Kako internet lagano počinje da zaobilazi EU?
25. maj je prilično značajan datum za prošlost, ali od ove godine će postati još značajniji za budućnost celog sveta! Naime, tog datuma stupa na snagu Evropska regulativa o opštoj zaštiti podataka (General Data Protection Regulation - GDPR). Možda se pitate kakve veze zakon jedne države ima sa ostatkom sveta? Pa... Danas je doba informacija, interneta.... Podataka... Tako da su informacije globalno dostupne gotovo svakom pojedincu na svetu (koji želi da dođe do njih). I upravo tu nastaje problem za sve unutar i izvan Evropske Unije.
Borba za anonimnost
Pozadina GDPR zakona je "borba" izvesnih grupa na internetu za anonimnost. Ova borba je bila (i biće) utemeljena u raznim skandalima u kojima su podaci korisnika "iscureli" iz velikih kompanija, bilo putem hakovanja njihovih baza podataka, bilo putem razmene informacija ili čak i prodajom tih informacija! Zbog toga su mnoge kompanije okarakterisane kao "zle" od strane tih grupacija ljudi. Na njihovoj meti su se naročito nalazile kompanije koje se bave digitalnim marketingom, jer je borba na tržištu između mnogobrojnih kanala za oglašavanje dovela do zapanjujuće situacije u kojoj je informacija o korisniku (pri čemu se misli na pojedinca) - gotovo bezvredna (cenovni rang za hiljade korisnika neke društvene mreže je oko jednog dolara)! Što se ukratko može protumačiti kao činjenica da čitav nečiji život (naravno, misli se na digoitalni deo tog života) ne vredi ni pišljivog boba!
Naravno, grupe za anonimnost su svoju borbu bile usmerile na informisanje javnosti i razvijanje specijalnih programa (i operativnih sistema) koji u manjoj ili većoj meri sprečavaju otkrivanje identiteta osobe koja te programe koristi. Takođe, u njihovom arsenalu su i softveri za lažna predstavljanja itd. Borba ove grupacije je usmerena i u cilju otkrivanja i uklanjanja informacija koje je neko prikupljao o svom korisniku, tj cilj im je bio i veća transparentnost kompanija o njihovom odnosu sa svojim klijentima. Prostim rečnikom, njihov vapaj je bio: "Hajde makar budite iskreni o onome šta znate o meni". Ali, tada na scenu stupa politika i političari.
Zbog cele zbrke nastale oko raspolaganja sa podacima, u više država dolazi do donošenja više zakona o kontroli prikupljanja, obrade i pristupa informacijama na internetu koji su, zbog prirode funkcionisanja interneta, u većoj ili manjoj meri primenljivi - globalno!
Neki od tih zakona su zakoni o zaboravu, Kalifornijski zakon o zabrani praćenja i pružanja usluga deci, zakoni o zaštiti privatnosti doneseni na nivou mnogih država i najnoviji (koji stupa na snagu za manje od tri dana - GDPR).
Internet i (anonimni) podaci
Sama suština interneta je razmena i deljenje digitalnih podataka. Da bi internet funkcionisao on mora pratiti određene standarde komunikacije. Svaki računar šalje i prima zahteve o ogromnoj količini podataka od nekog drugog računara. Svaki računar u svakom trenutku mora znati od koga i kome šalje informaciju, i kojim putem to radi. Zbog toga i postoji adresiranje računara, što je slično poštanskom adresiranju kuća u ulici, naselju, gradu, državi... Dakle - ukoliko želite da komunicirate sa nekim, taj neko mora da zna Vašu adresu, kao i Vi njegovu.
Međutim, pošto samo adresiranje računara onemogućava anonimnost, ljudi koje se bave ovom tematikom prebacuju priču na polje kanala komunikacije i same poruke. Kanal komunikacije uključuje ISP (mrežne provajdere) i infrastrukturu, kao i sve druge činioce koji se nalaze u lancu između dva računara a kroz koje poruka mora da prođe i koji imaju mogućnost da saznaju sadržaj poruke, a samim tim i da je iskopiraju i uskladište. Sve ove činjenice otvaraju, ne samo pitanje anonimnosti, već i sigurnosti internet komunikacija. Da bi se ti nedostaci interneta zaobišli, razvijaju se razni alati koji šifruju (enkripcija i dekripcija) poruke, baze podataka i sl, kao i alatke koje omogućavaju anonimno surfovanje internetom (skrivanje IP adrese, blokiranje određenih IP adresa i domena koji prate korisnička ponašanja, ne prihvatanje web "kolačića" od strane pregledača, blokiranje reklama itd.).
Po ovom zakonu, ukoliko je korisnik državljanin neke od članica i nalazi se na teritoriji EU sedeći za svojim uređajem (telefonom ili računarom) i koristeći nečiji sajt (što po automatizmu znači da taj sajt ima uvida u neke od ličnih podataka tog korisnika) a taj sajt na neki način nije dao mogućnost korisniku da izabere koje njegove podatke želi da ostavi,ili nije dao mogućnost tom korisniku da svoje podatke obriše imamo grubo kršenje privatnosti tog korisnika. Nije bitno da li je sajt iz Malezije, Polinezije ili Srbije.
Naravno, sajt podatke o evropskom korisniku mora skladištiti na serveru u EU. Takođe, korisnik mora biti informisan o svemu što mu na sajtu/blogu ili servisu može preuzeti podatke i koji su to podaci. Korisnik mora da ima mogućnost i za anonimizaciju IP adrese, kao i za anonimizaciju komentara (ovo znači da korisnik ima pravo da zahteva da se njegova poseta sajtu vodi samo kao generička, ali ne i realna, jer njegova IP adresa ne sme odati njegovu približnu lokaciju, niti njegovog ISP provajdera), takođe, ostavljen komentar pod nekim imenom mora imati mogućnost da se ili obriše ili prebaci na anonimno.
Ukratko, ukoliko korisnik koji sedi u svom stanu u Beču poseti sajt iz Malezije koji nije implementirao sve gore navedene stavke, taj sajt iz Malezije je na udaru prava iz EU jer je krivično delo počinjeno upravo u EU.
Nakon svih (manje ili više nemogućih) uslova koje GDPR nameće gotovo celokupnoj internet infrastrukturi sasvim je bila očekivana i normalna reakcija da se javlja i otpor prema ovoj uredbi od strane pojedinaca i kompanija. Naime, sam prelazak na GDPR zahteva i izdvajanje određenih finansijskih sredstava, kako za pravnike, tako i za nove načine za čuvanje i rukovanje prikupljenim podacima. Male firme i preduzeća (uključujući i ljude koji nisu iz svere ekonomije, npr male blogere) jednostavno nemaju sredstava da se prilagode novonastaloj situaciji.
Međutim, u gomili interpretacija ovog zakona termin kompanija postaje malo nejasan. Smatra se da su to svi ljudi koji prodaju neku robu ili usluge građanima EU i pri tome imaju uvid u podatke tih građana. Drugim rečima, svako onaj ko stvara neki novac se smatra kompanijom. Čak i onaj ko na svom blogu ili sajtu ima oglase, jer oni mogu biti njegov izvor prihoda. Ovo je pogrešna interpretacija zakona jer GDPR ne spominje nikakve kompanije i preduzeća. GDPR spominje kontrolere i obrađivače podataka. Drugim rečima, spominje one koji poseduju bilo koju informaciju i one koji obrađuju te informacije (npr statistička obrada broja poseta bloga).
Informacija može biti i najobičnija IP adresa korisnika, što će reći da svako ko ima bilo kakvu analitiku na svojoj web lokaciji (pitanje je: ko je nema?) skladišti podatak građana EU. Šta ćemo sa kompleksnim podacima koji se nalaze unutar sabskrajb mejling lista ili komentara (gde se, između ostalog, može videti ime, prezime a poneki put slika i ostale informacije koje korisnik ostavi)?
Izgleda da ovaj zakon (ili neka njegova tumačenja) trenutno pravi veći nered na internetu nego što bi trebalo. On ne samo da se tiče velikih kompanije, već se tiče i mnogih pojedinaca koji plasiraju svoje sadržaje na internetu.
Da li su tumačenja ovog zakona pogrešna, ili ima nešto u njemu što je neispravno? Ja to ne mogu da znam, nisam pravnik. Ali, izgleda da nisam jedini, jer
U tu svrhu sajtovi najčešće koriste rešenja kao što je npr MaxMind modul (na svom serveru) podešen za GEO blokiranje ili pak plaćaju servis (npr GDPR shield), a mnoge imaju i neku svoju implementaciju sličnih servisa.
Uglavnom, spisak kompanija koje napuštaju EU tržište postaje prilično dugačak. Neke od njih čak pokušavaju da naprave i reklamu od svega ovoga. Međutim, koliko su njihove odluke moralne ili legalne? Na kraju, šta biva sa podacima građana EU koji pristupaju sajtovima putem lažnih IP adresa (proxy, VPN ili TOR)? Kako vlasnik sajta može biti siguran da je njegov posetioc iz EU? Zapravo, nikako. Ispada da građenje nevidljivih granica i barijera ka Evropskoj Uniji neće uroditi plodom, ali je to, pored svega ovoga, postalo masovna pojava.
Sve to dovodi do velike konfuzije i do trenutno izrazito velike "balkanizacije" interneta. Postoje opravdani strahovi da će, ukoliko se ovim tempom nastavi, internet početi da se rastače na međusobno odvojene fragmente koje će pojedine države (za koje su ti fragmenti možda interesantni) blokirati ili im dozvoljavati pristup.
Poenta svega je da su ljudi želeli zakonska uređenja. Evo, dobili su ih... Budući da zakonska uređenja mogu da važe samo na određenim teritorijama, niste valjda zaboravili da će odmah nakon donošenja uredbi da se pojave i granice? Evo ih. Sada se čeka i uvođenje carina 😉 kako bi svi mi ispali kompletni idioti.
Ukratko... Zbogom slobodnom protoku informacija i internet nezavisnosti.
Međutim, pošto samo adresiranje računara onemogućava anonimnost, ljudi koje se bave ovom tematikom prebacuju priču na polje kanala komunikacije i same poruke. Kanal komunikacije uključuje ISP (mrežne provajdere) i infrastrukturu, kao i sve druge činioce koji se nalaze u lancu između dva računara a kroz koje poruka mora da prođe i koji imaju mogućnost da saznaju sadržaj poruke, a samim tim i da je iskopiraju i uskladište. Sve ove činjenice otvaraju, ne samo pitanje anonimnosti, već i sigurnosti internet komunikacija. Da bi se ti nedostaci interneta zaobišli, razvijaju se razni alati koji šifruju (enkripcija i dekripcija) poruke, baze podataka i sl, kao i alatke koje omogućavaju anonimno surfovanje internetom (skrivanje IP adrese, blokiranje određenih IP adresa i domena koji prate korisnička ponašanja, ne prihvatanje web "kolačića" od strane pregledača, blokiranje reklama itd.).
I onda je došao - GDPR
Svaka država pokušava da uredi neku oblast koja je prilično neregulisana i u kojoj je prilično teško njenim službama da deluju. Oblast interneta je, sa stanovišta bilo koje države, prilično neuređen prostor, pa ga one pokušavaju prekrojiti prema svojoj meri. Evropska Unija je donela skup zakona kojima će (pokušati?) da reguliše javašluk u kojem kompanije i korporacije plivaju razmenjujući ogromne količine informacija o ljudima. Zakon je napisan prilično kvalitetno sa stanovišta običnog internet korisnika. Na primer, korisnik mora da ima enkriptovanu vezu sa sajtom (servisom) čime se efikasno obezbeđuje da je komunikacija sigurna. Podaci o korisniku se, takođe, moraju čuvati u šifrovanoj formi, tako da ukoliko dođe do hakerskog proboja, podaci ne mogu biti pretvoreni u ljudima razumljiv oblik. Predviđa se i redovno skeniranje uređaja protiv malvera i virusa...Preuzimanje moći nad kontrolom podataka
Međutim, jedna od intrigantnih činjenica je da će odredbe ovog zakona moći da deluju i van granica EU! Kako je to moguće?Po ovom zakonu, ukoliko je korisnik državljanin neke od članica i nalazi se na teritoriji EU sedeći za svojim uređajem (telefonom ili računarom) i koristeći nečiji sajt (što po automatizmu znači da taj sajt ima uvida u neke od ličnih podataka tog korisnika) a taj sajt na neki način nije dao mogućnost korisniku da izabere koje njegove podatke želi da ostavi,ili nije dao mogućnost tom korisniku da svoje podatke obriše imamo grubo kršenje privatnosti tog korisnika. Nije bitno da li je sajt iz Malezije, Polinezije ili Srbije.
Naravno, sajt podatke o evropskom korisniku mora skladištiti na serveru u EU. Takođe, korisnik mora biti informisan o svemu što mu na sajtu/blogu ili servisu može preuzeti podatke i koji su to podaci. Korisnik mora da ima mogućnost i za anonimizaciju IP adrese, kao i za anonimizaciju komentara (ovo znači da korisnik ima pravo da zahteva da se njegova poseta sajtu vodi samo kao generička, ali ne i realna, jer njegova IP adresa ne sme odati njegovu približnu lokaciju, niti njegovog ISP provajdera), takođe, ostavljen komentar pod nekim imenom mora imati mogućnost da se ili obriše ili prebaci na anonimno.
Ukratko, ukoliko korisnik koji sedi u svom stanu u Beču poseti sajt iz Malezije koji nije implementirao sve gore navedene stavke, taj sajt iz Malezije je na udaru prava iz EU jer je krivično delo počinjeno upravo u EU.
Nakon svih (manje ili više nemogućih) uslova koje GDPR nameće gotovo celokupnoj internet infrastrukturi sasvim je bila očekivana i normalna reakcija da se javlja i otpor prema ovoj uredbi od strane pojedinaca i kompanija. Naime, sam prelazak na GDPR zahteva i izdvajanje određenih finansijskih sredstava, kako za pravnike, tako i za nove načine za čuvanje i rukovanje prikupljenim podacima. Male firme i preduzeća (uključujući i ljude koji nisu iz svere ekonomije, npr male blogere) jednostavno nemaju sredstava da se prilagode novonastaloj situaciji.
Da li su stvari toliko strašne?
Izgovor za donošnje ovakvih zakona je sprečavanje kompanija da prikupljaju podatke na neadekvatan način. Takođe, ovim aktom se pokušava sprečiti da velike kompanije dele ili preprodaju informacije nekim trećim licima. Međutim, ti veliki igrači su na vreme unajmili kvalitetne pravnike i programere kako bi kreirali efikasna rešenja ovih problema.Međutim, u gomili interpretacija ovog zakona termin kompanija postaje malo nejasan. Smatra se da su to svi ljudi koji prodaju neku robu ili usluge građanima EU i pri tome imaju uvid u podatke tih građana. Drugim rečima, svako onaj ko stvara neki novac se smatra kompanijom. Čak i onaj ko na svom blogu ili sajtu ima oglase, jer oni mogu biti njegov izvor prihoda. Ovo je pogrešna interpretacija zakona jer GDPR ne spominje nikakve kompanije i preduzeća. GDPR spominje kontrolere i obrađivače podataka. Drugim rečima, spominje one koji poseduju bilo koju informaciju i one koji obrađuju te informacije (npr statistička obrada broja poseta bloga).
Informacija može biti i najobičnija IP adresa korisnika, što će reći da svako ko ima bilo kakvu analitiku na svojoj web lokaciji (pitanje je: ko je nema?) skladišti podatak građana EU. Šta ćemo sa kompleksnim podacima koji se nalaze unutar sabskrajb mejling lista ili komentara (gde se, između ostalog, može videti ime, prezime a poneki put slika i ostale informacije koje korisnik ostavi)?
Izgleda da ovaj zakon (ili neka njegova tumačenja) trenutno pravi veći nered na internetu nego što bi trebalo. On ne samo da se tiče velikih kompanije, već se tiče i mnogih pojedinaca koji plasiraju svoje sadržaje na internetu.
Da li su tumačenja ovog zakona pogrešna, ili ima nešto u njemu što je neispravno? Ja to ne mogu da znam, nisam pravnik. Ali, izgleda da nisam jedini, jer
Mnogi internet igrači počinju da blokiraju posete svojim sajtovima ili servisima korisnicima iz EU!
Budući da mnoge kompanije i pojedinci (uključujući i programere) ne mogu da zadovolje sve uslove koje GDPR propisuje, oni jednostavno donose odluke da blokiraju korisnike iz Evropske Unije.U tu svrhu sajtovi najčešće koriste rešenja kao što je npr MaxMind modul (na svom serveru) podešen za GEO blokiranje ili pak plaćaju servis (npr GDPR shield), a mnoge imaju i neku svoju implementaciju sličnih servisa.
Uglavnom, spisak kompanija koje napuštaju EU tržište postaje prilično dugačak. Neke od njih čak pokušavaju da naprave i reklamu od svega ovoga. Međutim, koliko su njihove odluke moralne ili legalne? Na kraju, šta biva sa podacima građana EU koji pristupaju sajtovima putem lažnih IP adresa (proxy, VPN ili TOR)? Kako vlasnik sajta može biti siguran da je njegov posetioc iz EU? Zapravo, nikako. Ispada da građenje nevidljivih granica i barijera ka Evropskoj Uniji neće uroditi plodom, ali je to, pored svega ovoga, postalo masovna pojava.
Sve to dovodi do velike konfuzije i do trenutno izrazito velike "balkanizacije" interneta. Postoje opravdani strahovi da će, ukoliko se ovim tempom nastavi, internet početi da se rastače na međusobno odvojene fragmente koje će pojedine države (za koje su ti fragmenti možda interesantni) blokirati ili im dozvoljavati pristup.
Poenta svega je da su ljudi želeli zakonska uređenja. Evo, dobili su ih... Budući da zakonska uređenja mogu da važe samo na određenim teritorijama, niste valjda zaboravili da će odmah nakon donošenja uredbi da se pojave i granice? Evo ih. Sada se čeka i uvođenje carina 😉 kako bi svi mi ispali kompletni idioti.
Ukratko... Zbogom slobodnom protoku informacija i internet nezavisnosti.
Коментари
Постави коментар