Piw
28-10-2004, 00:57
Witam
Zostałem poproszony, jako osoba niezależna i nie związana z tym forum i czatem, o wyrażenie opinii na temat ujawniania adresu IP na forum publicznym - w aspekcie prawnym.
Z strony prawnej należy brać pod uwagę 2 ustawy:
1. Ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926) - w skrócie uodo
2. Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r., nr 144, poz. 1204) - w skrócie usude
Ponieważ jednak udostępnianie na stronie apletu java służącego do prowadzenia rozmów nie podchodzi pod świadczenie usług droga elektroniczna w myśl Art. 3. punkt 3 usude:
"Art. 3.
Przepisów ustawy nie stosuje się do:
3) świadczenia przez operatora usług telekomunikacyjnych polegających na przekazywaniu danych lub sygnałów między zakończeniami sieci telekomunikacyjnej, jeżeli przekaz ten dokonywany jest w oparciu o zasady określone w art. 12"
Art. 12.
1. Nie ponosi odpowiedzialności za przekazywane dane ten, kto transmitując dane:
1) nie jest inicjatorem transmisji,
2) nie wybiera odbiorcy danych oraz
3) nie usuwa albo nie modyfikuje danych będących przedmiotem transmisji.
2. Wyłączenie odpowiedzialności, o którym mowa w ust. 1, obejmuje także automatyczne i krótkotrwałe pośrednie przechowywanie transmitowanych danych, jeżeli działanie to ma wyłącznie na celu przeprowadzenie transmisji, a dane nie są przechowywane dłużej, niż jest to w zwykłych warunkach konieczne dla zrealizowania transmisji."
W związku z powyższym, administratorzy chata, mając dostęp do danych użytkowników (adresu IP w tym przypadku) podlegają tylko przepisom uodo.
Najbardziej interesujący nas fragment tejże ustawy to Art. 6.:
" Art. 6.
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań."
Zwracam uwagę na dwa istotne fragmenty:
1. "dane osobowe uważa się wszelkie informacje dotyczące [...] osoby fizycznej"
2. "Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się na numer identyfikacyjny..."
Posiłkując się dodatkowo definicja "urządzenia końcowego" w myśl ustawy prawo telekomunikacyjne (Art. 2.):
"urządzenie elektryczne lub elektroniczne przeznaczone do zapewniania telekomunikacji (rozumianej jako nadawanie, odbiór lub transmisję informacji jakiejkolwiek natury, w szczególności: sygnałów, znaków, pisma, obrazów lub dźwięków, za pomocą przewodów, fal radiowych bądź optycznych lub innych środków wykorzystujących energię elektromagnetyczną) lub jego podzespół przeznaczony do współpracy z siecią publiczną, dołączane bezpośrednio lub pośrednio do punktu sieci telekomunikacyjnej przeznaczonego do zapewniania użytkownikowi dostępu do sieci (zakończenia sieci publicznej)"
Czyli zdefiniujmy ponownie adres IP komputera - jest to identyfikator urządzenia końcowego w sieci opartej na protokole TCP/IP ( aby uściślić dodam, iż adres ten nie identyfikuje jednak samego komputera, sprzętu, ale jego podłączenie do sieci. Zmiana miejsca podłączenia, w zależności od topologii logicznej, może wymagać zmiany tego adresu. Sam host identyfikowany jest przez sieć na podstawie adresu fizycznego zwanego adresem MAC. )
Jak widzimy, adres IP nie jest informacją dotyczącą osoby fizycznej (fragment 1.) - przy danym urządzeniu znajdującym się w danej chwili w danym miejscu może znajdować się dowolna osoba - i adres IP w żaden sposób nie identyfikuje bezpośrednio jej tożsamości.
Pojawia się jednak pytanie związane z cytowanym fragmentem 2. Ponieważ ustawodawca formułując art. 6 ustawy o ochronie danych osobowych, posłużył się tzw. klauzulą generalną, czyli nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu, czy określone dane są danymi osobowymi, w większości przypadków nieuniknione jest dokonanie indywidualnej oceny przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby. ( opinia Głównego Inspektora Ochrony Danych Osobowych )
Stawiamy więc pytanie: Czy znając czas, oraz adres IP mogę określić tożsamości tej osoby pośrednio ?
Przyjrzyjmy się, jakie naprawdę informacje możemy uzyskać posiadając adres IP.
W Europie (jak i środkowym wschodzie, części Afryki i Azji) za rozdzielanie wolnych adresów IP odpowiedzialna jest organizacja RIPE NCC (http://www.ripe.net). Przyznaje ona duże bloki adresów dla tak zwanych LIR (Local Internet Registries), którzy rozdzielają je pomiędzy swoich końcowych klientów, lub mniejsze firmy świadczące usługi internetowe (ISP - Internet Service Provider). W Polsce przykładem LIR jest TP S.A., która przyznaje adresy albo bezpośrednio (neostrada, dsl) lub firmom (łącza Polpak).
RIPE utrzymuje również bazę danych o LIR, którym przyznała adresy (baza whois), którą każdy z nas może odpytać poprzez stronę www (http://www.ripe.net/perl/whois). Informacje w bazie są uzupełniane również przez LIR, jeżeli pewna klasa adresów została przekazana dalej innej firmie.
(czyli użytkownik sprawdzający czyjś adres neostrady, zobaczy tylko wpis o Telekomunikacji, natomiast jeżeli ta osoba będzie miała dostęp do Internetu za pomocą lokalnego providera, zobaczy on jeszcze wpis dotyczący tejże firmy)
Najważniejsze są 2 fakty dotyczące tej bazy:
1. Dane znajdujące się w niej dotyczą tylko LIR i firm poniżej - nigdy końcowych użytkowników.
2. Głównym zadaniem bazy jest utrzymanie jawności rozdzielania adresów IP, jak również udzielanie użytkownikom informacji takich jak osoba w firmie, z która można się kontaktować, jak również adres, na który można zgłaszać próby ataku z danego IP (adresy abuse).
Również próby śledzenia pochodzenia adresu IP za pomocą poleceń typu traceroute mogą najwyżej dostarczyć informacji co do miasta w którym znajduje się ostatni router (podobnej jakości informacje uzyskać można z nazw DNS i rev-DNS).
Tylko firmy odpowiedzialne za określone zakresy adresów IP są w stanie, na podstawie czasu i adresu komputera, ustalić dane osobowe osoby odpowiedzialnej za konkretny adres IP ( co jest wymagane przy postępowaniu dowodowym - są zobowiązane przedstawić te dane odpowiednim organom ).
Aby mogła to uczynić osoba postronna, musiałaby albo uzyskać nieautoryzowany dostęp do ich informacji, albo nakłonić pracowników firmy do złamania uodo - czyli zadziałać niezgodnie z prawem. (O tego typu działaniach mówi punkt 3 art. 6.: "Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań."). Pod ten rodzaj działan podchodzą rownież wszystkie próby "wyciągniecia" danych bezposrednio z komputera o danym IP.
Podsumowując powyższe stwierdzam, że ujawnienie czyjegoś adresu IP na forum publicznym nie jest złamaniem uodo.
(A nawet ujawnienie czasem jest niezbędne w przypadku, gdy ktoś chce podjąć w kierunku danej osoby kroki prawne - znieważenie lub oszczerstwa. Jest to zgodne z prawem z 2 powodów: 1) często chat nie jest logowany - nie jest to usługa podlegająca zasadom usude - wiec późniejsze uzyskanie adresu może być niemożliwe. 2) nie narusza uodo )
Pozdrawiam
Piw
Zostałem poproszony, jako osoba niezależna i nie związana z tym forum i czatem, o wyrażenie opinii na temat ujawniania adresu IP na forum publicznym - w aspekcie prawnym.
Z strony prawnej należy brać pod uwagę 2 ustawy:
1. Ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926) - w skrócie uodo
2. Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r., nr 144, poz. 1204) - w skrócie usude
Ponieważ jednak udostępnianie na stronie apletu java służącego do prowadzenia rozmów nie podchodzi pod świadczenie usług droga elektroniczna w myśl Art. 3. punkt 3 usude:
"Art. 3.
Przepisów ustawy nie stosuje się do:
3) świadczenia przez operatora usług telekomunikacyjnych polegających na przekazywaniu danych lub sygnałów między zakończeniami sieci telekomunikacyjnej, jeżeli przekaz ten dokonywany jest w oparciu o zasady określone w art. 12"
Art. 12.
1. Nie ponosi odpowiedzialności za przekazywane dane ten, kto transmitując dane:
1) nie jest inicjatorem transmisji,
2) nie wybiera odbiorcy danych oraz
3) nie usuwa albo nie modyfikuje danych będących przedmiotem transmisji.
2. Wyłączenie odpowiedzialności, o którym mowa w ust. 1, obejmuje także automatyczne i krótkotrwałe pośrednie przechowywanie transmitowanych danych, jeżeli działanie to ma wyłącznie na celu przeprowadzenie transmisji, a dane nie są przechowywane dłużej, niż jest to w zwykłych warunkach konieczne dla zrealizowania transmisji."
W związku z powyższym, administratorzy chata, mając dostęp do danych użytkowników (adresu IP w tym przypadku) podlegają tylko przepisom uodo.
Najbardziej interesujący nas fragment tejże ustawy to Art. 6.:
" Art. 6.
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań."
Zwracam uwagę na dwa istotne fragmenty:
1. "dane osobowe uważa się wszelkie informacje dotyczące [...] osoby fizycznej"
2. "Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się na numer identyfikacyjny..."
Posiłkując się dodatkowo definicja "urządzenia końcowego" w myśl ustawy prawo telekomunikacyjne (Art. 2.):
"urządzenie elektryczne lub elektroniczne przeznaczone do zapewniania telekomunikacji (rozumianej jako nadawanie, odbiór lub transmisję informacji jakiejkolwiek natury, w szczególności: sygnałów, znaków, pisma, obrazów lub dźwięków, za pomocą przewodów, fal radiowych bądź optycznych lub innych środków wykorzystujących energię elektromagnetyczną) lub jego podzespół przeznaczony do współpracy z siecią publiczną, dołączane bezpośrednio lub pośrednio do punktu sieci telekomunikacyjnej przeznaczonego do zapewniania użytkownikowi dostępu do sieci (zakończenia sieci publicznej)"
Czyli zdefiniujmy ponownie adres IP komputera - jest to identyfikator urządzenia końcowego w sieci opartej na protokole TCP/IP ( aby uściślić dodam, iż adres ten nie identyfikuje jednak samego komputera, sprzętu, ale jego podłączenie do sieci. Zmiana miejsca podłączenia, w zależności od topologii logicznej, może wymagać zmiany tego adresu. Sam host identyfikowany jest przez sieć na podstawie adresu fizycznego zwanego adresem MAC. )
Jak widzimy, adres IP nie jest informacją dotyczącą osoby fizycznej (fragment 1.) - przy danym urządzeniu znajdującym się w danej chwili w danym miejscu może znajdować się dowolna osoba - i adres IP w żaden sposób nie identyfikuje bezpośrednio jej tożsamości.
Pojawia się jednak pytanie związane z cytowanym fragmentem 2. Ponieważ ustawodawca formułując art. 6 ustawy o ochronie danych osobowych, posłużył się tzw. klauzulą generalną, czyli nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu, czy określone dane są danymi osobowymi, w większości przypadków nieuniknione jest dokonanie indywidualnej oceny przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby. ( opinia Głównego Inspektora Ochrony Danych Osobowych )
Stawiamy więc pytanie: Czy znając czas, oraz adres IP mogę określić tożsamości tej osoby pośrednio ?
Przyjrzyjmy się, jakie naprawdę informacje możemy uzyskać posiadając adres IP.
W Europie (jak i środkowym wschodzie, części Afryki i Azji) za rozdzielanie wolnych adresów IP odpowiedzialna jest organizacja RIPE NCC (http://www.ripe.net). Przyznaje ona duże bloki adresów dla tak zwanych LIR (Local Internet Registries), którzy rozdzielają je pomiędzy swoich końcowych klientów, lub mniejsze firmy świadczące usługi internetowe (ISP - Internet Service Provider). W Polsce przykładem LIR jest TP S.A., która przyznaje adresy albo bezpośrednio (neostrada, dsl) lub firmom (łącza Polpak).
RIPE utrzymuje również bazę danych o LIR, którym przyznała adresy (baza whois), którą każdy z nas może odpytać poprzez stronę www (http://www.ripe.net/perl/whois). Informacje w bazie są uzupełniane również przez LIR, jeżeli pewna klasa adresów została przekazana dalej innej firmie.
(czyli użytkownik sprawdzający czyjś adres neostrady, zobaczy tylko wpis o Telekomunikacji, natomiast jeżeli ta osoba będzie miała dostęp do Internetu za pomocą lokalnego providera, zobaczy on jeszcze wpis dotyczący tejże firmy)
Najważniejsze są 2 fakty dotyczące tej bazy:
1. Dane znajdujące się w niej dotyczą tylko LIR i firm poniżej - nigdy końcowych użytkowników.
2. Głównym zadaniem bazy jest utrzymanie jawności rozdzielania adresów IP, jak również udzielanie użytkownikom informacji takich jak osoba w firmie, z która można się kontaktować, jak również adres, na który można zgłaszać próby ataku z danego IP (adresy abuse).
Również próby śledzenia pochodzenia adresu IP za pomocą poleceń typu traceroute mogą najwyżej dostarczyć informacji co do miasta w którym znajduje się ostatni router (podobnej jakości informacje uzyskać można z nazw DNS i rev-DNS).
Tylko firmy odpowiedzialne za określone zakresy adresów IP są w stanie, na podstawie czasu i adresu komputera, ustalić dane osobowe osoby odpowiedzialnej za konkretny adres IP ( co jest wymagane przy postępowaniu dowodowym - są zobowiązane przedstawić te dane odpowiednim organom ).
Aby mogła to uczynić osoba postronna, musiałaby albo uzyskać nieautoryzowany dostęp do ich informacji, albo nakłonić pracowników firmy do złamania uodo - czyli zadziałać niezgodnie z prawem. (O tego typu działaniach mówi punkt 3 art. 6.: "Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań."). Pod ten rodzaj działan podchodzą rownież wszystkie próby "wyciągniecia" danych bezposrednio z komputera o danym IP.
Podsumowując powyższe stwierdzam, że ujawnienie czyjegoś adresu IP na forum publicznym nie jest złamaniem uodo.
(A nawet ujawnienie czasem jest niezbędne w przypadku, gdy ktoś chce podjąć w kierunku danej osoby kroki prawne - znieważenie lub oszczerstwa. Jest to zgodne z prawem z 2 powodów: 1) często chat nie jest logowany - nie jest to usługa podlegająca zasadom usude - wiec późniejsze uzyskanie adresu może być niemożliwe. 2) nie narusza uodo )
Pozdrawiam
Piw