Rosnące zagrożenie kradzieżą tożsamości w świecie elektronicznym każe szukać nowych prawnych rozwiązań dotyczących ochrony danych osobowych.

Działanie złodziei tożsamości stało się łatwiejsze dzięki powszechności dostępu do Internetu. Za jego pośrednictwem mogą oni łatwo składać w cudzym imieniu wnioski o kredyt czy zamawiać towary w elektronicznych sklepach. Wystarczy tylko wejść w posiadanie dobrej bazy z danymi osobowymi. Do tego celu można wykorzystać również Internet, włamując się do systemów informatycznych sklepów, banków, towarzystw ubezpieczeniowych, agencji reklamowych czy urzędów.

Uzyskanie informacji, że miała miejsce kradzież danych osobowych z baz danych, nie jest łatwym zadaniem. Firmy zazwyczaj nie informują o próbach włamania się do ich systemów bądź udanych atakach z zewnątrz. Tylko 34% ankietowanych przez CSI i FBI przedsiębiorstw i instytucji amerykańskich informowało o cyberprzestępstwach policję czy sądy. Większość wolała nie narażać na szwank dobrego imienia swojej firmy. Tymczasem u nas ten odsetek jest jeszcze mniejszy.

Jawność obowiązkowa

Władze Kalifornii jako pierwsze postanowiły zmienić ten stan rzeczy. Zgodnie z prawem obowiązującym od 1 lipca br. wszystkie bez wyjątku firmy i instytucje muszą niezwłocznie informować mieszkańców stanu o naruszeniu lub próbie złamania zabezpieczeń w ich systemach informatycznych, w których zgromadzono zbiory danych osobowych. Informacje mogą być przekazywane opinii publicznej poprzez mass media lub indywidualnie za pomocą listu bądź e-maila wysłanych do każdego, kogo dane znajdują się w bazie. Administratorzy systemów zostali zobowiązani do powiadamiania wszystkich zainteresowanych o możliwości wejścia przez hakerów w posiadanie numerów kart kredytowych, numerów ubezpieczenia społecznego czy innych istotnych informacji pozwalających na kradzież tożsamości.

Nowe przepisy mają zmusić kadrę kierowniczą firm do większej dbałości o zabezpieczenie zbiorów z danymi osobowymi, a także uzmysławiać wagę problemu związanego z nowym rodzajem przestępczości w szerszym społecznym odbiorze. Rozważa się potraktowanie kalifornijskiej ustawy jako wzorcowego rozwiązania w skali całych Stanów Zjednoczonych. Zdaniem zwolenników takiego podejścia ogólnokrajowa ustawa Database Security Breach Notification Act (o informowaniu o przypadkach naruszenia bezpieczeństwa baz danych) przyczyniłaby się m.in. do ożywienia handlu elektronicznego. Każde naruszenie zabezpieczeń systemu informatycznego z danymi osobowymi byłoby ścigane z urzędu, zaś próba zatajenia tego faktu byłaby zagrożona wysoką karą pieniężną.

Z uzasadnieniem tym nie zgadzają się jednak niektórzy zwolennicy wolnorynkowych mechanizmów funkcjonowania gospodarki. W ich opinii proponowane rozwiązania prawne mogą grozić osłabieniem innowacyjności w sektorze nowych technologii. Regulacje administracyjne nie przyczynią się do poprawy ochrony systemów z danymi osobowymi. Wymusić to może na firmach jedynie konkurencja na rynku, w której będą wygrywać ci, którzy wykażą się m.in. większą troską o klienta, zapewniając lepszą ochronę informacji. Szybki wzrost przestępczości związanej z kradzieżą tożsamości zdaje się jednak wskazywać, że jest to podejście naiwne.

Obywatelski obowiązek

W Polsce kradzieże tożsamości przez Internet nie stanowią w tej chwili tak palącego problemu, jak w USA. Być może dlatego w trwających pracach nad projektem nowelizacji ustawy o ochronie danych osobowych nie bierze się pod uwagę propozycji nałożenia obowiązku informowania opinii publicznej o włamaniach do baz danych osobowych. W Urzędzie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) do tej pory nie odnotowano przypadków włamań do systemów informatycznych przedsiębiorstw czy instytucji z zamiarem kradzieży zbiorów danych osobowych. Natomiast miały już miejsce zgłoszenia o kradzieży laptopów zawierających bazy z takimi danymi. Zarówno prawnicy, jak i informatycy zwracają uwagę, że wprowadzenie obowiązku informowania o naruszeniach zabezpieczeń systemów wiązałoby się z koniecznością ustanowienia skutecznych mechanizmów kontroli wywiązywania się administratorów z wymogów ustawy. Potrzebne są możliwości obiektywnej weryfikacji zdarzeń. Nie można bazować tylko na wyjaśnieniach administratorów czy zgłoszeniach konsumentów, potrzebne jest wprowadzenie odpowiednich rozwiązań technicznych. Niezbędny byłby m.in. obowiązek zachowywania ălogówÓ (nie wiadomo jednak w jaki sposób i na jak długo). Konieczna byłaby z pewnością także weryfikacja wymagań niezbędnych zabezpieczeń technicznych, aby informacja o każdym podjętym przez hakerów ataku możliwie szybko docierała do administratora.

Sieciowe kradzieże tożsamości czy włamania do systemów informatycznych traktowane są obecnie w polskim prawie na ogólnych zasadach. Administratorzy baz danych nie mają obowiązku informowania Generalnego Inspektora Danych Osobowych o włamaniach do ich systemów. Powinni natomiast postarać się zabezpieczyć lepiej system, by włamania się nie powtórzyły. Inspektorzy GIODO mają jedynie uprawnienia do sprawdzania, czy systemy z danymi osobowymi są zabezpieczone zgodnie z wymogami Ustawy o ochronie danych osobowych.

Zgodnie z obowiązującymi przepisami decyzja o powiadomieniu policji czy sądu pozostaje w gestii administratora systemu. Ściganie włamania przez Internet może nastąpić, tak jak w przypadku innych rodzajów kradzieży, na wniosek poszkodowanego. Do jego złożenia obliguje go jednak tylko ogólnie sformułowany nakaz obowiązku społecznego. Obywatelom pozostaje więc jedynie liczyć na jego rozpowszechnienie wśród administratorów baz danych osobowych. Z drugiej strony, można też mieć nadzieję, że firmy będą dokładać coraz większych starań w zabezpieczaniu naszych danych osobowych w obawie przed utratą zaufania klientów na coraz bardziej konkurencyjnym rynku.