Biorę udział w pracach nad Regulacją ePrivacy. W ubiegłym tygodniu uczestniczyłem w debatach w formule okrągłego stołu, zorganizowanych w Parlamencie Europejskim. Była to bardzo interesująca okazja do wymiany i prezentacji opinii. Zorganizowano cztery wydarzenia: o cookies, artykule 8 (dotyczy przetwarzania danych i śledzenia), o udzielaniu zgody i o Privacy by Design. W tym wpisie opiszę kilka spraw, które tam omawiałem biorąc udział we wszystkich wymienionych wydarzeniach jako niezależny badacz bezpieczeństwa i prywatności. Nie ujawnię tożsamości innych uczestników, ponieważ dyskusje odbywały się według zasad Chatham House.

Ciasteczka (cookies).

Powinniśmy odejść od tradycyjnego postrzegania identyfikatorów. ePrivacy skupia się jednak za bardzo na jednym z ich rodzajów - na ciasteczkach. Metod identyfikacji jest jednak wiele, powinniśmy więc mówić o identyfikatorach i ich wykorzystaniu do śledzenia, bądź kontroli stanu połączeń. Sprowadzanie rozwiązań jedynie do ciasteczek nie jest już zasadne.

Artykuł 8

Artykuł 8 ePrivacy jest nieoptymalny, delikatnie mówiąc. Znajduje się w nim wyjątek legalizujący powszechne śledzenie wifi/bluetooth, bez wyraźnej zgody użytkownika (umieszczenie napisu "strefa śledzenia" zgodą nie jest). Technologie takie są coraz popularniejsze i ten trend będzie kontynuowany. Artykuł 8 pozwala nie tylko na dalszą popularyzację tych rozwiązań, ale także stosowanie ich bez zgody ani wiedzy użytkowników. Istnieje ryzyko, że jeśli Artykuł 8 zostanie utrzymany w obecnym kształcie, to już wkrótce nie będzie nie tylko wyboru, ale nawet miejsc bez możliwości bycia śledzonym. A w kontekście ustawodawstwa ważne jest też to, że wyjątek z Artykułu 8 jest niekompatybilny z RODO (brak zgody), ale także Kartą Praw Podstawowych (poszanowanie życia prywatnego i rodzinnego, ochrona danych, wolność przemieszczania się). Wyłączenie smartfona nie jest realnym wyborem. Nawet jeżeli istnieją techniczne możliwości ochrony przed śledzeniem (np. w iPhone), to wyjątek z Artykułu 8 może mieć szersze znaczenie - i prędzej czy później znaleźć się w Europejskim Trybunale Sprawiedliwości.

Zgoda

Dyrektywa ePrivacy wymaga, aby strony używające ciasteczek (cookies) o tym informowały. Delikatnie mówiąc, nie jest to popularne rozwiązanie. Dlatego ePrivacy planuje to naprawić. W rzeczywistości tego nie robi (w obecnym tekście projektu regulacji), ale większe znaczenie ma co innego. Istnieją techniczne możliwości informowania stron internetowych o zgodzie (bądź jej braku) na przetwarzanie danych, np. śledzenie akcji użytkownika na stronach internetowych. Nazywa się to standardem Do Not Track. W obecnej wersji ePrivacy nie wskazuje na ten standard jako na sposób automatycznego udzielania zgody, a powinno tak być. Rozwiązanie to jest nie tylko przyjazne dla użytkowników, ale także dla biznesu i firm internetowych - bo przetwarzanie takiego sygnału jest stosunkowo łatwe. Obecnie ePrivacy wskazuje na możliwość automatycznego udzielania zgody, ale nie wskazuje na konkretne rozwiązanie. Spowoduje to niepewność przy wdrożeniach i testowaniu zgodności z regulacją. Niepewność tę łatwo usunąć wskazując na Do Not Track jako na optymalne rozwiązanie.

Dostęp do pewnych mechanizmów przeglądarek również powinien ściśle zależeć od zgody użytkownika. Takie mechanizmy to np. dostęp do mikrofonu czy kamery, wrażliwych sensorów, czy technologii komunikacji. (przykłady: 1, 2, 3)

Z jednym zdaniem podczas debat się mocno nie zgodziłem, a mianowicie z poglądem, że “jeśli ma być wymagana zgoda na przetwarzanie danych w celu ochrony cyberbezpieczeństwa, to pytajcie o nią też hakerów” - nie zgodziłem się, bo jeśli działania są pozytywne i pożądane, uzyskanie zgody nie jest nigdy problemem. Nie zgodziłem się też z poglądem, że “uzyskanie zgody na przetwarzanie danych w ramach urządzeń Internetu Rzeczy jest niemożliwe”. Jest możliwe - to kwestia dobrego projektu i wysokich standardów towarzyszących mu od początku.

Szyfrowanie end-to-end

Bardzo mocno wsparłem wpisanie silnego szyfrowania end-to-end w regulację ePrivacy i uczynienie tego rozwiązania obowiązkowym, gdzie to możliwe. Wiem też, że nie byłem w izolacji. Zdaję sobie jednak sprawę, że są ośrodki silnego oporu wobec takich rozwiązań, a wypowiedzi sprzeciwiające się można znaleźć także w Polsce, także na wysokich szczeblach.

Szacowanie Wpływu na Prywatność.

To dobre rozwiązanie wspierające budowanie zaufania użytkownika i transparentności, ale także wzmacniające prywatność jako proces. Analizy wpływu na prywatność pomagają dobrze projektować i budować systemy. Ale nie powinny być postrzegane jako narzędzie jedynie do zgodności z prawem.

Privacy by Design

Moje stanowisko w tym miejscu jest proste. ePrivacy rozważa kwestie technologiczne, więc powinno mówić językiem rozwiązań technologicznych, azatem - technologicznymi rozwiązaniami Privacy by Design. Nowe systemy i standardy powinny zawsze być tworzone z uwzględnieniem prywatności - od samego początku. Privacy by Design nie da się sprowadzić do "ustawień ciasteczek w przeglądarce", bo jest to zagadnienie szerokie. Privacy by Design to nawet nie tylko techniki anonimizacji. To są technologie wspierające prywatność, to są analizy wpływu na prywatność, to jest dobre projektowanie. To proces kompleksowy.

Ten pogląd zyskuje na popularności zarówno w USA jak i w Europie. Byłoby dobrze gdyby w ramach prac nad ePrivacy zaakceptowano go teraz, nie czekając na aktualizację - obecnie zaplanowaną za trzy lata.