Złowrogie ciasteczka

Od niedawna na stronach internetowych polskich serwisów możemy uświadczyć nowy trend - informowania o ciasteczkach. Oczywiście nie jest to jakaś oddolna inicjatywa promująca świadome przeglądanie internetu czy dbanie o swoją prywatność, a przystosowanie się do wymysłów naszego ustawodawcy (który to musiał dostosować się do regulacji unijnych). Chodzi tu o zapisy zawarte w ustawie z 16 listopada 2012 roku "o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw", a konkretniej o nowe brzmienie artykułu nr 173:

1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w tele-komunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
   1. abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
      1. celu przechowywania i uzyskiwania dostępu do tej informacji,
      2. możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
   2. abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
   3. przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w tele-komunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalo-wanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do infor-macji, o której mowa w ust. 1, jest konieczne do:
   1. wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
   2. dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
4. Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramo-wanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:
   1. przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zro-zumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;
   2. zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia opro-gramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta;
   3. przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.;

Nie ma tego tekstu wiele, więc pokuszę się o jego interpretację - oczywiście nie prawną (bo to nie moja "area of expertise"), ale taką z techniczno-informatycznego punktu widzenia. Tak więc zacznę od końca (czyli punktu 4.), gdyż jego zapisy są chyba najbardziej jednoznaczne i logiczne - ot jeśli chcemy korzystać z jakiegoś oprogramowania na maszyn.. tzn. "urządzeniu końcowym użytkownika końcowego" musimy wpierw poinformować użytkownika w jakim celu owe oprogramowane będzie używane, a jeśli oferujemy również instalację oprogramowanie to również wskazać sposób usunięcia owego "nabytku". Oczywistym problemem jest sformułowanie "w sposób jednoznaczny, łatwy i zrozumiały", bo o ile słowa "odinstaluj z dodaj/usuń programy" mogą spełniać te kryteria w przypadku większości użytkowników "urządzeń końcowych" to z pewnością znajdzie się osoba, która nawet z takim zadaniem sobie nie poradzi - tak więc czy oznacza to, że wraz z każdym instalowanym oprogramowaniem trzeba będzie dołączać podręcznik użytkownika z opisem deinstalacji przedstawionej na obrazkach? Szczerze mam nadzieję, że nie.

Przejdźmy zatem do części, która wywołała tę lawinę ciasteczkowych ostrzeżeń. Na wstępie warto zaznaczyć, że pkt 2. (art. 173. 2.) zwalnia administracje serwisów z obowiązku zarządzania preferencjami użytkowników i pozwala bezkrytycznie uznać, że możliwość zapisu danych na urządzeniu końcowym użytkownika równa się zgodzie użytkownika na taki zapis.
Tutaj jednak kończy się jednoznaczność nowych przepisów i ich jakikolwiek sens, bo tak oto pkt. 1. mówi nam, że przed zapisem lub uzyskaniem danych z urządzenia użytkownika możliwe jest jedynie PO poinformowaniu go o celu przechowywania/uzyskiwania informacji ,jak również PO wskazaniu mu możliwości zmiany ustawień w używanym przez niego oprogramowaniu.
Podstawowe pytanie brzmi - jak mam wskazać sposób zmiany ustawień w oprogramowaniu użytkownika nie mając informacji o tym jakie oprogramowanie on używa? Bo szczerze mówiąc poza utworzeniem listy wszystkich znanych przeglądarek wraz z opisem blokady udostępniania przez nie informacji to tych zapisów wykonać się nie da.
Art 173. 1. 2) dodatkowo mówi, że zgoda użytkownika (wyrażona m.in. przez ustawienia oprogramowania) ma znaczenie dopiero po przedstawieniu mu celu dostępu do danych i sposobów na zmianę konfiguracji jego oprogramowania (stąd też niektóre serwisy wprowadziły dodatkowe ekrany startowe z wymaganymi przez ustawę informacjami).
Idąc dalej w las robi się jeszcze ciekawiej... bo kto potrafi jednoznacznie wskazać definicję "zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym (...) i oprogramowaniu zainstalowanym w tym urządzeniu"? Czy konfiguracja odnosi się tu tylko do globalnych ustawień systemu/oprogramowania czy też rozciąga się również na zachowanie oprogramowania podczas przeglądania naszej strony (np. nie wyświetlenie informacji o używanych ciasteczkach przy powtórnej wizycie)?
Najciekawsze (zwłaszcza w kontekście pozostałych zapisów) są słowa zawarte w Art 173. 3. gdyż mówią nam o tym:

• kiedy nie musimy informować użytkownika o celu wykorzystywania danych,
• przedstawiać możliwości zmian w konfiguracji oprogramowania,
• przejmować się zgodą (lub jej brakiem) na dostęp do danych,
• kiedy nie obowiązują nas ograniczenia w możliwości zmiany konfiguracji jego oprogramowania i/lub systemu.

Tak więc co wystarczy "zrobić" aby nie przejmować się nową ustawą? Cóż wystarczy sprawić aby używane dane były konieczne do transmisji komunikatu (każde żądanie wyświetlenia strony) za pośrednictwem publicznej sieci telekomunikacyjnej (internetu, sieci LAN, itp.). Pod tę grupę "z urzędu" podpada przede wszystkim przesył adresu IP do serwera, czy wymienianie się kluczami w przypadku połączeń szyfrowanych.
Drugą możliwością jest wykazanie, że dane te są konieczne do dostarczenia usługi, której użytkownik żąda - jeśli użytkownik chce zachować informacje o wyświetlanych elementach menu to nie musimy informować go o tym, że do tego celu używamy np. cookie... Pytanie brzmi jednak jak szeroko mamy tu rozumieć "konieczność"? Przecież taką informację można trzymać na wiele sposobów i w różnych miejscach (w tym na serwerze). Tak więc nie jest koniecznym trzymanie tych informacji na urządzeniu użytkownika biorąc pod uwagę wszelkie możliwości i przypadki... jednak może się okazać koniecznym choćby ze względu na dostępne możliwości oprogramowania znajdującego się na serwerze (ot choćby serwis pozbawiony możliwości logowania czyli identyfikacji użytkownika i jego ustawień).

Po zapoznaniu się z nowym brzmieniem tego artykułu może dziwić, że serwisy ostrzegają jedynie przed ciasteczkami, zwłaszcza, że one same nie pojawiają się ani razu w tekście ustawy. Bo o czym owa ustawa mówi? Mówi ona wprost o przechowywaniu informacji lub uzyskiwaniu dostępu do informacji już przechowywanej. Skąd więc wzięła się ciasteczkomania? Przecież "ciasteczka" nie są jedynym sposobem przechowywania informacji w przeglądarkach - istnieje również local storage czy choćby mechanizm cachowania stron, arkuszy stylów, plików ze skryptami... a mimo tego praktycznie wszędzie (strona sejmu, portal interia.pl, czy choćby strona MAC objaśniająca te zmiany) mowa tylko o ciasteczkach. Czyżby administracja/prawnicy wszystkich tych instytucji znali tylko ciasteczka? A może jest tak, że wszyscy zdają sobie sprawę z bezsensu treści tej ustawy i wypełniają ją poprzez skopiowanie wzorców z UK (gdzie podobny wymysł prawny wszedł kilka lat temu)?

Drugą stroną medalu jest podejście do tej ustawy w kontekście aplikacji nie będących przeglądarkami, a które przechowują jakiekolwiek dane na dyskach komputerów (nie muszą nawet komunikować się z innymi urządzeniami) - czyli de facto wszelkich aplikacji, gier... w skrócie wszystkiego, co zapisuje jakieś informacje. Dodajmy - informacje, które owszem zwykle mają swoje uzasadnienie, ale z pewnością nie są konieczne do dostarczenia danej usługi świadczonej drogą elektroniczną. Przykład? Log z działalności programu, kopia zapasowa obecnie otwartego dokumentu, lista ostatnich rozmów, czy podłączonych serwerów. Przypominacie sobie kiedy ktoś was o pozwolenie na takie rzeczy zapytał? Albo poinformował jak je wyłączyć?

Ostatnim niepokojącym zjawiskiem jest pojawienie się nowomowy: "telekomunikacyjne urządzenie końcowe", "usługa świadczona drogą elektroniczną". Mam nadzieję, że dalej ustawodawca w tworzeniu nowych tworów językowych brnąć nie będzie i mimo wszystko powróci do czegoś prostszego i bardziej jednoznacznego...
telekomunikacyjne urządzenie końcowe - czy to urządzenie podłączone do sieci? A może takie, które może być podłączone do sieci? I dlaczego zapisy tej ustawy nie dotyczą urządzeń nie będących "telekomunikacyjnymi"?
usługa świadczona drogą elektroniczną - śmiem twierdzić, że każda usługa świadczona za pomocą urządzeń elektronicznych jest świadczona drogą elektroniczną, tak więc palącym pytaniem do którego powracam jest - "co znaczy 'konieczny do dostarczenia usługi'?"