Granice inwigilacji

Wielość relacji prawnych powiązanych z funkcjonowaniem spyware sprawia, że waga tego problemu stale wzrasta. Komplikacje nie kończą się bowiem na kwestii potajemnego przechwytywania informacji o użytkownikach, w tym ich danych osobowych.

Wielość relacji prawnych powiązanych z funkcjonowaniem spyware sprawia, że waga tego problemu stale wzrasta. Komplikacje nie kończą się bowiem na kwestii potajemnego przechwytywania informacji o użytkownikach, w tym ich danych osobowych.

Gromadzenie i przetwarzanie danych za pomocą oprogramowania szpiegowskiego jest zjawiskiem powszechnym. Mało kto nie zdaje sobie sprawy, czym może objawiać się aktywność spyware. Użytkownika może czekać m.in. wysyp okienek reklamowych pop-up, nowe ikony na pulpicie. W grę wchodzą takie niedogodności, jak blokada niektórych klawiszy lub przechwycenie kontroli nad wyszukiwarką (browser hijacking).

Dwie strony medalu

Elementem wspólnym wszystkich definicji spyware jest wskazywanie na gromadzenie informacji bez wiedzy i zgody użytkujących systemy komputerowe. Dochodzą do tego brak pełnego poinformowania o instalacji takich komponentów oraz ograniczone możliwości kontroli ich aktywności. Użyteczność analizy danych gromadzonych w ten sposób uwidacznia się przede wszystkim w ramach reklamy kontekstowej. Z oczywistych względów budzi to opór internautów, zwalczających niepożądane komponenty programistyczne. Zwłaszcza, jeśli szpiegowanie systemu wiąże się z potencjalnym "wyciekiem" danych osobowych. Jest jednak i druga strona medalu. Stosowanie spyware bywa tłumaczone w dość prosty sposób. Dystrybutorzy oprogramowania muszą w jakiś sposób rekompensować sobie darmowe udostępnianie produktów. Wszak większość aplikacji szpiegowskich jest dołączana do rozwiązań freeware. W zamian za to użytkownicy powinni liczyć się z ograniczaniem swojej prywatności. Jeśli ktoś chce korzystać z wersji pozbawionej takich dodatków, musi uiścić opłatę licencyjną. Zwłaszcza że umowy wspominają o możliwości gromadzenia danych przez instalowany komponent.

Warunki licencji

Czy może być jednak mowa o wyrażeniu zgody, jeśli faktycznie nie mamy możliwości zapoznania się z warunkami dopuszczenia gromadzenia informacji o naszym systemie komputerowym? Informacje o wykorzystywaniu mechanizmów gromadzących dane z reguły są przemycane pomiędzy innymi postanowieniami licencyjnymi. Sprawa przypomina więc nieco powszechne do niedawna procedery oparte na systemie argentyńskim. Tam też trzeba było nieźle nagłowić się, a najlepiej przedrzeć się przez tekst umowy z pomocą prawnika, by go zrozumieć.

Jak więc traktować sytuację, w której użytkownik decyduje się na usuwanie komponentów szpiegujących? Powszechnym zabiegiem jest oczyszczanie systemu ze spyware, przy czym narzędzia te nie weryfikują, która z aplikacji przechwytujących informacje funkcjonuje w zgodzie z postanowieniami licencji. Identyfikacja spyware w istocie ma więc wiele wspólnego z wychwytywaniem wirusów komputerowych. Na pozór, z czysto formalnego punktu widzenia, można rozważać naruszenie postanowień kontraktu przez usunięcie programu szpiegującego. Tyle że funkcjonowanie spyware jest bardziej skomplikowane. Trudno pomijać jednak, że postanowienia poświęcone działaniu spyware są wkomponowywane w treść licencji, tak że mało kto zdaje sobie z tego sprawę. Niekiedy są one związane z działaniem wirusów komputerowych. Uważam, że prawo do poszanowania prywatności powinno więc mieć prymat w zestawieniu z praktykami marketingowymi. Zwłaszcza że brak jasnych zastrzeżeń co do funkcji spełnianych przez dodatkowe komponenty programu może stać w sprzeczności z respektowaniem praw konsumenta.

Gąszcz zagadnień prawnych

Z funkcjonowaniem spyware wiąże się wiele zagadnień prawnych. Najbardziej oczywistym jest gromadzenie danych osobowych bez wyraźnej zgody użytkowników oraz wykorzystywanie ich w celach komercyjnych.

To nie wszystko. Pojawia się choćby pytanie o to, czy dystrybucja spyware wkomponowanego w inny program nie stanowi czynu nieuczciwej konkurencji. Zaniechanie jasnego powiadomienia o przechwytywaniu informacji, w konkretnych przypadkach, mogłoby wiązać się z reklamą wprowadzającą w błąd.

Notka o permanentnym gromadzeniu danych osobowych jest z pewnością czynnikiem, który może zaważyć na decyzji o skorzystaniu z aplikacji. Problem pojawia się jednak przy darmowym oprogramowaniu, gdzie nie jest wymagane przekazanie jakiegokolwiek ekwiwalentu. Spyware kryje się przecież nierzadko w wygaszaczach ekranu lub programach peer to peer.

Dodatkowo wkomponowanie w produkt elementu szpiegującego pozostaje w sprzeczności z przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Artykuł 6 ustawy obliguje do zapewnienia usługobiorcy dostępu do aktualnej informacji o szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną. Konieczne jest również wskazanie na funkcje i cel oprogramowania lub danych, które nie są składnikiem treści usługi oferowanej użytkownikom. Informacje takie muszą być wyraźne, a zarazem przedstawione przystępnie.

W obronie dobrego imienia

Przyznanie programowi miana spyware to wątpliwa reklama. Nic więc dziwnego, że producenci oprogramowania próbują swoich sił w walce z dystrybutorami rozwiązań usuwających aplikacje szpiegujące. Jest o co kruszyć kopie, skoro kasowanie komponentów identyfikowanych jako spyware uderza bezpośrednio w kieszenie korzystających z nich firm.

Dlatego też coraz częściej dochodzi do sporów o klasyfikację konkretnych rozwiązań informatycznych. Najczęściej przytaczane argumenty to rozpowszechnianie fałszywych informacji o produktach. Biorąc pod uwagę rodzime regulacje prawne, w grę wchodziłaby: ochrona dóbr osobistych firmy, ewentualnie przestępstwo pomówienia. Zdarzają się też posądzenia o nieuczciwą konkurencję.

Zwłaszcza ostatni z zarzutów może budzić poważne wątpliwości. To tak, jakby twórcy wirusów oponowali przeciwko firmom zajmującym się kreowaniem oprogramowania antywirusowego, które w nieuczciwy sposób konkurują z nimi. Większość ze sporów nie doprowadza jednak do zmian w klasyfikowaniu kontrowersyjnego oprogramowania. Dla przykładu, w listopadzie 2005 r. 180solutionsInc wystąpiła z pozwem przeciwko ZoneLabs. Jego podstawą były zarzuty naruszenia dobrego imienia firmy, nieuczciwych praktyk handlowych i bezpodstawnego wzbogacenia. Zdaniem powoda, w interesie oferującego program usuwający spyware jest przekonanie konsumentów, że ich systemy są zainfekowane. Nawet jeśli mija się to z prawdą. 180solutionsInc na początku 2006 r. cofnęła powództwo, ale nie wpłynęło to na klasyfikację jej produktu. Co ciekawe, kilka miesięcy wcześniej ten sam przedsiębiorca zażądał usunięcia z Internetu opracowania Sunbelt Software wskazującego, że instalacja produktów firmy nie jest uzależniona od zgody użytkownika. Zakończyło się to sukcesem.

Reguły identyfikacji

Jeśli równowaga ma być zachowana, trzeba uciekać się do klarownego rozgraniczania narzędzi legalnie usprawniających procesy marketingowe od oprogramowania szpiegującego. Sama funkcja gromadzenia danych nie jest tu wystarczająca. Dla przykładu można podać, że wywołująca swego czasu kontrowersje ustawa Spyware Control Act obowiązująca w stanie Utah, wyklucza ze spyware skrypty Javy, kody HTML, cookies oraz systemy operacyjne.

Rozważania o dopuszczalności takiej praktyki mogą być czynione dopiero w odniesieniu do konkretnych zastosowań technologii. Trzeba jednak pamiętać, że aplikacje przeczesujące systemy komputerowe w poszukiwaniu spyware nie opierają się na analizie zawiłych postanowień licencyjnych.

Przydatne mogą okazać się więc standardy wypracowane przez organizacje zrzeszające firmy oferujące aplikacje usuwające komponenty szpiegujące. Przykładem może być opublikowany w końcu czerwca 2006 r. raport Anti-Spyware Coalition, zrzeszającej między innymi firmy Dell, Panda Software czy Lavasoft. Przytacza on terminologię użyteczną przy identyfikowaniu programów jako niepożądanych przez użytkowników. Pod uwagę wzięto zagrożenia dla prywatności, bezpieczeństwa systemów komputerowych oraz ich funkcjonalności. W ostatniej kategorii chodzi głównie o prezentowanie niezamówionych reklam, modyfikowanie ustawień systemowych, czy spowalnianie przetwarzania danych.

Opublikowanie raportu miało przybliżyć użytkownikom kryteria uwzględniane przy klasyfikacji poszczególnych aplikacji. Nie oznacza to bynajmniej posługiwania się analogicznym schematem wykrywania niepożądanych aplikacji przez wszystkie produkty usuwające spyware. Jest to zrozumiałe, biorąc pod uwagę konkurencję na rynku.

Profity z analizy danych

Proceder związany ze spyware nie wyczerpuje się jednak na samym funkcjonowaniu oprogramowania szpiegującego. Przetwarzane informacje muszą przecież przynosić jakieś korzyści. Tutaj pojawiają się podmioty, które decydują się na wykup reklam prezentowanych na podstawie spyware. Bez nich szpiegowanie użytkowników byłoby skazane na niebyt. Rzecz jasna samo zawarcie umowy o prezentację treści komercyjnych, o ile nie jest powiązane z uzyskaniem danych osobowych bez zgody samych zainteresowanych, nie narusza porządku prawnego.

Wątpliwości natury etycznej pozostają jednak. I w tym wypadku dochodzi do sporów prawnych. Na stronie prowadzonej przez Bena Edelmana, doktoranta na Wydziale Ekonomii Uniwersytetu w Harvardzie, pojawił się artykuł krytykujący praktyki Hula Direct, nabywającej od dystrybutorów spyware ruch sieciowy wykorzystywany do wyświetlania banerów. Reakcją opisywanej firmy było żądanie usunięcia publikacji, którą uznała za pomawiającą ją. Mimo tego opracowanie pozostało nadal dostępne w Internecie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200