Odpowiedzialność za dane

By | 2009/09/07

W Internecie huczy i grzmi z powodu niedawnego wycieku niedawnej publikacji produkcyjnej bazy danych serwisu wykop.pl (np. blog Piotra Koniecznego), zawierającej m.in. dane użytkowników. O ile wyciek danych z profilu, które i tak są publikowane nie jest tak bolesny, to nazwa użytkownika + niesolony hash hasła + adres e-mail już jest. Jak podaje VaGla wykop.pl miał zarejestrowany zbiór danych osobowych. Pytanie brzmi, czy login + niezabezpieczone hasło + e-mail są danymi osobowymi należącymi do chronionego zbioru?

Skrót dla osób odciętych od świata: Portal wykop.pl ustawił serwer testowy nowej wersji serwisu w taki sposób, że był on dostępny z Internetu. Testowy serwer bazy danych został wypełniony prawdziwymi danymi z produkcyjnej wersji wykopu i niezabezpieczony żadnym hasłem. Po kilku tygodniach od zdarzenia (szantaż ze strony nieznanego sprawcy) odkrył to użytkownik gimbus1xD, który opublikował informacje na ten temat na samym wykopie. Błędy techniczne popełnione na wykopie zostały już wymienione na innych blogach i portalach, błędy PRowe w komentarzach pod oficjalnym wpisem i oficjalną przemową. Na razie cicho jest w sprawie odpowiedzialności za ewentualne szkody.

Jedyną metodą postępowania w sprawie szkód wynikłych z opublikowania danych, która przychodzi mi na myśl, są indywidualne pozwy cywilne. Pytania o inny sposób załatwiania tego typu spraw pozostają bez odpowiedzi. Do tego polskie prawo nie sprzyja poszukiwaniom osoby odpowiedzialnej za taki stan rzeczy, a nawet ją chroni (vide art.267 ust.2 kodeksu karnego). Karnie odpowiada nie administrator, który poprzez zaniedbanie opublikował dane swoich użytkowników, ale niecny “hakier”, który na tę publikację trafił. Nie ma też obowiązku informowania użytkowników o tym, że ich dane wyciekły, a szybkie poinformowanie użytkowników mogłoby zapobiec wykorzystaniu ich danych. Brakuje w tym wszystkim równowagi pomiędzy odpowiedzialnością użytkownika, a odpowiedzialnością zarządcy systemu informatycznego.

W sieci zaczęły już pojawiać się komentarze mówiące, że przecież każdemu mogło się to zdarzyć, nikt nie jest nieomylny. W branży informatycznej, a konkretniej w webdesignie istnieje jednak zbiór dobrych praktyk, które często okazują się wiedzą tajemną. Te dobre praktyki nie są jakimiś nieżyciowymi wymaganiami o stosowaniu drutu kolczastego w serwerowni, ale prostymi regułami do których należy się stosować, jeżeli nasz serwis przyjmuje dane z zewnątrz (sprawdzaj każdy input, najlepiej przy pomocy gotowych mechanizmów) lub ma przechowywać hasła (hashuj hasła z tzw. solą, możliwie długą – tu pozdrowienia dla Allegro). Usprawiedliwianie administratorów, że “tak dużego portalu nie da się w 100% zabezpieczyć” przy tego typu zaniedbaniach jest równie trafne, co stwierdzenie, że malowanie pojazdów wojskowych w jaskrawożółte i czerwone naprzemienne pasy to nic złego, bo i tak nie można ich uczynić w 100% niewidzialnymi.

Na razie użytkownikom portali pozostaje tylko siedzieć cicho i mieć nadzieję, że w ulubionych portalach pracują ludzie, którzy wiedzą co robią. Niestety prawo nie daje możliwości wyciągnięcia szybkich i automatycznych (bez siedzenia w sądzie przez kilka lat) konsekwencji wobec administratora serwisu internetowego. Może czas zacząć bezwzględnie wymagać rozsądku od użytkowników Internetu?

One thought on “Odpowiedzialność za dane

  1. milo

    “Może czas zacząć bezwzględnie wymagać rozsądku od użytkowników Internetu?”

    Ciekawa propozycja. Konserwatywna. Zeby nie powiedzie elitarystyczna. Czekam z niecierpliwoscia na wpis z propozycja zmian ktore do takiego stanu mogly by doprowadzic ;)

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *