Dobre klikanie i pozyskanie - rozważania o danych Gemiusa

I jeszcze komentarze, z innych serwisów: IDG w tekście Gemius idzie na wojnę z Markiem Futregą?: "Wpis na firmowym blogu Gemiusa świadczy o tym, że konflikt z Markiem Futregą narasta. Dotychczas bloger krytykował firmę bezlitośnie, a ta pozostawała bierna. Wczoraj zdecydowała się na kontratak".

Sam Marek Futrega w swoim serwisie STEK, w notatce zatytułowanej Gemius szuka prawnika, będzie wojna: "...W tekście na blogu Gemiusa jest mowa m.in. o "włamaniach na serwery z wykorzystaniem luk i błędów programistów". W prywatnej korespondencji ze mną pobranie danych jest wprost nazywane kradzieżą i porównywane do pozbawienia kogoś materialnej rzeczy pod jego nieuwagę (równie niedorzeczne, co częste porównanie skopiowania mp3 do wyniesienie ze sklepu płyty CD). Jest też mowa o wejściu w posiadanie danych z audyt.gemius.pl bez wiedzy i zgody firmy...."
--
[VaGla] Vigilant Android Generated for Logical Assassination

Jeżeli ktoś grzebiąc w śmietniku pod bankiem znajduje dane o stanie kont klientów tego banku to jakiekolwiek dywagacje na temat ewentualnych naruszeń prawa w oczywisty i logiczny sposób obierają za swój przedmiot dany bank i jego pracowników, a nie śmieciarza.

A maiori ad minus, byłoby wobec tego zupełnie nielogiczne (a już na pewno uwłaczające zasadzie sprawiedliwości) zastanawianie się nad istnieniem podstawy prawnej w sytuacji podobnego niedbalstwa dysponenta mniej wrażliwych danych.

Mielibyśmy się bowiem zastanawiać nad odpowiedzialnością osoby, która pozyskuje dane publicznie udostępnione za pomocą środka technicznego służącego do takiego udostępniania zgodnie z techniczną naturą tego środka oraz przez samego uprawnionego (producenta) danych.

Będzie tak tym bardziej w sytuacji udostępniania danych przez podmiot zajmujący się profesjonalnie świadczeniem usług polegających na wykorzystaniu tychże właśnie technicznych właściwości, co wyklucza wszelkie przypuszczenia nieświadomego udostępnienia lub niedbałego działania w tym zakresie.

Wobec tego - zakładając prawdziwość opisanego stanu faktycznego - dywagacje nad tym, czy "pobranie danych ... było zachowaniem naruszającym obowiązujące w Polsce normy prawa karnego lub cywilnego" uważam za stratę czasu.

Oczywiście, paragraf na człowieka zawsze się znajdzie. Było już w Polsce orzeczenie, że umieszczenie linku jest rozpowszechnianiem. Nic nie stoi wobec tego na przeszkodzie w wydaniu orzeczenia, że wpisanie linku "z palca" jest wykorzystaniem "hakerskiego narzędzia".

Fakt, że artykuł naukowy nie jest cytowany w przypisach innych autorów nie oznacza jeszcze, że nie został opublikowany. To a propos linków. Nie linki prowadzące do danego materiału znajdującego się na serwerze webowym decydują czy materiał jest publicznie dostępny. Posłużyłem się przykładem artykułu niechętnie, skoro przedpiszcy odwołali się do takich analogii (otwarte samochody, śmietniki banków, etc.), które - w moim odczuciu - nie mają wiele wspólnego z problemem, o który tu chodzi (opublikowanie czegoś, co mogłoby ewentualnie być uznawane za hmm.. szeroko pojętą własność intelektualna, przy czym trzeba uwzględnić przepisy obowiązujące powszechnie w tym względzie, a dotyczące dozwolonego użytku, który w przypadku baz danych jest inaczej skonstruowany niż w przypadku prawa autorskiego), ewentualnie kwestia naruszenia tajemnicy przedsiębiorstwa (terminu definiowanego ustawowo). W Powyższej notatce opisałem tok rozumowania, który prowadzić musi do tego, by odebrać przedmiotowym danym walor tajemnicy przedsiębiorstwa, ze względu na brak przynajmniej dwóch przesłanek konstrukcyjnych: "nieujawnienie do wiadomości publicznej" oraz "co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności". Oczywiście - niewiele ma to wspólnego z otwartym samochodem.

Co do przykładu z linkiem, w którego strukturze zaszyte są parametry dostępu: stoję na stanowisku, że tego typu "zabezpieczenie" nie jest żadnym zabezpieczeniem. Proszę też pamiętać, że nie mówimy o zamkniętych drzwiach, a o sferze informacji. System prawny jeszcze nie do końca sobie radzi z paradoksem: „ochrony publicznie znanej tajemnicy”. Tego typu problemy będą coraz częstsze, tak jak coraz bardziej wyedukowane w zakresie technologii będą osoby korzystające z Sieci. Jednak nie na próżno w przypadku informacji poufnej mowa jest o kancelarii tajnej, gwarantującej określony sposób poufności/tajności, co nie dotyczy jedynie pierwszego piętra, monitorowanych studzienek, specjalnych drzwi, etc. Mowa jest w takim kontekście o polityce bezpieczeństwa uwzględniającej również bezpieczeństwo osobowe (monitorowanie dostępu do pomieszczeń, uprawnienia dostępowe do systemu, nawet to, czy administrator danych jest lub nie jest alkoholikiem, w ankietach są nawet pytania o to, kiedy ostatnio dany człowiek, który ma mieć dostęp do poufnych danych zażywał narkotyki).

Nie można - moim zdaniem - do tego tematu podchodzić w kategoriach małego dziecka, które zarzucając sobie kocyk na głowę uznaje (w swoim przekonaniu pewnie racjonalnie), że zniknęło. Dlatego właśnie wpisanie "&pass=1" nie może być, w mojej opinii, uznawane przez jakiekolwiek "włamanie". I tu również serdecznie prosiłbym o odnoszenie się do przepisów, w szczególności przyszłych komentatorów prosiłbym o pochylenie się nad stosownymi przepisami (w szczególności przepisami kodeksu karnego). Chodzi zwłaszcza o kwestie "bycia uprawnionym", oraz "przełamania ... innych szczególnych zabezpieczeń". Cały czas proszę o pamięć, że nie mówimy tu o fizycznym (realnie i geograficznie istniejącym miejscu, a o sferze bardziej ezoterycznej - o dostępie do informacji). Jeśli informacja „położona jest” na maszynie, która „wpięta jest” do infrastruktury internetu, „leży” na serwerze, którego przeznaczeniem jest zdalne prezentowanie określonych treści (w różnych warstwach- treści, prezentacyjnej, semantycznej, etc) pod wskazanym w odpowiednim polu przeglądarki adresem, to nie jestem w takim przypadku skłonny uznać, że mamy w istocie do czynienia z informacją poufną. Proszę również wyobrazić sobie sytuację, w której ktoś będzie karany za to (uwaga - przerysowuje, ale celowo), że dysponuje receptorami i korzysta z nich.

Dostałem również maile. Odniosę się do jednego z nich:

…Dlatego, jeśli nie da się jednoznaczeni określić granicy "zabezpieczone"/"publiczne", to może podejść do sprawy z innej strony? Skoro Gemius nie publikuje (linkuje) tych danych, ani nie określa ich statusu (publiczne/niepubliczne), to może należy uznać je za niepubliczne/poufne?

I tu zadam pytanie odwołując się do innej mojej notatki, którą wcześniej opublikowałem w serwisie. Czy ma być uznany za "poufny" oraz przez to ignorowany fakt istnienia zasobów, które pokazałem przy okazji notatki o serwisie Prezydenta RP (por. Uwagi do serwisu prezydent.pl)?

Mam na myśli np. poniższy zrzut ekranowy:

Czy przełamałem zabezpieczenia? Komputer, dostęp do serwisu. Fakt, że mogłem do tego "ekranu" dotrzeć musi oznaczać, że nie są to "poufne" dane. Chyba, że nie wypada krytykować sposobu wykonania serwisu internetowego Prezydenta mojego kraju. To jednak jest odrębna od poufności kwestia.

Uwagi przedstawione powyżej są aktualne również w przypadku tego, co widać na tym obrazku, chociażby Kancelaria Prezydenta była przekonana (a nie może być, gdyż już ten obrazek pokazywałem publicznie i dla pewności przesłałem webmasterowi link do komentarza), że takich efektów działania przeglądarki nie ma. One są, tak jak treści wskazane w określonym wystroju, z określonymi stylami, grafikami, etc.. są opublikowane w serwisie znajdującym się w domenie prezydent.pl

I jeszcze. Jeśli brakuje w danym serwisie linku, to przecież wystarczy zrobić taki link. Można też zrobić link do konkretnego pliku. Można wykorzystywać nowe produkty wyszukiwawcze, takie jak Google Code. I robię link (gdyby ktoś uzależniał publikację od linku): do wyniku wyszukiwania...

IDG: "Nowe narzędzie Google Code Search umożliwiło przeszukiwanie kodu źródłowego na niespotykaną dotąd skalę. Przy okazji użytkownikom udało się znaleźć wiele ciekawych fragmentów - hasła, przekleństwa oraz dziury, o których wiedzieli autorzy kodu".

Czyżby hacking?

A dam inny przykład. Czy jestem hackerem, jeśli wejdę bezpośrednio na jedną z subdomen w domenie idg.pl i tam pokaże mi się przedstawiony poniżej widok. Wyjaśniam: poniżej widać dostępne bez żadnych zabezpieczeń pdf'y z kolejnymi wydaniami pism wydawanych przez IDG. W sumie poinformowałem o tym zasobie IDG jakieś pół roku temu i sobie teraz o tym przypomniałem, a następnie sprawdziłem czy załatali tę "dziurę". Czy jest to hacking? czy podlinkowanie wprost do tego "zasobu" narazi na szkody wydawnictwo, które sprzedaje egzemplarze swojego pisma, a niektóre artykuły w serwisie, dajmy na to Computerworld, dostępne są po pewnym czasie odpłatnie? Być może tam odpłatnie, ale tu - w pełnych wersjach PDF'ów bezpłatnie.

Ale nie podam publicznie pod jakim adresem widać to, co widać, bo bardzo lubię IDG. A skąd wiem, że to tam jest? ;) Sprawdzam co jakiś czas skąd przychodzi ruch do tego serwisu. Sprawdzam też czasem hosty, które często odwiedzają moje zasoby. Ot i cała tajemnica.

Zakładam jedynie, że skoro pół roku temu powiadomiłem redakcje, że tak właśnie jest i nic się z tym nie stało, to najwyraźniej nie jest to informacja poufna, prawda? Zakładam nawet, że nie jest to poufna informacja, chociażbym nie powiadomił redakcji o tym, że to jest dostępne. Po prostu te zasoby są publicznie dostępne i tyle (nawet bez działającego linku do tych zasobów). Gdybym umieścił pobrane z tego źródła PDF'y na swoim serwerze - pewnie naruszyłbym normę prawa autorskiego. Wyżej starałem się jednak dać do zrozumienia, że dozwolony użytek baz danych i utworów w rozumieniu prawa autorskiego różni się konstrukcyjnie. Nie wszystkie też bazy danych są utworami w rozumieniu prawa autorskiego, gdyż - przykładowo - odnotowanie w jednej tabeli ile było odsłon stron w jakimś serwisie - nie ma raczej waloru działalności twórczej. Jest to proste zestawienie pewnych "faktów", które nie mogą być inne, i na które "twórca" mógł nie mieć żadnego wpływu. Jednak te ostatnie zdania piszę z pewną ostrożnością - ze względu na metodologię. Ale jeśli wyniki są zależne od autorskiej metodologii - to czy dane wynikowe są prawdziwe?

--
[VaGla] Vigilant Android Generated for Logical Assassination

To bardzo cenne, VaGla, że wzywasz do konkretnej dyskusji i przytaczania dokładnych przepisów oraz instytucji prawnych. Fakt, że przykłady ze śmieciarzami i samochodami są nikle powiązane z dyskutowanym stanem faktycznym.

Proponuję jednak nie tracić z oczu ogólnego techniczno-społeczno-ekonomicznego kontekstu prawa. Jest on bowiem taki, że protokoły Internetowe służą do publikowania a nie do ukrywania treści. Młotkiem śrub się nie wkręca i tyle. Poza tym, prawo pełni funkcję służebną w stosunku do rynku i społeczeństwa. Zarówno rynek, jak i społeczeństwo z działalności osób takich jak szukający dziury w całym majsterkowicze (hakerzy) korzystają. Rynek - bo wpływa tam więcej informacji umożliwiającej lepszą wycenę usług. Społeczeństwo - bo dzięki ujawnieniu czyjegoś niedbalstwa jesteśmy w stanie zorganizować nasze relacje bardziej korzystnie i efektywnie.

Prawo powinno takie działania nagradzać, a nie karać. Co więcej, wyżej opisany ogólny kontekst istotnie wpływa nie tylko na postulaty co do prawa, ale i na interpretację prawa obowiązującego. Jakiekolwiek zatem byśmy nie przytoczyli konkretne przepisy wcześniej musimy sobie rozważania umieścić w tym kontekście. Moim zdaniem, prowadzi to do wniosku, że wszelkie wykorzystanie podmiotowego prawa wyłącznego w celu ukrycia odpowiedzialności za lub nawet samego faktu nienależytej staranności, niewiedzy itp. byłoby po prostu niesprawiedliwe.

Ale może błądzę - naczytałem się amerykańskich kejsów, gdzie sędziowie cytują profesorów ekonomii (a poza tym np. Hamleta, Alicję w Krainie Czarów itp.). Jak na razie nie odnalazłem jednak podobnego podejścia do prawa w polskiej praktyce orzeczniczej, która skupia się raczej na cytowaniu KPC. Innymi słowy - powtarzam - nie będę zdziwiony gdy "link z palca" okaże się przełamaniem zabezpieczeń.

Na stronie Gemiusa znajduje się wzór umowy gemiusTraffic Professional. Zgodnie z tym wzorcem: Usługodawcą jest Gemius, zaś usługobiorcą przedsiębiorca zawierający z Gemiusem umowę. Elementy tej umowy są następujące (a przypuszczam, że część umów była pewnie modyfikowanym wzorcem, część pewnie jedynie wypełnionym):

§ 2 Przedmiot umowy

1. Przedmiotem niniejszej umowy jest realizacja badania na witrynie http:// ......................... należącej do Usługobiorcy.

§ 3 Nieujawnianie informacji

1. Strony zobowiązują się traktować postanowienia niniejszej umowy jako poufne. Bez uprzedniej pisemnej zgody drugiej Strony, żadna Strona nie ogłosi publicznie, ani nie ujawni informacji o technicznych ani handlowych szczegółach dotyczących umowy.

2. Dane dotyczące ruchu na witrynie stanowią Informacje Poufne i bez pisemnej zgody Usługobiorcy, z zastrzeżeniem zapisów zawartych w § 5 p. 6, nie będą ujawniane przez Usługodawcę osobom trzecim.

3. Obowiązek zachowania poufności dotyczy wszystkich pracowników umawiających się Stron, którzy będą mieli dostęp do Informacji Poufnych w związku z realizacją przedsięwzięcia, o którym mowa w § 2.

4. Ograniczenia dotyczące ujawniania Informacji Poufnych nie obowiązują w sytuacji, gdy zostaną upowszechnione w wyniku okoliczności nie naruszających postanowień niniejszej umowy oraz jeżeli wymaga tego prawo polskie.

(...)

§ 5 Prawa i obowiązki Usługodawcy
(...)
6. Usługodawca ma prawo wykorzystywać dane gromadzone w trakcie badania do celów analiz dotyczących całego Internetu lub jego wybranej części. Wyniki tych analiz prezentowane będą zawsze w postaci zagregowanej i nie pozwalającej na odtworzenie źródła danych.
(...)

Nie ma tego w opublikowanym wzorcu, jednak myślę sobie, że niejednemu z kontrahentów mogło przyjść do głowy umieszczenie klauzuli kar umownych w zawieranej umowie, na mocy której ktoś zbiera informacje na temat pozycji danej witryny (przedsiębiorstwa) na rynku internetowym. Gdyby ktoś się "włamał" i "upowszechnił", to być może byłaby to sytuacja, w której dane "zostały upowszechnione w wyniku okoliczności nie naruszających postanowień niniejszej umowy". Tu postawię może trzykropek...

--
[VaGla] Vigilant Android Generated for Logical Assassination

Bardzo ciekawe wywody prawne. Myślę, że wiele razy jeszcze przyjdzie się mierzyć prawnikom z tego typu sytuacjami i nie będą to sprawy ani łatwe ani oczywiste.

Jednak najbardziej interesuje mnie etyczna strona tej sprawy. Mówiąc po ludzku - czy jeśli p. Futrega zauważy leżący na chodniku portfel a po otwarciu okaże się, że są w nim pieniądze i dowód osobisty to czy potraktuje to jako "udostępnienie"?

A czy jeśli ktoś z nas pojedzie do Niemiec, gdzie zwyczajem było pozostawianie otwartych samochodów z kluczykami, to wykorzysta "szansę" i przejedzie się "udostępnionym" samochodem?

Rozumiem, gdyby "odkrycie" zostało dokonane przez osobę nie mającą pojęcia o Gemiusie i jego pracach. W tym przypadku jednak sytuacja do złudzenia przypomina mi "portfel z dowodem osobistym". Te dane to efekt czyjejś pracy, wysiłku i również wydanych pieniędzy. I jest to doskonale wiadome p. Futredze. Mimo to, decyduje się on na ujawnienie tych danych.

Czy nie mieliście nigdy sytuacji, że ktoś wysłał wam przez pomyłkę maila z ważną lub tajną informacją (np. umową handlową albo ofertą przetargową)? Co wtedy zrobiliście - albo co byście zrobili? Wykorzystali tę informację dla swoich celów? Sprzedali informację konkurencji?

A może odpowiedź jest oczywista...

Pozdrawiam i życzę przemyśleń.

w pierwszej chwili sadzilem ze Furtega Marek ma racje, jak zwykle gdy kogos mniejszego wiekszy trenuje prawem. Ale po chwili wydaje sie czym innym pobrac dane, by przed innymi pochwalic sie z rezultatow a zupelnie czym innym ciekawosc i szkoda ..

.. o ile internet jest ewenementem i nie wszystkie analogie z zycia mozna powielac .. o tyle pobranie w sposob nie oczywisty i upublicznienie danych wydaje sie nie do konca legalne .. tak jak zostawienie uchylonych drzwi nie pozwala wejsc bezkarnie na prywatny teren. Coz jesli wlasciciel nie zareaguje na informacje ze ma otwarte mieszkanie, to nie przywlaszcza sie jego rzeczy by zareagowal, czy nie robi fotografi "wnętrz" by za kare pokazac sasiadom.

Bowiem o ile tu krzywda nie dzieje sie Geniusowi na skutek skopiowania danych (poza oplatami za "niechciany" transfer) i wszelkie (ograniczone) proby zabezpieczen uwazam za calkiem dopuszczalne. O tyle upublicznienie moglo wyrzadzic juz szkody wyzszej wartosci. Wiec nijak nie moge sie zgodzic ze bylo to dzialanie ma pozostac bezkarne bo powodowane wrodzonymi zdolnosciami, niejako naturalne. Swoja droga gatunek "odkrytej" dziury wydaje zreszta watpliwej wartosci, jak i wielka wydaje sie byc omylnosc zarzadzajacego.

Wyrzadzenia krzywd nie mozna tlumaczyc w ten sposob, dokonanych przez zdesperowanego "odkrywce", jak nie jest dozwolone prawnie bicie mniejszych przez wiekszych.

Skoro mowa o winie to i kara .. no coz .. niewielka. Ale to juz dla profesjonalistow w prawie.

Pozdrawiam