Hlavní navigace

Bez soudního příkazu vaše data nevydáme, slibují webové služby

19. 6. 2015
Doba čtení: 5 minut

Sdílet

Electronic Frontier Foundation už popáté zveřejnila report Who Has Your Back, ve kterém hodnotí, jak IT firmy nakládají s uživatelskými daty, zejména co se týče jejich vydávání státním orgánům. I když situace stále není ideální, za poslední léta se hodně zlepšila. Téměř všichni už vyžadují soudní příkaz.

Report Who Has Your Back? vydává Electronic Frontier Foundation už od roku 2011 a patří mezi nejvyhledávanější aktivity této neziskové organizace, která dle vlastních slov hájí občanské svobody v digitálním světě. Oč jde? Každý rok se kritéria částečně promění, ale z většiny jde vždy o to, jak ochotně společnosti provozující IT služby vydávají uživatelská data státním orgánům.

Plné znění zprávy Who Has Your Back? 2015: Protecting Your Data From Government Requests (včetně odůvodnění): webová stránkaPDF

Pokud tuto aktivitu trochu sledujete, na první pohled vás může zarazit, že letos bylo celkem uděleno méně hvězdiček než loni. To ale ještě neznamená, že se situace za poslední rok zhoršila. Naopak. Tři kritéria totiž byla sloučena pod jeden bod a pro udělení hvězdičky je potřeba splnit všechny z nich. Jedná se o zveřejnění obecného postupu pro vydávání dat, nevydávání dat bez soudního příkazu a publikování souhrnných zpráv o množství vydaných dat.

Právě toto už se dnes jeví jako samozřejmost, proto došlo ke sloučení kritérií. A hodnocení potvrzuje, že se skutečně o samozřejmost jedná. Bod v tomto případě neobdržela pouze jedna společnost ze 24, a to WhatsApp (komunikátor). Dřív tomu tak ale nebylo. V letech 2011 a 2012 byl podobný přístup spíš výjimkou a ještě nedávno některé velké firmy, včetně např. Amazonu, Applu nebo Yahoo, vydávaly data i bez soudního příkazu (v jaké míře tak činily, je otázkou).

Když vydáte data, dejte dotčenému vědět

Dalším důležitým kritériem je upozornění uživatele, když firma předá jeho data státním orgánům. Možná si říkáte: Proč? Není už to pak jedno? Není. Soudní příkazy se ve většině případů týkají pouze části dat, která se vztahuje k určitému vyšetřování. Naštěstí to nefunguje tak, že by soud řekl, vydejte všechno, co na uživatele XY máte. Uživatel by se o tom tedy měl dozvědět, aby vydání dat mohl rozporovat, případně v budoucnu bránit vydání další části dat.

I toto kritérium se od minula zpřísnilo, proto mimo jiné neuspěla víc než třetina firem. Ty by totiž uživateli měly dát vědět neprodleně – ještě předtím, než k samotnému vydání dat dojde. V případě, kdy to ze zákona nebo nařízení soudu není možné, by uživatele měly upozornit ihned, jakmile pomine nastavená lhůta. Nutno dodat, že v tomto případě EFF hodnotila poněkud přísně. Např. Google a Twitter bod nedostaly jen z toho důvodu, že neupozorní v případě, kdy účet vykazuje známky kompromitace. To je na jednu stranu logický, na druhou stranu velmi obtížně kontrolovatelný přístup.

Jak dlouho moje data uchováváte?

Otázka neméně důležitá. Od ní se totiž odvíjí, kolik toho na vás státní orgány vlastně mohou získat. Zpráva to zohledňuje vůbec poprvé. Pochopitelně není hodnocena doba ukládání dat, ale to, zda o tomto firma vůbec informuje. Stejně jako v předchozím případě zde neuspěla třetina firem. Uživatel může sice smazat svůj obsah a někdy i celý účet, to ale ještě neznamená, že se po něm slehne zem. Smazaný obsah a záznamy přístupů z IP můžou být uchovávány ještě docela dlouhou dobu.

Hvězdičku neobdržely např. Microsoft nebo Google. Microsoft o době uchovávání dat neinformuje vůbec, Google sice ano, ale pouze u části svých služeb. V tomto případě bodování není postaveno úplně ideálně, jelikož ocení jak firmy, které pro uživatele nepotřebná mažou rychle a v jasně stanovených termínech, tak i ty, které si vystačí s formulací „uchováváme různé typy uživatelských informací po různě dlouhou dobu“ (Snapchat). Možná by bylo vhodné kritérium zpřísnit. Arbitrárně stanovit jakýkoliv limit je však velmi obtížné a v důsledku zkreslující.

Jsme proti backdoorům, zní jednohlasně

Poslední dvě kritéria už nemají takový reálný dopad, značí spíš to, jak jsou společnosti transparentní. Zatímco publikování souhrnných zpráv o vydávání dat už se stalo standardem, u mazání uživatelského obsahu tomu tak ještě není. Týká se to zejména sociálních sítí a dalších publikačních platforem, které někdy na žádost státních orgánů nebo po rozhodnutí soudu musí obsah odstranit. Většina firem (15/19, zbylé firmy neposkytují uživatelů možnost zveřejňovat informace) nicméně už takové informace také publikuje. Polepšit se musí Facebook, Microsoft, LinkedIn a Tumblr.

V minulých letech zpráva obsahovala také hodnocení toho, zda firmy politicky lobují za práva uživatelů. Letos bylo nahrazeno konkrétnějším a aktuálnějším kritériem – zda se veřejně vyslovují proti vkládání vládních backdoorů do svých služeb. Čím dál víc se totiž rozšiřuje šifrování a politici začínají hovořit o jeho zákazu (nereálné), případně nuceném oslabení (mnohem reálnější). Proti němu se oficiálně nevyjádřily pouze tři společnosti z výběru. No a většina z nich to sfoukla najednou dopisem americkému prezidentovi, který společně podepsaly. Prohlášení je to hezké, ale o skutečném charakteru firem se víc dozvíme, až když se začne lámat chleba.

UX DAy - tip 2

Kromě WhatsAppu pozitivní výsledky

Za pět let vydávání zprávy ke každému roku došlo k zlepšení. Letošek není výjimkou. Technologické firmy a služby jsou vůči státním požadavkům důslednější a transparentnější než kdy jindy. Velký úspěch je jen už to, že drtivá většina nevydá vaše data bez soudního příkazu. Samozřejmě, vždy můžete namítnout, že nám nemusí říkat vše a NSA se k tomu stejně dostane. Veřejný tlak na ochranu soukromí uživatelů však sílí a po Snowdenově odhalení aktivit NSA je agentura pod větším tlakem než kdy dřív.

Pokud pomineme firmy, které u nás nepůsobí (američtí operátoři apod.), vyloženě špatně z hodnocení vychází pouze komunikační služba WhatsApp, která si připsala jediný bodík za poměrně prázdné prohlášení proti backoorům, učiněné navíc jen mateřskou společností Facebook. Jinak o WhasApp nevíme zhola nic. Jak dlouho má naše data, za jakých podmínek je komu vydává ani jak často tak činí. Služba se sice v posledních měsících blýskla zaváděním šifrované komunikace, ale ani to nepomůže, když jde o software s uzavřeným kódem a naprosto chybí transparentnost.

Plný počet bodů získaly (abecedně): Adobe, Apple, Dropbox, Wickr, Wikimedia, WordPress.com a Yahoo. Se ztrátou jednoho bodu pak byly poměrně úspěšné také Facebook, LinkedIn, Pinterest, Reddit, Snapchat a Twitter.

Zmiňme ještě Google a Microsoft, jejichž služby využívá velké množství lidí. Google sice získal jen 3/5 bodů, nicméně ve zbývajících dvou kategoriích byl do určité míry hodnocen pozitivně. Microsoft byl také ohodnocen třemi body kvůli absenci informací o době uchovávání dat a nuceném mazání obsahu.

Byl pro vás článek přínosný?

Autor článku

Bývalý redaktor serveru Root.cz, dnes produktový manažer a konzultant se zaměřením na Bitcoin a kryptoměny.