След признаването на правото на достъп до интернет като основно право на човека (макар и не „естествено“ право 😉 ! ), днес все повече се обосновава съществуването на едно ново, производно право – правото на информирано съгласие за следене в интернет. То възниква в отговор на придобиващото все по-голяма известност явление на проследяване активността на потребителите в интернет с оглед използването на така събраната информация за различни цели. Тези цели се обябяват най-често като рекламни. В някои случаи се посочва, че данните се събират с оглед осигуряване на по-добро „потребителско преживяване“ (улесняване на достъпа чрез запаметяване на определени данни или активност, персонализиране на предоставяната информация и пр.), но в последно време все по-известни стават случаите на търгуване на събраните в резултат на проследяването потребителски данни…
Казаното off line отлита, „направеното“ on line остава!
Темата за информираното съгласие за следене в интернет е свързана с две други оспорвани с оглед на своето он лайн съдържание и обем права:
– правото на лична неприкосновеност в интернет прастранството. На него се противопоставят: правото на свобода на словото (включително с оглед развитието на т. нар. гражданска журналистика, част от която е и "блогосферата") и правото на информация (в „информационното“ 🙂 общество!);
– правото на анонимно участие в он лайн активности. На това право се противопоставят: необходимостта от поемането на лична отговорност при осъществяване на неправомерно поведение в интернет (включително при извършването на компютърни престъпления) и необходимостта от правна идентификация при извършването на правно значими действия (за да се определи за кого ще настъпват свързаните с тях правни последици).
В повечето случаи присъствието ни в интернет е „видимо“ за Мрежата и за по-запознатите с нея и с начина на функционирането й потребители и администратори. Идентификацията може да бъде извършена по различни начини, включително чрез IP-адреса на използвания за достъп компютър, чрез данните от потребителския профил (акаунт, регистрация и пр.) в различни социални мрежи, чрез снимките, на които присъства изображение на потребителя (обозначено или не) и пр.
Неизбежните дигитални следи (т. нар. трохи) от активността на потребителите в интернет понякога правят поведението ни много по-прозрачно отколкото бихме искали. Желанието да се регулира проследяването на потребителската активност в интернет идва от осъзнаването на обстоятелството, че в ерата на информационните технологии информацията е едно от най-силните оръжия за контрол и въздействие върху хората.
Бисквитки – сладки и горчиви!
За да бъде осигурена търсената правна защита на личната он лайн неприкосновеност, е необходимо да се изясни, поне в основни линии, начинът на събиране на информация за потребителите в интернет. Дигиталните следи и проследяването на он лайн активността са свързани с един особен вид "кулинарни" явления в интернет. Става въпрос за т. нар. бисквитки (cookies). Те представляват код, съхраняван от уеб браузъра на компютъра на потребителя, осигуряващ информация за определени програми относно посещаваните през този брааузър сайтове и места в интернет. В Wikipedia HTTP бисквитките се определят като "пакет информация, изпратен от уеб сървър към Интернет браузър, а след това връщан от браузъра всеки път, когато той получи достъп до този сървър".
Бисквитките биват няколко различна вида:
а) в зависимост от техния източник:
(ако използваме метафората за бисквитките – в зависимост от готвача, от това кой ги е“сготвил“ 🙂 )
– бисквитки от първоизточника: поставят се от хоста на сайта (мястото, където е запаметен сайта), който се посещава през съответния уеб браузър (Mozilla Firefox, Google Chrome и пр.). Те се използват с цел разпознаване на потребителя (с оглед предоставяне на информация относно историята на неговите посещения на сайта, неговата активност в сайта и пр.), както и с цел воденето на статистика относно посещаемост на сайта (с оглед определяне на неговия рейтинг, тарифите за рекламиране в него и пр.). Към тези бисквитки има сравнително по-голяма търпимост от страна на потребителите, тъй като те се използват за предоставяне на определена ценна за тях информация (History), без да се нарушава тяхната анонимност;
– външни бисквитки: поставят се от външни за сайта програми, като имат за цел да проучат потребителското поведение на определено лице с оглед изпращането на таргетирана реклама, най-често непоискана от съответното лице. Те често разглеждани като спайуеър (шпионски софтуер), тъй като се стартират, без да се иска разрешение от страна на потребителя, а информацията се използва за неразрешени от него цели. Именно при тях се поставя в най-голяма степен въпросът за информираното съгласие за следене в интернет;
б) в зависимост от продължителността на запазването им в уеб браузъра на потребителя:
(ако използваме метафората за бисквитките – в зависимост от „срока им на годност“ 🙂 )
– бисквитки за сесията (еднократни бисквитки): тези бисквитки се изтриват след края на сесията, като осигуряват единствено „краткотрайната памет“ на уеб браузъра, подпомагайки потребителя при ползването на сайта в рамките на съответната сесия. Сесията може да се разглежда като поредица от последователни дествия на потребителя в рамките на съответния сайт, интервала между които не надвишава предварително зададена от администратора на сайта продължителност;
– постоянни бисквитки (многократни бисквитки): те представляват „дълготрайната памет“ на уеб браузъра и се запазват за статистически цели с оглед проследяване повторно посещение на сайта от същия потребител. Продължителността на съхраняване на събраната от тях информация се определя от собственика на бисквитките и най-често не зависи от волята на потребителя.
Напрактика при записването на бисквитките потребителят не се уведомява, макар че съществуват настройки в съответния уеб браузър, чрез които може да се контролира „яденето“ на бисквитки. Стартирането на подобна „диета“ обаче изисква определени познания от страна на потребителя, каквито той често не притежава. Смята се, че потребителят е съгласен по подразбиране активността му в интернет да бъде проследявана и записвана. Своеобразно конклудентно съгласие за това се „открива“ в стартирането на уеб браузъра и в зареждането на съответната страница на сървъра-"готвач" на конкретните бисквитки.
Дали обаче това предположение на създателите на уеб браузърите и на по-голямата част от собствениците на сайтове отговаря на действителното желание на потребителя и как това е уредено в правото?
Софтуер за наблюдение
Директива 2002/58/ЕО на европейския парламент и на съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) разграничава:
– така наречения софтуер за наблюдение, снифери, скрити идентификатори и други подобни устройства. Тъй като могат да влязат в терминала на потребителите без тяхното знание, за да получат достъп до информация, да съхраняват скрита информация или да проследяват действията на потребителя, те представляват сериозна опасност за правото на неприкосновеност на личния живот на потребителите. Поради това Директивата посочва, че използването на такива устройства трябва да бъде позволено само за законни цели със знанието на заинтересованите потребители (т. 24 от преамбюла на Директивата за правото на неприкосновеност на личния живот и електронните комуникации). За тях е необходимо предварителното наличие на изрично информирано съгласие от страна на потребителя.
от
– вече споменатите бисквитки (cookies), които Директивата признава, че могат да бъдат „легитимни и полезни средства, например при анализиране на ефективността на дизайна на Интернет страницата, при рекламиране и при проверка идентичността на потребителя, ангажиран в сделки онлайн“. Тяхната употреба, според посочената директива, трябва да се разреши, при условие че потребителите са снабдени с ясна и точна информация относно целите на подобни приспособления. Тази информация следва да бъде предоставена предварително на потребителя и той да изрази своето съгласие с нея или да разполага с възможността да откаже зареждането на бисквитки (т. 25 от преамбюла на Директивата за правото на неприкосновеност на личния живот и електронните комуникации). Именно в това се изразява информираността на съгласието за следене на потребителите.
Във всички случаи:
– на потребителя следва да се предостави информация относно типа данни, които се събират и обработват от "бисквитките" (включително данни за местонахождение и трафик), както и относно целите и продължителността (след това те трябва да бъдат изтрити), за които се прави това (чл. 6, т. 4 от Директивата за правото на неприкосновеност на личния живот и електронните комуникации);
– преди зареждането на бисквитките в уеб браузъра („терминалното оборудване“) на потребителя, той трябва да е "преминал" през отговора на въпроса дали е съгласен с тяхното използване, като „методите за даване на информация, предлагаща право на отказ, или изискваща съгласие, трябва да са възможно най-лесни за ползване от потребителя“ (т. 25 от преамбюла на Директивата за правото на неприкосновеност на личния живот и електронните комуникации). Преценката относно факта, дали методите са лесни за използване от потребителя е конкретна във всеки отделен случай и зависи от техническите възможности на съответния уеб браузър, както и от достигнатата степен на развитие на компютърните технологии.
Предоставените данни следва да бъдат използвани само за целите, за което потребителят е бил информиран и за които е дал своето съгласие.
Възможно е обаче сайтът да откаже достъп, ако потребителят не предостави съгласието си…
Възможно е и целенасочено предоставянето на чужди данни с цел оставяне на дигитални следи от името на друго лице или с цел кражба на on line самоличност…
Това обаче са въпроси на отделни публикации… 😉
————
Ако статията Ви е харесала и сте открили нещо, което би било интересно и ценно за Вашите приятели и колеги, подкрепете нейното популяризиране като използвате предпочитаните от Вас бутони за споделяне.
Интервю, дадено от Стоян Ставру на 20 Януари 2012 г. пред БТА (Димитър Абрашев), относно следите, които оставаме в интернет, и за начините за разрешаване на сблъсъка "авторско право – свобода на информацията", може да прочетете тук. Репортаж по темата в новините на Нова телевизия вж. тук.
Благодаря Ви!
Много добре написана статия. Информацията тук е много полезна. Но за съжаление повечето сайтове отказват достъп, ако не предоставиш лична информация. А често се случва да се злоупотребява с личните данни на хората.
Много добре написана статия по един наистина все по-важен въпрос.
Преди да кажа каквото и да било, нека първо да спомена, че съм студент по “компютърни науки” (computer science), т.е. човек много далеч от правото, поради което вероятно няма да се изразя коректно и по достатъчно полезен за темата (и блога) начин, но все пак 🙂
От гледна точка и на потребител, и на потенциален/вероятен разработчик (дизайнер, софтуерен архитект, програмист) на интернет технологии и продукти, ми идват на ум няколко мисли:
Струва ми се, по отношение на информационните технологии, а и по принцип, че правната система и правните специалисти са, в по-голямата си част, по-скоро реактивни, а не проактивни. Настоящият блог и хората зад него са приятно изключение! Вероятно изчакването да се случат прецеденти, да се натрупа практика (технологична и правна) е в някакъв смисъл неизбежно и логично (защо да се създават закони, наредби, детайлни правилници “за всеки случай”, които да регламентират нещо все още несъществуващо или експериментално). От друга страна, в една толкова бързо развиваща се технологична и обществена сфера, “поразии” могат да се случат – и се случват – доста бързо. Кражбите, неволните и умишлените утечки и прехвърляния на “чувствителна”/”лична”/”неприкосновена” информация могат да се случат за части от секундата, да бъдат създадени произволен брой копия и деривати, които да бъдат много трудни за изчерпателно проследяване пост-фактум. Особено ако не са взети предварителни мерки (технически, организационни, законово-правни).
Например, неща като установяване на пътя на конкретни данни из комплексните системи и вътрешни мрежи на всяка интернет корпорация или друга голяма организация е скъп и сложен процес с негарантиран резултат; самото еднозначно установяване на това дали дадени данни се отнасят до/са извлечени от даден потребител може да е проблематично.
Ако предположим, че потребител на онлайн услуга е издействал съдебна заповед за изтриване на всички данни, съхранявани от услугата за него, как би могло да бъде впоследствие установено и удостоверено, че това наистина се е случило? И в какъв обем? Резервните/архивни копия на данните биха ли подлежали на прочистване? Обикновено такива копия се създават с идеята да бъдат използвани за възстановяване на работоспособността и целостта на системите в случай на загуба или повреждане на основните хранилища, и е напълно възможно да са достъпни само в режим на четене – т.е. да е технически трудно или практически невъзможно селективното унищожаване на каквито и да било записи. В случай, че се наложи възстановяване, а и по някакви други причини, като нищо може да се стигне до “възкресяване” на данни, които уж са били заличени…
Ако данните са преминали отвъд границите (организационни, информационно-технически, правни) на този, който ги е събрал от и за потребителя, и са продадени или предадени на трети лица (и евентуално четвърти и т.н. – физическото местонахождение, собствеността, и начините за достъп могат да бъдат доста размити при нарастващата виртуализация, “облачност”, аутсорсинг, и какво ли още не), възможностите за контрол и цената на осъществяване на контрол и от потребителите, и от правоприлагащите органи (съд, полиция, комисии за защита на права/потребителите/личната информация, и подобни) бързо стават проблематични. И доказуемостта, и възможността за (достатъчно) гарантирано поправяне на причинени щети не са добри, ако достатъчно рано не са взети достатъчно добри технически и други мерки за осигуряване на автоматизирана проследяемост на “жизнения цикъл” на едва ли не всички “съществени” “лични” данни.
Разбира се, в доста от случаите, програмирането и постоянното изпълняване на мерките за проследяемост на информацията имат своята цена (специализиран труд от страна на софтуерните и системните архитекти и програмистите, специализиран труд на юридически и може би счетоводни специалисти, допълнителни сървъри и дъпълнителни запаметяващи устройства за поддържане на проследяемостта). В някои случаи задоволителна функционалност е вече налична и е въпрос на малки модификации да се даде възможност на самите потенциално засегнати лица да си направят сами справка за вида, количеството, и предназначението (поне донякъде) на събираните от и за тях данни, защото тъй или иначе тези данни са “закачени” към някаква форма на потребителски акаунт на регистрирания ползвател. В други случаи, обаче, няма такива възможности за потребителски контрол, или са крайно недостатъчни, и биха се появили или при въвеждането на законови изисквания, или под натиска на конкуренцията и общественото мнение, или при някаква комбинация от трите.
Засега, поне моето убеждение (а и на някои колеги) е, че съществуващите определения за това кое са лични данни, кои данни са по-лични и кои не чак толкова, а оттам нататаък и изискванията за събирането и боравенето с тях са засега неадекватни на техническите и прагматичните реалности, и като че ли хронично липсва визионерство сред националните законотворци (тях повече ги е грижа за осигуряването на възможности за следене на гражданите, правомерно и обосновано или пък не (имат и склонност да си икономисват усилията, като избягват да реформират и модернизират например авторското и сродните му права, а в същото време почти механично “лепят” нови обекти, субекти, и положения към тях). Доколкото знам и разбирам (моля поправете ме, ако е накриво), избягването на създаването на детайлни, пълни, монолитни закони и други актове е черта на американската (САЩ, донякъде и Канада) правна система и култура, като следствие от безиранието й върху британската, която е от тип common law, и съответно прецедентите и акумулираната практика плюс принципът за относителна последователност (консистентност) са водещи. В това отношение, ми се струват някак обясними и естествени огромните недоглеждания и бавно отмиращото полу-безхаберие по отношение на събирането и употребата на данни от много от интернет гигантите (созиални мрежи, търсачки, е-пощи…), които са си основно щатски или британски по произход и по основно седалище. Надявам се в идните няколко години, най-напред поне в рамките на ЕС, да бъдат конструирани чувствително по-пълни и ясни разпоредби, да кажем стандарти (поне best practices), които всички участници в дигиталното общество (и съответсващите му икономика и държавност) да възприемат. Чисто технически, а и икономически, погледнато, в 99% от случаите е по-добре (по-евтино, по-качествено, по-бързо) софтуерът и мрежите да бъдат колкото се може по-рано съобразени с подобни формални и неформални стандарти и принципи, отколкото по-късно да бъдат преправяни.
Но може би все пак най-напред трябва да бъде кодифицирано по разумен начин кои данни собственост на кого са, какви несобственически права важат, кога се сменя собственикът/правопритежателят – и какви права и задължения имат всички участници в информационните процеси. Не знам доколко е съществено (интуитивно ми се струва, че е), но според моите наблюдения има множество неизяснение или цялостно “мътни” въпроси, от рода на : уебсайтовете (и други електронни “пространства”) абстрактна услуга/стока ли са, или са място за предоставяне на услуги и стоки (както примерно един физически търговски обект), или пък са нещо друго (да речем са ли, и доколко, форумите, блоговете с коментари, социалните мрежи публично обществено пространство аналогично на площад, улица, зала? Има ли значение дали достъпът е с парола или без, или се използват цифрови сертификати/електронни подписи; има ли значение дали и как трафикът или файловете/дискът се криптира – една възможна гледна точка би била, че всяка публикувана в некриптиран вид информация, всеки некриптиран трафик, е в някакъв смисъл “публичен” и може законно (но вероятно не винаги етично/морално) да бъде прихванат от трети страни – като дочут (не специално подслушан) разговор между непознати или познати…). Пренасяйки по аналогия качества и свойства от съществуващи и общо-взето регламентирани класически пространства върху новите виртуални пространства, колко е валидна аналогията в действителност?
Здравейте, Виктор!
Благодаря Ви много за написаното.
Поставяте изключително важни въпроси и предлагате интересни аналогии и разрешения 🙂
Въпросът за проактивното право и проактивните юристи е сериозно предизвикателство в областта на информационните технологии. А дигиталната среда крие доста рискове и специфична проблематика, за да направи твърде лесно евентуалното подхлъзване по механичното пренасяне на “канонични” юридически разрешения. Така че всяка аналогия е нож с три остриета (включително за публичните и частните дигитални пространства).
Въпросът за архивните копия и “възкресяването” на данни определено е практически проблем пред реализацията на “правото на бъдем забравени” в интернет. Може да се мисли върху някакъв контрол върху “жизнения цикъл” на личните данни, като към настоящия момент осигуряваната защита се увеличава след смъртта на лицето. Тук се преплита желанието “да оставим починалия на мира” с правилото “за починалия или добро, или нищо”.
При евентуалната бъдеща уредба на куберправото според мен трябва да се разчита на интердисциплинарно участие на специалисти от IT сектора, културолози и юристи, както и на провеждането на сериозни дискусии с участието на всички заинтересовани и активни “интернет потребители”.
Поздрави,
Стоян Ставру
Правото на достъп до интернет не е признато за основно право. Според мен объркването се дължи на неправилен copy – paste на българските информационни сайтове. Прилагам първоизточника: http://news.bbc.co.uk/2/hi/8548190.stm ‘Almost four in five people around the world believe that access to the internet is a fundamental right, a poll for the BBC World Service suggests.’