Otázky, nad ktorými sa oplatí zamyslieť

O tom, že šlo o osobné údaje, asi niet pochýb (pochybovačom odporúčam pred rozhorčenými reakciami si najprv preštudovať ako pojem osobné daje vysvetľuje najvyššia autorita pre oblasť ochrany osobných údajov v EÚ – Article 29 Working Party). O tom, či došlo k porušeniu zákona o ochrane osobných údajov, by mal vedieť kvalifikovane rozhodnúť Úrad na ochranu osobných údajov, ktorý má monopol na výklad tohto zákona. Zdá sa mi však (nie som právnik), že autor článku by sa v prípade potreby mohol odvolať na znenie §2a písm. b) zákona o ochrane osobných údajov, podľa ktorého sa zákon nevzťahuje na ochranu osobných údajov ktoré boli získané „náhodne ... bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.“

Za zaujímavejšiu však pokladám otázku, či došlo k porušeniu zákona zo strany Azetu, presnejšie či e-mailové adresy, ktoré autor článku získal, boli Azetom zverejnené , alebo nie. Zdá sa, že pojem „zverejnenie“ by mohol byť pekným príkladom pojmu, ktorého interpretácia bola zrejmá až do doby širšieho využívania IT a Internetu zvlášť. Čo vlastne vo svete Internetu znamená, že údaj je zverejnený – stačí, že je umiestnený na verejne dostupnom serveri, alebo musí byť aj „výslovne viditeľný“? Na rozdiel od papierových médií nám počítače totiž umožňujú údaje sprístupniť bez toho, aby boli okamžite postrehnuteľné voľným okom – a malo by nás zaujímať kedy ide o „zverejnenie“ a kedy už nie. Nie len kvôli dostupnosti e-mailových adries na webe Azetu či prípadne iných osobných údajov na inom webe, ale napríklad aj kvôli prípadom, kedy legislatíva ukladá orgánu štátnej správy niečo zverejniť na webe – čo keď kreatívneho úradníka napadne splniť takú požiadavku tým, že príslušný text „zverejní“ hoci aj bielym písmom na bielom podklade? Zrejme už nastal čas na dôkladnejšie preskúmanie niektorých pojmov, ktorých interpretácia bola až doteraz zrejmá, a posúdenie, či takáto interpretácia jednoznačne platí aj v kontexte IT a Internetu. V tomto zmysle sľubne vyznieva vytvorenie Komisie pre legislatívu v oblasti informatizácie spoločnosti pri sekcii informatizácie spoločnosti Ministerstva financií – počkajme si však, aké budú jej výstupy, akým otázkam sa bude venovať.

O tom, či sa autor článku svojim konaním prehrešil voči etike sa dá diskutovať ... dalo by sa tiež povedať, že by sa malo diskutovať. Ani nie tak o etických aspektoch tohto konkrétneho prípadu, ako trochu všeobecnejšie – o zodpovednosti a etike v súvislosti s bezpečnosťou a ochranou súkromia vo svete Internetu. Nejde totiž ani tak o tento konkrétny prípad (škoda sa už stala), ale o to, že je celkom pravdepodobné že aj v budúcnosti sa na Slovensku vyskytnú podobné situácie a s nimi aj podobný problém – ako upozorniť na objavený bezpečnostný nedostatok tak, aby upozornenie bolo účinné a zároveň nedošlo k zbytočnému poškodeniu práv a záujmov tých, ktorí svoje (osobné) údaje zverili organizácii u ktorej bolo objavená bezpečnostná chyba.

Záver predchádzajúcej vety je dosť dôležitý – v zahraničí známe zásady „responsible disclosure“ sú totiž formulované skôr pre prípady objavenia nedostatku v softvérovom produkte, menej pre prípady konkrétnej (jedinečnej) inštalácie, kedy je hrozba spôsobenia ujmy nič netušiacim ľuďom celkom konkrétna.Skrátka, chýba nám pre takéto prípady vyhovujúce usmernenie – niečo ako zásady postupu, ktorý by bol všeobecne akceptovaný ako etický a zodpovedný. Otázkou však je, ako dosiahnuť, aby na Slovensku vznikla a bola všeobecne akceptovaná takáto „norma“ etického a zodpovedného správania nasledujúceho po objavení bezpečnostného nedostatku.

Zdá sa, že nemôžme v tomto smere očakávať nejaké kroky „zhora“ – návrh Národnej stratégie pre informačnú bezpečnosť, tak, ako bol predložený na pripomienkové konanie, vychádza z predstavy tvrdého centrálneho „dirigovania“ skoro všetkého, čo sa týka bezpečnosti, čo asi nebude ten najlepší spôsob ako dosiahnuť aby sa „hackeri“ dobrovoľne riadili predpísaným postupom. Naviac, pojem etika sa v Stratégii vyskytuje iba v jedinej vete konštatujúcej, že „etika a morálka ... sú vecou jednotlivcov, nanajvýš komunít a nemajú právnu silu“. Z tejto vety a kontextu, v ktorom je použitá, sa dá usúdiť, že autori Stratégie rezignovali na akékoľvek snahy o formovanie (či aspoň ovplyvňovanie formovania) etických postojov v súvislosti s informačnou bezpečnosťou.

Vyzerá to teda tak, že iniciatíva by mala vzísť priamo z komunity na Slovensku, resp. od nejakého komunitou dostatočne rešpektovaného subjektu. Otázka je, či už na takú iniciatívu nadišiel čas, či už na Slovensku ľudia pociťujú potrebu takej etickej „normy“, alebo či sa musia najprv objaviť ďalšie prípady, pri ktorých bude upozornenie na bezpečnostný nedostatok zrealizované spôsobom, ktorého etická stránka bude vyvolávať pochybnosti či spory.