Przepisy o retencji danych wchodzą w życie.

Jakiś czas temu pisałem o rozporządzeniu w sprawie retencji danych, jak można się było spodziewać, weszło ono w życie.

VaGla komentuje sprawę szerzej, natomiast mnie interesują zmiany, które zostały wprowadzone, z punktu widzenia administratora sieci ethernetowej.

Przede wszystkim pojawiło się piękne, wieloznaczne słowo lub. Chodzi o §6 rozporządzenia. Port sieciowy (na dodatek o zmienionej definicji), został przeniesiony z dotychczasowego punktu 1 d) w brzmieniu adres IP i numer wykorzystywanego portu sieciowego do punktu 1 f) w brzmieniu identyfikator zakończenia sieci, w którym użytkownik końcowy uzyskał dostęp do Internetu, w szczególności identyfikator cyfrowej linii abonenckiej DSL (Digital Subscriber Line), numer wykorzystywanego portu sieciowego lub adres MAC urządzenia końcowego inicjującego połączenie.

Czyli jeśli logujemy MAC adres (oczywiście nikt nie bierze pod uwagę, że po pierwsze to się zmienia, po drugie sporo kart zintegorwanych nie ma swojego natywnego MAC, po trzecie, że MAC adresy potrafią się – nawet sprzętowo – powtórzyć, ale nie wymagajmy za wiele), to nie trzeba logować portu.

Kolejna sympatyczna (w zasadzie nieunikniona) zmiana, to §14, mówiący o sześciomiesięcznym okresie dostosowawczym dla tych, którzy w dniu wejścia w życie nie spełniają wymagań rozporządzenia. Wejście w życie nie zostało zmienione – był nim 1 stycznia 2010 r.

Czyli ci, którzy nie spełniają wymogów rozporządzenia, mają przed sobą pracowite pół roku.

Szkoda tylko, że rozporządzenie nadal nie jest jasne. Część rzeczy wyjaśnia (albo zaciemnia) dopiero uzasadnienie. Przykładowo, jeśli chodzi o pocztę elektroniczną napisano Odnośnie usługi poczty elektronicznej podkreślić należy, że ustawa zalicza do usług telekomunikacyjnych przekazywanie poczty elektronicznej, a nie usługę poczty elektronicznej.

Zapraszam do uwag, szczególnie prawników i administratorów „osiedlówek” i sieci radiowych, zarówno tych większych, jak i tych mniejszych.

Retencja danych – przepisy wykonawcze.

Ustawa nakazująca operatorom przechowywanie danych o połączeniach istnieje od dawna, ale do tej pory dostawcy internetu robili, co mogli/chcieli, bo przepisów wykonawczych nie było. Wszystko wskazuje na to, że niebawem się to zmieni, bo Minister Infrastruktury przygotowuje rozporządzenie w tej sprawie. I nie wygląda ono różowo, szczególnie dla mniejszych ISP, opierających się o sieci ethernetowe, a ich także – obok dostawców telefonii i poczty elektronicznej – dotyczy.

Projekt rozporządzenia Ministra Infrastruktury w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymania i przechowywania, o którym piszę, można przeczytać w całości na stronach Ministerstwa Infrastruktury, podobnie jak dołączone do niego uzasadnienie. Gorąco polecam lekturę obu tych pism przed czytaniem reszty wpisu, a na pewno przed komentowaniem.

Pisać będę z punktu widzenia najbliższego mi, czyli dostawcy internetu i tylko na temat dostarczania usługi internetowej. Pocztę elektroniczną i telefony całkowicie pomijam, choć zdanie administratorów – szczególnie serwerów pocztowych – także mnie interesuje i zapraszam do komentowania.

Przede wszystkim wygląda, że ustawodawca albo zapomniał o istnieniu i zasadach działania sieci opartych o ethernet, albo w ogóle nie zdaje sobie sprawy, w jaki sposób one działają. Ruch w obrębie sieci rozgłoszeniowej w takiej sieci zamykać się może w obrębie jednego przełącznika. Switche są różne, ale nawet te zarządzalne rzadko kiedy oferują wsparcie dla logowania czegokolwiek wymaganego w ustawie. O logowaniu połączeń między użytkownikami dostawcy korzystający ze switchy niezarządzalnych mogą całkiem zapomnieć. Oczywiście, można podzielić sieć na mniejsze (dla każdego użytkownika osobna sieć), ale w ten sposób po pierwsze bardziej obciąża się router, po drugie traci się największą zaletę takiej sieci, jaką jest decentralizacja ruchu lokalnego.

W rozporządzeniu brakuje definicji połączenia. O ile w przypadku telefonii sprawa jest dość oczywista i można ją traktować „na chłopski rozum’, o tyle w przypadku Internetu nie jest tak prosto, szczególnie, że istnieją protokoły bezpołączeniowe. Czy każdy pojedynczy wysłany pakiet traktować wówczas jako połączenie? Co traktować jako rozpoczęcie połączenia? Co jako zakończenie połączenia? W której warstwie modelu OSI należy badać połączenie?

Zauważyć należy, że rozporządzenie wprowadzać ma obowiązek logowania portów. W uzasadnieniu można przeczytać, że dotychczasowa praktyka wskazuje, że obecnie w większości przypadków operatorzy posiadają te dane i nie są one specjalnie generowane w celu retencji ale nie wierzę, że mowa w tym przypadku o portach. O ile większość mi znanych małych ISP jest w stanie określić IP użytkownika i ew. aktywność o zadanej porze, o tyle z portami sprawa ma się zupełnie inaczej (faktem jest, że służby praktycznie nigdy o to nie pytają).

Błędem jest też zapis, że port sieciowy określa rodzaj usługi komunikacyjnej w sieci teleinformatycznej. Istnieją oczywiście pewne zalecenia i standardy, ale port ani nie definiuje usługi, ani usługa nie definiuje portu. Nie ma żadnego problemu w wykorzystaniu nietypowego portu dla danej usługi, co więcej, stosunkowo często jest to stosowane (choćby jako redukcja zagrożenia ze strony skanerów szukających podatności w danych usługach).

Ciekawe jest też wymaganie określenia momentu nawiązania połączenia i rozłączenia z Internetem, także w przypadku adresacji statycznej. Oczywiście definicji Internetu brakuje… Co w przypadku popularnego wśród mniejszych operatorów DHCP, gdzie rozpoczęcie owszem, łatwo określić, ale koniec już nie bardzo…

Ostatnia niefortunna rzecz to – moim zdaniem – termin, od kiedy rozporządzenie miałoby zacząć obowiązywać. Planowaną datą jest bowiem 1 stycznia 2010 r., co praktycznie nie daje mniejszym operatorom możliwości dostosowania się do niego, także po doprecyzowaniu ww. nieścisłości.

Szczerze mówiąc, ciekaw jestem opinii, szczególnie administratorów mniejszych, opartych o ethernet sieci, na temat tego projetku. Chętnie też poznam uwagi na temat ew. błędów w mojej interpretacji ww. rozporządzenia.

 

 

Cenzura w sieci.

Niedawno z niepokojem przeczytałem artykuł o „filtorwaniu i blokowaniu” polskiego internetu. Pomysł blokowania nie jest nowy – chodzi o zablokowanie części ruchu, co w ten czy inny sposób jest robione od dawna – jednak tym razem nie chodzi o aspekty techniczne (jak np. blokada ruchu charakterystycznego dla wirusów i trojanów czy spamu), tylko o blokadę po treści.

Zawsze, gdy widzę konieczność nadzoru z zewnątrz, zamiast odpowiedzialności osoby publikującej treści (i skutecznego jej ścigania), odnoszę wrażnie, że chodzi o wielką ściemę. Taka kontrola po pierwsze niesie ze sobą duże ryzyko nadużyć i korupcji (a jeśli chodzi o neutralność nie ufam żadnej, ani polskiej, ani nawet unijnej instytucji, nie mówiąc o różnych firmach czy ich związkach). Powodów nie trzeba daleko szukać – choćby delikatna manipulacja przez zamieszczenie tłumaczenia, które tłumaczeniem nie było może dawać obraz podejścia instytucji.

Dodatkowo, trzeba zwrócić uwagę na sprytne argumenty przy ograniczaniu wolności i zastraszaniu zwykłych ludzi. W przypadku wszechobecnych kamer itp. rolę tę pełnią terroryści (IMO terrorysta zagraża bardziej politykom, niż szaremu obywatelowi, no i jakże jest medialny). Trudno zastraszyć obywatela terrorystą w sieci, więc sięgnięto po co? Oczywiście po dzieci i pedofilię. Problem, który moim zdaniem spokojnie można by skutecznie ścigać bez cenzury, ale czy tak naprawdę instytucjom państwowym zależy na czymś innym niż tylko na zdobyciu społecznego przyzwolenia na cenzurę, za którym pójdą uregulowania prawne (i technologiczne) pozwalające na cenzurowanie czegokolwiek? Wątpię. Rząd boi się ludzi i informacji, których nie kontroluje, a opór przeciw ograniczeniu wolności łatwo będzie negować zarzucając wspieranie pedofilii każdemu, kto się na cenzurę nie zgodzi (argument emocjonalny, z którym trudno polemizować). Albo się mu prewencyjnie zrobi kontrolę (przecież na pewno ma treści, bo ich broni!) i zabierze na rok czy dwa sprzęt komputerowy. W państwie prawa takie rzeczy się zdarzają, przykład niżej.

Drugim krokiem, po wydzieleniu różnych rodzajów treści i wprowadzeniu możliwości ich filtrowania, jest oczywiście wprowadzenie opłat za dostępy do określonych treści czy usług. Mając tak piękne narzędzie lobby producentów rozrywki na pewno będzie dążyło do wymuszenia na państwie „ochrony” swoich interesów, a Internet, z wolnego medium dołączy do mediów kontrolowanych przez państwo. Nierealne? Biorąc pod uwagę ostatnie działania w sprawie odsiebie.com (dead link, domena przejęta), nie mam takiego wrażenia. Państwo używa siły (w stosunku do człowieka, z którym jak najbardziej możliwy był dialog, z tego co czytałem), nadużywa władzy i to tylko w sprawie tej jednej firmy – firm hostingowych jest wiele, o podobnym charakterze – przynajmniej kilka. Tylko pewnie inne nie próbują nawet współpracować w zakresie ochrony praw autorskich i pobierają opłaty…

Oczywiście natura nie znosi próżni, więc im silniejsze działania w stronę cenzurowania, tym silniejsze sięganie po różnego rodzaju narzędzia omijające cenzurę. Nie ma się co oszukiwać, przestępcy będą z nich korzystali jako pierwsi (zarówno z nakładek na istniejący Internet, jak i z różnych projektów tworzących w różny sposób zdecentralizowane sieci). Niestety, zwykły człowiek chcący walczyć aktywnie z cenzurą w sieci, musi mieć świadomość tego, że nie tylko do zacnych celów jego działalność będzie wykorzystywana (tak jest, jeśli ktoś uruchomi węzeł tora, to nie tylko do omijania chińskiej cenzury będzie on wykorzystywany). Ale IMO za wolność warto zapłacić nawet tę cenę, jaką jest ułatwienie działań przestępcom.

A wszystko dlatego, że rządy boją się własnych obywateli i aktywnie (oraz całkiem niepotrzebnie) ingerują w rynek… Nie wiem czemu, ale kłóci mi się to z wizją demokracji.

Adres IP jako dane osobowe.

W ostatnich dniach GIODO zaszalał nieco i przyczepił sie do blox.pl w sprawie publikowanych adresów IP, że niby są to dane osobowe. Szerzej pisał o tym Dziennik Internautów. Zdania na ten temat są oczywiście podzielone. Przeczytać można wypowiedź prawnika, który twierdzi, że IP to nie dane osobowe. Tymczasem prawda leży – jak to często bywa – pośrodku.

Z jednej strony oczywistym jest, że adres IP to żadna dana osobowa (i – moim zdaniem – GIODO się wygłupił, jeśli z pełną powagą postawił taki zarzut). Tak samo daną osobową nie jest pozycja geograficzna (niebawem również wysyłana przeglądarką), kod pocztowy, samo imię, numer telefonu. Niemniej, w określonych okolicznościach, każda z tych danych może jednoznacznie określać osobę. Wystarczy mieszkać w odpowiednio odludnym miejscu czy mieć wystarczająco mało popularne imię, by można było na ich podstawie jednoznacznie określić osobę.

Jednak co innego wymagania prawne, a co innego dobre praktyki. W jakim celu pokazywać cały adres IP niezalogowanego komentującego wszystkim (także niezalogowanym)? Po co ułatwiać określenie tożsamości osoby, jeśli ta wyraźnie tego nie chce? Tym bardziej, że nie są w tym przypadku równo traktowani wszyscy. Użytkownicy Neostrady są – z racji wymuszanej co 24h zmiany IP – znacznie bardziej anonimowi, niż użytkownicy kablówek o względnie stałych (tygodnie, miesiące) IP.

Rozumiem, że administrator serwisu czy ew. właściciel bloga mogą mieć dostęp do tych danych (a nawet powinni – choćby do celów moderacyjnych, poza tym właściciel łatwo może wstawić odpowiednie narzędzia pokazujące adres IP, albo i znacznie więcej na stronę), ale jakie znaczenie dla pozostałych ludzi ma to, czy ktoś podpisujący się Anonim łączy się z adresu 100.101.102.103, czy z 100.101.102.*. a nawet z 100.101.*.*? Żadne, dopóki nie chce się go namierzyć. A namierza się zwykle w dwóch przypadkach: aby zrobić kuku nielegalnie (wszelkie kwestie plotkarsko-mobbingowo-przestępcze), lub zrobić kuku legalnie (np. komentujący złamał swoim komentarzem prawo). Przy czym w tym drugim przypadku powinna robić to policja/prokuratura i im adres IP na widoku nie jest potrzebny.

Dlatego uważam, że świetnie sprawa adresów IP jest potraktowana w serwisie Hattrick. Dla reszty użytkowników widoczne są jedynie pierwsze dwa oktety adresu IP (czyli widać 100.101.*.*) adresu IP. Resztę widzą (zapewne) administratorzy i moderatorzy.

Świadomość mechanizmów działania internetu i pozostawianych śladów o sobie jest w społeczeństwie nikła (mam wrażenie, że na szczęście dla wielu moderatorów). Lekkomyślne podejście do anonimowości (tej małej, pozornej, na potrzeby ukrycia się przed sąsiadem/współpracownikiem, bo dla policji/prokuratury anonimowi nie są) użytkowników owocować będzie raczej wzrostem popularności narzędzi typu tor, które ułatwiają ukrycie tożsamości na znacznie większą skalę.

Administratorzy blox.pl powinni pamiętać o przytoczonym numerze telefonu (który też daną osobową tak po prostu nie jest, choć może pozwalać na jednoznaczne zidentyfikowanie danej osoby). Praktycznie każdy operator pozwala na jego niepokazywanie innym użytkownikom, przy zachowaniu pełnej informacji o numerze dla siebie. Wydaje mi się, że byłoby dobrze, gdyby adresy IP były traktowane podobnie. Poza warstwą techniczną nie muszą być publicznie widoczne.