Zákony a předpisy upravující kybernetickou bezpečnost

V následující části této kapitoly se pokusím popsat, jaké informace jsou standardně o uživatelích sbírány největšími ISP.[1] Specificky jsem si vybral společnost Google Inc., neboť se domnívám, že existuje minimum uživatelů, jež by nikdy nevyužili některý z produktů (např. OS Android, vyhledávací nástroj na www.google.com, Gmail, Google Chrome aj.) této společnosti.[2] Mým cílem v žádném případě není „útok“ na společnost Google Inc. či jiné společnosti (včetně jejich produktů). Smyslem je prezentovat možná bezpečnostní rizika, která jsou spojena s využíváním některých poskytovaných služeb a s akceptací smluvních podmínek (EULA - End Users Licence Agreement), na něž je využívání uvedených služeb vázáno.

Smluvní podmínky, umožňující využití služby daného poskytovatele služby nejsou ve své podstatě ničím jiným než zpravidla jednostranně vymezeným definováním práv a povinností ze strany poskytovatele služby (ISP). Uživatel však není nikterak omezován na svých právech, neboť má možnost volby v podobě nevyužití takto jednostranně stanovených smluvních podmínek. V případě souhlasu s využíváním takovýchto služeb je možné obecně konstatovat, že dojde primárně k aplikaci soukromoprávních norem.

Otázkou je, zda si uživatel skutečně uvědomuje, jaké smluvní podmínky odsouhlasil, kdy se pro něj stávají závaznými a jaký možný (legální) zásah do jeho základních lidských práv a svobod takto vyslovený souhlas představuje. Další neopomenutelnou skutečností pak je, že takto poskytovaná služba může ovlivnit práva a oprávněné zájmy (např. bezpečnost IT, důvěryhodnost dat aj.) třetích osob (např. zaměstnavatele aj.), které k využívání předmětné služby explicitně souhlas nevyjádřily.

Teoreticky je možné konstatovat, že soukromoprávní smlouvu s touto společností za celé období existence této společnosti uzavřely téměř 3 miliardy uživatelů.[3] Smutným faktem zůstává ta skutečnost, že velmi malé procento uživatelů je ochotno číst smluvní podmínky, vztahující se k té které poskytované službě.[4]

Výňatky ze smluvních podmínek společnosti Google Inc.[5]

Google explicitně uvádí, že pokud kterýkoli uživatel začne využívat jakékoli služby společnosti Google, souhlasí s platnými smluvními podmínkami. Dále jasně definuje vztah uživatele a sebe, jakožto poskytovatele služby, v případě, že je uživatel povinen akceptovat další smluvní podmínky. Tento vztah je vyjádřen následujícím způsobem: „Nabídka našich služeb je široká, a na některé se proto mohou vztahovat dodatečné podmínky nebo požadavky (včetně omezení věku). Dodatečné podmínky budou k dispozici spolu s příslušnými službami. Pokud tyto služby použijete, stávají se dodatečné smluvní podmínky součástí smluvních ujednání mezi oběma stranami.“

Již v úvodu smluvních podmínek Google stanoví, že: „Obsah[6] můžeme kontrolovat, abychom určili, zda je legální a splňuje naše zásady, a pokud se domníváme, že naše zásady nebo právní předpisy porušuje, můžeme obsah odstranit nebo zamezit jeho zobrazování. Berte prosím na vědomí, že výše uvedené neznamená, že obsah prověřujeme.“

Z hlediska bezpečnosti je dle mého názoru zásadní částí smluvních podmínek sekce, která pojednává o Ochraně osobních údajů a autorských práv.[7] V této části Google definuje, jaké informace o uživatelích shromažďuje a jak s nimi nakládá. Z pohledu bezpečnosti a „pocitu anonymity“ jsou následující informace klíčové. Domnívám se, že deklarace toho, že následující informace jsou shromažďovány „proto, abychom mohli všem našim uživatelům poskytovat lepší služby – od určení jednoduchých věcí, jako je jazyk, kterým mluvíte, až po věci složitější, například reklamy, které pro vás budou nejužitečnější, lidé o které se na webu nejvíce zajímáte, nebo která videa na YouTube by se vám mohla líbit“ je možná chvályhodná, avšak minimálně zarážející. Přirovnání k již zmíněnému Minority Reportu v podobě cílení reklamy je po takovémto prohlášení více než nasnadě. Mimoto se mi opět vybaví Manfred Spitzer a Digitální demence, neboť po čase to již nejsem já, kdo rozhoduje, na co se budu dívat či co budu vyhledávat (resp. mi nemusí být a nejsou nabízeny všechny relevantní odpovědi).

Google shromažďuje informace o uživateli v zásadě dvěma způsoby:

1.   Informace, které uživatel sám sdělí. Typicky se jedná o:

-       jméno, e-mailovou adresu, telefonní číslo nebo platební kartu.

2.   Informace získávané při používání služeb Google. Jsou shromažďovány informace o službách, které jsou uživatelem používány, včetně způsobu, jakým jsou používány („například když se podíváte na video na YouTube, navštívíte webové stránky, které využívají naše reklamní služby, nebo sledujete naše reklamy a obsah nebo na ně reagujete“). Dle Google se jedná o:

-       Informace o zařízení (např. model hardwaru, verze operačního systému, jedinečné identifikátory zařízení[8] a údaje o mobilní síti včetně telefonního čísla). Google je oprávněn přiřadit k vašemu uživatelskému účtu na Google identifikátory vašeho zařízení nebo vaše telefonní číslo

-       Informace z protokolu:

• podrobnosti o tom, jakým způsobem uživatel využil službu Google,
•  informace z protokolu telefonování (např. telefonní číslo, číslo volajícího, čísla přesměrování, čas a datum hovorů, trvání hovorů, údaje o směrování zpráv SMS a typy hovorů),
• adresa internetového protokolu,
• informace o událostech zařízení (např. selhání, činnost systému, nastavení hardwaru, typ prohlížeče, jazyk prohlížeče, datum a čas vašeho požadavku nebo odkazující adresa URL,
• soubory cookie, které mohou být jedinečnými identifikátory vašeho prohlížeče nebo účtu Google.

-       Informace o poloze. Google je oprávněn shromažďovat a dále zpracovávat informace o skutečné poloze svého uživatele. Polohu může Google určovat pomocí různých technologií, jako jsou IP adresa, systém GPS a další senzory, které společnosti Google mohou poskytovat například údaje o zařízeních v okolí, přístupových bodech sítě Wi-Fi a vysílačích mobilních sítí.

-       Jedinečná čísla aplikací. Typicky se jedná o licenční číslo a typ (verzi) příslušného nainstalovaného softwarového produktu. Ze smluvních podmínek nevyplývá, že by se jedinečná čísla aplikací zaznamenávala pouze ze zařízení, jejichž primárním operačním systémem je systém Android. Lze tedy dojít k závěru, že pokud dochází k využívání služeb Google, pak jsou sbírány i informace o jedinečných číslech aplikací i z jiných operačních systémů (iOS, Linux, Windows aj.).

-       Místní úložiště. Dle smluvních podmínek může Google: „shromažďovat a uchovávat informace (včetně osobních údajů) v místním úložišti vašeho zařízení.“ I v tomto případě lze dojít ke stejnému závěru, jako tomu bylo u jedinečných čísel aplikací.

Problémem je dle mého názoru i ta skutečnost, že nikde v obecných smluvních podmínkách není přesně vymezeno[9], jaké umístění a především jaké zabezpečení bude službou Google využito, a tím pádem je teoreticky možné využívat úložiště jako celek. Lze získávat informace o souborech (např. jejich názvy, lokaci, a ad absurdum i hash, který bude následně porovnán např. s databází jiné služby, kde se ukládají data – např. DropBox, OneDrive aj.).

Hrozbou pro uživatele pak je dle mého názoru i možnost zneužití takto uložených dat útočníkem. Informace (které se typicky nabalují na cookies aj.) uložené v uživatelově místním úložišti se mohou stát i zajímavým cílem pro útočníka, neboť právě z těchto informací je možné zjistit např. vzorce chování uživatele.

-       Soubory cookie a podobné technologie. „Když navštívíte nějakou službu Google, používáme my i naši partneři různé technologie ke shromažďování a ukládání informací. To může mimo jiné zahrnovat používání souborů cookie nebo podobných technologií k identifikaci vašeho prohlížeče nebo zařízení. Pomocí těchto technologií shromažďujeme a ukládáme informace i v případě, kdy využíváte služby, které nabízíme našim partnerům, jako jsou reklamní služby nebo funkce Google, které se mohou zobrazit na jiných webech.“

Jaké informace sbírají aplikace fungující v rámci Android OS:

[10]

Google je na základě odsouhlasených smluvních podmínek s těmito informacemi dále oprávněn nakládat. Mimo jiné je Google oprávněn analyzovat obsah (včetně e-mailů) pomocí automatizovaných systémů. Dále je oprávněn spojovat osobní údaje z jedné služby s informacemi a osobními údaji ze služby další (využívající Google).

Nakládáním s uvedenými informacemi se pak rozumí i jejich sdílení, a to ať již se souhlasem uživatele, nebo bez tohoto souhlasu.[11] Za doslovnou citaci stojí dikce smluvních podmínek umožňující sdílení za účelem externího zpracování a z právních důvodů:

„Osobní údaje poskytujeme spřízněným společnostem, nebo jiným důvěryhodným firmám či osobám, aby je pro nás mohli zpracovat na základě našich pokynů a v souladu s našimi zásadami ochrany osobních údajů a dalšími příslušnými opatřeními ohledně důvěrnosti a zabezpečení.

 „Osobní údaje sdílíme se společnostmi, organizacemi či jednotlivci mimo společnost Google, pokud jsme v dobré víře přesvědčeni, že přístup k takovým údajům, jejich použití, uchování nebo zveřejnění jsou rozumně nutné za účelem:

• dodržení platného zákona, nařízení, právního postupu nebo vynutitelného vládního požadavku,
• uplatnění příslušných smluvních podmínek včetně vyšetření jejich možného porušení,
• zjištění, zabránění nebo jiného postupu proti podvodu, technickým potížím či bezpečnostním problémům,
• ochrany před poškozením práv, majetku nebo bezpečnosti společnosti Google, našich uživatelů nebo veřejnosti tak, jak to vyžaduje nebo povoluje zákon.“

Z pohledu bezpečnosti a ztráty anonymity však považuji za asi nejproblematičtější následující pasáž smluvních podmínek, která se věnuje uživatelskému obsahu ve službách poskytovaných Google:

„Pokud nahrajete, odešlete, uložíte nebo přijmete obsah do nebo prostřednictvím našich služeb, poskytujete společnosti Google (a subjektům, se kterými společnost Google spolupracuje) celosvětově platnou licenci k užití, hostování, uchovávání, reprodukování, upravení, vytvoření odvozených děl (například děl, jež jsou výsledkem překladu, přizpůsobení/adaptací či úprav provedených za účelem jeho lepšího fungování v rámci našich služeb)[12], komunikaci, publikování, provozování a zobrazování na veřejnosti a distribuci takového obsahu.….Licence přetrvává i poté, co přestanete naše služby používat (např. firemní zápis přidaný do služby Mapy Google). Některé služby umožňují k obsahu, který jste do služby odeslali, získat přístup nebo jej odebrat….“

Osobně se domnívám, že minimálně v této části smluvních podmínek došlo k překročení oné pomyslné hranice vymezující přiměřenost sbíraných informací o jednotlivých uživatelích. V této části de facto jde o „legální využití“ jakéhokoli obsahu, se kterým Google „přijde do styku“. Osobně se domnívám, že právě zásah do obsahu např. přenášených informací by měl být tím nejzazším možným prostředkem, a ne jakousi „samozřejmostí“ zakotvenou ve smlouvě.