ePrivacy (τα χρωστούμενα)

Με την ψηφοφορία στην Ολομέλεια να απέχει μόλις 24 ώρες, ας τα δούμε λίγο πιο αναλυτικά.

Στα τέλη του 2007, η Ευρωπαϊκή Επιτροπή ξεκίνησε την διαδικασία αναθεώρησης του λεγόμενου πακέτου τηλεπικοινωνιών: οδηγίες που ρυθμίζουν την αγορά υπηρεσιών Κοινωνίας της Πληροφορίας (ΚτΠ), εκ των οποίων μία αφορά ειδικά την ιδιωτικότητα των Ευρωπαίων χρηστών — το λεγόμενο ePrivacy directive του 2002 [pdf].

Η πρόταση πήγε στο Ευρωκοινοβούλιο για επεξεργασία στις αρμόδιες επιτροπές και ψήφιση στην Ολομέλεια — η μερίδα του λέοντος στην επιτροπή Εσωτερικής Αγοράς (IMCO) και το σκέλος της ιδιωτικότητας στην επιτροπή Ελευθεριών (LIBE). Η πρόταση της Κομισιόν για το ePrivacy εξαντλούταν πρακτικά στην εισαγωγή της υποχρεωτικής κοινοποίησης παραβιάσεων ασφάλειας (breach notification requirement) για παρόχους υπηρεσιών τηλεπικοινωνίας. Είναι μια ανεπεξέργαστη μορφή της ιδέας που εφαρμόζεται ήδη σε πολιτειακό* επίπεδο στις ΗΠΑ (την αρχή έκανε η Καλιφόρνια το 2003), και εκτιμάται ότι έχει βοηθήσει στην βελτίωση της ασφάλειας των διαδικτυακών συναλλαγών, σπάζοντας τα φράγματα στη διάχυση σχετικής πληροφορίας και “εσωτερικεύοντας” μια εξωτερικότητα που η αγορά από μόνη της δεν έχει επαρκές κίνητρο να αντιμετωπίσει.

Breach notification: εκπτώσεις

Η πολιτική διελκυστίνδα ξεκίνησε όταν ο φιλελεύθερος εισηγητής στη LIBE, Αλεξάντερ Άλβαρο υπέβαλε τροπολογίες που εν μέρει ενίσχυαν και εν μέρει ξεδόντιαζαν την πρόνοια του breach notification. Επέκτεινε την υποχρέωση σε παρόχους ΚτΠ γενικά και έδωσε στις Εθνικές Αρχές τη δυνατότητα να κάνουν ελέγχους ασφάλειας, αλλά επέτρεψε στις εταιρίες να αποφασίζουν εκείνες ποιές παραβιάσεις είναι αρκετά σοβαρές ώστε να χρήζουν κοινοποίησης (“Σε περίπτωση σοβαρής παραβίασης… που είναι πιθανό να προκαλέσει βλάβη στους χρήστες” [Τροπολογία 13]). Το επιχείρημα του Άλβαρο ήταν ότι: (α) ο βομβαρδισμός των χρηστών με συνεχή notifications, για επεισόδια που στην πλειοψηφία τους δεν θέτουν σε κίνδυνο τα προσωπικά τους δεδομένα θα οδηγούσε σε απευαισθητοποίησή τους σχετικά με αυτά τα θέματα, (β) το κόστος των κοινοποιήσεων θα λειτουργούσε εντέλει κατά του ανταγωνισμού, ανεβάζοντας τα barriers to entry για τους μικρούς παίκτες.

Ενώ το πρώτο επιχείρημα έχει βάση, το δεύτερο δεν είναι ιδιαίτερα πειστικό. Η βοηθός του Άλβαρο, Μίριαμ Σεπς, ομολογεί ότι δεν στηρίζεται σε κάποια δημοσιευμένη έκθεση ή γνωμοδότηση ειδικών, αλλά σε αιτιάσεις stakeholders (ή όποιο άλλο συνώνυμο προτιμάτε). Κι αν ακόμα υποθέσουμε ότι ο Γερμανός ευρωβουλευτής δεν είχε τους πόρους ή τον χρόνο να πάρει αξιόπιστες γνωματεύσεις, θα μπορούσε τουλάχιστον να είχε δανειστεί κάποιες από τις σχετικές προβλέψεις των αμερικανικών νόμων (για εναλλακτικούς τρόπους κοινοποίησης σε περίπτωση μεγάλου κόστους), αντί να πάει να κάψει και τα χλωρά μαζί με τα ξερά.

IP: Είναι προσωπικά δεδομένα;

Ο Άλβαρο πρόσθεσε και δύο τροπολογίες που θα έκλειναν συνοπτικά ένα θέμα που συζητιέται καιρό στις Βρυξέλες [pdf] και καίει αρκετές IT εταιρίες. Αφορά το νομικά ομιχλώδες πλάισιο που διέπει σήμερα την συλλογή, διαχείριση και αποθήκευση δεδομένων κίνησης (traffic data), όπως οι IP διευθύνσεις των χρηστών.

Σύμφωνα με το Data Protection Directive του 1995, τα δεδομένα αυτά προστατεύονται ως προσωπικά, όταν μπορούν να οδηγήσουν — άμεσα ή έμμεσα — στην ταυτοποίηση ενός χρήστη. Τα δικαστήρια ερμηνεύουν αυτήν την πρόνοια κατά περίπτωση, και χωρίς απόλυτα εναρμονισμένα κριτήρια**, πράγμα που σημαίνει ότι από τη σκοπιά των υπηρεσιών ΚτΠ, όλα τα δεδομένα κίνησης πρέπει να θεωρούνται καταρχήν προσωπικά και προστατευόμενα από τις υπόλοιπες προβλέψεις της αρκετά αυστηρής οδηγίας του ’95.

Όταν το νομικό στάτους διεργασιών που βρίσκονται στην καρδιά του επιχειρηματικού σου μοντέλου είναι αμφίβολο, δεν κοιμάσαι πολύ καλά το βράδι. Δεν είναι καθόλου παράλογο λοιπόν που μεγάλες εταιρίες της παγκόσμιας IT αγοράς (ενδεικτικά: Google, Symantec) διεκδικούν την άρση της αβεβαιότητας με κάποια σαφέστερη (και προφανώς πιο permissive) κοινοτική οδηγία. Αλλά ο Άλβαρο επιχείρησε να τις απαλλάξει από το άγχος με έναν μάλλον ατσούμπαλο τρόπο.

Πρώτα, με μια τροπολογία που κρίνει τις IP προσωπικά δεδομένα μόνον όταν μπορούν να οδηγήσουν άμεσα στην ταυτοποίηση χρήστη:

Traffic data within the meaning of this Article are also personal data within the meaning of Article 2 of Directive 95/46/EC when the data concerned, whether alone or in conjunction with other data, relate to an individual directly identifiable by the data controller.

Με δεδομένο ότι οι περισσότερες IP διευθύνσεις ορίζονται σήμερα δυναμικά (άρα είναι μόνο έμμεσα ταυτοποιήσιμες), η τροπολογία Άλβαρο ανοίγει την πόρτα στην προοπτική κανονικού ηλεκτρονικού φακελώματος μέσω του ενός δεδομένου που ο μέσος χρήστης φοράει στο κούτελό του σε κάθε διαδικτυακή βόλτα — είτε το θέλει είτε όχι.

Κατά δεύτερον, με μια τροπολογία που δυνητικά επιτρέπει σε ένα σωρό φυσικά ή νομικά πρόσωπα να επεξεργάζονται τέτοια δεδομένα (ακόμα κι όταν θεωρούνται προσωπικά βάσει τις παραπάνω τροπολογίας), με πρόσχημα την ασφάλεια των επικοινωνιών:

Traffic data may be processed by any natural or legal person for the purpose of implementing technical measures to ensure the security of a public electronic communication service, a public or private electronic communications network, an information society service or related terminal and electronic communication equipment. Such processing must be restricted to that which is strictly necessary for the purposes of such security activity. (Τροπολογία 130)

Ο συμβιβασμός

Στις τροπολογίες του Άλβαρο αντέδρασαν τόσο ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων Πίτερ Χιούστινξ, ο οποίος είχε νωρίτερα γνωματεύσει υπέρ του αρχικού κειμένου της Επιτροπής [pdf], όσο και πολλά μέλη της LIBE, ακόμα και μέσα από την φιλελεύθερη ομάδα (με πρωταγωνίστρια την αγαπημένη της ελληνικής μπλογκόσφαιρας, Σόφι Ίντφελντ). Η επιτροπή δεν υιοθέτησε τις επίμαχες τροπολογίες τον Ιούλιο, και ξεκίνησε μια διαδικασία διαπραγμάτευσης, απόρροια της οποίας ήταν το προχτεσινό κείμενο. Να δούμε λίγο τι λέει:

Για το breach notification:

A breach of security resulting in the loss or compromising personal data of a subscriber or individual may, if not addressed in an adequate and timely manner, result in substantial harm to users. Therefore, the national regulatory authority or other competent national authority should be notified by the relevant service provider of every security breach without delay. The competent authority should determine the seriousness of the breach and should require the relevant service providers to give an appropriate notification without undue delay to the persons affected by the breach, as appropriate. Furthermore, and in cases where there is an imminent and direct danger for consumers’ rights and interests (such as in cases of unauthorized access to the content of e-mails, access to credit card records, etc.), the relevant service providers should, in addition to the competent national authorities, immediately notify affected users directly. Finally, providers should annually notify affected users of all breaches of security under this Directive that occurred during the relevant time period. The notification to the national authorities and to users should include information about measures taken by the provider to address the breach, as well as recommendations for the protection of the users affected.

Η Εθνική Αρχή (στη δική μας περίπτωση η ξεδοντιασμένη ΑΠΠΔ) παίζει το ρόλο του μεσάζοντα, ώστε να αποφεύγεται η πλημμύρα κοινοποιήσεων στους χρήστες. Στο τέλος της χρονιάς, οι χρήστες έχουν πρόσβαση σε ένα κατάλογο όλων των παραβιάσεων ασφάλειας, οργανωμένο κατά εταιρία. Είναι ο συμβιβασμός που προώθησε ο σκιώδης εισηγητής της σοσιαλιστικής ομάδας και αντιπρόεδρος της LIBE Σταύρος Λαμπρινίδης. Μάλλον δεν θα αρέσει στους ακραιφνείς φιλελεύθερους και κάποιους έμπειρους χρήστες, αλλά δεν είναι κι άσχημος.

Ο συμβιβασμός ενέχει ένα gambit από την πλευρά των σοσιαλιστών: την εκτίμηση ότι το Συμβούλιο μπορεί να βρει το κόστος της ρύθμισης υπερβολικό (φανταστείτε πόσο θα πρέπει να αυξηθεί η χρηματοδότηση της ΑΠΠΔ, για να κάνει αυτή τη δουλειά σωστά) και να ταχθεί υπέρ της αρχικής πρότασης της Επιτροπής (κοινοποίηση κάθε breach στους χρήστες, χωρίς μεσάζοντες, μα και μου). Η διαδικασία της συναπόφασης, που απαιτεί τη συναίνεση των Συμβουλίου και Κοινοβουλίου, δημιουργεί γόνιμο έδαφος για τέτοια παιχνίδια.***

Ο συμβιβασμός περιλαμβάνει και μια τροπολογία της τελευταίας στιγμής, που εξαιρεί από την υποχρέωση της κοινοποίησης (στους χρήστες) όσους παρόχους έχουν πείσει την Εθνική Αρχή ότι τα ευαίσθητα δεδομένα που διαχειρίζονται είναι επαρκώς κρυπτογραφημένα.

Notification of a security breach to a subscriber or individual shall not be required if the provider has demonstrated to the competent authority that it has implemented appropriate technological protection measures, and those measures were applied to the data concerned by the security breach. Such technological protection measures shall render the data unintelligible to any person who is not authorized to access the data.

Η πρόβλεψη είναι καταρχήν λογική και δημιουργεί ισχυρό κίνητρο για την κρυπτογράφηση όλων των ευαίσθητων προσωπικών δεδομένων. Ανάλογη υπάρχει στους περισσότερους σχετικούς πολιτειακούς νόμους στις ΗΠΑ. Αλλα όπως σωστά επισημαίνει ο cosmix, χρειάζεται ξεκάθαρες, πανευρωπαϊκές προδιαγραφές. Σε αντίθεση με τις ΗΠΑ (όπου η NSA κάνει καλά αυτή τη δουλειά, μεταξύ παράνομων υποκλοπών), κάτι τέτοιο δεν υπάρχει σήμερα στην ΕΕ.****

Για τις IP:

IP addresses are essential to the working of the internet. They identify network participating devices, such as computers or mobile smart devices by a number. Considering the different scenarios in which IP addresses are used, and the related technologies which are rapidly evolving, questions have arisen about their use as personal data in certain circumstances. The Commission should therefore conduct a study regarding IP addresses and their use and present such proposals as may be appropriate.

Εδώ έχουμε παραπομπή στις καλένδες, με απαλοιφή τόσο της ρύθμισης, όσο και της υποχρέωσης σχετικής νομοπαρασκευής, που ζητούσε μια ενδιάμεση έκδοση της τροπολογίας (τώρα ζητάει απλώς μελέτη). Αυτός ο συμβιβασμός αποδείχτηκε πολύ δυσκολότερος, αφού ο Άλβαρο προσπαθούσε να περάσει κάτι σχετικό στο τελικό κείμενο μέχρι την τελευταία στιγμή. Πάντως, αν και τεχνικά ορθό, το wording παραπέμπει λίγο στο επιχείρημα της Google υπέρ της εξαίρεσης των IP από το καθεστώς των προσωπικών δεδομένων: “They identify … devices.”

Η τροπολογία 130 επίσης άλλαξε προς το καλύτερο. Αντί του προβληματικού “Traffic data may be processed by any natural or legal person for the purpose of implementing technical measures to ensure the security of…”, τώρα λέει “traffic data may be processed for the legitimate interest of the data controller for the purpose of implementing technical measures to ensure the network and information security, as defined by…”

Εδώ η παρέμβαση του Χιούστινξ την τελευταία βδομάδα ήταν πιθανότατα καθοριστική. Δική του πρόταση ήταν η μικροαλλαγή που έκλεισε το παράθυρο στις αυθαιρεσίες, ικανοποιώντας ταυτόχρονα τα λογικά αιτήματα των ΙΤδων. Αξίζει να διαβάσετε το τελευταίο του memo, όχι μόνο για να καταλάβετε καλύτερα τους κινδύνους που έκρυβε η αρχική μορφή του κειμένου, αλλά και για να εκτιμήσετε την πολιτική και θεσμική αξία του Επόπτη.

Το σκιάχτρο Ολιβέν

Υπάρχουν και κάποια ακόμα ανοικτά θέματα που το κοινό κείμενο της LIBE δεν αντιμετωπίζει, γιατί είναι στην δικαιοδοσία της επιτροπής Εσωτερικής Αγοράς (IMCO). Είναι οι τροπολογίες Harbour (ο αρχι-εισηγητής του νέου πακέτου) που προκάλεσαν την καλοκαιρινή έκρηξη των ευρωπαίων κυβερνοακτιβιστών και τις υπερβολές για σοβιετικά ιντερνέτς, κλπ. Στο μάτι του κυκλώνα είναι κάποιες φαινομενικά αθώες τροπολογίες που ενθαρρύνουν τη συνεργασία της βιομηχανίας περιεχομένου και των ISPs για την εμπέδωση του σεβασμού της πνευματικής ιδιοκτησίας στο ίντερνετ, μέσω μηνυμάτων κοινής ωφέλειας, κλπ. Οι ακτιβιστές βλέπουν τις τροπολογίες σαν Δούρειο Ίππο για την πανευρωπαϊκή εφαρμογή της διαβόητης πρότασης Ολιβέν [pdf – fr], που προσπαθεί να περάσει ο Σαρκοζί στη Γαλλία και αποδοκιμάστηκε μάλλον ξεκάθαρα από το Ευρωκοινοβούλιο τον περασμένο Απρίλιο. Ο Χιούστινξ δεν βλέπει κακή πρόθεση, αλλά δέχεται ότι οι επίμαχες τροπολογίες αφήνουν ανοικτά τέτοια σενάρια τρόμου και προτείνει αλλαγές. Δεν ξέρω αν ο Χάρμπουρ θα ενσωματώσει κάποιες (πιθανό) ή όλες (μάλλον απίθανο) τις προτάσεις του Επόπτη στο τελικό κείμενο που θα τεθεί προς ψήφιση στην Ολομέλεια αύριο Τετάρτη. Κοντός ψαλμός.
 

[Με την ευκαιρία, θέλω να ευχαριστήσω και από δω τη Σοφία Αστεριάδη, το Σταύρο Λαμπρινίδη, τη Μαίρη Ματσούκα, τις Μαρία και Τίνα Παναγιώτου και τη Μαρία Παπαδά για την οργάνωση της επίσκεψης στις Βρυξέλες στις αρχές του μήνα, το υλικό*****, τις εξαιρετικά χρήσιμες συζητήσεις και το συνεπές follow-up]

* Όχι ακόμα σε ομοσπονδιακό, αφού όλα τα σχετικά νομοσχέδια παραμένουν κολλημένα στη Γερουσία.

**Cum grano salis: γράφει ο εκπρόσωπος της Google στις σχετικές συζητήσεις.

*** Για την ιστορία, η Επιτροπή φαίνεται να μην έχει πειστεί ότι η πρότασή της χρειαζόταν αλλαγές. Στη συνάντησή μας, πριν δύο βδομάδες στις Βρυξέλες, ο εκπρόσωπος του επιτρόπου δικαιοσύνης και ασφάλειας Μπαρό άφηνε να εννοηθεί ότι δεν είναι και πολύ ικανοποιημένοι με τις εξελίξεις. Λίγες μέρες νωρίτερα, η επίτροπος τηλεπικοινωνιών, Βιβιαν Ρέντινγκ, γκρίνιαζε για το ίδιο θέμα.

**** Βέβαια, το Υπουργείο Ανάπτυξης μπορεί να μην το χάλαγε το ενδεχόμενο να γίνει η Ελλάδα safe harbor για ιντερνετικές υπηρεσίες με αναιμικά συστήματα ασφάλειας, αλλά αυτό είναι άλλο θέμα.

***** Μιλώντας για υλικό, να μην ξεχάσω και μια γκρίνια για τις σελίδες της LIBE στο Ίντερνετ. Ξέρουμε ότι έγινε ένα ενδιαφέρον hearing για το στάτους των IP διευθύνσεων και τις υποχρεώσεις των μηχανών αναζήτησης στα τέλη του περασμένου Ιανουαρίου, μια κρίσιμη συνεδρίαση-ψηφοφορία με θέμα τις προτάσεις Άλβαρο στις αρχές του καλοκαιριού, και παρακολουθήσαμε ζωντανά την συζήτηση για ένα κοινό κείμενο στις 8 Σεπτεμβρίου. Αλλά από πρακτικά τίποτα — λες κι η επιτροπή έχει να συνεδριάσει από τον Νοέμβριο του 2007. Νοτ γκουντ.

—Yorgos

Αυτό το άρθρο δημοσιεύτηκε Tuesday, 23 September, 2008 στις 2:52 pm. Τη σχετική συζήτηση μπορείτε να την παρακολουθήσετε είτε από αυτήν τη σελίδα, είτε χρησιμοποιώντας κάποιον news aggregator (RSS 2.0). Ο σχολιασμός έχει κλείσει, μπορείτε ωστόσο να σχολιάσετε μέσω trackback από το δικό σας ιστοχώρο.