bezpieczeństwo

Obok wcześniejszych doniesień związanych z infrastrukturą stojącą za serwisem WikiLeaks należy odnotować, że Amazon opublikował niedawno oświadczenie, w którym podaje do publicznej wiadomości powody, dla których przestał świadczyć usługę serwisowi WikiLeaks.org. Pojawiały się wcześniej doniesienia, że Amazon zrobił to pod naciskiem władz, albo dlatego, że serwis był infrastrukturalnie atakowany, zatem Amazon zrezygnował ze współpracy. Z oświadczenia wynika, że te spekulacje były chybione, ponieważ z atakiem DDoS Amazon sobie poradził, a nacisków władz nie było. Powód zaprzestania świadczenia usługi miał być inny: WikiLeaks miał naruszyć regulamin świadczenia usługi Amazon Web Services (AWS) m.in. w ten sposób, że nie dysponował stosownym prawem korzystania z opublikowanych treści...

Po tym, jak Zarząd Transportu Miejskiego w Warszawie wprowadził spersonalizowaną kartę miejską (por. Mam cię - bo muszę) pewien mieszkaniec Warszawy wystąpił do Biura Generalnego Inspektora Ochrony Danych Osobowych w sprawie udzielenia informacji na temat zgodności z ustawą o ochronie danych osobowych przetwarzania danych osobowych przez ZTM. GIODO odpowiedział, że zasady wydawania oraz korzystania ze spersonalizowanej Karty Miejskiej zostały określone w uchwale Rady Warszawy i, że akty prawa miejscowego, takie jak uchwała rady gminy, są aktami powszechnie obowiązującego prawa. Mieszkaniec Warszawy zatem zwrócił się do GIODO ze skargą o zbadanie legalności przetwarzania swoich danych osobowych, wnosząc jednocześnie o nakazanie zaprzestania przetwarzania jego danych osobowych niezgodnie z prawem. Poinformował, iż sprawa dotyczy wymagań określonych przez ZTM przy składaniu wniosku o spersonalizowaną Warszawską Kartę Miejską, tj. podanie swego imienia, nazwiska oraz numeru PESEL, co jego zdaniem, narusza art. 51 ust. 1 Konstytucji RP. Chociaż w GIODO uruchomiono postępowanie wyjaśniające, to jednak - jak podniósł mieszkaniec Warszawy w skardze do Wojewódzkiego Sądu Administracyjnego - doszło do bezczynności, polegającej na nierozpatrzeniu skargi. W efekcie WSA w Warszawie wydał wyrok z 19 listopada 2010 r. (sygn. II SAB/Wa 220/10).

Jest już po Radzie UE. Polska opowiedziała się za poparciem wniosku dot. dyrektywy Parlamentu europejskiego i Rady w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, uchylająca decyzję ramową 2004/68/WSiSW, która przewiduje m.in. blokowanie dostępu do stron internetowych zawierających pornografię dziecięcą (por. O tym, że polski rząd poprze blokowanie stron).

23 listopada 2010 wpłynął do Sejmu rządowy projekt ustawy o podpisach elektronicznych. Wedle projektodawcy projekt ma na celu implementacje dyrektywy Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych. Cel zatem dość lakonicznie sformułowano, tym bardziej, że przecież mamy dziś ustawę o podpisie elektronicznym, która jest krytykowana, która powoduje wiele problemów prawnych, technicznych, logistycznych. To ta ustawa przecież implementowała ww. dyrektywę, a w ogólnym opisie nowego projektu nie wspomina się, że chodzi o całkowicie nowe "ułożenie" sytuacji, gdyż w wyniku przyjęcia nowej ustawy straci moc ustawa z dnia 18 września 2001 r. o podpisie elektronicznym. Takie opisy, jak w przypadku aktualnie znajdującego się w Sejmie projektu, uważam za dalece niewystarczające.

"Przedstawiciele polskiego rządu od początku prac nad projektem dyrektywy wyrażali poparcie dla przewidzianych w nim założeń (...). Blokowanie stron internetowych byłoby pomocne w zwalczaniu rozpowszechniania treści pornograficznych z udziałem dzieci w Internecie, przyczyniając się do spadku zarówno popytu, jak i podaży materiałów zawierających takie treści."

"Siedziba Wikileaks mieści się w Szwecji, więc jest problem jurysdykcji. Myślę jednak, że w sytuacji, gdy informacje przekazuje się dziś błyskawicznie przez internet, kwestię jurysdykcji można rozwiązać. Ochrona Wikileaks z tego tytułu tylko dlatego, że organizacja mieści się w Szwecji, jest wątpliwa, gdyż działają oni przecież na skalę globalną. W epoce elektronicznego przekazu trudno dziś się upierać przy fizycznej lokalizacji jako podstawie jurysdykcji"

W miniony piątek wiele z torrentowych serwisów internetowych zablokowano w wyniku działań amerykańskiego Departamentu Spraw Wewnętrznych. Na grafikach pojawiających się pod "zablokowanymi" domenami widać "pieczęci" (loga) Departamentu Sprawiedliwości oraz jednej z części Departamentu Spraw Wewnętrznych - National Intellectual Property Rights (IPR) Coordination Center (bardzo groźnie wyglądające logo, przedstawiające atakującego orła). Wedle komunikatów - domeny zostały zablokowane w wyniku postanowienia sądu dystryktowego... W komentarzach na temat tego zdarzenia pojawia się problem kontrolowania przez USA światowego systemu domenowego (DNS). Amerykanie mogą zmienić wpisy DNS dowolnej domeny, a w wyniku tego domena taka zostanie "zablokowana" (odwiedzający zostanie przekierowany zgodnie ze zmodyfikowanym wpisem DNS). Zastanawiam się, czy w ten sposób również postąpią z Wikileaks.org, w którym to serwisie właśnie ujawniane są dokumenty amerykańskiej dyplomacji...

Aż nie chce się wierzyć, że sąd może nie wiedzieć, jakie w danej chwili prawo obowiązuje. Mam też spore wątpliwości, czy sąd może oczekiwać od wydawcy elektronicznych baz danych o prawie, by cokolwiek to wydawnictwo wyjaśniało. Po prostu wydawca przygotowuję bazę, kto chce - ten kupuje. Taka baza, a raczej informacje w niej zawarte, nie mają takiej mocy prawnej, jak opublikowane w Dzienniku Ustaw lub w Monitorze Polskim przepisy. Zresztą, brzmienie przepisów publikowanych w serwisie internetowym Sejmu RP również nie przesądza o czymkolwiek. Liczą się przepisy poprawnie promulgowane (stąd tak ważna jest dyskusja o elektronicznym ogłaszaniu prawa; por. Kolejny etap informatyzacji ogłaszania aktów prawnych...). A tu nagle okazuje się, że sąd w Warszawie trafił na pewną przeszkodę w trakcie rozstrzygania...

Rok temu odebrałem spersonalizowaną kartę ZTM z nadrukiem fundacji Panoptykon "Mam cię - bo muszę". Przy tej okazji przypomniałem stanowiska Zarządu Transportu Miejskiego w Warszawie, który argumentował, że "ZTM zbiera jedynie niezbędne dane osobowe". Mówiło się też, że dane będą dobrze zabezpieczone. Ale dziś już wiadomo, że - generalnie - nie ma kontroli nad danymi gromadzonymi przy okazji wyrabiania kart miejskich (chociaż oczywiście wrocławska URBANCARD to nie to samo co karta ZTM, ale...). Wiadomo, że wrocławska Prokuratura Okręgowa wszczęła z urzędu śledztwo w sprawie podejrzenia o "kradzież bazy danych użytkowników karty miejskiej". Sztab wyborczy Prezydenta Wrocławia twierdzi, że ze spamem wyborczym nie ma nic wspólnego. Rzecznik Mennicy Polskiej oświadczył w mediach, że "nie może zapewnić, że dane wrocławian są bezpieczne i że nie wyciekły z systemu, póki tego nie sprawdzą".

W ostatnich dniach Generalny Inspektor Ochrony Danych Osobowych wypuścił dwa istotne sygnały związane z działalnością internetową. Pierwszy z nich dotyczy działalności spółki Google, a ściślej dotyczy Google Street View. Drugi zaś dotyczy działalności Facebooka. GIODO przygląda się aktywności Google już od pewnego czasu. Samo Google Street View było przedmiotem komunikatów z maja 2009 roku, które zapowiadały głębsze analizy Inspektora (por. GIODO przyjrzy się Google Street View). Jeśli chodzi o Facebooka, to przywołując kanadyjskie prace uznające jurysdykcję tamtejszego regulatora nad Facebookiem, a to za sprawą konstatacji, że 1/3 obywateli Kanady ma konto w serwisie Facebook, polski Inspektor podnosi konieczność znalezienia sposobu na objęcie jurysdykcją polską aktywności tej spółki. Przywołuje przy tym instytucję "substantial connection" z prawa anglosaskiego.