Blog
Egy, a köztudatban élő, mégis figyelmen kívül hagyott eleme a szoftvereknek az őket gyártó cégek privacy policy-je (magyar nevén adatvédelmi nyilatkozat), melyben egyre inkább uniform, és - jegyezzük meg - nyugtalanító pontokkal találkozhatunk. Jelen áttekintés apropója a Microsoft Silverlight és az Adobe Flash összehasonlítása volt (bár a két termékre nem vonatkozik külön, speciális policy), melynek során igyekszem ugyanúgy rámutatni a széles körben alkalmazott adatrögzítéseken túl a kisebb, tovább merészkedő cég-specifikus törekvésekre is.
Lássuk tehát a fontosabb pontokat.
Silverlight
- "Szokásos számítógépes adatok" gyűjtése. Ezeket frissítésekkor elküldi.
- Felhasználhatják ezeket az információkat a Silverlight és más termékeik és szolgáltatásaik tökéletesítésére, valamint elemzési célokra.
- Korlátozott körű szolgáltatásokat (ilyen például a csomagok, a megvásárolt szoftverek és a levelek kiküldése és kézbesítése, az ügyfelek termékekkel és szolgáltatásokkal kapcsolatos kérdéseinek megválaszolása, rendezvényekre való regisztráció feldolgozása, szolgáltatásaink statisztikai elemzése) nyújtó külső cégeknek továbbíthatják az adatokat. Ezeknek a cégeknek csak a szolgáltatás nyújtásához szükséges mennyiségű adatot bocsátanak a rendelkezésére. Az ilyen adatokat ezeknek a cégeknek tilos bármilyen más célra felhasználniuk.
- A következő célokból hozzáférhetnek, illetve kiadhatnak bizonyos adatokat (beleértve akár a kommunikáció tartalmát):
- (a) hogy megfeleljenek a jogszabályoknak, vagy hatósági kéréseknek
- (b) hogy megóvják a cégnek vagy ügyfeleinek jogait és vagyontárgyait, beleértve a szolgáltatásoknak a felhasználói használatára vonatkozó szerződések és szabályok betartatását; vagy
- (c) ha jóhiszeműen arra a belátásra jutnak, hogy az ilyen hozzáférés vagy kiadás szükséges ahhoz, hogy megóvja a cég alkalmazottainak, ügyfeleinek, illetve a nagyközönségnek a biztonságát.
- A begyűjtött információk tárolása történhet az Egyesült Államokon kívül bármely olyan országban/régióban, ahol a cég, érdekeltségei, leányvállalatai, illetve szolgáltatói üzemelnek.
- Safe Harbor, erről írok lejjebb.
Adobe
- A TRUSTe kezdeményezés tagja (http://en.wikipedia.org/wiki/TRUSTe), azonban ez csak az Adobe site-okra terjednek ki (bővebben itt), az onnan letöltött programok tevékenységére már nem.
- Safe Harbor, erről írok lejjebb.
- 13 év alattiaktól nem gyűjtenek adatot, mert a Site és a Termékek, Szolgáltatások felnőtt közönségnek szólnak. Ennek ellenőrzésére gyakorlatilag nincs megfelelő módszer, vagy ha van, nem megbízható.
- Online és hostolt termékek és szolgáltatások használatához kérhetnek kitöltött adatlapot (teljes névvel, címmel, email-címmel, munkahely nevével, munkakör megnevezésével, telefonszámmal!).
- Tárolhatnak olyan információkat, mint a környezeti változók (böngésző típusa, oprendszer, processzor sebessége, hivatkozások követése, weblapok elhagyása, kattintási minta (webbug, vagy flash-alapú monitorozás használatával?), egyedi session ID), vagy az IP cím. Vegyük észre, ez egy komplett profilírozás, aminek nagy részére semmilyen valós indok nincs.
- A harmadik félnek való adatkiadásról hasonló állásponton vannak mint a Microsoft, tehát csak bizonyos műveletekre, illetve egyeztetésekre adják tovább az adatokat, a helyi törvényi szabályozásnak megfelelően. Ezzel az a probléma, hogy egyes országok online műveletekre vonatkozó törvényei még nem feltétlenül naprakészek (már csak a törvényalkotás menetéből következően sem tudnak folyamatosan lépést tartani a rohamosan fejlődő IT világgal), hazánk ebben a tekintetben úgy érzem kiemelten problémás.
Külön kiemelnék pár közös elemet.
Sokadjára láttam, és úgy tűnik hogy minden nagyobb szoftvergyártó privacy policyjének közös eleme az úgynevezett "szokásos számítógépes adatok" rögzítése, ahogy azt a Microsoft nevezi. Ebben benne foglaltatik többek közt az IP cím, az operációs rendszer verziószáma, a böngésző verziószáma, az eszköz gyártóját azonosító hardverazonosító (mely egy elvileg egyirányú függvénnyel előálló 8 byte-os érték, amit olyan adatok alapján számolnak, mint a hálózati kártya MAC címe, a merevlemez kötetazonosítója, vagy akár a CPU vagy a videokártya típusa), az eszköz neve és verziószáma, a szóban forgó alkalmazás verziószáma, valamint a területi és a nyelvi beállítások. Az első probléma ezzel a felsorolással, hogy részleges (amint az leszűrhető a 'pl.', 'stb.' és 'többek közt' kifejezésekből), és a teljes lista ki tudja még milyen elemeket rejt (illetve hogy egyáltalán hogy lehetne hozzájutni a teljes listához).
A következő problémás elem az adatok harmadik félnek való kiadása. Persze kikötik hogy szerződés keretein belül kezelheti csak a harmadik fél a felhasználó adatait, és csak azzal kapcsolatosan, amire a megbízást kapta, és nem adhatja tovább az adatokat, ám kötve hiszem hogy a közvetlenül a Microsoft vagy az Adobe alatt álló cégek, akiknek az adatfeldolgozást outsourceolják, minden esetben egymaguk végeznék azt. Tehát hasonló szerződések keretein belül (legalábbis szerintem) ezek a cégek is továbboszthatják az adatokat. Szerepel egy rekurzív jellegű mondat az Adobe policyjében, miszerint: "Such third parties are bound by contract with Adobe not to use your personal information for their own purposes or provide it to any third parties." Röviden úgy lehetne összefoglalni az adatok kiszervezését, hogy jogilag támadhatatlan, de visszaélésekre bőven ad lehetőséget.
A Safe Harbor egyezményhez (http://en.wikipedia.org/wiki/International_Safe_Harbor_Privacy_Principles) természetesen mindkét cég tartja magát, hiszen ha nem tenné, a komplett európai piac adatairól kéne lemondaniuk. (A Safe Harbour egyezmény egy adatvédelmi irányelv, amelynek célja, hogy megelőzze az adatok véletlen megsemmisülését, sérülését és nyilvánosságra kerülését, összesen hét elv felől rendelkezik - a szerk.)
Összefoglalásul azt érzem a legfontosabbnak megemlíteni, hogy ezeket a privacy policy statementeket a felhasználók túlnyomó többsége egyetlen kattintással elintézi, ami önmagában nem baj, hiszen ha csak a jót feltételezzük, akkor semmi aggályosat nem találhatunk ezekben a dokumentumokban, ami eltántoríthatna az aktuális szoftver használatától. Illetve ha van is benne, az jó eséllyel a fent látható módokon még el is van rejtve a gyakorlatlan szem elől, és legfőképpen: nem ad támadási felületet az esetleges reklamációk számára. Teheti pedig ezt azért, mert a jelenlegi jogrendszeren annyi kiskapu és hátsó bejárat van, hogy egy akkora cég is (sőt: főleg) mint a Microsoft vagy az Adobe, pironkodás nélkül beleírhatja a privacy policybe hogy mellesleg profilírozást végeznek.
Hozzászólások
Összesen 2 hozzászólás látható.
2009.04.03.
A hozzászóláshoz be kell jelentkezni!
|