| IP prawdę ci powie |
| 10 Maja 2007 |
 O tym, że numer IP pozwala w jakimś stopniu zidentyfikować internautę wie chyba każdy, zresztą wystarczy poczytać artykuły dotyczące prawa nowych technologii, które tutaj publikuje. Warto się więc zastanowić jakie tak naprawdę znaczenie dla identyfikacji ma ten numer i jak to jest z jego publikowaniem, np. pod komentarzami w Pingwinarium, na forach internetowych, itd.. I czy podając IP publicznie łamie się prawo?
Jeden z czytelników serwisu napisał komentarz (patrz: Czy Google działa legalnie?) o takiej oto treści: Uważam, że IP z którego dodano komentarz powinno być pokazywane publicznie w postaci 000.00x.xxx.000 lub coś podobnego, a całe IP powinno być dostępne dla osoby zajmującej się danym serwisem. Zmusiło mnie to do refleksji czy w pewien sposób nie naruszam prywatności osób, które postanowiły się tutaj wypowiedzieć. W pierwszej kolejności pod lupę weźmy prawo. W grę wchodzi naruszenie Ustawy o Ochronie Danych Osobowych. Ustawa o Ochronie Danych Osobowych, Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. O ile bezpośrednie ustalenie tożsamości przy pomocy samego tylko IP jest nie możliwe, gdyż numer ten przypisywany jest nie do osoby fizycznej, a do osoby prawnej (dostawcy internetu), który rozdziela przydzieloną mu pulę według własnego uznania. O tyle pośrednia identyfikacja jest już możliwa. Może to zrobić m.in. policja i prokuratura, zwracając się do dostawcy usług. Prawo Telekomunikacyjne nakłada bowiem na usługodawcę obowiązek przechowywania danych identyfikacyjnych przez okres dwóch lat. Prawo Telekomunikacyjne, Art. 165. 1. Operator publicznej sieci telekomunikacyjnej lub dostawca publicznie dostępnych usług telekomunikacyjnych przetwarzający dane transmisyjne dotyczące abonentów i użytkowników końcowych jest obowiązany, z uwagi na realizację przez uprawnione organy zadań i obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, dane te przechowywać przez okres 2 lat. Obowiązek uważa się za wykonany w przypadku gdy zaprzestający działalności operator publicznej sieci telekomunikacyjnej lub dostawca publicznie dostępnych usług telekomunikacyjnych przekaże do przechowywania dane transmisyjne innemu operatorowi publicznej sieci telekomunikacyjnej lub dostawcy publicznie dostępnych usług telekomunikacyjnych. Po upływie tego okresu, dane transmisyjne są usuwane lub anonimizowane przez operatora publicznej sieci telekomunikacyjnej lub dostawcę publicznie dostępnych usług telekomunikacyjnych, którzy je przechowują. Operator publicznej sieci telekomunikacyjnej lub dostawca publicznie dostępnych usług telekomunikacyjnych przechowujący dane transmisyjne jest obowiązany dołożyć szczególnej staranności w celu ochrony bezpieczeństwa i poufności tych danych oraz interesów osób, których dane dotyczą. Podając jednak sam numer IP nie naruszamy Ustawy o Ochronie Danych Osobowych, ponieważ jak implicite wynika z powyższego artykułu Prawa Telekomunikacyjnego dane abonentów są poufne i udostępniane TYLKO organom realizującym zadania i obowiązki na rzecz obronności, bezpieczeństwa i bezpieczeństwa publicznego. Tym samym ustalenie tożsamości użytkownika numeru IP wymaga szczególnych, nadmiernych wręcz środków, a Ustawa o Ochronie Danych Osobowych stwierdza jednoznacznie: Ustawa o Ochronie Danych Osobowych, Art. 6. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. W rzeczywistości osoba fizyczna na podstawie numeru IP jest w stanie ustalić jedynie szczegóły dotyczące dostawcy internetowego. Oto przykład: 87.207.110.243 = chello087207110243.chello.pl inetnum: 87.207.101.0 - 87.207.121.255 netname: GDANSK-CUSTOMER-CABLE descr: UPC Telewizja Kablowa Sp. z o.o. descr: chello Poland descr: Customers in Gdansk country: PL admin-c: UP94-RIPE tech-c: HMCB1-RIPE status: ASSIGNED PA remarks: Contact Adres poczty elektronicznej jest chroniony przed robotami spamującymi. W przeglądarce musi być włączona obsługa JavaScript, żeby go zobaczyć. concerning criminal remarks: activities like spam, hacks, portscans mnt-by: CHELLO-MNT source: RIPE # Filtered Wykorzystałem w nim moje IP, co udało mi się ustalić? Że korzystam z usługi zlokalizowanej w Polsce, jest to Chello, której dostawcą jest gdański oddział UPC Telewizja Kablowa Sp. z o.o., a wszelką moje działania mogące mieć charakter kryminalny należy zgłosić na adres: Adres poczty elektronicznej jest chroniony przed robotami spamującymi. W przeglądarce musi być włączona obsługa JavaScript, żeby go zobaczyć. . Dużo tych informacji. Swoją drogą zastanawia mnie dlaczego za działalność niezgodną z prawem uznano skanowanie portów (portscans)? Polskie ustawodawstwo nigdzie nie stwierdza, że jest to działanie o charakterze przestępnym. Wracając do tematu. Jak widać z numeru IP zwykły Kowalski nie ustali nic, nawet przybliżonego miejsca, z którego piszę ten post. „GDANSK-CUSTOMER-CABLE” może bowiem obejmować obszar całego województwa. Oczywiście, gdybym popełnił jakieś przestępstwo, moje namierzenie przez organy do tego uprawnione, np. osoby odpowiedzialne za Adres poczty elektronicznej jest chroniony przed robotami spamującymi. W przeglądarce musi być włączona obsługa JavaScript, żeby go zobaczyć. zajęłoby niewiele czasu. Im mniej czasu upłynęłoby od działania do jego wykrycia, tym szybciej do moich drzwi zapukałaby policja. W Wielkiej Brytanii dostawcy internetu (ISP) i innych usług telekomunikacyjnych zostali niedawno zobligowani do utworzenia specjalnych „gorących linii”. Linie te działając całą dobę mają obowiązek na wniosek policji dostarczyć w ciągu najdłużej 24 godzin wszystkie informacje dotyczące np. danego numeru IP, których się od nich zażąda. Jakie to ma znaczenie? Jak pisałem, im szybciej się działa tym lepsze są efekty. W rzeczywistości jeżeli ktoś dopuszcza się przestępstwa komputerowego, to dowody są bardzo ulotne i po kilkudziesięciu godzinach może ich już nie być. Dlatego w przypadku retencji danych liczy się nie czas przechowywania informacji (patrz: Inwigilacja w .pl?), a raczej czas reakcji. Jeżeli chodzi natomiast o samo bezpieczeństwo użytkownika, którego IP zostało opublikowane, to argumentacja jednego z czytelników: Mając pełną IPkę mogę sobie porty poskanować, zrobić DoSa, spróbować złamać hasło brute-forcem, tylko dlatego, że mi się nudzi i ktoś mi pokazał Ipka. Oczywiście, tak się może stać. Mimo to jest to dla mnie trochę absurdalna i nie zrozumiała. Żeby poskanować porty czy przeprowadzić atak DoS nie trzeba szukać IP na stronach internetowych. Równie dobrze można numer po prostu „strzelić”. To tak jak gdyby tłumaczyć, ze ludzie na ulicy powinni zakrywać twarze, bo komuś może się nudzić i „da im w mordę za samą twarz” (przepraszam za kolokwializm). Można wyłapywać IP przy użyciu dowolnego komunikatora internetowego, czy skanować sieć lokalną choćby przez nmap, o programach p2p nie wspominając. IP nie jest „towarem deficytowym”. W każdym bądź razie, serwis tworzony jest dla internautów, więc jeżeli ukrycie fragmentu IP ma wpłynąć na niego pozytywnie, to jak najbardziej jestem za. Mimo, iż pokazywanie tego numeru, moim zdaniem nie narusza prywatności w granicach ustawowych, to skoro wolą czytelników jest jego ukrycie – tak też uczynię. Prywatność w sieci to nie tylko ustawa. Na razie IP przy postach nie będzie pojawiać się wcale, do czasu aż znajdę chwilę, aby przerobić skrypt i wyświetlać tylko fragment. Cały czas jednak pełen adres IP będzie dostępny dla mnie, zresztą dzięki logom z serwera i tak widzę dużo więcej. Zapewniam jednak, że nikt po za mną nie ma wglądu w spersonalizowane informacje, itp.. Jednocześnie dziękuję za komentarze i zapraszam do współpracy przy tworzeniu serwisu. |
Powiązane: |
|---|