Ze spółki wspierającej technologicznie HADOPI wyciekły numery IP

Warto odnotować incydent związany z wyciekiem danych ze spółki Trident Media Guard (TMG), która obsługuje francuski urząd HADOPI. TMG w szczególności monitorowała aktywność użytkowników sieci P2P. Zebrane dane przekazywała urzędowi, który podejmował decyzje dot. "odcinania" od Sieci. Część danych zebranych przez spółkę trafiła ponoć w niepowołane ręce. Powodem wycieku miała być luka systemu teleinformatycznego spółki. W tym sensie nie doszło do włamania, a raczej do wykorzystaniu "otwartych drzwi" (spółka jednak utrzymuje, że doszło do włamania). Tak czy inaczej - wstrzymano współpracę ze spółką, a więc francuski system "trzech ostrzeżeń" na chwilę przestał działać.

Zdarzenie jest interesujące, gdyż pokazuje kolejny aspekt kontrowersyjnego przecież pomysłu na odcinanie internautów od Sieci. Dowolny urząd nie ma wszak narzędzi technologicznych, by kontrolować wszelką komunikację elektroniczną obywateli, dlatego posiłkuje się usługami podmiotu trzeciego. Pojawia się pytanie o odpowiedzialność tego podmiotu za bezpieczeństwo gromadzonych i przekazywanych danych o takiej komunikacji. Spółka, to nie policja. To ciekawe zwłaszcza w kontekście rozważań o "prywatyzacji organów ścigania" (por. Sąd nad prywatyzacją organów ścigania).

Same przepisy, które wprowadziły we Francji urząd HADOPI (Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet), wywoływały wiele kontrowersji, co doprowadziło nawet do rozstrzygnięcia Rady Konstytucyjnej (por. Dlaczego niektóre przepisy ustawy HADOPI uznano za niezgodne z francuską konstytucją), a w jego wyniku należało raz przyjętą ustawę szybko nowelizować (por. Sarkozy nie odpuszcza, czyli HADOPI 2 przechodzi przez Zgromadzenie Narodowe).

Wyciek danych ze spółki wspierającej urząd nie jest pierwszym "skandalem" związanym z działaniem tego urzędu. Wcześniej okazało się, że sam urząd powołany do zwalczania naruszeń prawa autorskiego w Sieci ma z tym prawem autorskim problem, a to ze względu na wykorzystanie w swoim logo chronionego prawem autorskim kroju czcionki bez zgody autora (por. Prawa autorskie do czcionki a logo HADOPI).

Z wycieków WikiLeaks znamy część okoliczności forsowania ustawy HADOPI, w tym prac nad HADOPI 3 (por. Prace nad globalnym prawem własności intelektualnej w niektórych notatkach WikiLeaks). Podobne przepisy proponowano też w innych krajach (por. Hiszpańska Komisja ds Własności Intelektualnej niczym francuski urząd HADOPI i W Wielkiej Brytanii zapowiedź zmiany kierunku wahadła). Wszędzie tam istnieje problem technologiczny gromadzenia danych o komunikacji elektronicznej obywateli.

Sygnalizowany we wstępie wyciek z Trident Media Guard miał ponoć obejmować numery IP maszyn (5342 plików archiwalnych zawierających takie numery), których użytkownicy mieli być następnie przedmiotem zainteresowania HADOPI. Pozostaje problem określenia tożsamości takich użytkowników, a może się okazać, że sam numer IP nie wystarczy (por. Dyskusja o numerach IP jako danych osobowych (wyrok WSA w Warszawie) wraz z komentarzami; w tej sprawie właśnie Naczelny Sąd Administracyjny oddalił skargę kasacyjną Grupa o2 sp. z o.o. (sygnatura akt I OSK 1079/10), ale warto też pamiętać o takich rozstrzygnięciach na świecie, jak chociażby niedawny wyrok w Wielkiej Brytanii w sprawie Media CAT Limited v Adams & Ors [2011] EWPCC 6: UK Court Casts Doubt on Use of IP Addresses to Identify Individuals).

Co wyciekło z Trident Media Guard? O wycieku zahaszowanych nr IP oraz o tym, jak do nich dotrzeć m.in. w tekście Le honeypot de TMG z 13 maja, a także Affaire TMG / Hadopi : la CNIL va-t-elle enfin dire stop ? oraz Fuites de données de TMG : l'Hadopi prend l'affaire "tres au sérieux"

Rozumiem, że spółka gromadziła dane o internautach w ten sposób, że na kontrolowanych przez siebie serwerach udostępniała pliki, które następnie ktoś usiłował pobrać. Monitorując zatem ruch na serwerach gromadzili informacje o tym, kto dane pobierał. To tylko taka moja spekulacja. Jeśli tak właśnie było, to pojawia się pytanie, czy da się utrzymać teza, że pobierając dane na własny użytek osobisty (w polskim porządku prawnym - na gruncie art 23 ustawy o prawie autorskim) rzeczywiście dochodzi we Francji do naruszenia prawa autorskiego? Mnie Kancelaria Prezydenta odpowiedziała, że mogę pobierać mp3 z serwera BBN, chociaż nadal przysługuje im ochrona prawno-autorska, a były tam opublikowane na podstawie "licencji" niewymieniającej nazw utworów, ani innych ważnych - z punktu widzenia kontraktu - danych (por. Udostępniając pieśni patriotyczne w formacie mp3 ZAiKS i Prezydent zadają zagadki prawno-autorskie, Prezydenckie MP3: uzyskane dokumenty rodzą kolejne pytania oraz eMPe-trójki od władzy publicznej w Newsweeku).

5 dni temu dowiedzieliśmy się, że TMG postanowiło ścigać nieznanego im sprawcę wycieku danych. Ja pamiętam jeden polski wyrok, o którym pisałem w tekście "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection. Cóż. Warto śledzić bieg wypadków w tej sprawie.

A doniesienia na jej temat można przeczytać m.in. w następujących źródłach:

• Francja: śledzenie piratów wstrzymane po wycieku
• Net pirate monitoring firm hacked
• Hackers hit French ‘piracy’ monitoring firm
• Anti-P2P Group Hacked, France Suspends “Three-Strikes”
• French 3 Strikes Suspended Due To Anti-Piracy Security Alert
• French three strikes activity suspended after alleged data leak, say reports
• France Halts ‘Three Strikes’ IP-Address Collection After Data Leak
• France's TMG takes legal action against hacker of IP addresses
• TMG sues "hacker" of P2P pirates' IP addresses