In Europa, adresele IP vor putea fi considerate informatii cu natura personala

Decizia UE asupra cazului Google/DoubleClick urmeaza sa fie anuntata in curand de comisia europeana anti-trust. Pana se va ajunge insa la acel moment, diverse organizatii non-guvernamentale incearca sa „puna bete-n roate” acestui deal.

Este si cazul EPIC – Electronic Privacy Information Center, o organizatie non-guvernamentala cu sediul in Washington, DC.
In data de 21 ianuarie 2008, Marc Rotenberg presedinte al EPIC a fost audiat de parlamentul European in legatura cu afacerea Google/DoubeClick. Studiul de caz prezentat de acesta vorbeste despre protectia informatiilor si motoarele de cautare.

Una din caracteristicile principale ale internetului este aceea ca orice activitate a oricarui utilizator este inregistrata si stocata de mai multi intervenanti cum ar fi providerii de internet sau site-urile pe care utilizatorii le viziteaza.

In momentul in care ne conectam la internet, calculatorului nostru i se atribuie o adresa de IP unica, cu ajutorul careia calculatorul este identificat in mod unic pe internet, indiferent de site-ul pe care navigam. Aceasta adresa de IP precum si toate actiunile pe care le intreprindem in cadrul unei sesiuni pe web sunt stocate in log-urile providerului nostru de internet si in diversele loguri ale site-urilor pe care le vizitam. IP-ul nu ne identifica individual ca persoana, ci identifica in mod precis doar calculatorul pe care il folosim pentru a naviga.

Materialul lui Rotenberg, sustine ca practicile motoarelor de cautare de retentie a informatiilor despre utilizatori (cum ar fi de exemplu adresele de IP) nu sunt transparente. Utilizatorul nu actioneaza in cunostinta de cauza in ceea ce priveste informatiile care sunt colectate (politica de opt-out vs. opt-in).
In acelasi material, Rotenberg sustine ca functionalitatea motoarelor de cautare nu este influentata de colectarea si utilizarea datelor precum adresele de IP.

Intr-adevar, colectarea adresei IP nu afecteaza functionalitatea propriu-zisa a motorului de cautare, dar in mod cert afecteaza programele precum adWords, adSense si toate aplicatiile de distributie de publicitate pe internet.

Subiectul este extrem de sensibil, mai ales in Europa, unde toata infrastructura internet se bazeaza pe adrese de IP fixe (vs. America de Nord unde adresele de IP sunt mobile, si se schimba la intervale cuprinse intre cateva zeci de minute si cateva zile).

Chiar daca parlamentul european va decide sa considere adresele de IP ca fiind date personale, functionarea internetului ca un tot global nu este posibila fara o colectare si utilizare a adreselor IP. Prin urmare o decizie din partea Uniunii Europeene de a incadra adresele IP in categoria informatiilor cu natura personala nu ar face decat sa creeze o multitudine de probleme legale si batai de cap companiilor cu activitate pe piata de internet. Din pacate, acest lucru ar putea dce la o scadere a utilizarii si/sau functionalitatilor disponibile pe internet.

Unul dintre sustinatorii acestei teorii, conform careia adresele de IP trebuie sa fie considerate informatii personale, si prin urmare supuse unui regim special de stocare, utilizare si manipulare este Peter Schaar, director al Federal Commissioner for Data Protection and Freedom of Information. Faptul ca Schaar sustine acest proiect indica posibilitatea demararii unor dezbaterii aprinse pe aceasta tema.

Din aceasta perspectiva, Google/DoubleClick devine o poveste care capata noi valente.

In raspuns la cele prezentate de Rotenberg, Peter Fleischer, Consilierul Global al Google pe teme de Privacy a sustinut printr-un material prezentat parlamentului european ca „Nu exista un raspuns direct la intrebarea legata de natura personala a adresele de IP. Cateodata o adresa de IP poate fi considerata ca si informatie de natura personala, cateodata nu. Depinde de context si mai ales de nivelul de informatii pe care le dezvaluie despre utilizator”

Google si-a modificat din proprie initiativa politica de colectare si stocare a datelor, reducand substantial perioada de retentie a adreselor IP – de la 30 ani la 24 luni.

12 Comments

  • January 23, 2008

    CFG

    “Subiectul este extrem de sensibil, mai ales in Europa, unde toata infrastructura internet se bazeaza pe adrese de IP fixe (vs. America de Nord unde adresele de IP sunt mobile, si se schimba la intervale cuprinse intre cateva zeci de minute si cateva zile).”

    Nu vad relevanta aceste precizari. Ce daca in America IP-urile sunt date de DHCP? Cel putin pentru mine – eu lucrez cu servere DHCP.
    Aproximativ acelasi proces de colectare de informatii, din partea ISP, folosit pentru adrese IP statice, poate fi folosi si pentru adrese IP dinamice.

    Sa inteleg ca, cu atit mai mult in Europa decat in USA, adresele IP fiind static alocate deci sunt mai legate de utilizator?
    Hm, paragraful imi stirneste un zimbet larg, ca sa nu spun mai mult. O adresa IP, fie alocata dimanic fie alocata static, este in ambele cazuri la fel de legata de utilizator …
    Diferentele tehnice sau de costuri sunt infime, raportat la ‘procesele/serviciile’ efectuate de un ISP.

  • January 23, 2008

    cracker

    Imi pare rau dar acest cometariu e complet lipsit de substanta. Nu am auzit nici un provider in Europa care sa aloce adrese fixe de IP. Toate sunt dinamice. Fixe sunt adresele de la servere care trebuie inregistrate cu numele in DNS dar adresele de IP ale utilizatorilor sunt dinamice.

  • January 23, 2008

    CFG

    Eu am acasa IP (alocat) static punct
    Furnizorul meu de net este RDS.
    Practica cea mai des intilnita este sa fie alocate utilizatorilor (persoane fizice) IP-uri dinamice, iar la expirare/renew sa fie alocat acelasi IP. Dar, pur si simplu, se mai intilnesc cazuri de IP-uri statice.

  • January 23, 2008

    Eu

    “Chiar daca parlamentul european va decide sa considere adresele de IP ca fiind date personale, functionarea internetului ca un tot global nu este posibila fara o colectare si utilizare a adreselor IP”
    Poftiiiim?????
    Cine te-a înv??at pe tine c? dac? nu exist? loguri nu exist? internet???
    Adic? dup? mintea ta de jurnalist, dac? nu exist? la compania de telefoane un mecanism care s? înregistreze toate convorbirile tale, atunci nu po?i s? dai telefon??
    Total gre?it. ÃŽnregistrarea informa?iilor cu caracter personal (num?rul de telefon apelat, adresa IP accesat?, etc) nu au leg?tur? cu func?ionalitatea sistemului (adic? s? dai telefon, s? folose?ti internetul pur ?i simplu).

  • January 23, 2008

    mandea

    draga Alex, esti varza (murata). Eu am acasa IP dinamic, ba chiar foarte dinamic pt ca se schimba chiar si la un interval de cateva ore. Si stau intr-o tara din Europa (civilizata, nu Romania). Asa ca iti sugerez sa te mai documentezi inainte de a scrie prostii pe net.

  • January 23, 2008

    Alexandru

    Din pacate Bruxelles este pe alta planeta, ca de obicei. Nasa mea lucreaza atat pt Comisie cat si pentru Parlament la Bruxelles si este uimita de cat de stupizi si de birocrati pot fi acei oameni. Si fac o paranteza: in fiecare saptamana ea face naveta Bucuresti-Bruxelles luni dimineata si Bruxelles-Bucuresti vineri seara numai pentru faptul ca nu vor sa le deconteze hotelul pe weekend, dar le deconteaza avionul. Asa inteleg aceste organisme sa lupte cu incalzirea globala, etc.

    Dar sa revenim la net: decizia de a pastra caracterul confidential al adreselor IP mi se pare o enormitate din mai multe puncte de vedere. Primul ar fi ca oricat de dinamic ar fi alocate adresele, se pot crea loguri ale alocarii si pe baza lor se poate determina exact utilizatorul, adica la fel ca si pana acum. Asta doar daca nu cumva Comisia sau Parlamentul nu va initia vreun proiect prin care sa fie considerate informatii confidentiale si adresele MAC. =))

    Al doilea punct de vedere este acela ca, pentru a proteja utilizatorul, de fapt i se incalca drepturile. Eu unul platesc pentru a avea adresa fixa si publica si nu doresc sa inceapa Bruxelles sa decida in numele meu ca cica sa imi apere drepturile. Cel mai normal este ca utilizatorului sa i se explice ce inseamna adresa publica / privata sau statica / dinamica si sa aiba posibilitatea de a decide.

    Al treilea punct de vedere este ca daca un organism al statului (politie, servicii secrete, etc) doresc sa afle cand si cui i-a fost alocat un IP, ele pot avea acces nelimitat la aceste informatii: fie de la providerul de servicii internet, fie conectandu-se la acelasi segment cu utilizatorul urmarit.

    Al patrulea punct de vedere este ca publicitatea online nu va fi afectata de aceste decizii europene si asta pentru ca acei utilizatori care nu au habar de IP fix, etc nu au habar nici de cookies, care sunt dpdv al legarii unui utilizator de o anumita vizita pe o pagina web mai puternice decat legarile la nivel retea, si asta pentru ca sunt legari la nivel aplicatie.

    Si cam acestea sunt cateva din aspectele problemei…

  • January 23, 2008

    IP

    “adresa IP” si nu “adresa de IP”

  • January 23, 2008

    eugenia

    Faza cu IP (fix – mobil) este o mare timpenie. Verifica-ti sursele. (eu am IP mobil, pe Calea Giulesti :)))))

    cu stima

    Eugenia M

  • January 23, 2008

    Alex

    Wow, 8 comentarii la un post.
    Multumesc.

    Hai sa lamurim cateva lucruri:
    1. Nu sunt jurnalist. Sunt un Specialist in Marketingul Internet. N-am background de programator si nici de inginer de sistem;
    2. Desi apreciez enorm comentariile voastre, nu vad beneficiile apelativelor de genul « Varza murata ». Nu ma ajuta sa invat ceva nou si nici nu fac webservator un blog mai bun.
    3. Lansand un blog despre marketingul interactiv global si romanesc, mi-am propus printre altele sa informeaz despre diverse evenimente care se petrec la nivel mondial si care direct sau indirect pot avea o influenta asupra pietei de marketing interactiv.

    Acestea fiind supse, sa revenim la postul curent.

    Dupa parerea mea ideea de adrese IP « confidentiale » va avea priza mult mai mare in Europa decat in alte parti ale lunii (chiar daca intelegerea mea referitor la functionarea adreselor de IP fixe sau mobile nu este la fel de exacta ca a unui inginer de sistem). Opinia mea se bazeaza pe faptul ca in ultimul comunicat de presa dat de Ministerul German amintit in 6 decembrie 2007 se mentioneaza:

    Search engines: The Art. 29 Working Party continues working on data protection questions concerning search engines. As decided, the Working Party is drafting a progress report on the ongoing work on search engines. The Working Party is dealing with search engines in general, and it is evaluating the answers to a questionnaire sent out to the search engines providers. Results are expected for the first quarter of 2008.

    Ce s-ar intampla daca adresele IP nu vor mai fi informatii publice si toate site-urile si providerii web vor trebui fie sa le stearga fie sa le „anonimeze”?

    Pai ar fi cam asa:
    – Nu vom stii cine sunt utilizatorii care vin la noi pe site, pentru ca nu putem sa ii identificam dupa adresa de IP, ca e informatie cu caracter personal. Daca nu vom sti cine sunt, pot sa faca orice. Frauda, pornografie … you name it.
    – Orice serviciu de reclama care se bazeaza pe adresele IP pentru a afisa reclame relevante utilizatorilor nu va mai functiona, prin urmare eficienta reclamei pe internet va scadea semnificativ. Scaderea eficientei reclamelor va duce la scaderea investitiilor publicitare in internet ceea ce va face ca multi publisheri de site-uri web sa nu mai poata sa se sustina financiar si sa isi inchida business-ul.

    Postul meu semnaleza in fapt urmatoarele lucruri:
    – Parlamentul european se pozitioneaza la momentul actual „singur impotriva tuturor”. Toate entitatile mondiale si-au dat avizul pentru deal-ul Google/DoubleClick, Europa nu.
    – EPIC si Marc Rotenberg chiar daca sunt experti in domeniul privacy nu sunt vre-o entitate guvernamentala sau para-guvernamentala, ci doar un grup social care intentioneaza sa informeze publicul despre viata privata in era comunicatiilor digitale. De aici si pana la a redacta un document prin care sa solicite unui for legislativ continental sa impuna unei companii private modul in care aceasta sa isi conduca business-ul exista o distanta destul de mare…

  • January 24, 2008

    Ion

    Domnul Alex,
    dac? zici c? nu e?ti competent în domeniu (informatic?, re?ele de calculatoare), de ce nu consul?i pe cineva care este cu adev?rat expert în domeniu?

    S? le lu?m pe rând afirma?iile tale:
    1.”Ce s-ar intampla daca adresele IP nu vor mai fi informatii publice si toate site-urile si providerii web vor trebui fie sa le stearga fie sa le „anonimeze”?”
    Afirma?ia ta denot? lips? de informare, dar nu asta e important. Da, anonimizarea este ceva fezabil (caut? pe internet tor ?i privoxy ?i vei vedea c? nu î?i trebuie PhD ca s? realizezi acest lucru), inclusiv a serviciilor internet , de exemplu a adreselor diverselor siteuri web.
    (De la wikipedia citire: ”Although Tor’s most popular feature is its provision of anonymity to clients, it can also provide anonymity to servers. By using the Tor network, it is possible to host servers in such a way that their network location is unknown. In order to access a hidden service, Tor must also be used by the client.

    Hidden services are accessed through the Tor-specific .onion pseudo top-level domain. The Tor network understands this TLD and routes data anonymously to the hidden service. The hidden service then hands over to standard server software, which should be configured to listen only on non-public interfaces. Services that are reachable through Tor hidden services and the public Internet are susceptible to correlation attacks, and consequently are not really hidden.”).

    2. ”- Nu vom stii cine sunt utilizatorii care vin la noi pe site, pentru ca nu putem sa ii identificam dupa adresa de IP, ca e informatie cu caracter personal. Daca nu vom sti cine sunt, pot sa faca orice. Frauda, pornografie … you name it.” Nici acum nu ?tii. ?tii doar a) din ce ?ar? sunt, b) ce provider au, c) eventual ce browser folose?ti (dac? vizitezi o pagin? web). d) frauda (fraud? se poate ?i f?r? ca un client s? aib? adres? public?, privat?, cunoscut?, sau nu), e)pornografie- ce pornografie poate s? realizeze un vizitator al unui site sau un client ? dac? te referi la o pagin? web care con?ine pornografie , de?in?torul paginii poate fi identificat de poli?ie sau cine are dreptul prin lege verificând cine a cump?rat ?i de?ine domeniul utilizat pentru site-ul ce încalc? legea.
    (ca s?-?i mai dau un exemplu, s? zicem c? io am un server cu un IP public 123.231.123.1 ?i pe serverul meu am 10 site-uri (domeniul_a.ro, domeniul_b.ro, etc) ?i siteul de la domeniul_a.ro încalc? legea, atunci cine este r?spunz?tor? De?in?torul site-ului ?i al domeniului domeniul_a.ro sau eu care de?in serverul?
    3.”Orice serviciu de reclama care se bazeaza pe adresele IP pentru a afisa reclame relevante utilizatorilor nu va mai functiona, prin urmare eficienta reclamei pe internet va scadea semnificativ. Scaderea eficientei reclamelor va duce la scaderea investitiilor publicitare in internet ceea ce va face ca multi publisheri de site-uri web sa nu mai poata sa se sustina financiar si sa isi inchida business-ul.”

    E?ti cam alarmist aici s? ?tii. Se pot oricând metode mai eficiente de a b?ga pe gât consumatorului reclam?. Iar eficien?a reclamelor nu va sc?dea, ci se va adapta foarte rapid. Pot s? dau ?i justific?ri de ordin tehnic, dar spa?iul e prea mic ?i în plus nu este atât de relevant. Relevant este c? este posibil. Oricum, este o practic? din punctul meu de vedere aiurea. De exemplu s? zicem c? e?ti om de afaceri (om cu bani ?i deci care are bani de investit) ?i te plimbi cu afaceri între Germania ?i Bucure?ti , atunci când e?ti în Germania vei primi o groaz? de reclame în german? ?i atunci când e?ti în Bucure?ti vei primi reclame în român?. De ce nu doar în român? sau german?, în func?ie de con?inutul paginii vizitate (pagina e în limba chinez?, atunci reclama în chinez?, simplu).

    4.Ce leg?tur? are afacerea Google/Double-Click cu subiectul?

    5. Dup? cum scrii pare român. Totu?i de ce nu scrii în limba român? ? (cu tot cu diacritice, f?r? englezisme de genul ”deal” , ”business”, ”privacy”, etc (cuvinte care pot fi traduse f?r? probleme ?i ambiguit??i în limba român?))

  • January 24, 2008

    Alex

    Ion,

    Daca esti tu acel adevarat expert in domeniul retelelor de calculatoare si informatica te invit sa imi scrii un mesaj pe adresa de posta electronica din pagina de profil si continuam discutia in privat.

  • January 24, 2008

    Bogdan

    Alex,

    Cred ca exista vreo 2 erori majore in articolul tau :
    1. In primul rind in majoritatea tarilor Europei IP-ul este considerata o data cu caracter personal, ca si in interpretari date de organismele existente la nivel european in domeniul protectiei datalor cu caracter personal.
    Cum nu exista o singura autoritate suprema care sa dicteze, nu pot spune ca in toate UE este acceasi interpretare, dar tendinta este clara (deci nu Parl European este “capul rautatilor”)
    Am mai explicat pe aceasta tema in doua articole pe blogul meu:
    Este adresa de IP data cu caracter personal ?
    Viata privata si Internetul – unde punem punct si unde virgula?

    sau despre Google & viata privata

    2. Parlamentul European (PE) nu are nici un drept de decizie asupra acestei fuziuni, rolul revenind Comisiei Europene conform competentelor acordate de tratatele europene.
    Asta nu inseamna ca PE nu poate sa asculte opinii si sa emita recomandari.
    Dar decizia finala va apartine Comisiei, prin Comisarul cu privire la concurenta (care se pare ca nici nu va investiga aspectele de privacy – motiv pentru PE sa arate ca, in schimb, el e interesat).
    Lectura complementara
    Comisia Europeana analizeaza preluarea Google/DoubeClick
    EDRI

    De aici rezulta citeva comentarii personale :
    – clasificarea adresei IP ca data cu caracter personal nu are nici o treaba cu adresa IP fixa sau mobila
    – investigatia Comisiei sau a PE nu are drept subiect daca adresele Ip sunt date cu caracter personal, aceasta fiind deja considerate de ca atare de interpretarile directivelor ce privesc datele cu caracter personal
    – mi se pare extrem de periculos sa consideri ca un grup ca EPIC (care intre noi fie vorba chiar SUNT experti pe domeniul de privacy) sa nu aiba oportunitatea de a interveni in fata PE pentru a-si exprima opinia – fie ea pro sau contra afecrii respective.

    Parerea mea,
    Bogdan