BLOG

História

Po tom, ako Európska Únia celoplošne presadila zákon o vynucovanom archivovaní hlavičiek akejkoľvek komunikácie všetkých telekomunikačných operátorov (tzv. „data retention law“, na Slovensku implementovaný ako zákon o elektronických komunikáciách napadnutý pred dvomi mesiacmi ako protiústavný) umožňujúci zhromažďovanie (a tým pádom aj vystavenie potenciálnemu zneužitiu) veľkého množstva citlivých informácií o všetkých používateľoch telekomunikačných služieb, prichádza tentokrát s úplne opačným zákonom – zákonom, ktorý celoplošne vynucuje ochranu súkromia všetkých občanov EU na Internete, tzv. „cookie“ zákon. Proces tejto novej EU direktívy bol naštartovaný 26. mája 2011, v tomto čase bola vo Veľkej Británii aktualizovaná tiež regulácia o Elektronickej komunikácii a ochrany súkromia, ktorá sa uvedenou direktívou pretavila do britského zákona. Každá krajina EU by uvedenú direktívu mala integrovať do svojich lokálnych zákonov. 26. mája 2012 uplynula ročná „doba odkladu“, kedy prevádzkovatelia portálov vo Veľkej Británii mali zabezpečiť úpravu svojich webových aplikácií s cieľom splniť súlad s uvedeným zákonom, nakoľko po tomto termíne bude vynucovaný s rizikom pokuty až do pol milióna libier. Väčšina webových aplikácií vo Veľkej Británii uvedený súlad momentálne vôbec nespĺňa. Uvedená regulácia tiež spustila boom nových webových a právnických firiem pomáhajúcich s úpravou webových aplikácií, tak aby boli v súlade s uvedenou legislatívou.

Čo je to EU „cookie“ zákon?

Cieľ „cookie“ zákona je celoplošne v rámci EU vynútiť, aby webové aplikácie vyžadovali „explicitný súhlas“ od svojich návštevníkov v prípade ukladania akýchkoľvek informácií na strane prehliadača (netýka sa to len samotných HTTP „cookies“ ale aj Flashu, HTML5 lokálneho úložiska apod.). Je možný aj implicitný súhlas, ale len v prípade, že používatelia webových aplikácii „porozumejú“ svojím akciám, ktoré budú mať za následok nastavenie samotných „cookies“. Bez tohto používateľského „porozumenia“ prevádzkovatelia alebo vlastníci webových aplikácií jednoducho nemajú informovaný súhlas a nemôžu sa spoliehať na to, že ich používatelia si prečítali „privacy policy“ (politiku ochrany osobných údajov), ktorú majú napríklad problém pochopiť. V prípade, že prevádzkovatelia alebo majitelia webových aplikácií (nie je úplne jasné, kto je za to vlastne zodpovedný) nesplnia túto zákonnú reguláciu, tak im hrozí pokuta (závislá od konkrétnej legislatívy, v prípade Veľkej Británie až pol milióna libier).

Názor odbornej verejnosti

Uvedená regulácia znie nadmieru veľkodušne a pozitívne obzvlášť pre ľudí, ktorí si vážia vlastné súkromie a sú presvedčení o tom, že by to mali robiť aj ostatní.

Aj napriek tomu, že zdieľam podobný názor a som presvedčený o tom, že väčšina ľudí by mala lepšie dbať o svoje súkromie a osobné údaje, pokladám celoplošne vynucovanie vo forme uvedeného „cookie“ zákona za viac ako škodlivé a rozviniem ďalej potenciálne negatívne dôsledky samotného zákona. Tie pozitívne sú totiž väčšine (odbornej verejnosti) viac ako jasné.

Negatívne následky vyplývajúce z EU „cookie“ zákona:

1. Ak daná webová stránka/aplikácia, ktorá vyžaduje explicitný súhlas od používateľov bude kompromitovaná (hackermi) a to takým spôsobom, že „cookies“ budú pre návštevníkov nastavované automaticky a „potichu“ (t.j. bez „súhlasu“), prevádzkovateľ/vlastník tejto stránky/aplikácie môže byť stíhaný za porušenie uvedenej regulácie a automaticky pokutovaný (vo Veľkej Británií až do výšky pol milióna libier). Pár ľudí z bezpečnostnej komunity argumentuje, že toto je naopak správne, lebo vzhľadom na uvedené riziko, budú odteraz všetci viac dbať o bezpečnosť svojich aplikácií. Bohužiaľ toto vnímam ako veľký problém, lebo bezpečnosť „pre všetkých“ môže byť veľmi drahá. Pre komplexné aplikácie prevádzkované nekomerčnými a neziskovými organizáciami môže byť podstatne viac akceptovateľné vysporiadať sa s pár očakávanými „hackmi“ počas roka ako investovať veľa peňazí (ktoré prirodzene nemajú) na podstatné zvýšenie bezpečnosti ich aplikácií. Môže to teda znamenať, že kvôli uvedenému zákonu budú penalizovaní práve tí, ktorí si nemôžu dovoliť investovať do bezpečnosti (EU „cookie“ zákon to nijako špeciálne nerozlišuje).
   Investovať do bezpečnosti musí byť totiž z ekonomického hľadiska výhodné (t.j. „cost-effective“).

2. EU “cookie“ zákon znamená zvýšené náklady na strane vlastníkov alebo prevádzkovateľov webových aplikácií, nakoľko musia svoje aplikácie upraviť tak, aby boli v súlade s daným zákonom.

3. Schválenie a následné vynucovanie uvedeného „cookie“ zákona bude stáť veľa peňazí všetkých daňových poplatníkov, nakoľko EU úradníci musia zabezpečiť vynucovanie tohto zákona – kontrolovať, či všetky webové stránky sú v súlade s týmto zákonom a ak nie, tak notifikovať ich vlastníkov alebo prevádzkovateľov, a pokým danú aplikáciu neopravia, tak im vyrubovať pokuty alebo ďalej súdne stíhať. Celý tento proces môže byť veľmi nákladný.

4. Uvedený zákon je nespravodlivý a výrazne zasahuje do slobodného a dobrovoľného rozhodovania internetových používateľov. Prečo by ľudia, ktorým nezáleží na ochrane vlastného súkromia mali prispievať svojimi daňami na celoplošné vynucovanie ochrany súkromia všetkých ďalších ľudí? V súčasnej dobe existuje nespočetné množstvo rôznych „pluginov“ do súčasných prehliadačov, ktoré výrazne zvyšujú ochranu súkromia každého, kto o to stojí. Nainštalovať uvedený plugin na zvýšenie osobnej ochrany je úplne jednoduché a možné realizovať úplne zadarmo. Ak drvivá väčšina ľudí nemá problém s prístupom na stránky, ktoré nevyžadujú explicitný súhlas so zbieraním informácií o nich a robia to napriek tomu dobrovoľne, je nemorálne okrádať všetkých daňových poplatníkov a uvedené peniaze používať na vynucovanie tohto zákona.

   Klasický argument, ktorý často počujem zo strany bezpečnostnej komunity je, že väčšina ľudí si nie je vedomá rizík vyplývajúcich z používania rôznych internetových aplikácií a preto máme ako komunita odborníkov právo presadzovať zákon o celoplošnom vynucovaní ochrany súkromia a všetkých nezodpovedných používateľov celoplošne chrániť.

   Toto právo podľa mňa ale nemáme a to, že do uvedenej problematiky vidíme, nám to právo vôbec nedáva. Podobné ako hlboká znalosť škodlivých vecí pre naše telo nedáva právo lekárskej komunite presadzovať zákon, ktorý bude celoplošne zakazovať pitie alkoholu, fajčenie cigariet alebo chodenie do „fast foodov“. Lekárska komunita má ale právo realizovať osvetu s cieľom poukázať na všetky riziká nesprávneho stravovania a užívania drog. Podobne komunita venujúca sa ochrane súkromia má právo robiť osvetu týkajúcu sa zvyšovania bezpečnostného povedomia a ochrany súkromia na Internete.

   Globálne vynucovanie „cookie“ zákona pre všetkých ľudí (za peniaze tých, ktorí s tým nikdy nesúhlasili) pokladám preto osobne za nesprávne.

Na záver si predstavme hypotetickú situáciu, keby náklady uvedenej „cookie“ regulácie boli priamo premietnuté koncovým používateľom za používanie daných internetových aplikácii (vynucovanie uvedeného EU zákona nás zrejme bude stáť ročne milióny eur).

Každý používateľ Internetu v EU by sa mohol dobrovoľne rozhodnúť medzi dvomi možnosťami:

1. Buď zaplatí 50 centov v prípade, že chce pristupovať do „bezpečnej“ webovej aplikácie, kde má garantované, že aplikácia bude vyžadovať explicitný súhlas na ukladanie akýchkoľvek informácií o jeho osobe.

2. Nezaplatí úplne nič a bude pristupovať do „bežnej“ webovej aplikácie, kde nemá žiadne garancie týkajúce sa explicitných súhlasov so sledovaním informácií o jeho osobe (môže sa ale spoliehať na reputáciu danej webovej aplikácie alebo jej vlastníkov).

Prenechávam na samotného čitateľa, ako by sa väčšina ľudí (plne vedomá si rizík oboch prístupov) dobrovoľne rozhodla.