Oceń wpis  oddane głosy: 13 / 3

Przyzwyczaiłeś się do myśli, że dzięki komórce czy laptopie z wifi możesz praktycznie w każdym miejsu -- a szczególnie na dużych, wielkomiejskich osiedlach -- korzystać z darmowego dostępu do internetu? Wszystko wskazuje na to, że od tygodnia podłączanie się do cudzych, nawet niezabezpieczonych hotspotów jest takim przestępstwem jak każde inne pajęczarstwo.

Wszystko za sprawą ustawy z 24 października 2008 r. o zmianie ustawy - Kodeks karny oraz niektórych innych ustaw (opublikowana w Dz.U. nr 214 poz. 1344 z 3 grudnia), która gruntownie zmieniła m.in. brzmienie art. 267 kodeksu karnego.

Art. 267 kk § 1 Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2 Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3 Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4 Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
§ 5 Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.I tak art. 267 par. 2 kk otrzymał brzmienie -- to zupełna nowość w naszym porządku prawnym, porównywanie normy do jego brzmienia przed 18 grudnia nie ma sensu -- "Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego".

Dotąd karze podlegał "klasyczny cracking" czyli przełamanie zabezpieczeń informatycznych w celu uzyskania dostępu do informacji, włącznie z postaciami kwalifikowanymi -- zakłócaniem pracy systemów, niszczeniem zapisanych informacji -- a także pajęczarstwo, definiowane jako włączenie się do urządzenia telekomunikacjnego w celu uruchomienia na cudzy rachunek impulsów telefonicznych (art. 285 par. 1 kk).
Działaniem indyferentnym prawnie było natomiast podłączanie się do niezabezpieczonej, bezprzewodowej sieci internetowej. Karze podlegać mógł wyłącznie ten, kto w celu uzyskania takiego dostępu przełamywał istniejące zabezpieczenie.

Zmiana brzmienia art. 267 kk sprawia, że świat nie jest już jaki był wcześniej. Zostawmy na boku pozornie nieistotne przeredagowanie par. 1 (wcześniej było "Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie", teraz jest "Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie") -- kiedyś przestępcą był ten, kto faktycznie wszedł w posiadanie informacji, dziś na 2 lata za kraty można powędrować już za sam dostęp do danych dla nas nieprzeznaczonych.

Ale ryzykiem dla wielkomiejskiego wędrowcy, któremu komórka z obsługą wifi pozwala czuć się obywatelem świata, jest nowe brzmienie art. 267 par. 2 kodeksu karnego. Karze do 2 lat pozbawienia wolności podlega bowiem już sam fakt uzyskania nieuprawnionego dostępu do systemu informatycznego. Nie trzeba nic przełamywać, nie trzeba nic wykradać, nie trzeba nic niszczyć. Wystarczy się podpiąć -- bez znaczenia czy wtykając RJ w laptopa, czy łapiąc sygnał niezabezpieczonego rutera.

Z góry wyjaśniam dwie wątpliwości: dyspozycja par. 2 nie jest funkcjonalnie powiązana z dyspozycją par. 1 -- fraza "tej samej" odnosi się wyłącznie do sankcji, to taki elegancki sposób aby nie powtarzać tych samych słów; z pewnością czyn opisany w art. 267 par. 2 kk nie polega na przełamaniu jakiegokolwiek zabezpieczenia.
I: moim zdaniem nie ma nic tu do rzeczy kwestia braku świadomości bycia osobą nieuprawnioną (nie da się powiedzieć "nie wiedziałem, że nie wolno", dla uniknięcia konsekwencji trzeba mieć świadomość "wiedziałem, że mi wolno").

Co więcej, samej kwestii uprawnienia -- wynika to także z faktu, iż par. 2 nie wspomina o przełamaniu, zabezpieczeniach czy pozyskaniu informacji -- nie sposób także łączyć z tym, czy administrator rutera bezprzewodowego zdecydował się zastosować jakiekolwiek WEPy, WPA, ukrywanie SSID czy cokolwiek innego, by uchronić zasoby swojej sieci przed nieproszonymi gośćmi.

Czy w przedstawionym poglądzie nie ma słabych punktów? Oczywiście, że nie -- jest jasnym, że mam bezwarunkową rację... ;-)
A na poważnie: słabym punktem jest brak legalnej definicji "systemu informatycznego"; wprawdzie w moim rozumieniu system informatyczny to coś więcej niż "sieć telekomunikacyjna" (jak w par. 1) (ergo każda sieć jest systemem, ale nie każdy system jest siecią), ale jeśli komuś uda się mnie przekonać, że jest inaczej -- czyli że niezabezpieczony hotspot nie jest systemem informatycznym -- to być może będę musiał to wszystko odszczekać pod stołem.

Na dziś moje stanowisko jest proste: czynem zabronionym podlegającym karze pozbawienia wolności do lat 2 jest każda forma pajęczarstwa, a zatem także korzystanie z dostępu do internetu poprzez cudze, choćby niezabezpieczone, hotspoty, chyba że zostaliśmy przez ich administratora upoważnieni do korzystania.

 Oceń wpis  oddane głosy: 14 / 0

Zaciekawiła mnie sprawa opisywana przez Piotra Waglowskiego: że jest człowiek, który miał kiedyś konto w naszym narodowym portalu społecznościowym, ale zlikwidował je, aby dziś się przekonać, że Nasza Klasa nadal przetwarza dane osobowe, które powinny zostać usunięte.

Zaciekawiła, bo moja sytuacja jest dość podobna: prawie na samym początku zarejestrowałem się w NK (jako bodajże trzecia osoba z ogólniaka, miałem nawet wówczas taką myśl "ale to nie ma sensu, przecież nikt nie słyszał o jakiejś Naszej Klasie...").
Wydało mi się to o tyle niemożliwe, że przecież niegdysiejsze (i późniejsze) -- nawet jeśli nierealne -- problemy (plus niedawna sprawa afery z fikcyjnym profilem, którego NK nie usunęła bezzwłocznie, wbrew dyspozycji art. 14 ust. 1 ustawy o świadczeniu usług drogą elektroniczną) powinny ich wyczulić, że są sprawy, z którymi nie ma co żartować.

Art. 32. 1 Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
(...)
 6)   żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,
Art. 35. 1. W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
2. W razie niedopełnienia przez administratora danych obowiązku, o którym mowa w ust. 1, osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku.
(...)
Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.Przypomnijmy bowiem, że zgodnie z przepisami ustawy o ochronie danych osobowych osoba, której dane są przetwarzane może żądać w każdym momencie usunięcia jej danych ze zbioru (art. 32 ust. 1 pkt 6 ustawy). W takim momencie administrator danych ma obowiązek bezzwłocznego usunięcia takich danych ze zbioru (art. 35 ust. 1).
Dodać warto, że przez usunięcie danych rozumie się nie tyle samo uniemożliwienie dostępu do danych przez inne osoby (włącznie z samym zainteresowanym), ale dosłownie "wydrapanie" określonej treści z rejestru. Usunięcie danych idzie dalej niż sama anonimizacja, która może być stosowana w pewnych, ściśle określonych przypadkach (art. 2 ust. 3 ustawy).

I dalej: jeśli nadal przetwarzane są dane osobowe, co do których administrator został zobowiązany przez uprawnionego do ich usunięcia (dyspozycja likwidacji profilu w serwisie internetowym jest taką dyspozycją), może okazać się, że doszło do popełenia przestępstwa nieuprawnionego przetwarzania danych osobowych (art. 49 ust. 1 ustawy o ochronie danych osobowych).

Zdecydowałem się przeto na mały eksperyment: wklepałem w przeglądarkę adres, który codziennie wpisują miliony rodaków, przypomniałem sobie swój login i hasło, aby przekonać się, że zdaniem administratora danych:

Twoje konto zostało skasowane. Jeśli nie zostało usunięte przez Ciebie, mógł to zrobić ktoś, kto poznał Twoje hasło bądź Administrator serwisu w przypadku naruszenia regulaminu. W edycji profilu możesz obejrzeć swoje dane. Jeśli masz pytania, skontaktuj się z Działem Obsługi Użytkownika za pomocą formularza.

Zaś po kliknięciu w link prowadzący do edycji profilu... widzę swoje dane: wpisane imię, nazwisko, datę urodzenia -- wszystko to, co zdecydowałem się Naszej Klasie powierzyć (zrzut na samej górze).
Absurd i bezprawie! Konto skasowane, ale mogę obejrzeć swoje dane, zatem administrator nadal je przetwarza??!

Mało tego: dane te są obecnie zablokowane do edycji, przeto nie mogę nawet ich zmienić (wniosek z tego prosty: zanim skasujecie konto na Naszej Klasie, nie zapomnijcie wprzódy pozmieniać danych na fikcyjne!)

Zapytałbym GIODO co o tym sądzi Bardzo Ważny Organ do Spraw Ochrony Naszych Ważnych i Mniej Ważnych Danych Osobowych, ale myślę, że skoro imię i nazwisko, nazwa szkoły i zdjęcie nie stanowią danych osobowych (ale stanowi je adres IP komputera), to nie będę zmuszał nikogo do myślenia.

Natomiast nie omieszkam zwrócić się ze stosownym pytaniem do spółki Nasza Klasa sp. z o.o. przez formularz kontaktowy. Że też oni się tam nie boją...

PS [po namyśle, dla wyjaśnienia wątpliwości]: Zgodnie z art. 19 ustawy o świadczeniu usług drogą elektroniczną usługodawca takiej usługi -- a jest nim także Nasza Klasa -- nie może przetwarzać część danych osobowych usługobiorcy po zaprzestaniu korzystania z usługi, z wyjątkiem ściśle określonych przypadków.
I tak dalsze przetwarzanie danych osobowych możliwe jest wyłącznie: i) w celu rozliczenia świadczonych usług oraz dochodzenia należności, ii) w celach reklamowych, badań rynku oraz dla polepszenia jakości (ale tylko za zgodą usługobiorcy), iii) w zakresie niezbędnym do ustalenia przypadków niedozwolonego korzystania z usług (np. piractwa), iv) w przypadkach wskazanych w ustawie bądź umowie zawartej między usługodawcą a usługobiorcą.

W każdym jednak przypadku obowiązkiem usługodawcy jest usunięcie oznaczeń umożliwiających identyfikację usługobiorcy, w tym przybranego pseudonimu (art. 19 ust. 5 ustawy, por. Aneta Frań, Komentarz do ustawy o świadczeniu usług drogą elektroniczną, LEX).

Inne przypadki przetwarzania danych są niedopuszczalne, zatem usługodawca powinien je -- bez stosownego żądania (zastępuje je bowiem oświadczenie o rozwiązaniu umowy o świadczenie usług) -- usunąć z systemu.

 Oceń wpis  oddane głosy: 0 / 2

Motto na dziś: "mam na sprzedaz obszerna liste adresow email adresy polskie: 67912 emaile mieszane: 800000 (sa to rozne emaile zdazaja sie w nich tez polskie adresy) Program emailer do wysylania masowej korespondencji CENA ZA CALOSC TO 30zl"

Czytając o procederze oferowania w sprzedaży baz adresów listelowych scyzoryk otwiera mi się w kieszeni. Zwłaszcza, że wszystko wskazuje na to, że ofertę składa (ex?) admin forum dla chakierów, który postanowił sobie w ten ciekawy sposób dorobić do kieszonkowego.
Trywialnie stawiając sprawę: ludzie mu zaufali -- o tym, że zawsze warto przyjrzeć się formalnej stronie forum przed rejestracją, poniżej -- a on nadużył.

Obawiam się, że prawnicze ble-ble nie na każdego działa. Owszem, zgodnie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych zbieranie danych osobowych (formularz rejestracyjny na haker.com.pl jest dość ubogi, jednak biorąc pod uwagę stanowisko GIODO mogę powiedzieć: tak, adres IP jest daną osobową, ale imię, nazwisko, fotografia i nazwa szkoły nie są danymi osobowymi... co z tego, że głupie, skoro urzędowe, zgodnie z zasadą, iż "w rozumieniu ustawy rak jest rybą") wymaga uzyskania zgody osoby uprawnionej, zaś formularz rejestracyjny forum haker.com.pl jest ubogi jak nie powiem co; owszem, nabywca takiej bazy będzie musiał powiadomić zainteresowaną osobę o przetwarzaniu jego danych osobowych; owszem, baza będzie podlegała obowiązkowej rejestracji w GIODO (a tam będzie trzeba napisać kto zbył dane); owszem, obie strony powinny powiadomić rejestrujących się o przysługujących im prawach, zaś niedopełnienie tym obowiązkom może skutkować odpowiedzialnością karną (jeśli adresy mają służyć do wysyłki spamu, dołóżmy jeszcze przepisy ustawy o świadczeniu usług drogą elektroniczną...)

...ale co z tego, skoro większość startutopistów wychodzi z prostego założenia: wyklikam troszkę kodu, dołożę troszkę kręcących się kółek (tak, to znów złośliwość pod adresem Alior Banku -- a ściśle ich interfejsu internetowego, który składa się z takich kółek głównie), a przejmować się czymkolwiek więcej nie ma sensu.
Aby się nachapać, szybko sprzedać jakiemuś fundowi za pierdyliard złotych.

Problem chyba też tkwi troszkę w naszej naiwności. Przeglądam sobie forum, z którego dane mają trafić na rynek i stawiam prostą tezę: za grosz bym nie zawierzył swoich danych. Spójrzcie choćby do regulaminu: czy w jakikolwiek sposób można się dowiedzieć kto jest administratorem tego forum, kto gromadzi i przetwarza nasze dane? Jakże możemy zaufać komuś, kto wstydzi się nam przedstawić?! (Przypomnijmy, że obowiązek poinformowania użytkownika o tych sprawach wynika z co najmniej dwóch przepisów: właśnie z ustawy o ochronie danych osobowych oraz z ustawy o świadczeniu usług drogą elektroniczną.)

Forum haker.com.pl jest tylko przykładem przykrego zjawiska, kiedy to nieuczciwy administrator za czas jakiś postanawia odkuć sie za swój wysiłek i zarobić choćby na sprzedaży danych użytkowników. Często źródłem nieprzyjemności -- do nieprzyjemności zaliczam konieczność przeglądania folderu z niechcianą pocztą -- są źle zabezpieczone dane wskutek nieostrożności administratora, a także wspominane przez Piotra Koniecznego wysyłanie masowej korespondencji pocztowej na nieukryte adresy (pamiętajcie o BCC: w Waszych klientach pocztowych!) bądź wpadki takie jak ta, która się przydarzyła niedawno Helionowi (wydawnictwo przeprosiło, ale to najlepszy dowód, że warto zachować ostrożność nawet powierzając swoje dane profesjonalistom).

Dziwicie się, że będąc czynnym usenetowiczem "podpisuję się" fikcyjnym listelem no.email@no.spam.no.problem?

 Oceń wpis  oddane głosy: 6 / 4

Nie ma to jak mieć dobry pomysł, który wykona -- a może nawet na tym zarobi -- ktoś inny. Jak czytam na KartyOnLine.pl takie sprawy są nieobce nawet bankowcom ze spinkami w mankietach.

Oto twórca serwisu AllCards, w którym można zastrzegać pod jednym numerem telefonu karty wystawiane przez różne banki stwierdził, że pomysł Związku Banków Polskich na serwis, gdzie będzie można pod jednym numerem telefonu zastrzegać karty płatnicze wystawiane przez różne banki to plagiat.

Odbieram to jako plagiat mojego pomysłu, gdyż kilka miesięcy po uruchomieniu naszej usługi Związek pracuje nad identycznym rozwiązaniem. Koncepcja Centrali zrodziła się we mnie w momencie, gdy zostałem okradziony z portfela z 3 kartami. Uruchomienie Centrali pochłonęło wszystkie moje oszczędności, pomogliśmy kilku tysiącom klientów banków, a teraz wielcy zamierzają zbierać laury.No niestety, chciałoby się rzec: nie czytało się Piotrka Wrzosińskiego, to się nie wie jak umiejętnie zabezpieczać swoje innowacyjnorewolucyjnoprzełomowojedynewswoimrodzaju przedsięwzięcia.

Pomysł na centralę zastrzegania kart jest z pewnością bardzo dobry. Sam chyba zaraz wklepię numer 9584 do swojej komórki (obok numerów kierujących bezpośrednio do banków, w których mam karty). Ale to nie oznacza, że ten bardzo dobry pomysł musi przysługiwać na zawsze jego pomysłodawcy.

Nie wiem jak wyglądały rozmowy AllCards ze Związkiem Banków Polskich, czy przedstawiono szczegóły projektu (najlepiej bowiem chronić rzecz, która już działa i ma jakąś pozycję na runku), czy też ograniczono się do wymiany luźnych uwag. Nie wiem też jakiego rodzaju dokumentacja została na takim spotkaniu sporządzona (przekazaniu szczegółów projektu może (dla prawnika "może" oznacza "powinno" ;o) towarzyszyć podpisanie umowy NDA.
I dopiero od tego momentu można mówić o ochronie pomysłu.

I ostatnia uwaga: naprawdę, zapomnijcie o tym, że można w jakikolwiek sposób ochronić sam pomysł. Nawet jeśli przyśnił się wam przepis na kamień filozoficzny nie oznacza to, że sen ten przyniesie wam bogactwo i popularność.
Zdaję sobie sprawę z tego, że żaden kubeł wody na głowę nie jest w stanie orzeźwić rozochoconych startutopistów, ale cóż, będę próbował.

 Oceń wpis  oddane głosy: 7 / 2

Pedofila poznać można, to oczywista oczywistość, po tym, że lubi markową whisky. Najlepiej dwunastoletnią. Takimi przynajmniej kryteriami posługują się organy ścigania ustalając kto się interesuje pornografią dziecięcą.

Na fali poszukiwania tragicznych w skutkach prokuratorskich lapsusów (por. Prokuratura mówi: P2P to paserstwo oraz Za kraty za WinRAR. I za Total Commandera też!) trafiłem na jeszcze jeden smaczek. Oddajmy jednak głos oskarżeniu

'Na dysku trafiono również na informacje pośrednio świadczące o fakcie występowania w przeszłości na dysku treści pedofilskich. Informacjami tymi są wystąpienia słów kluczowych charakterystycznych dla treści pedofilskich rozpowszechnionych w sieci Internet. W tym przypadku przeszukiwanie dysku przeprowadzono w poszukiwaniu następujących słów kluczowych: (...) 12yo.'

Proszę Państwa, organy ścigania rozpoznają pedofila po tym, że wystukał w swojej przeglądarce groźną i zakazaną frazę 12yo. Frazą taką można się posłużyć nawet w poszukiwaniu (na prezent albo na łapówkę) dobrej, markowej whisky. Mało tego, jakaś mała czarna Nana w ten sposób reklamuje swoją płytę muzyczną.

Nie chciałbym jednak mnożyć złośliwości pod adresem dzielnie nam stawających organów ścigania. Nie od dziś bowiem wiadomo, że pijak to złodziej, a skoro stać go na takie drogie flaszki, to z pewnością pederasta. Normalnego człowieka bowiem w życiu nie byłoby stać na takie fanaberie, a nawet jeśli to nie obnosiłby się z tym bezczelnie, na przykład wklepując takie frazy w góglarkę. Po naszej kochanej siwuszce, wiadomo, nic złego do łba nie przychodzi, co najwyżej kłonicą można się okładać, ale na zdrożności -- sił nie starczy. 

Wielce Czcigodni Czytelnicy. To już nie jest państwo Wielkiego Brata. Niedorzeczność pomysłu, iż pedofila można poznać po tym, że szuka informacji o czymś, co ma 12 lat, brzmi jak scenariusz kiepskiego filmu, gdzie wszyscy i wszystko się sprzysięgli przeciwko głównemu bohaterowi.

Niestety, to nie był film. Ale mi się i tak kojarzy.