Neutralność sieci oraz zarządzanie siecią w oczach Europejskiego Inspektora Ochrony Danych Osobowych

Nie tak dawno, w październiku, Europejski Inspektor Ochrony Danych Osobowych Peter Hustinx opublikował swoje stanowisko w sprawie otwartego internetu i neutralności Sieci. To opinia, która dotyczy Komunikatu Komisji i na ten temat, nad którym kilka dni temu pochylał się Parlament Europejski (por. Debata Parlamentu Europejskiego na temat otwartego internetu oraz neutralności Sieci). W swojej opinii Peter Hustinx odnosił się oczywiście do problematyki praw podstawowych, ochrony prywatności i ochrony danych użytkowników końcowych, które to obszary również wiążą się z net neutrality. Dlatego warto przybliżyć tezy tej opinii.

Wdana 7 października opinia dostępna jest w Sieci: Opinion of the European Data Protection Supervisor on net neutrality, traffic management and the protection of privacy and personal data (PDF). Zainteresowani mogą też znaleźć notatkę prasową: "A serious policy debate on net neutrality must effectively address users' confidentiality of communication", says EDPS (PDF). Inspektor Hustinx postanowił odnieść się do problemu monitorowania przez przedsiębiorstwa telekomunikacyjne ruchu w Sieci, filtrowania przez nich niektórych pakietów (ze szczególnym uwzględnieniem ruchu w sieciach Peer-to-peer), a także udostępniania usług użytkownikom na preferencyjnych warunkach (a niektórym usług dostępu zdegradowanego: "limit, filter, or block Internet access or otherwise affect its performance").

Inspektor uznał, że niektóre praktyki przedsiębiorców mogą być wysoce niebezpieczne dla poszanowania praw podstawowych, w tym prawa do prywatności, ochrony danych osobowych i ochrony danych (udostępnianych i pozyskiwanych przez) użytkowników, zwracając szczególną uwagę na problem tajemnicy telekomunikacyjnej (w europejskiej debacie parlamentarnej niewielu eurodeputowanych odnosiło się do konkretów w tym obszarze, a właściwie jeśli się odnosili, to mgliście i hasłowo). Techniki, o których mowa, związane są m.in. z monitorowaniem treści przekazywanych przez użytkowników informacji (badanie, co jest na stornie internetowej, którą użytkownik ogląda, analizowanie jakie strony są odwiedzane, analizowanie odbieranej i wysyłanej poczty elektronicznej, analizowanie czasu, w którym odbywają się takie akty komunikacji). W swojej opinii Europejski Inspektor odniósł się do wdrażanych przez przedsiębiorców telekomunikacyjnych praktyk zarządzania ruchem, w szczególności w celu ochrony bezpieczeństwa komunikacji (np. przed wirusami).

Inspektor dostrzegł potencjalną możliwość, że ISP może oczekiwać różnych opłat od świadczących usługi drogą elektroniczną w sferze oferowanych treści ("content service providers"), w szczególności gwarantując im lepsze warunki połączeń (lepsza przepustowość, priorytet w transmisji ze względu na typ danych, których transmisja dotyczy, jak np. w przypadku przesyłania strumieni wideo). Dostrzegł również, że ISP potencjalnie mogą pobierać od użytkowników opłaty w różnych wysokościach, w zależności od tego, z jakiego rodzaju danych użytkownicy chcą korzystać (np. oferując dostęp z wyłączeniem możliwości korzystania z sieci P2P przedsiębiorca może chcieć pobierać niższą opłatę, niż w sytuacji, w której oferuje dostęp nielimitowany). Odnotował również, że przedsiębiorstwa wdrażają polityki w zakresie zarządzania ruchem ("traffic management policies") z innych powodów, jak np. gwarantowanie przepustowości łączy ("capacity") przez eliminowanie w swoich sieciach dostępu do treści publikowanych z naruszeniem prawa (tu m.in. o naruszeniach prawa autorskiego oraz pornografii). Europejski Inspektor jednak nie analizował samych modeli biznesowych i powodów, dla których przedsiębiorca korzysta z narzędzi zarządzania ruchem w Sieci. Zauważył tylko, że:

Increasing use by ISPs of traffic management policies could possibly limit access to information. If this behaviour became common practice and it was not possible (or highly expensive) for users to have access to the full Internet as we know it, this would jeopardise access to information and user's ability to send and receive the content they want using the applications or services of their choice. A legally mandatory principle on net neutrality may avoid this problem.

Dostrzegając pojawiające się praktyki (opinia zawiera elementy obrazujące pewien stan wiedzy Inspektora na temat technicznych aspektów monitorowania ruchu w Sieci, w szczególności na temat głębokiej inspekcji pakietów - deep packet inspection, wraz z kolejnymi niuansami w zakresie sposobu monitorowania takich pakietów: Deep packet inspection based on the analysis of protocols and on statistical records, Deep packet inspection based on the analysis of the content of the communication, w ostatnim przypadku z dostrzeżeniem problemu szyfrowania komunikatów przez użytkowników), a także dyskusje na temat net neutrality Hustinx stwierdził jednak, że rzetelna dyskusja o takiej neutralności sieci i o powyższych tematach musi uwzględniać problematykę tajemnicy telekomunikacyjnej ("A serious policy debate on net neutrality must make sure that users' confidentiality of communications is effectively protected").

Inspektor nawiązał też do innych obszarów dyskusji, np. do dyskusji na temat reklamy behawioralnej (por. m.in. Branża reklamowa zachwyca się behawioralnym targetowaniem reklam, które niepokoi Komisję Europejską oraz Kongres USA, ale sięgnij do dyskusji na temat cookies, np. przy okazji Konsultacje projektu Prawa telekomunikacyjnego (implementacja Pakietu telekomunikacyjnego w Polsce)):

...traffic management policies may seek to block some content information, or influence the communication for instance through behavioural advertising. In those cases the effects are more intrusive.

Jeśli przedsiębiorca telekomunikacyjny jedynie przesyła w swojej sieci różne informacje na temat użytkowników (i się im silniej nie przygląda, a działa niczym listonosz, który patrzy jedynie na dane ujawnione na kopercie przesyłki - w kontekście komunikacji sieciowej Inspektor posługuje się analogią koperty mówiąc o nagłówkach pakietów - IP header) - to takie działanie samo w sobie (mówić oględnie) nie powoduje konfliktów z zasadami ochrony danych osobowych, prywatności i poufnością komunikacji. Sprawa się komplikuje, gdy przedsiębiorca telekomunikacyjny stosuje różne zasady przesyłu danych w zależności od tego, co jest w "kopercie" (IP payload). Kiedyś takie analizy ruchu i działania przedsiębiorców związane z jego degradacją lub filtrowaniem nie były przez prawo europejskie w szczególny sposób regulowane. Pakiet telekomunikacyjny dodał do europejskiego systemu prawnego nowe przepisy, jak art. 8 Dyrektywy ramowej, albo art. 20, 21, 22 i 23 Dyrektywy o usłudze powszechnej (por. na ten temat: Debata Parlamentu Europejskiego na temat otwartego internetu oraz neutralności Sieci).

Niezależnie jednak od przepisów wprowadzonych przez Pakiet telekomunikacyjny problem neutralności sieci wiąże się - jak zauważa w swojej opinii Europejski Inspektor - z gwarancjami wynikającymi z art. 8 (prawo do poszanowania życia prywatnego i rodzinnego) europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. Wiąże się też z art. 7 (Poszanowanie życia prywatnego i rodzinnego) oraz 8 (Ochrona danych osobowych) Karty Praw Podstawowych UE. Poufność komunikacji chroniona jest też przez art. 5 (Poufność komunikacji) Dyrektywy 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej; ze zmianami, tu przez Dyrektywę 2006/24/WE o retencji danych lub Dyrektywę 2009/136/WE przyjętą w ramach pakietu telekomunikacyjnego, która zmieniała art 5 ust. 3 Dyrektywy 2002/58/WE).

Generalna zasada poufności komunikacji wyrażona jest w art. 5 ust. 1 dyrektywy 2002/58/WE (wytłuszczenie moje):

Państwa Członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przekazania komunikatu bez uszczerbku dla zasady poufności.

W ramach Pakietu telekomunikacyjnego przyjęto nowe brzmienie art. 5 ust. 3 ww. dyrektywy i uznano, że:

Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.

Pojawiły się wątpliwości dotyczące tego, jak dostrzegane praktyki w zakresie zarządzania ruchem odnoszą się do europejskich zasad ochrony danych osobowych, prywatności i poufności. Czy głęboka inspekcja pakietów i inne praktyki związane z dyskusją o neutralności sieci mieszczą się w sferze dopuszczania analizy ruchu ze względu na dopuszczalne przez prawodawcę europejskiego cele - samo świadczenie usługi ("delivering the service"), zabezpieczenie możliwości świadczenia usługi ("safeguarding the security of the service"), minimalizowanie skutków przeciążenia ("minimising the effects of congestion") i inne. Jak to wszystko ma się do wyraźnej zgody użytkowników na przetwarzanie danych?

Odnotujmy zatem tematy, które wydają się istotne dla regulatora ochrony danych osobowych w kontekście neutralności sieci:

• podstawa legalności przetwarzania danych osobowych przez przedsiębiorców telekomunikacyjnych w kontekście monitorowania ruchu będącego udziałem użytkowników Sieci (np. w zakresie celu przetwarzania),
• odpowiedź na pytanie: kiedy wyraźna zgoda użytkowników ("users' consent") jest niezbędna na monitorowanie ruchu użytkownika, zwłaszcza w sytuacji, w której ma związek z filtrowaniem lub blokowaniem ("filtering aims to limit access") dostępu do usług, np. P2P,
• czy i jakie potrzebne są tu wskazówki dotyczące gwarancji poszanowania prawa do prywatności, np. poprzez wskazanie granic ochrony lub ingerencji w dane, wskazanie zasad zabezpieczenia danych, itp.

Inspektor uznał, że w przyszłości może okazać się niezbędna kolejna inicjatywa legislacyjna, która miałaby wyjść na przeciw wnioskom z dyskusji na powyższy temat. Gdyby projektowano taką regulację - nowe przepisy w zakresie ochrony danych osobowych powinny wychodzić na przeciw praktycznym konsekwencjom przyjęcia zasad net neutrality, zwłaszcza w sferze dopuszczania i ochrony konsumentów w zakresie realnego wyboru usług, z których korzystają. Inspektor wręcz stwierdził, że może to oznaczać konieczność przyjęcia przepisów, które zobowiążą przedsiębiorców do oferowania również usług dostępu, które w żaden sposób nie byłyby monitorowane (tak, by użytkownicy mogli wybrać sobie również taką opcję w poszukiwaniu różnych możliwości korzystania z Sieci).

Europejski regulator zauważył w swojej opinii również, że problematyka net neutrality wiąże się również z innymi prawami podstawowymi, jak np. z problematyką prawa do pozyskiwania informacji ("access to information"), jednak tą sferę jedynie zasygnalizował, koncentrując się na ochronie prywatności.