I. Naršymo duomenys
Bet kokio apsilankymo internete metu naudotojo naršyklė lankomos svetainės serveriui persiunčia informaciją, duomenis, kurie gali būti charakterizuojantys ir pakankamai individualizuojantys konkretų interneto puslapį aplankiusį asmenį (naudotoją): naudotojo kompiuterio IP adresą, apsilankymo laiką ir datą, tinklapio, kuris buvo aplankytas prieš apsilankant šiame, internetinį adresą, jeigu buvo naudojamas paieškos variklis (search engine) konkrečiam tinklapiui rasti, serveriui gali būti perduota visa užklausų grandinė ir pan.
Tradiciškai į "clicksream data" patenka ir taip vadinamieji cookies, tačiau teisiniu požiūriu jie nusipelno atskiros analizės.
Kaip matyti, naršymo duomenys, yra labai nevienalyčiai tiek savo pobūdžiu (vieni yra grynai techninio pobūdžio, būtini elektroninėms komunikacijoms), tiek ir savo galėjimu identifikuoti konkretų asmenį. Šiame straipsnyje didesnį dėmesį skirsiu IP adreso teisinei kvalifikacijai.
II. Asmens duomenų apsauga
Asmens duomenų apsaugos prasme aukščiau pateiktas klausimas suformuluotinas taip: ar elektroniniai duomenys, surinkti, sukaupti ir pan. individualiam asmeniui palaikant ryšį su kitais kompiuteriais ir tinklais internete (dar vadinami naršymo duomenimis (ang. clickstream data), laikytini asmens duomenimis, kurių tvarkymui taikytini griežti reikalavimai, įtvirtinti 1996 m. LR Asmens duomenų teisinės apsaugos įstatyme, kurio normos nacionaliniu lygmeniu įgyvendina ES direktyvos dėl asmens duomenų apsaugos 95/46/EC nuostatas?
Bendrai paėmus, nieko baisaus, kad interneto paslaugų teikėjas renka ir sistemina savo vartotojų ir naudotojų duomenis - tokiu būdu jis įgyja galimybę labiau individualizuoti savo teikiamas paslaugas, savo veiklą labiau priderinti prie konkretaus vartotojo poreikių, pomėgių ir pan. Esminės problemos kyla dėl to, kad naršymo duomenų pagrindu sugrupuoti konkrečių interneto naudotojų duomenys neretai tampa komercinio sandorio objektu - tokie asmens duomenys, be pačių naudotojų sutikimo ir net be jų žinios, parduodami tiesioginės rinkodaros kompanijoms, tokioms kaip DoubleClick (iš pirmo žvilgsnio gali atrodyti, kad DoubleClick - JAV kompanijai, absoliučiai netaikomi ES reikalavimai, tačiau taip nėra - ji privalo paklūsti ES vartotojų teisių apsaugos principams).
Asmens duomenų apsaugos direktyva nedviprasmiškai draudžia asmens duomenis, surinktus vieniems tikslams (pvz., on line sandorio sudarymo tikslais naudotojai pardavėjo serveriui savo noru pateikia konkrečią asmeninę informaciją - vardą, pavardę, adresą, mokėjimo kortelės numerį ir pan.), naudoti tikslais, nesuderinamais su pirmiau deklaruotaisiais tikslais. Taigi, naršymo duomenys pripažinus asmens duomenimis minėtos direktyvos prasme, interneto paslaugų teikėjai, svetainių valdytojai ir kiti elektroninės komercijos dalyviai privalėtų paklūsti griežtiems asmens duomenų apsaugos standartams.
Minėtos ES Direktyvos 95/46/EC 2 straipsnis asmens duomenis apibrėžia kaip bet kurią informaciją, susijusią su asmeniu ("duomenų subjektu"), kurio tapatybė yra nustatyta arba gali būti nustatyta. Tai teoriškai leidžia apimti labai daug duomenų, kurie prima facie turi labai menką ryšį su konkrečiu asmeniu.
III. IP adresas
Vienas iš esminių duomenų, surenkamų kiekvieno apsilankymo internete metu, yra naudotojo IP adresas. Tokio adreso priskyrimas "identifikuotinam asmeniui" direktyvos prasme yra dvejopas. Šiuo tikslu būtina išskirti dvi IP adresų kategorijas - judrius ir fiksuotus IP adresus.
Dinaminiai IP adresai išreiškia skaitmeninę duomenų judėjimo, perdavimo maršruto išraišką, kurią apibrėžto apsilankymo tikslais kiekvienam naudotojo kompiuteriui priskiria interneto paslaugų teikėjas. Vis dėlto, bet kokie tretieji asmenys IP adreso pagalba gali nustatyti tik interneto paslaugų teikėjo tapatybę. Tuo tarpu interneto paslaugų teikėjas IP adresą gali susieti su konkrečiu interneto naudotoju ar kompiuteriu ir tokiu būdu atskleisti individualaus naudotojo tapatybę.
Labai dažnai interneto svetainės reikalauja, kad eiliniai naudotojai nurodytų savo vardą ir/ar elektroninio pašto adresą. Gavęs šiuos duomenis svetainės valdytojas gali tokiam nurodytam vardui priskirti IP adresą (kadangi kiekvieno apsilankymo metu lankomos svetainės serveryje yra fiksuojami naudotojų IP adresai) ir sekti, stebėti tokį asmenį visų paskesnių pastarojo atliekamų interneto operacijų metu. Tačiau jeigu naudotojas neatskleidžia jokios kitos informacijos ir tarp svetainės serverio bei naudotojo interneto paslaugų teikėjo nėra jokio ryšio, lankomų svetainių valdytojai užfiksuotą IP adresą tegali susieti su naudotojo interneto paslaugų teikėjo, o ne konkretaus naudotojo, tapatybe.
Fiksuoti IP adresai, priešingai nei paslankūs, kiekvieno apsilankymo internete metu visuomet identifikuoja vieną ir tą patį konkretų kompiuterį. Tačiau jeigu kompiuteris buvo identifikuotas, ar tai reiškia, kad yra identifikuojamas ir konkretus individas? Direktyvos 26 įžanginė citata įtvirtina objektyvius asmens tapatybės nustatymo kriterijus - siekiant nustatyti, ar asmuo yra "identifikuotinas", būtina atsižvelgti į visas priemones, kuriomis galėtų pasinaudoti duomenų valdytojas minėto asmens tapatybei nustatyti. Taigi, netiesiogiai identifikuotina informacija yra apribojama informacija, kuri gali būti protingai susieta su identifikuotu asmeniu.
Kyla natūralus klausimas, ar IP adresas, atskleidžiantis kompiuterio naudotojo tapatybę identifikuoja ir patį naudotoją? Fiksuotas IP adresas yra labiau kvalifikuotinas kaip asmeninė informacija negu dinaminiai IP adresai, lygiai kaip telefono numeriai, kurie kai kuriose EB valstybių narių teisinėse sistemose pripažįstami asmens duomenimis.
IV. Netikrumai dėl naršymo duomenų pripažinimo asmens duomenimis Vienas iš netikrumų dėl naršymo duomenų pripažinimo asmens duomenimis kyla iš fakto, kad tą patį kompiuterį ne visada naudoja tas pats asmuo. Kita vertus, pastebėtinas ir reklamos agentūrų troškimas asmens tapatybę iškristalizuoti iš jo naršymo, vartojimo įpročių. Pirkimai ne visuomet atitinka tikruosius individo poreikius ar reikmes (pvz., Biblijos įsigijimas dar nereiškia, kad ją įsigijęs asmuo yra katalikas) - asmuo tam tikrą daiktą gali pirkti kitam ir pan. Taigi, kokiu laipsniu tokia informacija yra asmeninė ir kokiu lygiu ji yra tiksli?
Nei Lietuvos, nei daugelio kitų ES valstybių narių ir narių kandidačių įstatymai tiesiogiai nepateikia atsakymo į šį klausimą. Akivaizdu, kad šiuo požiūriu asmens duomenys laikytini daugiau vertinamojo pobūdžio kriterijumi, kurio tinkamas įvertinimas turėtų būti paliktas kiekvienam konkrečiam atvejui.
V. Technologinės asmens privatumo apsaugos galimybės
Be abejo, naujosios technologijos ne tik supaprastina asmeninės informacijos rinkimą ir platinimą - jas galima pasitelkti ir apsaugant savo asmens duomenis. Vienas iš tokių būdų - pasinaudoti vadinamąja P3P (Platform for Privacy Preferences) sistema, kurios esmė - įgalinti tinklapius kuo paprasčiau išreikšti jų privatumo praktiką dėl asmens duomenų rinkimo ir naudojimo, vartotojams suteikiant galimybę nustatyti ir specifikuoti savo individualias preferencijas.
Kitas gana populiarus būdas - pasitelkti anonimiškas profailingo sistemas, palaikomas EngageTechnologies, MatchLogic ir pan., kurios pagrįstos anonimišku naršymu. Panašus požiūris, asmeniui leidžiantis kontroliuoti asmens duomenų atskleidimus, buvo išplėtotas kompanijų, kurios kitiems serveriams teikia asmeninius profiles. Tokios sistemos pavyzdys yra Firefly, kuri vartotojams sukuria taip vadinamą pasą, kuriame yra nurodyta informacija, kurią jis/ji gali ir nori atskleisti internete. Toks pasas, esantis asmeninių hobių, polinkių, norų ir nenorų rinkinys, tampa prieinamas serveriams, kuriuose toks individas apsilanko. Taip pat gana paplitęs naršymas per serverį - tarpininką. Tokiu atveju aplankomam serveriui perduodama tik tarpininko informacija.
Neatsižvelgiant į anonimiško ir pseudonimiško naršymo galimybes, aišku viena - jos interneto naudotojams dažniausiai sukuria privatumo ir duomenų saugumo iliuziją, nieko bendro neturinčią su realiu asmeninės informacijos panaudojimu.
Daugiau straipsnių ir mokslinių tyrimų informacinių technologijų teisės srityje, parengtų ITC narių, galite rasti ITC tinklapyje: www.kf.vu.lt/itc.