Francie chce přístup k heslům. Je jejich hashování ilegální?
Francie po provozovatelích internetových služeb žádá, aby úřadům umožnili přístup k osobním datům uživatelů – jde o celá jména, poštovní adresy, telefonní čísla, ale také hesla.
V minulém týdnu jsme v Česku zažili malou radost — to když Ústavní soud došel k závěru, že jedno z ustanovení zákona z roku 2005 o elektronických komunikacích je protiústavní.
Šlo o ustanovení § 97 odst. 3 a odst. 4 zákona o elektronických komunikacích a jeho prováděcí vyhlášku — na jeho základě měli operátoři zákonem nařízeno ukládat data o telekomunikacích, tj. informace o volání, prozvoňování, SMSkách, pohybu na internetu apod.
Informace sloužily policii a tajným službám. Ze zákona bylo dáno, že operátoři data o telekomunikačním pohybu lidí měli archivovat po dobu minimálně půl roku, maximálně však jednoho roku. Samozřejmě, že rozhodnutí Ústavního soudu přivítala řada lidí, téma se dostalo snad do všech českých ICT magazínů. Zmíněné ustanovení bylo soudem zrušeno. Co však dále budou operátoři dělat, se teprve uvidí.
„Ústavní soud seznal, že napadená právní úprava porušuje ústavněprávní limity, neboť nesplňuje požadavky plynoucí z principu právního státu a je v kolizi s požadavky na omezení základního práva na soukromí v podobě práva na informační sebeurčení ve smyslu čl. 10 odst. 3 a čl. 13 Listiny, které plynou z principu proporcionality.“
Tolik diskutované ustanovení z roku 2005 bylo jedním z projevů současného potírání „anonymity“ na internetu a v oblasti telekomunikací obecně. Na světě jsou data o uživatelích ukládána podobně. Stejně tak ve snaze potírat telekomunikační anonymitu v některých státech existují snahy o zrušení anonymních předplacených SIM karet (jež by podle některých měly být registrovány na jméno – zmiňovaným důvodem je to, že zločinci, teroristé a další „znělé“ skupiny je používají k organizování svých akcí).
Baštou až absurdních regulací telekomunikačních podmínek je bezesporu Francie. Čtenáři patrně znají tamní zákon v duchu „třikrát a dost“. Ten byl upleten jako bič na „piráty“, tedy uživatele, kteří svým chováním na internetu porušují autorský zákon. Například tím, že stahují/sdílejí autorsky chráněný obsah ve formě audiovizuálních nahrávek nebo komerčního softwaru (jejichž licence v těchto případech šíření materiálu neumožňují). Telekomunikační operátor musí uživatele, kteří se porušování zákonu dopouštějí, o jejich chování informovat a varovat (resp. úřadu poskytovat o uživatelích příslušné údaje). Proviní-li se uživatel v tomto směru třikrát, je z celosvětové sítě odpojen. Francouzský zákon HADOPI je i dnes často diskutovaným tématem — jenomže i přes soudní řízení se nakonec do francouzské legislativy dostal a počínaje rokem 2010 začal platit. Jedním z největších problémů HADOPI je, že o vině uživatele nerozhoduje soud, ale jiná autorita, v tomto případě stejnojmenný úřad. Vlastně nejde ani přímo řešit se sdílením IP adres, WiFi sítí a jiných technologických otázek.
Francie se svou legislativou dostala na přední stránky magazínů i v těchto dnech — důvodem je další zákonný požadavek, který nelze nazvat jinak než absurdním: totiž provozovatelé stránek mají na požádání úřadům (nejen policii) předávat o lidech veškeré dostupné informace. Taková data zahrnují celá jména, poštovní adresy, telefonní čísla a hesla k účtům. Zejména poslední požadavek na hesla je dost peprný, protože jak některá média upozorňují, de facto to znamená zákaz hashování hesel, tj. převod textových řetězců do číselné podoby na základě matematické funkce. Hashování samozřejmě má za cíl zvýšit bezpečnost uživatelů, protože i když někdo získá přístup k databázi s uživatelským jménem a heslem, heslo samotné není pro útočníka hned čitelné. I když získanou posloupnost čísel zadá do přihlašovacího pole, systém jej na webovou službu (nebo kamkoli jinde) nepřihlásí.
Nevím, nakolik jsou prohlášení některých magazínů o zákazu hashování hysterická — mně osobně v posouzení brání to, že přesné znění zákona a jeho výklad neznám. Nicméně proti zákonu se ozvala řada významných společností provozující známé webové služby, namátkou Facebook, Google nebo eBay. Celkem se pak do legislativního požadavku opřelo více než dvacet společností.
Uchovávání zmíněných uživatelských dat se samozřejmě týká mnoha webových služeb, od e-mailových schránek, přes různé komunitní weby až po tak masově využívané společnské weby, jako je Facebook. Jak píše například britská BBC, přístup k uživatelský datům má kromě policie mít třeba i daňový úřad. Nejen ve Francii se ale ozývají pochopitelně hlasy, že ukládání a zpřístupnění takových údajů představuje vážný zásah do soukromí uživatelů a samozřejmě je vystavuje určité hrozbě.
Paradoxem je, že řada států — a to včetně Francie — si vyšlápla na Facebook i Google právě kvůli tomu, že firmy samy osobní data uživatelů pro své účely ukládají. Ve Francii naposledy šlo třeba o případ s narušením soukromí lidí Googlem v rámci služby Street View. Francouzský úřad CNIL (Commission nationale de l’informatique et des libertés) Googlu sám udělil pokutu ve výši 100 tisíc eur (2,5 milionu korun).
Oldřich Klimánek, Scinet.cz pro DSL.cz
VLOŽIT KOMENTÁŘ