Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

W następnej części tego rozdziału postaram się opisać, jakie informacje o użytkownikach są domyślnie zbierane przez głównych dostawców usług internetowych.[1] Wybrałem firmę Google Inc., ponieważ uważam, że istnieje minimalna liczba użytkowników, którzy nigdy nie korzystali z żadnego z produktów tej firmy (np. systemu operacyjnego Android, wyszukiwarki na stronie www.google.com, poczty Gmail, przeglądarki Google Chrome itd.)[2] Moim celem nie jest w żaden sposób "atakowanie" firmy Google Inc. lub innych firm (w tym ich produktów). Celem jest przedstawienie możliwych zagrożeń bezpieczeństwa związanych z korzystaniem z niektórych świadczonych usług oraz akceptacja warunków (EULA - End Users License Agreement), którymi obwarowane jest korzystanie z tych usług.

Warunki umowne umożliwiające korzystanie z usług danego dostawcy usług są w istocie niczym innym jak jednostronnym określeniem praw i obowiązków przez dostawcę usług (ISP). Użytkownik nie jest jednak w żaden sposób ograniczony w swoich prawach, ponieważ może zrezygnować z takich jednostronnie określonych warunków umowy. W przypadku zgody na korzystanie z takich usług można ogólnie stwierdzić, że zastosowanie mają przede wszystkim normy prawa prywatnego.

Pytanie brzmi, czy użytkownik jest rzeczywiście świadomy warunków umowy, na które się zgodził, kiedy stają się one dla niego wiążące i jaką ewentualną (prawną) ingerencję w jego podstawowe prawa i wolności człowieka stanowi taka zgoda. Innym nieuniknionym faktem jest to, że usługi świadczone w ten sposób mogą naruszać prawa i uzasadnione interesy (np. bezpieczeństwo IT, poufność danych itp.) osób trzecich (np. pracodawców itp.), które nie wyraziły wyraźnej zgody na korzystanie z danej usługi.

Teoretycznie można stwierdzić, że prawie 3 miliardy użytkowników zawarło prywatną umowę z tą firmą w ciągu całego okresu jej istnienia.[3] Smutnym faktem jest to, że bardzo niewielki odsetek użytkowników jest skłonny czytać warunki korzystania z usług.[4]

Fragmenty warunków korzystania z usług Google Inc.[5]

Google wyraźnie stwierdza, że jeśli użytkownik zaczyna korzystać z jakichkolwiek usług Google, zgadza się na obowiązujące warunki. Wyraźnie określa również relacje między użytkownikiem a nią samą jako dostawcą usług, w przypadku gdy użytkownik jest zobowiązany do zaakceptowania dodatkowych zasad i warunków. Związek ten jest wyrażony w następujący sposób: "Oferta naszych usług jest szeroka, a niektóre z nich mogą podlegać dodatkowym warunkom lub wymaganiom (w tym ograniczeniom wiekowym). Dodatkowe zasady i warunki będą udostępniane wraz z odpowiednimi usługami. Jeśli użytkownik korzysta z tych usług, dodatkowe warunki stają się częścią ustaleń umownych między stronami."

Na początku warunków Google stwierdza, że "Możemy sprawdzać zawartość witryny[6] , aby ustalić, czy jest ona legalna i zgodna z naszymi zasadami, a jeśli uznamy, że narusza ona nasze zasady lub prawo, możemy usunąć tę zawartość lub uniemożliwić jej wyświetlanie. Należy pamiętać, że powyższe nie oznacza, że weryfikujemy treści."

Z punktu widzenia bezpieczeństwa, moim zdaniem, sekcja dotycząca ochrony danych i praw autorskich stanowi istotną część Regulaminu.[7] W tej sekcji firma Google określa, jakie informacje gromadzi o użytkownikach i w jaki sposób je przetwarza. Z punktu widzenia bezpieczeństwa i "poczucia anonimowości" kluczowe znaczenie mają następujące informacje. Myślę, że deklaracja, iż poniższe informacje są gromadzone, "abyśmy mogli świadczyć lepsze usługi wszystkim naszym użytkownikom - od określania prostych rzeczy, takich jak język, którym się posługujesz, po bardziej złożone, takie jak to, które reklamy będą dla Ciebie najbardziej użyteczne, jakie osoby są dla Ciebie najbardziej interesujące na stronie lub jakie filmy na YouTube możesz polubić", jest być może godna pochwały, ale co najmniej rzuca się w oczy. Porównanie do wspomnianego wcześniej Raportu mniejszości w zakresie kierowania reklam jest aż nadto oczywiste. Co więcej, Manfred Spitzer i Cyfrowa demencja znów przychodzą mi na myśl, ponieważ po pewnym czasie to już nie ja decyduję o tym, co oglądam lub czego szukam (lub też mogę nie być i nie otrzymuję wszystkich istotnych odpowiedzi).

Google gromadzi informacje o użytkownikach zasadniczo na dwa sposoby:

1.   Informacje dostarczone przez użytkownika. Zazwyczaj obejmuje to:

-       imię i nazwisko, adres e-mail, numer telefonu lub kartę kredytową.

2.   Informacje uzyskane podczas korzystania z usług Google. Gromadzone są informacje o usługach, z których korzysta użytkownik, w tym o sposobie korzystania z nich ("na przykład, gdy ogląda on film w serwisie YouTube, odwiedza witrynę internetową, która korzysta z naszych usług reklamowych, ogląda nasze reklamy i treści lub reaguje na nie"). Jak podaje Google, obejmuje to:

-       Informacje o urządzeniu (np. model sprzętu, wersja systemu operacyjnego, unikalne identyfikatory urządzenia[8] oraz informacje o sieci komórkowej, w tym numer telefonu). Google może powiązać identyfikatory urządzenia lub numer telefonu użytkownika z jego kontem użytkownika Google

-       Informacje o protokole:

·       szczegółowe informacje o tym, jak użytkownik korzystał z Google,

·       Informacje o rejestrze połączeń (np. numer telefonu, identyfikator rozmówcy, numery przekierowania połączeń, godzina i data połączeń, czas trwania połączeń, szczegóły trasowania SMS-ów i typy połączeń),

·       Adres protokołu internetowego,

·       informacje o zdarzeniach dotyczących urządzenia (np. awarie, aktywność systemu, ustawienia sprzętu, typ przeglądarki, język przeglądarki, data i godzina żądania lub odsyłający adres URL,

·       pliki cookie, które mogą być unikatowymi identyfikatorami przeglądarki lub konta Google.

-       Informacje o lokalizacji. Firma Google jest upoważniona do gromadzenia i przetwarzania informacji o aktualnej lokalizacji użytkowników. Do określania lokalizacji Google może używać różnych technologii, takich jak adres IP, GPS i inne czujniki, które mogą dostarczać Google informacji o znajdujących się w pobliżu urządzeniach, punktach dostępu do sieci Wi-Fi i nadajnikach sieci komórkowej.

-       Unikatowe numery aplikacji. Zazwyczaj jest to numer licencji i typ (wersja) danego zainstalowanego oprogramowania. Regulamin nie oznacza, że unikatowe numery aplikacji są rejestrowane tylko w przypadku urządzeń, których głównym systemem operacyjnym jest Android. Można zatem stwierdzić, że jeśli korzysta się z usług Google, to informacje o unikatowych numerach aplikacji są zbierane również z innych systemów operacyjnych (iOS, Linux, Windows itd.).

-       Magazyn lokalny. Zgodnie z Warunkami korzystania z usługi Google może: "gromadzić i przechowywać informacje (w tym dane osobowe) w pamięci lokalnej na urządzeniu użytkownika". Ponownie można dojść do takiego samego wniosku, jak w przypadku unikalnych numerów aplikacji.

Moim zdaniem problem polega również na tym, że nigdzie w ogólnych warunkach umowy nie jest dokładnie określone[9] , jaka lokalizacja, a zwłaszcza jakie zabezpieczenia będą wykorzystywane przez Google, a zatem teoretycznie możliwe jest korzystanie z pamięci masowej jako całości. Możliwe jest pobieranie informacji o plikach (np. ich nazw, lokalizacji oraz, ad absurdum, hasha, który następnie zostanie porównany np. z bazą danych innej usługi, w której przechowywane są dane - np. DropBox, OneDrive itp.)

Moim zdaniem, zagrożeniem dla użytkownika jest także możliwość niewłaściwego wykorzystania tak przechowywanych danych przez napastnika. Informacje (zazwyczaj zapisywane w plikach cookie itp.) przechowywane w lokalnej pamięci masowej użytkownika mogą również stać się interesującym celem dla atakującego, ponieważ na ich podstawie można poznać np. wzorce zachowań użytkownika.

-       Pliki cookie i podobne technologie. "Gdy użytkownik odwiedza usługę Google, my i nasi partnerzy używamy różnych technologii do zbierania i przechowywania informacji. Może to obejmować m.in. wykorzystanie plików cookie lub podobnych technologii do identyfikacji przeglądarki lub urządzenia użytkownika. Technologie te wykorzystujemy również do zbierania i przechowywania informacji podczas korzystania przez użytkownika z usług oferowanych przez nas naszym partnerom, takich jak usługi reklamowe lub funkcje Google, które mogą pojawiać się w innych witrynach."

Jakie informacje są zbierane przez aplikacje działające w systemie operacyjnym Android:

[10]

Google ma ponadto prawo do wykorzystywania tych informacji na podstawie uzgodnionych warunków. Firma Google jest uprawniona między innymi do analizowania treści (w tym wiadomości e-mail) za pomocą zautomatyzowanych systemów. Jest również uprawniony do łączenia danych osobowych z jednej usługi z informacjami i danymi osobowymi z innej usługi (np. Google).

Obsługa tych informacji obejmuje ich udostępnianie, zarówno za zgodą użytkownika, jak i bez niej.[11] Warto przytoczyć dosłowne brzmienie warunków umownych zezwalających na udostępnianie danych do celów przetwarzania zewnętrznego i z przyczyn prawnych:

"Przekazujemy dane osobowe firmom stowarzyszonym lub innym zaufanym firmom lub osobom, które przetwarzają je dla nas zgodnie z naszymi instrukcjami i zgodnie z naszą polityką prywatności oraz innymi obowiązującymi środkami zachowania poufności i bezpieczeństwa.

 "Udostępniamy dane osobowe firmom, organizacjom i osobom spoza firmy Google, jeśli w dobrej wierze jesteśmy przekonani, że dostęp do nich, ich wykorzystanie, zachowanie lub ujawnienie jest w uzasadnionym stopniu konieczne do osiągnięcia tego celu:

·       Zgodność z obowiązującym prawem, przepisami, procedurą prawną lub egzekwowalnymi wymogami rządowymi,

·       egzekwowanie odpowiednich warunków umowy, w tym prowadzenie dochodzeń w sprawie ewentualnych naruszeń,

·       wykrywać oszustwa, trudności techniczne lub problemy z bezpieczeństwem, zapobiegać im lub w inny sposób im przeciwdziałać,

·       chronić przed naruszeniem praw, własności lub bezpieczeństwa firmy Google, jej użytkowników lub społeczeństwa w zakresie wymaganym lub dozwolonym przez prawo".

Jednak z punktu widzenia bezpieczeństwa i utraty anonimowości za najbardziej problematyczny uważam następujący fragment Warunków korzystania z usługi, który dotyczy treści zamieszczanych przez użytkowników w usługach świadczonych przez Google:

"Jeśli użytkownik przesyła, przekazuje, przechowuje lub otrzymuje treści do Usług lub za ich pośrednictwem, udziela firmie Google (oraz podmiotom, z którymi współpracuje Google) obowiązującej na całym świecie licencji na używanie, hosting, przechowywanie, reprodukcję, modyfikowanie, tworzenie dzieł pochodnych (takich jak dzieła będące wynikiem tłumaczenia, adaptacji lub modyfikacji mających na celu lepsze działanie w Usługach)[12] , komunikowanie, publikowanie, wykonywanie, publiczne wyświetlanie i rozpowszechnianie takich treści.Adres ....License jest zachowany nawet po zaprzestaniu korzystania z Usług (np. w przypadku dodania wpisu biznesowego do Map Google). Niektóre usługi umożliwiają użytkownikowi dostęp do treści przesłanych przez niego do serwisu lub ich usunięcie...."

Osobiście uważam, że przynajmniej w tej części regulaminu przekroczona została wyimaginowana granica określająca adekwatność gromadzonych informacji o poszczególnych użytkownikach. Sekcja ta dotyczy de facto "legalnego wykorzystania" wszelkich treści, z którymi Google ma "styczność". Osobiście uważam, że to właśnie ingerencja w treść np. przekazywanych informacji powinna być ostatecznością, a nie rodzajem "oczywistego" postanowienia umownego.