Grupa robocza art. 29 - usługi geolokalizacyjne WP185 - moje wnioski

Dzisiaj przerobiłem lekturę opinii 13/2011 (WP185) grupy roboczej artykułu 29 dotyczącej usług geolokalizacyjnych na urządzeniach przenośnych (smartfonach). Dokument nie jest duży (21 stron), da się go czytać, chociaż jako osoba techniczna, mam wątpliwości, czy grupa dobrze się wszystkiemu przyjrzała... Na pewno na miarę swoich możliwości wykonała dużą pracę...

Skrót można znaleźć na stronie GIODO - http://www.giodo.gov.pl/1520110/id_art/4150/j/pl, tam też zresztą jest dokument w formie PDF - http://www.giodo.gov.pl/plik/id_p/2275/j/pl/ (czyli "Opinion 13/2011 on Geolocation services on smart mobile devices" by Article  29 Data Protection Working Party adopted on 16 May 2011).

Wprowadzenie
• informacja "geograficzna" to ważna rzecz, bo wszystkie nasze aktywności mają jakiś "geograficzny" komponent. I coś w tym jest, w końcu wszystko gdzieś się znajduje - informacja geograficzna to także to gdzie chowamy "skarpetę z kasą", gdzie parkujemy wypasiony samochód.
• ogólnie wartość informacji jeśli będzie związana z lokalizacją - będzie wyższa :)
• "legal framework" stosowany do smartfonów z internetem oraz GPS-em (np. mapy i nawigacje, geopersonalizowane usługi (gdzie jestem?), augmented reality? geotagowanie zawartości w internecie, śledzenie przyjaciół, kontrola dzieci, reklamy oparte o lokalizację (koło sklepu), nie bierze pod uwagę "nietypowej" technologi geotagowania związanej z Web2.0 (wiązanie informacji geograficznie otagowanej z fejsem). Nie obejmuje tez lokalnych technologii geo takich jak bluetooth, RFID, ZigBee, geofencing -> brak słowa w naszym języku, ale chodzi o przebywanie w ograniczonej strefie, strefach -> np. kartami, i to lokalizuje (geogrodzenie?)
• opinia opisuje najpierw technologię, identyfikuje i ocenia ryzyka dla prywatności (od kiedy to chodzi o prywatność? chodzi o dane - przynajmniej w dyrektywie ... w naszym prawie zresztą także...) i przedstawia wnioski o stosowaniu odpowiednich zapisów dyrektywy do różnych ADO zbierających i przetwarzających dane pozyskane z urządzeń mobilnych
Trochę techniki GSM
• stacje bazowe sieci komórkowej, obszary podzielone są na komórki (stąd nazwa - sieć komórkowa). Każdą komórką tworzy antena, telefon łączy się do anteny, jak przechodzi z komórki do komórki, to przełącza sie do innej. Po tym "do jakiej anteny jest połączony" operator wie, w jakiej komórce jest abonent. Może też być, że telefon będzie w zasięgu kilku anten, wtedy jego pozycję da się ustalić z większą dokładnością
• dokładność może być "poprawiana" przez użycie ‣ RSSI - received signal strenght indicatorTDOA - time difference of arrivalAOA - angle of arrival
• można używać do wykrywania korków (jak abonenci w danym rejonie ulicy przemieszczają się powoli
• dokładność od 50m (miasto) do kilku kilometrów
GPS
• smartfony mają czipsety z odbiornikiem GPS. Więc nie ustala się pozycji posiadacza GPS, ale on sam ustala tę pozycję. Satelit jest 31. Do ustalenia swojej pozycji trzeba złapać sygnał z 4.  Wada GPS - długo startuje, nie działa we wnętrzach, ale jest precyzyjny (dokładność lokalizacji w metrach). W praktyce łączy się go z GSM lub Wifi (tia, na pewno, jedynie google maps w smartfonach tak działa)
WiFi
• nowość, niby podobna do GSM, bo polega na tym, że WiFi ma unikalny ID, który może być odczytany przez klienta i wysłany do usługi, która lokalizuje ten ID (nieprawda, w GSM klient nie zna swojej pozycji, a w WiFi zna przez google)
• WiFi może być źródłem informacji geolokalizacyjnej, bo WiFi ciągle się rozgłasza (skanowanie pasywne i aktywne). Troche nie rozumiem tych skanowań, bo pasywnie można zeskanować tylko BSSIDy AP-ów.
• nie trzeba się łączyć do AP żeby zebrać o nim informację
• piszą provider a w gruncie rzeczy chodzi o google ;)
• warunek - ciągle skanować sieci WiFi (w sumie fajnie wymyślono, aby to ludzie robili - dajemy Ci mapę, a Ty - skanuj!)
 

Ryzyka dla prywatności
• urządzenia mobilne są związane z osobą przez cały dzień, nawet w nocy sa obok. Z danych uzyskanych tą drogą można wydedukować
‣ pattern braku aktywności - a więc gdzie śpi = mieszka
‣ wzorzec podróżowania rano - w którym miejscu się pracuje
‣ specjalne dane - wizyty w szpitalach, obiektach kultu religijnego, czy udział w manifestacjach politycznych (ten należaloby wiązać nie tylko z miejscem, ale także z czasem i jakimś zdarzeniem)
• dane te mogą być wykorzystywane w rozmaitych decyzjach dotyczących osoby, to też może prowadzić do jej zagrożenia (no, np. zdjęcie rozebranej ładnej dziewczyny z danymi geo może wskazywać gdzie mieszka, co może zachęcać amatorów randek ;), ale także dane o lokalizacji kogoś, kto wypowiada się nieprzychylnie o jakiejś firmie albo produktach wykorzystane aby "zmienić mu zdanie"
• osoby nie zawsze są świadome tych geolokalizacyjnych usług
 

"Legal framework" czyli otoczenie prawne
• w Unii wiadomo, dyrektywa, u nas ustawa o ochronie danych osobowych. Do tego można by dodać ustawę o telekomunikacji (w Europie dyrektywa e-privacy (2002/58/EC, a w nowszym wydaniu 2009/136/EC)
• GSM - jeśli telekom oferuje usługi hybrydowe, bazujące na danych ze stacji bazowych (tych danych zebranych w związku z uslugą telekomunikacyjną), i będzie chciał je przekazać innemu podmiotowi, to niezbędna jest zgoda osoby (to wydaje się oczywiste)
• w 4.2.1 pojawia się sugestia, że takie dane są przetwarzane przez serwisy społecznościowe, moim zdaniem nalezy wykluczyć dane z GSM (albo ja nie wiem, jak one mogą być z komórki jako urządzenia przekazywane), pozostają więc tylko takie dane jak numer IP (tak, za pomocą IP można mniej więcej wyłapać, gdzie jest "terminal" a więc gdzie osoba się znajduje), GPS i WiFi (WiFi tylko w połączeniu z mobilną mapą, np. Google, takie mapy ma też BlackBerry). Operator komórkowy nie może uzyskać dostępu do danych z WiFi-lokalizacji ani z GPS. To także oczywiste, no chyba, że będzie "grzeba" zdalnie w komórce, albo zechce analizować pakiety (ale to co w nich znajdzie, zależy od aplikacji - więc jak bedzie stosowane szyfrowanie transmisji IP, to niewiele zobaczy - grupa robocza używa tu pojęcia "deep packet inspection" chyba tylko, aby postraszyć cały świat tym głębokim dipem...
• w pewnym miejscu pojawia się informacja, że każdy smartfon ma unikalny identyfikujący go MAC adres. Tu oczywiście błąd - bo telefon w GSM identyfikuje IMEI, w sieci IP (w tym także WiFi) - oczywiście MAC, a jeśli chodzi o GPS... to nie wiem... Pewnie jakiś ID terminala. Właściwie to identyfikuje ów MAC interfejs sieciowy... Zupełnie także nie rozumiem, jak po MAC'u można zidentyfikować osobę. Może to tylko zrobić operator telekomunikacyjny. Reszta świata - nie bardzo.... Więc moim zdaniem - wtopa!
• Ludzie sami publikują dane "pozbawiające" ich prywatności (zdjęcia z EXIF-em). Niekiedy niekoniecznie oni, jeśli "zgeotagują" ich znajomi.
• Access Pointy WiFi - ∘ to oczywiste, że można zlokalizować ich położenie - a więc jeśli masz sieć WiFi - to można Cię odnaleźć. Może to zrobić każdy - wystarczy program NetStumbler. Można jeszcze wyłapać, jeśli wpiszesz w nazwie swojej sieci komórkę, albo adres (a bywają takie sieci bezprzewodowe od nazwiska lekarza czy notariusza ;) - wtedy warto ukryć SSID sieci.
 

Obowiązki wynikające z prawa
• pojawiają się dziwne pojęcia "infrastruktura geolokalizacyjna" - chyba chodzi im o mapy z naniesionymi informacjami, ot co.
• MAC (a może BSSID) z lokalizacją na mapie = dana osobowa (moim zdaniem, niekoniecznie)
• urządzenie, zdaniem grupy, powinno wyświetlać, że usługi geolokalizacyjne są włączone ("through a permanently visible icon")
• zgody odnawiać co jakiś czas (żeby nie była trwała) - jeśli ktoś nie korzystał z geolokalizacji przez np. rok, to wyraża zgodę jeszcze raz
• no i że do zgody nie można przymuszać, a z jej braku - ograniczać usług.
• zbieranie BSSID-ów sieci w stosunku do usługi korzystania z mapy nie jest adekwatne (hehe, atak na google?)
• z tym się zgodzę, że jeśli WiFi AP zmieni lokalizację, stara powinna zostać usunięta, a historii nie ma po co trzymać
 

Wnioski
• można śledzić smarfony :) ot, cały wniosek.
• trzy rodzaje ADO (administratorów danych) wystąpią: ∘ posiadacze infrastruktury ∘ dostawcy aplikacji ∘ twórcy systemu operacyjnego smartfona
• należy uzyskać zgodę na przetwarzanie danych, wyraźną i nie domniemaną/dorozumianą
• domyślnie usługi geolokalizacyjne powinny być wyłączone
• zgoda powinna być "nietrwała" (np. na jakiś czas)

Na obrazku zostały przedstawione zlokalizowane na mapie Google urządzenia (routery) bezprzewodowe WiFi.

Obrazek: