Este încălcată o lege a UE privind protecția datelor în Ubuntu 12.10?
Aceasta este acuzația prezentată de blogger Luís de Sousa, care a petrecut cea mai bună parte a celor 10 ani lucrând cu instituțiile statului unde, spune el, „problemele cu datele private sunt recurente”.
Sousa pretinde că a găsit mai multe articole din o directivă UE din 1995 privind protecția datelor cu caracter personal ale utilizatorilor cu care noul „Shopping Lens” controversat al lui Ubuntu intră în conflict.
Deoarece nu sunt avocat, nu trebuie să judec. Deci, mai jos vom recapitula ceea ce pretinde Sousa, cum crede el că se referă la obiectivul de cumpărături și vom obține opinia unui grup de lider în domeniul drepturilor digitale ...
Înainte să ne scufundăm în specificul SousaCercetările pe care ni le-a împărtășit le vom trece peste noțiunile de bază ce Obiectivul de cumpărături este și Cum functioneaza.
„Shopping Lens” este o caracteristică nouă prezentă în versiunile de dezvoltare ale Ubuntu 12.10 care afișează sugestii de produse Amazon (sau Ubuntu One Music Store) în Dash.
Când introduceți un termen de căutare în Unity Dash din Ubuntu 12.10 interogarea dvs., împreună cu adresa dvs. IP, sunt trimise către un server deținut de Canonical. De acolo, interogarea dvs. de căutare este trimisă către Amazon, unde sugestiile de produse bazate pe termenul dvs. sunt potrivite și trimise înapoi la serverul Canonical și apoi în Dash.
Toate acestea se întâmplă în doar câteva secunde.
Deși activat în mod implicit, obiectivul de cumpărături poate fi eliminat sau dezactivat de către utilizator printr-un „comutator” în Confidențialitate setări.
A numi Shopping Lens „controversat” este în același timp o exagerare și o subevaluare.
Deși mulți au găsit plângeri cu privire la această funcție din mai multe motive - de la „termenii de căutare” care nu au fost criptate (acum remediate); sunt prezentate produse pentru adulți (acum fixe); și o omisiune a unui text cerut de API-ul vânzătorului Amazon (din nou, acum reparat) - marea majoritate a testerilor timpurii au fost dispuși să accepte sosirea acestuia.
Dar pentru Luis de Sousa, inginer software / arhitect obișnuit să treacă prin detaliile documentelor politice europene, întrebarea dacă practica este sau nu „legală” a fost preocuparea sa principală.
„Obiecția mea principală împotriva acestor obiective este colectarea automată de cuvinte cheie de căutare, fără consimțământ, ori de câte ori utilizatorul încearcă să găsească o anumită aplicație sau fișier în sistem," el a scris pe blogul său.
Așa că a făcut câteva cercetări pentru a vedea dacă acesta era cazul, dezgropând Directiva europeană 95/46 / CE în procesul. Această directivă, făcută în 1995, dar în prezent în curs de actualizare înainte de ratificare în anul următor sau aproximativ, se aplică tuturor statelor membre - inclusiv Regatului Unit, unde Canonical are un birou.
Articolul 2 clauza (a) din document definește ce sunt „datele cu caracter personal” în contextul directivei:
(a) „date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un numărul de identificare sau unul sau mai mulți factori specifici fizicii, fiziologici, mentali, economici, culturali sau identitate socială;
Deoarece toate căutările obiectivului sunt trimise către serverele Canonical cu adresa IP de la care sunt făcute (este necesară pentru a putea trimite rezultatele înapoi la computerul potrivit) permite teoretic, susține Luis, „Să identifice indirect utilizatorul”.
Articolul 2 clauza (b) definește un alt concept important, acela de „prelucrare a datelor”:
(b) „prelucrarea datelor cu caracter personal” („prelucrarea”) înseamnă orice operațiune sau set de operațiuni care se efectuează pe baza datelor cu caracter personal; indiferent dacă este sau nu prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, recuperarea, consultare, utilizare, divulgare prin transmitere, diseminare sau punere la dispoziție în alt mod, alinierea sau combinarea, blocarea, ștergerea sau distrugere;
Acest lucru, susține Luis, „aduce în mod clar colectarea căutărilor efectuate de Shopping Lens în domeniul de aplicare al acestei legislații. ”
Mai departe în directivă Articolul 7 prezintă situațiile în care colectarea datelor este legală:
Statele membre prevăd că datele cu caracter personal pot fi prelucrate numai dacă:
(a) persoana vizată și-a dat acordul fără echivoc; sau
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a lua măsuri la cererea persoanei vizate înainte de a încheia un contract; sau
(c) prelucrarea este necesară pentru respectarea unei obligații legale la care este supus operatorul; sau
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate; sau
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini desfășurate în interes public sau în exercitarea autorității oficiale învestite controlorului sau unui terț căruia îi sunt date dezvăluit; sau
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de terțul sau părțile cărora le sunt date divulgate, cu excepția cazului în care astfel de interese sunt depășite de interesele pentru drepturile și libertățile fundamentale ale persoanei vizate care necesită protecție în temeiul Articolul 1 alineatul (1).
În acest articol, Sousa consideră cel mai controversat.
Ubuntu 12.10 Beta livrează Shopping Lens ca implicit. El simte că nicio formă de ‘consimțământ, implicit sau explicit‘Se cere utilizatorului înainte de descărcare sau după instalare. Conștienți sau nu, toți termenii de căutare pe care un utilizator îi face apoi în Dash sunt trimiși în continuare către serverele Canonical.
Sousa consideră că este această lipsă de „consimțământ” „De unde încep problemele”.
„[Întrucât Ubuntu este] software distribuit liber, nu există un contract formal între persoana vizată și procesatorul de date care ar putea încadra legal obiectivul de cumpărături”, el adauga.
Articolele 8 și 25 merită, de asemenea, luate în considerare în legătură cu obiectivul de cumpărături, potrivit lui Luis.
Articolul 8 privește restricțiile asupra „Prelucrarea unor categorii speciale de date„- cum ar fi informații referitoare la partide politice, etnie, credințe religioase etc.
Deoarece Unity Dash este folosit pentru căutarea fișierelor locale - personale, precum și a surselor online, Souza crede că acest lucru „pune obiectivul de cumpărături în afara legii”.
„Pare pur și simplu imposibil ca o aplicație care colectează toate căutările, indiferent dacă utilizatorul caută un fișier sau un cadou de Crăciun, să respecte legislația UE.”
În cele din urmă, Articolul 25 enumeră o serie de constrângeri cu privire la care datele colectate de un serviciu / companie pot fi trimise către:
1. Statele membre prevăd că transferul către o țară terță a datelor cu caracter personal care sunt supuse prelucrării sau care sunt destinate prelucrării după transfer poate avea loc numai dacă, fără a aduce atingere respectării dispozițiilor naționale adoptate în conformitate cu celelalte dispoziții ale prezentei directive, țara terță în cauză asigură un nivel adecvat de protecţie.
2. Adecvarea nivelului de protecție oferit de o țară terță se evaluează în lumina tuturor circumstanțelor din jurul unei operațiuni de transfer de date sau a unui set de operațiuni de transfer de date; se va acorda o atenție specială naturii datelor, scopul și durata operațiunii sau operațiunilor de prelucrare propuse, țara de origine și țara finală destinație, normele de drept, atât generale, cât și sectoriale, în vigoare în țara terță în cauză și normele profesionale și măsurile de securitate care sunt respectate în acea țară.
În momentul scrierii, serverele care procesează datele pentru această funcție Shopping Lens se află în Marea Britanie. Acest lucru înseamnă că probabil respectă deja legislația UE. De fapt, o companie atât de mare ca Canonical, cu propria echipă juridică dedicată, a fost probabil conștientă de aceste probleme și le-a asigurat asigurarea juridică și recompensarea acestora.
Dar merită să verificăm, așa că l-am întrebat pe Canonical dacă pot sau nu să confirme că funcția este conformă cu legislația UE, pentru cât timp sunt păstrate datele colectate și dacă toate serverele utilizate în prelucrarea datelor au fost în REGATUL UNIT.
Din păcate, nu am primit răspunsuri explicite la aceste întrebări, dar compania ne-a subliniat cât de important este să asigure confidențialitatea utilizatorilor:
„La Canonical ne respectăm utilizatorii și le respectăm confidențialitatea”, ne-au spus ei, adăugând că își asumă cerințele legale și responsabilitatea comunității 'foarte serios'.
„Ubuntu 12.10, care este în prezent în versiune beta, include„ Shopping Lens ”. În prezent dezvoltăm această caracteristică pentru a ne asigura că utilizatorii noștri înțeleg mai multe despre modul în care funcționează, ce date colectăm și ce se întâmplă cu aceste date.
„Ca întotdeauna, încurajăm feedback-ul cu privire la produsele și serviciile noastre și salutăm foarte mult feedbackul pe care l-am primit recent de la comunitatea noastră de utilizatori în legătură cu funcția Shopping Lens. Sperăm că utilizatorii noștri vor vedea că lucrăm pentru a răspunde preocupărilor lor. ”
Managerul comunității Ubuntu Jono Bacon De asemenea, a căutat să minimizeze temerile cu privire la caracteristici, informând oamenii despre modul în care funcționează tehnic.
Scriind pe blogul său, el a explicat asta „Jurnalele httpd brute sunt vizibile doar pentru un grup restrâns de oameni a căror muncă le impune care sunt instruiți în respectarea confidențialității oamenilor în conformitate cu legislația europeană în acest sens contează. '
Potrivit lui Jono, interogările de căutare sunt „înlăturate de adresele IP” și sunt disponibile numai unui „grup de persoane pentru a permite raportarea statistică”.
Deci există o problemă?
Având în vedere că protecția datelor este o mlaștină delicată și oarecum siropoasă de străbătut, am ajuns la Privacy International - o organizație caritabilă din Marea Britanie fondată în anii 1990 pentru a „apăra dreptul la viață privată în întreaga lume” - pentru a vedea ce au făcut din ea.
Tehnologul lor șef Sam Smith cantarit in:
„Deși inovația în experiența desktop este un lucru bun, implementarea acestei caracteristici pare a fi defectuoasă.
Lipsa consimțământului explicit al utilizatorului este fundamental problematică, iar implicațiile pot fi semnificative. Distribuțiile Linux sunt, în general, excelente în promovarea confidențialității, securității și independenței utilizatorilor. Utilizatorii se așteaptă în mod legitim că documentele de pe desktopul lor rămân private, iar căutarea pe desktop nu ar trebui să expună acești termeni de căutare dincolo de sistemul în sine.
… Implementarea acestei caracteristici pare a fi defectuoasă.
Termenii de căutare utilizați pentru a găsi un document indică foarte mult conținutul acestuia. Chiar dacă nu se face clic pe niciun link, căutarea a fost executată este cunoscută de Canonical, Ubuntu și, eventual, de alții, și există o experiență amplă arătând că cunoașterea doar a termenilor de căutare poate duce la identificarea efectivă a individului (a se vedea cazurile anterioare care implică AOL, Netflix și Wikipedia). Este regretabil faptul că Canonical dorește să fie adăugat la această listă.
Lucruri puternic formulate, dar caracteristica este ilegală? În acest sens, Smith era mai puțin sigur:
„Dacă setarea implicită contravine Directivei UE privind protecția datelor ar arunca o privire mai atentă asupra caracteristicii în sine, dar în fața acesteia, în în opinia noastră, ar trebui să facem mai mult pentru a solicita consimțământul informat al utilizatorului, mai ales că implică schimbul de informații cu utilizatorii cu terți petreceri.
Cu siguranță nu îndeplinește etosul comunității de software liber care vizează extinderea utilizării software-ului gratuit și open source. ”
În primul rând nu sunt avocat, deci nu sunt în măsură să spun dacă această caracteristică contravine sau nu dreptului UE. Sousa și-a făcut clar temele, susține experiență în acest domeniu și aduce argumente convingătoare.
Dar nici el nu este avocat.
Indiferent dacă obiectivul de cumpărături se dovedește a fi în întregime legal sau nu din greșeală, este important să rețineți că această caracteristică este în curs de dezvoltare. Ubuntu 12.10, care include funcția, nu a fost încă lansat. Oricine folosește versiuni de dezvoltare va fi probabil conștient de caracteristică înainte de instalare, acordând astfel (probabil) consimțământul implicit în utilizarea acesteia.
Din nou, nu sunt avocat, dar s-ar presupune că, dacă ar exista o „lentilă de cumpărături” independentă, s-ar da și consimțământul implicit atât de vital pentru multe dintre punctele ridicate de cercetarea lui De Sousa.
Canonical și Ubuntu sunt propria comunitate; nu este în interesul lor să adauge o caracteristică care să se submineze.
Sperăm că vom obține clarificări suplimentare despre această poveste și multe dintre punctele ridicate în ea în zilele următoare.
Între timp, dacă utilizați Ubuntu 12.10 și aveți probleme de confidențialitate, puteți dezactiva obiectivul din Secțiunea „Confidențialitate” din Setările sistemului sau eliminați-o complet executând următoarea comandă într-un Terminal:
Cu mulțumiri Louis De Sousa & Privacy International
Diagrama Credit de imagine: Benjamin Kerensa
Totul Ubuntu, zilnic. Din 2009.