Rozważania o anonimowości i o przesyłaniu (niezamówionych) informacji
Zmieniają się stosunki społeczne i modele komunikowania masowego. Wobec ich zmiany konieczne jest wprowadzenie mechanizmów identyfikujących poszczególnych aktorów społeczeństwa informacyjnego. Oczywiście istnieje obawa urzeczywistnienia się wizji Orwella, jednak przeciwny postulat (postulat anonimowości) nie pozwala na realizację praw osobistych innych mieszkańców globalnej wioski. Prawo do nieotrzymywania inforamcji jest prawem podmiotowym jednostki.
Nie wiem czy wszyscy postrzegają otaczającą nas rzeczywistość w podobny sposób? Mam głównie na myśli pewne konsekwencje zmiany modelu masowego komunikowania się. Poniżej przedstawię pokrótce pewien ciąg myślowy, ciekawe ile osób nie zgodzi się z taką wizją. Z racji zainteresowań - skoncentruję się na rozważaniach dotyczących naruszenia pewnych dóbr osobistych.
Zacznijmy! Punktem wyjścia tych rozważań jest konstatacja, iż wobec rozwoju nowoczesnych metod komunikowania się na odległość możemy zaobserwować zmianę stosunków społecznych (zmiana ta następuje w skali globalnej i nie można ograniczać jej tylko do granic jednego państwa). Na naszych oczach, ale być może jeszcze w sposób mało uchwytny, następuje ewolucja (rewolucja?) informacyjna. Nie jest to proces burzliwy i związany ze spaleniem jakiejś wirtualnej Bastylii, jednak można go porównywać do procesu podobnego do rewolucji przemysłowej z XVIII i XIX wieku. W nowych warunkach znaczenie podstawowe ma informacja, nie zaś własność środków produkcji. Sama zaś informacja, oraz możliwość jej przesyłania i otrzymywania, zyskuje wartość ekonomiczną. Nawiązując do teorii cywilistycznych można powiedzieć, że prawo do "posiadania" informacji, do jej przesyłania i prawo do otrzymywania informacji ma charakter niemajątkowy, wywiera jednak skutki w sferze majątkowej.
Druga obserwacja da się sprowadzić do następujących tez: w społeczeństwie informacyjnym (czymkolwiek ono jest) zmienia się model mediów społecznego przekazu informacji. Obecnie każda jednostka może być jednocześnie "wydawcą" (nadawcą) i "odbiorcą" informacji. Nie mówię jedynie o stronach internetowych, które zakładać i ogłaszać mogą obecnie różne Zosie z "piątej be". Mam tu na myśli każde nadawanie informacji (poczta elektroniczna, komunikatory, rozsiewanie pakietów i impulsów w sieci telekomunikacyjnej, etc.). Model ten cechuje się wysoką potencjalną dynamiką zmian (w tym znaczeniu, że jednostka może być "przez chwilę" nadawcą, następnie (lub jednocześnie) odbiorcą, i znów stać się nadawcą). Taka jednostka, bez pośrednictwa klasycznych wydawców, może potencjalnie dotrzeć ze swoim przekazem do znacznie szerszego kręgu odbiorców. Dodatkowo, raz opublikowana informacja potencjalnie zaczyna żyć własnym życiem (wystarczy wskazać jako przykład archiwa Usenetu rozproszone na setkach tysięcy serwerów). Oczywiście nie należy zapominać o tych podmiotach działających na rynku, które są dysponentami infrastruktury. Co z tego, że mam potencjalnie możliwość dotarcia z przekazem do milionów odbiorców, skoro mam "przykręcony kranik" na informatycznej rurze?
Wróćmy do dóbr osobistych i teorii cywilistycznych. Oceniając dobra osobiste za pomocą przyjętego powszechnie w doktrynie kryterium obiektywnego (będącego opozycją do subiektywnego podejścia do ochrony dobra osobistego danej jednostki), a więc takiego, które odwołuje się do przyjętych w danym społeczeństwie ocen, ale biorąc też pod uwagę sygnalizowaną wyżej zmianę stosunków społecznych - zmieni się zakres "klasycznych" dóbr osobistych, w szczególności: prawa do prywatności, prawa do ochrony zdrowia psychicznego, prawa decydowania o danych na temat jednostki. W społeczeństwie informacyjnym wyraźniej niż do tej pory widać nasilający się konflikt chronionych przez system prawa wartości godnych ochrony (w szczególności konflikt pomiędzy prawem do rozpowszechniania i pozyskiwania informacji).
Wiele osób dziwi, że wolność słowa oznaczać musi również prawo do niesłuchania, gdy nie jest się zainteresowanym. Wychodzę z założenia, że prawo do niesłuchania (nieotrzymywania informacji) jest prawem podmiotowym, podobnym do praw chronionych za pomocą przepisów o mirze domowym, o ochronie zdrowia (zdrowia psychicznego) oraz o ochronie prywatności.
W obecnej chwili społeczeństwo informacyjne jeszcze się nie wykształciło. Dookoła obowiązują zasady konstruowane na gruncie poprzednich stosunków społecznych (sprzed powstania komunikacji na taką skalę, na jaką odbywa się to już w tej chwili).
Trzeba też powiedzieć, że dobra osobiste są chronione przez system prawa wielorako. Chociaż główną regulacją są przepisy kodeksu cywilnego (poprzez takie regulacje jak art. 23, 24, 43, 448 kodeksu), prawodawca wprowadza do systemu nowe przepisy. Robi to jednak w sposób niespójny i nieadekwatny. Przykładowo należy przypomnieć, że w ostatnich czasach prawodawca wprowadził do systemu tej ochrony nowe przepisy, mające w szczególności na celu ochronę przed przesyłaniem niezamówionych informacji drogą elektroniczną. Mam tu na myśli ochronę danych osobowych, wykreowanie w art. 10 ustawy o świadczeniu usług drogą elektroniczną nowego deliktu nieuczciwej konkurencji, wykroczenie z art. 24 tej ustawy, są również przepisy wymagające zgody na przesyłanie ofert i o zawieranie umów za pomocą środków porozumiewania się na odległość, umieszczone w ustawie o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny. W ostatnim czasie pojawił się również zakaz stosowania automatycznych urządzeń wywołujących w celu marketingu bezpośredniego przewidziany przez Prawo telekomunikacyjne. Wiele z tych przepisów inspirowanych jest przez art. 13 Dyrektywy Parlamentu Europejskiego i Rady Unii Europejskiej nr 2002/58 z dnia 12 lipca 2002 r. (dyrektywa w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej).
Przyjrzyjmy się klasycznym środkom ochrony dóbr osobistych, które dla uproszczenia wywodu ograniczę do środków majątkowych i niemajątkowych. Do środków o charakterze niemajątkowym zaliczamy przykładowo roszczenie o zaniechanie, roszczenie o usunięcie skutków naruszenia oraz powództwo o ustalenie. Środki o charakterze majątkowym to np. zadośćuczynienie pieniężne za naruszenie dóbr osobistych (445 k.c., 448 k.c.), oraz naprawienie szkody majątkowej przewidziane w art. 24 §2 k.c. (na zasadach ogólnych np. art. 415 k.c.)
W społęczeństwie informacyjnym klasyczne środki ochrony dóbr osobistych (w tym środki majątkowe i niemajątkowe) są nieskuteczne, zwłaszcza wobec daleko idącej anonimowości naruszyciela (lub podmiotu, który zagraża dobrom osobistym), oraz wobec powstania automatycznych mechanizmów "rozsiewających" informacje (wirusy, dialery, komputery "zombie", aplikacje automatycznie inicjujące "połączenia" w sieci telekomunikacyjnej, etc.). Pamiętajmy również o tym, że internet przekracza granice państw. Wobec zmian modelu środków społecznego przekazu nieskuteczne są instytucje odpowiedzi i sprostowania przewidziane przez prawo prasowe. Jeśli spam stanowi naruszenie prawa osobistego odbiorcy - będzie nim również przesłanie mu niezamówionej wcześniej odpowiedzi lub sprostowania.
Na świecie konstruowane są różne modele zamawiania informacji (wyrażania zgody na jej otrzymywanie). Nie można godzić się na model opt-out, którego koncepcja polega na tym, iż można przesłać do dowolnej osoby informację, zakładając, iż odbiorca będzie mógł następnie wyrazić sprzeciw przeciwko jej otrzymywaniu w przyszłości. Potencjalnych nadawców są miliony. Przyjęcie tej koncepcji zakładałoby, że odbiorca nie robiłby nic innego, jak tylko próbował się wypisać z kolejnych list wysyłkowych. Dlatego należy postulować konieczność konsekwentnego stosowania modelu opt-in - a więc modelu, który zakłada uprzednią zgodę odbiorcy na przesłanie mu informacji. Zgoda taka nie może być dorozumiana z oświadczenia o innej treści, ciężar dowodu otrzymania zgody oraz wskazanie daty takiej zgody powinien leżeć po stronie wysyłającego informacje. Przykładowo - w moim odczuciu - w ustawie o świadczeniu usług drogą elektroniczna nie udało się prawodawcy uzyskać klarownego modelu opt-in.
Pozostają również klasyczne, ale subsydiarne mechanizmy ochrony praw podmiotowych takie jak samoobrona i samopomoc, które jednak ukształtowane zostały w warunkach poprzedniego społeczeństwa. W przepisach takich jak art. 343 kc. mowa o posiadaczu lub posiadaczu nieruchomości, w art. 423 (obrona konieczna) - mowa o nieodpowiedzialność za szkodę, zaś w art. 424 kc (stan wyższej konieczności) mowa o zniszczeniu, uszkodzeniu rzeczy, zabiciu i zranieniu zwierzęcia. W przepisach tych mowa raczej o "środkach produkcji", nie o informacji jako takiej, lub o ochronie przed jej otrzymaniem. Należy zatem rozważyć zakres stosowania samopomocy również w przypadku naruszenia lub zagrożenia prawa podmiotowego do nieotrzymywania informacji drogą elektroniczną. Wynika to również z tego, iż trudno dochodzić roszczeń przed sądem w stosunku do milionów poszczególnych jednostek, które nieustannie przesyłają do nas informacje. Wobec zestawienia faktów, a więc wobec obserwowanych działań wielu nadawców, wysyłających jednostkowe, drobne komunikaty do jednego odbiorcy, którego prawa osobiste są w ten sposób zagrożone lub naruszone i przyjęcia jako jedynego rozwiązania dochodzenia roszczeń przed sądami - sądy te zostałyby zalane gigantyczną ilością bardzo drobnych spraw. Odbiorca nie ma szansy skutecznego dochodzenia roszczeń przed sądami. Wciąż trzeba pamiętać również, że w wielu przypadkach sprawca naruszenia lub zagrożenia dobra osobistego jest anonimowy, lub z racji transgraniczności Internetu - nieosiągalny dla wymiaru sprawiedliwości.
Jednym z mechanizmów samopomocy jest możliwość technicznego zablokowania otrzymywania informacji (filtry, usunięcie możliwości routingu, RBL - listy blokujące). Na tym tle pojawia się istotny problem cenzury, który konfrontowany być musi z uprawnieniami dysponowania przez uprawnionych własną infrastrukturą i prawem do jej suwerennej konfiguracji. Uprawnienia takie potwierdzone zostały już w Europie np. wyrokiem holenderskiego Sądu Najwyższego w sprawie zablokowania przez providera XS4ALL wszystkich przesyłek pochodzących z sieci jednej z firm.
Jednak, by skutecznie zablokować przesyłki - wymagana jest techniczna możliwość identyfikacji nadawcy. Nie chodzi jedynie o adres elektroniczny rozumiany jako oznaczenie systemu teleinformatycznego. Chodzi raczej o identyfikacje podmiotu, który z tego systemu, w danej chwili, korzysta. Taki postulat identyfikacji ma jeszcze jedno uzasadnienie. Wobec zmiany relacji społecznych i wobec tego, że każda jednostka może odgrywać rolę nadawcy (wydawcy) - konieczne jest wymuszenie powszechnej (w skali globalnej) identyfikacji nadawców ze względu na wskazanie osób odpowiedzialnych. Taki argument leżał u podstaw wprowadzenia wymogu zgłaszania chęci wydawania tradycyjnej prasy do sądu. Taka identyfikacja tradycyjnego wydawcy jest również realizowana poprzez obowiązek umieszczania na każdym egzemplarzu tradycyjnego periodyku tzw. impressum (a więc szeregu informacji, w tym nazwy i adresu wydawcy lub innego właściwego organu, adresu oraz imienia oraz nazwiska redaktora naczelnego, miejsca i daty wydania, itd.).
Postulat powszechnej identyfikacji aktorów społeczeństwa informacyjnego spotka się z krytyką tych wszystkich, którzy upatrują w anonimowości jeden z podstawowych mechanizmów wolności słowa (co ma praktyczne znacznie zwłaszcza w państwach totalitarnych, w których aparat represji chętnie korzysta z mechanizmów identyfikujących wypowiadające się publicznie jednostki, by - dla przykładu - tłumić niewygodne, bo prodemokratyczne wypowiedzi). Wolność słowa wymaga jednak myślenia również o odpowiedzialności za słowo i poszukiwania mechanizmów chroniących innych uczestników społeczeństwa informacyjnego.
Gdy uzna się już konieczność identyfikowania jednostek, które uczestniczą w globalnej wymianie elektronicznych komunikatów, warto zauważyć, że istnieją obecnie regulacje wymagające zapewnienia anonimowości - dla przykładu trzeba wskazać art 22 ustawy o świadczeniu usług drogą elektroniczną. Jeśli powyższy, prezentowany w niniejszym tekście sposób myślenia jest prawidłowy - takie przepisy winny zniknąć z obowiązujących aktów prawnych. Zmianie musiałaby podlegać również koncepcja administracyjnoprawnej ochrony danych osobowych, która obecnie nie gwarantuje skutecznej ochrony przed naruszeniami prawa. Najdobitniej świadczy o tym przykład wielokrotnego publikowania w Internecie, na różnych serwerach (często poza granicami kraju), za pomocą różnych usług i z wykorzystaniem różnych formatów tzw. "listy Wildsteina".
Dodatkowo, wobec tego, że każdy potencjalnie będzie wydawcą - zmianie będzie musiała ulec koncepcja ochrony prywatności - jednostki staną się osobami publicznymi przez sam fakt głoszenia publicznie (na forum globalnym) informacji. Zrewidowania wymaga - być może - uprawnienie twórcy do publikowania anonimowego lub pod pseudonimem, wynikające z prawa autorskiego. Innego podejścia wymaga również ochrona tajemnic. Powszechnie znana "tajemnica" - w istocie przestaje nią być. Nie wystarczy już, by "uprawniony" podjął działania zmierzające do ochrony pewnych informacji. Gdy informacja stanie się powszechnie dostępna (a więc działania, o których mowa, okażą się nieskuteczne) - "mleko się rozlało". Czy doprowadzi to również do zmniejszenia społecznej "wrażliwości" na naruszenia prawa do prywatności poszczególnych jednostek? Co z tajemnicą handlową, know-how, tajemnicą dziennikarską czy adwokacką?
Powstanie problem ochrony prywatności rozumianej w nowy sposób. Mam tu na myśli ochronę prywatności jednostek-nadawców w sferze niezwiązanej z ich działalnością publiczną (czyli w tej sferze, w której nie występują one jako nadawcy właśnie).
Zdaje sobie sprawę, że powszechnej identyfikacji jednostek-nadawców wprowadzić się nie da. Oczywiście stopniowo będzie się ją wymuszało (np. w warstwie sprzętowo programistycznej, przez wprowadzenie podpisu elektronicznego już na etapie inicjowania komunikatu - np. mechanizm wbudowany w serwer pocztowy), jednak pojawi się drugi obieg informacji (tworzony przez infrastrukturę rozwijaną przez podmioty niepoddające się wymogom stawianym przez poszczególne systemy prawa). Model komplikuje sygnalizowany już problem transgraniczności sieci oraz fakt, że regulacje poszczególnych państw są obecnie ze sobą niekompatybilne.
Istnieje pokusa "magazynowania" przez państwo informacji pozwalające na śledzenie poczynań tych jednostek w sieci (retencja danych telekomunikacyjnych). Na nowo trzeba rozważyć postulat zakazu stosowania cenzury prewencyjnej (trudno pogodzić z nim sygnalizowany wcześniej postulat zapewnienia prawa konfigurowania własnej infrastruktury służącej do przesyłu danych, a przecież na tę infrastrukturę składa się cała sieć wzajemnie powiązanych podsieci, których dysponentami są różne podmioty; część tej infrastruktury należy do państwa). Dla mnie cenzura prewencyjna przybiera obecnie postać stosowania algorytmów filtrujących "niepożądane" treści. Takie podejście do ochrony przed "niepożądanymi" treściami świadczy też o tym, że same organizacje państwowe przesuwają ciężar "zabezpieczania" jednostek z ochrony sądowej na rozwiązania czysto techniczne (obecnie wciąż nieskuteczne).
Zastosowanie technicznych rozwiązań uniemożliwiających przesyłanie informacji drogą elektroniczna stanie w kolizji z nakładanymi przez prawo obowiązkami rozsyłania określonych kategorii informacji, lub z obowiązkami otrzymywania takich informacji (podania, petycje kierowane do administracji publicznej i odpowiadający uprawnieniu obywateli obowiązek przyjmowania takich petycji przez poszczególne organy publicznej administracji, inny przykład to obowiązek "rozliczania się" pracodawców z ZUS drogą elektroniczną, etc.). Taka obserwacja prowadzi do wniosku, iż w wielu przypadkach nie dojdzie nawet do etapu, w którym rozważać można by wyłączenie bezprawności określonego naruszenia (zagrożenia) dobra osobistego ze względu na działanie stanowiące wykonanie uprawnienia wynikającego z przepisów prawa. Pamiętajmy, że nadal mowa jest o naruszeniu prawa osobistego polegającego na niedotrzymywaniu informacji drogą elektroniczną, gdy nie jest się zainteresowanym. Jeśli zablokuje wszelkie przesyłki - nie dojdzie (być może) do zagrożenia lub naruszenia takiego prawa osobistego. Trudno zatem mówić o wyłączeniu w tym przypadku bezprawności naruszenia (do którego właśnie nie dojdzie).
Jednak nie bądźmy naiwni. Pojawią się inne problemy, gdyż uprawiający agresywny marketing (rozumiany nie tylko jako przesyłanie informacji o charakterze handlowym, ale też marketing polityczny - w kampanii wyborczej, marketing światopoglądowy - "ewangelizacja", rekrutacja do kościołów i sekt, manipulacja informacjami giełdowymi, oszustwa, phishing, etc), będzie kierowany z sieci drugiego obiegu (pozbawionej mechanizmów identyfikacyjnych); Jednak w takim przypadku jednostka będzie mogła zablokować każdą informacje pochodzącą z nieidentyfikowalnego źródła i w ten sposób chronić swoje prawa podmiotowe.
W nowym, powstającym właśnie społeczeństwie informacyjnym konieczne jest wykreowanie nowego dobra osobistego, które (roboczo wszak) nazywam "mirem serwera", lub "mirem informacyjnym". W przypadku, gdyby takie dobro osobiste znalazło uznanie doktryny, a następnie orzecznictwa - będą miały do niego zastosowanie "klasyczne" mechanizmy ochrony dóbr osobistych - w tym niemajątkowe i majątkowe środki ochrony, ale wówczas jedynie, gdy zagrażający lub naruszający te dobro będzie możliwy do zidentyfikowania. Pozostaje wciąż problem skutecznej ochrony sądowej w sprawach naruszenia tak konstruowanego dobra osobistego. Obecnie na wyrok w sprawach o naruszenie lub zagrożenie dóbr osobistych czekać można kilka lat. Pozostaje również problem transgraniczności obiegu informacji.
Czy powyższe rozważania doprowadzają do urzeczywistnienia się wizji Orwella? By zagwarantować wolność komunikowania się jednostek oraz szeroko rozumianą wolność słowa - należy wdrożyć mechanizmy demokratycznej kontroli kontrolujących. Tylko w takich warunkach powyższe rozwiązania będą miały racje bytu. Muszą istnieć również jasne zasady prowadzenia publicznego dyskursu. Mimo, że, w moim odczuciu, prawo do prywatności jest jednym z podstawowych praw człowieka, anonimowość jednostek nie może być uzasadnieniem dla bezprawnego naruszania przez nie praw przysługujących innym podmiotom.
Na zakończenie warto wspomnieć, że niektóre "mechanizmy" obrony przed otrzymywaniem niezamówionej informacji drogą elektroniczną (spam) zostały opatentowane. Stało się tak, gdyż w niektórych systemach prawnych dopuszcza się możliwość patentowania programów komputerowych, algorytmów czy metod biznesowych. Rozszerzanie zakresu ochrony tzw. własności intelektualnej (do której obecnie należy już ochrona tajemnic) może zatem istotnie wpływać na sfere uprawnień jednostki.
Czy postulat ograniczenia anonimowości jest jedynym sposobem na ochronę przysługujących jednostce w społeczeńśtwie informacyjnym praw? Gdzie robię błąd?
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Potrzebna autoryzacja, nie koniecznie identyfikacja
Cóż - błąd dość powszechny, wynikający z tego, że na co dzień autoryzacja prawie zawsze wiąże się z identyfikacją. Podajemy jakiś login i hasło, którego znajomość (w założeniu) wiarygodnie nas identyfikuje. Możemy też złożyć podpis, odcisk palca. System stwierdza, że my to my, i na tej postawie przyznaje nam pewne uprawnienia - autoryzuje.
Wystarczy jednak rozważyć system tradycyjnej poczty - uprawnionym do skorzystania z usługi polegającej na wysłaniu listu do adresata, jest każdy, kto kupi i naklei na przesyłce odpowiedni znaczek. Nie musi się podpisywać, nie musi się legitymować przy zakupie znaczka, a bariera kosztów (które jest pomijalnie niska dla e-maila) jest.
Dlatego rozwiązaniem jest opracownie i wdrożenie takiego protokołu, który pozwala na autoryzację nadawcy bez konieczności jego identyfikowania, w miarę możliwości automatycznie, żeby chronić odbiorcę przed koniecznością "ręcznego" autoryzowania każdego żądania - tysiąc pytań "czy można?" jest tak samo uciążliwe jak tysiąc ofert podróbki Rolexa, Viagry itp.
Co jakiś czas powraca pomysł "elektronicznych znaczków", który jest prostym przeniesieniem mechanizmu tradycyjnej poczty do sieci. Niestety - zbyt prostym. Zazwyczaj mylnie kojarzarzy się "znaczki" z płaceniem pieniędzmi, co rozbija się o brak efektywnego, powszechnego i wiarygodnego systemu mikropłatności. Z resztą - w większości przypadków wymaga się w takich systemach identyfikacji, czyli wracamy do punktu wyjścia.
Dlatego w postulowanym protokole potrzeba więcej elastyczności - autoryzacja powinna być możliwa na różne sposoby. Mogłoby to wyglądać mniej więcej tak: nadawca najpierw dowiaduje się o metody autoryzacji, na które zgadza się użytkownik. Mogą to być mikropłatności, może to być identyfikacja (np. przedstawienie się podpisem cyfrowym), ale może też być inna "waluta" - poświęcenie czasu procesora na rozwiązanie "zagadki", poświęcenie czasu nadawcy na przepisanie tekstu z obrazka (dla niewidzących - tekstu mówionego) itp. Jeśli potrafi którąś obsłużyć i zgadza się na nią, to może wykonuje odpowiednie czynności i - jako zautoryzowany nadawca - może wysłać komunikat. Dzięki temu, że jedną z możliwych metod pozostanie identyfikacja, odbiorca może bez problemu stworzyć "białą listę" znajomych, którzy nie muszą ponosić żadnych dodatkowych "kosztów", żeby się z nim skomunikować.
Niebardzo wyobrażam sobie "przsiadkę" polgającą na dopisaniu do obecnych protokołów takiej - nietrywialnej - funkcjonalności. W końcu takie rozszerzenie to poprawki w aplikacjach serwerowych (np. serwerach pocztowych) i programach klienckich. Żeby przekonać producentów oprogramowania oraz w szczególności użytkowników do tak głębokiej zmiany, trzeba zaoferować coś więcej, niż tylko eliminację spamu w dłuższej perspektywie. Stąd pomysł dodania "warstwy pośredniej" - szerzej o pomyśle tutaj.
Autoryzacja nie pomoże wskazać odpowiedzialnego
Ten problem nie dotyczy jedynie poczty elektronicznej i walki ze spamem. Chociaż felieton istotnie w tytule ma nawiązanie do niechcianej korespondencji, to jednak trzeba do problemu podejść nieco szerzej. Jednym z kluczowych pytań jest problem odpowiedzialności za rozpowszechnianie jakiejkolwiek treści w jakiejkolwiek formie elektronicznej (w sumie to dziś prawie wszystko jedno czy to będzie poczta, czy też www czy usenet - media, również te "internetowe usługi", się przenikają. Wobec tego należy się oderwać od myśli jedynie o poczcie elektronicznej i zastanowić się jak walczyć metodami prawnymi np. ze zniesławieniem. Nie da się skutecznie postawić komukolwiek zarzutu, jeśli w pierwszej kolejności się go nie zidentyfikuje. Operatorzy telekomunikacyjni nie chcą przyjmować na siebie odpowiedzialności za działania użytkowników, którzy "jedynie" korzystają z ich infrastruktury. Podobnie jeśli chodzi o ośrodki contentowe (dajmy na to ten serwis, w którym pisze te słowa - chociaż uwolniłem nieco możliwość komentowania tekstów tu opublikowanych, to przecież nadal mogę ponosić potencjalną wszak odpowiedzialność za treści, które naruszają lub zagrażają dobrom osobistym osób trzecich; mimo brzmienia przepisów ustawy o świadczeniu usług drogą elektroniczną taką odpowiedzialność da się wywnioskować moim zdaniem z przepisów ogólnych kodeksu cywilnego). Nie wystarczy zatem jedynie autoryzować. Tim Berners-Lee pisze w swoim blogu: Give yourself a URI. To w prostej linii prowadzi do pełnej i globalnej identyfikacji każdego człowieka.
--
[VaGla] Vigilant Android Generated for Logical Assassination
W końcu każdy z nas jest identyfikowalny
Napisałem o autoryzacji i identyfikacji w kontekście poczty (szerzej - komunikacji), bo temat był mi najbliższy i tam najczęściej spotykałem się z błędnym twierdzeniem "do autoryzacji potrzeba identyfikacja".
Zgadzam się, że w części przypadków poruszania się w Sieci potrzebna jest identyfikacja. Chciałem tylko zwrócić uwagę, że należy zachować umiar i pamiętać, że nie zawsze trzeba klienta legitymować 8-)
Skoro w końcu potrzebna jest identyfikacja, to potrzebny jest odpowiedni system w rodzaju "podpis cyfrowego dla każdego". Ale jednocześnie trzeba pilnować, żeby identyfikacja nie była wymagana tam, gdzie nie jest potrzebna, gdzie można ją zastąpić autoryzacją.
Wystarczy poszukać odpowiednich analogii z "realu" i konsekwentnie je "przykrawać" do potrzeb Sieci. Np. dostęp tylko dla osób pełnoletnich wymaga jedynie sprawdznia wieku, ale nie numeru PESEL. W trakcie zakupów (o ile nie chodzi o nieruchomości itp.) w zasadzie identyfikacja (przez sprzedającego) też jest zbędna - płaci wiarygodny pośrednik (bank) na zlecenie anonimowego (dla sprzedającego) kupującego. Z drugiej strony - sprzedawca powinien być identyfikowalny, właśnie ze wzglęu na odpowiedzialność, kupujący powienien mieć też wiarygodny dowód zakupu. W "realnych" sklepach mamy paragon, który identyfikuje sprzedawcę i potwierdza transakcję, ale nie nie kupującego.
Co do powszechności używania podpisu przy publicznych wypowiedziach - w końcu każdy z nas jest identyfikowalny. Ale znów warto tu przywołać "real" - nawet wypowiadając się publicznie rzadko kiedy podpisujemy się legitymując dowodem osobistym. Zapewne można wypracować system, w którym w trakcie wypowiedzi pozostawia się "ślady", które pozwalają na identyfikację, ale identyfikacja na podstawie tych śladów jest trudna i/lub wymaga dostępu do chronionych danych. I tu byłoby miejsce na kontrolę kontrolujących - każdy mógłby zostać zidentyfikowany, ale dostęp do odpowiednich procedur mógłby być "reglamentowany" tak, jak np. obecnie zakładanie podsłuchów.
Linkuję dwa wątki
Tak sobie pomyślałem, że warto podlinkować tu jeden z ostatnich komentarzy: Wyznaczenie granicy jest dość trudne. Prawo autorskie i granice zdejmowania "skutecznych technicznych zabezpieczeń", ochrona przed spamem, filtry treści "niebezpiecznych" dla dzieci, ochrona tajemnic, włamania do systemów, DDoS... "To wszystko na pewnym poziomie abstrakcyjnej analizy staje się jednym i tym samym zjawiskiem: obiegiem informacji i regulacją (ograniczeń) dostępu do niej"...
--
[VaGla] Vigilant Android Generated for Logical Assassination