, jak se přístup k ochraně soukromí na internetu vyvíjel.
Jen v Evropě se o tématu diskutuje mnohem déle, než jak by to mohlo vypadat podle relativně nedávno implementovaného GDRP nařízení nebo v současnosti diskutovaného ePrivacy. Co se samotného GDPR týče, to je něco, co muselo přijít z Evropy s jejím kulturním pozadím a pro Američany to v první moment mohlo působit trochu nepochopitelně. Když se ale podíváte na to, co se v USA okolo digitálního soukromí děje nyní, tak zjistíte, že se tento přístup natolik posunul, že se mezi Evropou a USA smazává rozdíl. Například v Kalifornii brzy vstoupí v platnost digital privacy law, a když si tuto regulaci porovnáte s GDPR, je to v podstatě to samé.
Pro nás coby inženýry je tato globalizace přístupu k e-privacy a bezpečnosti samozřejmě velkou výhodou, protože coby architekt nechcete v systému žádnou velkou komplexitu a odchylky, ale chcete pracovat na jednom jednoduchém řešení, které bude všude stejné. Komplexita do systému přidává chybovost.
Z kulturního pohledu je to ale zase něco totálně odlišného, tady docházíme ke střetu. V Evropě je totiž historicky soukromí bráno jako základní lidské právo, kdežto v USA se z něj stává téma až nyní a pro společnosti například doteď neexistovala povinnost informovat uživatele o svých postupech s osobními údaji a právo tyto údaje sbírat bylo prakticky samozřejmé. Jak už jsem ale řekl, to se nyní začíná měnit.
Liší se v tomto ohledu nějak přístup amerických a evropských uživatelů?
Pokud se na to budu dívat z našeho, inženýrského pohledu, tak prakticky vůbec ne. Američané stejně jako Evropané nám neustále kladou stejné dotazy ohledně toho, jak je s jejich daty nakládáno. Lidé se zajímají o to, jestli jsou jejich data uložená bezpečně a zda nemůže dojít k jejich úniku a chtějí rozumět tomu, jakým způsobem budou používána.
Jak je to s často vzpomínanou obavou, že Google může být donucen předat uživatelská data, a speciálně data neameričanů, americkým vládním agenturám (typicky třeba pod záštitou Patriot Act)?
Google je mezinárodní společnost a jako taková musí respektovat zákony mnoha jurisdikcí, nejen USA. Požadavky od vlád a donucovacích orgánů dostáváme také prakticky neustále, ale to rozhodně neznamená, že jim bude také vždycky vyhověno. V takovém případě se nejprve důkladně podíváme, jaká je povaha takového požadavku, musejí projít validačním procesem a teprve poté je možné jim v některých případech vyhovět.
Google má pro takové případy řadu bezpečnostních pravidel, které v jiných společnostech často nenaleznete, a je v tomto směru také velmi transparentní. Každý, koho toto téma zajímá, může navštívit Google Transparency Report, kde mimo jiné může vidět všechny požadavky vlád na Google a to, kterým z nich bylo nakonec vyhověno.
Google tvrdí, že dělá pro ochranu soukromí uživatelů hodně, dokonce mnohem více, než by musel. Velká část jeho byznysu je ale pořád založena na provozování velmi sofistikované reklamní platformy, která je do značné míry na přesných uživatelských datech závislá. Jdou tyto dva přístupy vůbec dohromady?
Sběr uživatelských dat má v Googlu jediný účel, a tím je lepší uživatelská zkušenost. Že si Google Maps pamatují, kde bydlíte a pracujete, a poradí vám ráno nejrychlejší cestu (díky geolokačním datům z telefonů pozná, kde je dopravní zácpa), nebo kam zajít odpoledne na oběd, bude vnímat většina uživatelů spíše pozitivně.
Ano, Google provozuje reklamní platformu a poskytuje cílenou reklamu, včetně velmi přesné personalizované reklamy. Nesmíte ale zapomínat na to, že uživatel má u nás nad svými daty plnou kontrolu. Můžete například jít do svého Google účtu a personalizovanou reklamu úplně vypnout, můžete také vidět, jaký druh dat naše personalizovaná reklama využívá. Stává se, že lidé jdou, personalizovanou reklamu vypnou a pak ji zase vrátí zpátky, protože jejich zážitek je lepší. Každý ale má svobodnou volbu.
Druhá věc je, že řada lidí bývá nakonec překvapena, jak malé množství dat personalizovaná reklama využívá. Velká část naší reklamy je také stále zprostředkována vyhledávačem a ten závisí pořád primárně na kontextu. Ve vyhledávání tak po vypnutí personalizované reklamy pro změnu nemusí dojít z pohledu uživatele k žádné viditelné změně. Když vyhledáváte myčku nádobí, je celkem jasné, o co vám asi jde, a tomu se přizpůsobí i reklama. Navíc se na konkrétních uživatelských datech snažíme záviset stále méně.
Když zde padla zmínka o vyhledávání, jak vnímáte bezpečnostní a privacy implikace toho, že Google provozuje vlastně obří data warehouse s uživatelskými dotazy?
Mít k dispozici historii uživatelských dotazů nám pochopitelně dává možnost dramaticky zlepšovat uživatelskou zkušenost s našimi službami. Našeptávač vám například poskytne výrazně lepší predikci vašich dotazů (neplatí zatím pro některé východní země). Přidaná hodnota dalšího zpřesňování ale od určitého množství dat začne klesat. Z vlastní zkušenosti také mohu říci, že jsem již mnohokrát ocenil možnost podívat se do své historie hledání a najít díky tomu něco, co bych jinak už neměl šanci. Nicméně chápu, že lidé toto vnímají různě.
První, co bych zmínil, je, že každý uživatel může funkci ukládání historie jeho hledání úplně vypnout, nebo nastavit třeba jen malé časové okno, po které se data uchovávají. Opět tedy uživatelům i zde dáváme nad jejich daty plnou kontrolu. Co se týče bezpečnostních implikací, platí zde to samé, co pro jakékoli uchovávání uživatelských dat, a tak k tomu také přistupujeme. Stojíme si například za tezí, že šifrování s backdoorem není šifrováním vůbec.
Jak velké procento uživatelů tuto možnost skutečně někdy využilo?
Nemám momentálně k dispozici přesná čísla.
Google u svých účtů nabízí několik stupňů zabezpečení a co do počtu alternativních možností 2FA (dvoufaktorové autentizace) má asi nejvíc voleb, co jsem v komerční sféře zatím viděl. Máte přehled o tom, kolik uživatelů využívá například váš hardwarový klíč jako druhou vrstvu zabezpečení svého účtu?
Opět musím, říci, že neznám přesná čísla, ale je to velmi zajímavý dotaz. Z našeho inženýrského pohledu nicméně není hlavním problémem a úkolem nabídnout všechny dostupné způsoby ověření, ale to, jakým způsobem pozvednout úroveň zabezpečení pro všechny, aniž by to bylo na úkor použitelnosti služby.
Když máte aktivní dvoufaktorovou autentizaci, je to super, ale nebudeme vás proto ještě otravovat s dotazem na 2FA token při každém pokusu přihlásit se do služby. Učiníme tak pouze tehdy, když naše algoritmy vyhodnotí, že něco nemusí být v pořádku. Za tím stojí množství rozhodování, která jsou ale implementována na pozadí a uživatel s nimi nepřijde do přímého styku.
Pro většinu lidí je například ideální situace mít telefon s Androidem, kam může v případně nejistoty Google nezávislým kanálem zaslat dotaz a uživatel potvrdí, že je to skutečně on. Pak ale existují skupiny uživatelů, kteří potřebují mnohem pokročilejší úroveň zabezpečení, a pro ně máme Titan program, jehož součástí jsou hardwarové tokeny.
Trik je ale v tom, že nemůžete očekávat průmyslovou úroveň zabezpečení a stejnou uživatelskou zkušenost. Tito uživatelé musí počítat s tím, že po nich bude jejich účet vyžadovat ověření mnohem častěji. Každý z těch přístupů si s sebou nese svoje výhody a nevýhody a nejde rozhodně o řešení pro každého.
