Social Lending w Polsce

Tekst ten powstaje na skutek moich przygód z wymiarem sprawiedliwości spowodowanych działalnością na Finansowo, a także komentarzami mojego ulubieńca – Mongoła. Chciałbym Ci w tym miejscu bardzo podziękować za natchnienie i pomysł.

Problemem dzisiejszym jest zagadnienie: Czy portal Finansowo.pl powinien publikować adresy IP osoby wystawiającej aukcję?

Co to jest adres IP… powinien wiedzieć każdy  użytkowników internetu. Tym, którzy nie wiedzą przytoczę definicję z wikipedii:

Adres IP – liczba nadawana interfejsowi sieciowemu, grupie interfejsów (broadcast, multicast), bądź całej sieci komputerowej opartej na protokole IP, służąca identyfikacji elementów warstwy trzeciej modelu OSI – w obrębie sieci oraz poza nią (tzw. adres publiczny).

Adres IP nie jest “numerem rejestracyjnym” komputera – nie identyfikuje jednoznacznie fizycznego urządzenia – może się dowolnie często zmieniać (np. przy każdym wejściu do sieci Internet) jak również kilka urządzeń może dzielić jeden publiczny adres IP. Ustalenie prawdziwego adresu IP użytkownika, do którego następowała transmisja w danym czasie jest możliwe dla systemu/sieci odpornej na przypadki tzw. IP spoofingu (por. man in the middle, zapora sieciowa, ettercap) – na podstawie historycznych zapisów systemowych.

Adresy IP przydzielane są użytkownikom statycznie (na stałe) i dynamicznie (za każdym połączeniem inny numer).  Adresy IP przydziela się według podziału na regiony (Ameryka, Europa, Azja, Afryka) i na kraje. Dzięki adresowi IP można z dość dużą dokładnością (przy odrobinie wiedzy) ustalić miasto z którego łączył się użytkownik oraz dostawcę internetu.

Czy Finansowo.pl powinno publikować adres IP przy aukcji?

Odpowiedź brzmi NIE. Z prostej przyczyny: adres IP może być prawnie chronioną daną osobową. Zawodowo zajmuję się ochroną danych osobowych i wiem, że zgodnie z oficjalną interpretacją Michała Serzyckiego, adres IP w pewnych warunkach może być uznany za dane osobowe.

Proponuję zapoznać się z wywiadem M. Serzyckiego na ten temat, jaki udzielił Gazecie Prawnej Adresy IP komputerów to dane osobowe.

• Czy numer IP jest w świetle prawa daną osobową?

- Ogólna definicja danych osobowych znajduje się w art. 6 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z jej brzmieniem, danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Natomiast osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, zwłaszcza przez powołanie się na numer identyfikacyjny lub jeden bądź kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe czy społeczne. Ustawodawca zadecydował również, iż informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Jednak w wielu sytuacjach zbiór liczb stanowiący numer IP komputera należy uznać za daną osobową.

• Kiedy więc będziemy mieli w praktyce do czynienia z numerem IP, który można traktować jako daną osobową?

- Numer IP stanowi daną osobową wówczas, gdy jest na stałe lub na dłuższy czas przypisany do konkretnego urządzenia, które jest z kolei przypisane konkretnemu użytkownikowi. Dla przykładu można wskazać przypadki, gdy jesteśmy użytkownikami komputera domowego albo gdy posiadamy na wyłączność komputer w pracy. W praktyce możemy się jednak spotkać z sytuacjami, gdy jednoznaczne przypisanie numeru IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe. Sytuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie komputery udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych. Są to jednak sytuacje wyjątkowe. W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego oraz zestawiając je z innymi danymi (np. dotyczącymi płatności przy użyciu karty kredytowej), można zidentyfikować osobę korzystającą w danym czasie z danego komputera.

Poza wszystkim, toczy się właśnie dyskusja na temat publikacji adresów IP osób komentujących na jednym z portali blogowych. Więc nie chcemy ładować właścicieli Finansowo w kłopoty.

Ale jest jedno wyjście. Publikowanie 3 pierwszych członów adresu IP. Wcześniej nie napisałem, ale adres IP składa się z 4 bloków liczb w zakresie od 0 do 255. Opublikowanie 3 pierwszych bloków pozwoli nam na określenie z jakiego kraju (lub miasta) łączył się użytkownik wystawiający aukcję, ale nie pozwoli na publikacje danych osobowych. Takie wyjście zgodne z prawem i dość powszechnie stosowane przez inne portale.

Po co to wszystko?

Jak już pisałem, do tego tematu natchnął mnie mój przyjaciel Mongoł. Otóż komentując moje wypociny i poczynania korzysta z adresu, który jest przypisany do zakresu azjatyckiego (z tego co pamiętam – wieczorem sprawdzę). Więc albo siedzi gdzieś w azji, albo korzysta z proxy.

A co to jest proxy – najprościej (dla tego przypadku) jest to serwer maskujący prawdziwy adres IP użytkownika serwisu. Tak więc nie mogę poznać z jakiego miasta jest mój przyjaciel.

Dlaczego znajomość adresu IP jest taka ważna?

Wszystko jest w porządku, kiedy pożyczkobiorca spłaca pożyczkę. Niestety w innym przypadku (kiedy istnieje podejrzenie popełnienia przestępstwa) sprawa trafia do prokuratury, która prosi Finansowo o podanie adresów IP z których logował się złodziej. Na podstawie uzyskanych adresów IP zwraca się do dostawców internetu z prośbą o ustalenie użytkownika w danym momencie. Wszystko jest w miarę w porządku kiedy złodziej walił z możliwego do ustalenia adresu IP. Problem pojawia się w momencie, kiedy złodziej używał proxy stojącego np. w Bangladeszu. Tam macki naszej policji i prokuratury nie sięgają. I jest wtopa – złodziej jest nie do namierzenia.

Wiec po co publikować część adresu IP?

Dla naszego bezpieczeństwa. Mam nadzieję, że dzięki temu blogowi, użytkownicy Finansowo będą mogli bez problemu sprawdzić pochodzenie adresu IP (napiszę wkrótce artykuł na ten temat) i już na etapie licytowania podnieść choć trochę bezpieczeństwo transakcji. Oczywiście wszystko jest dla mądrych ludzi, bo osoba używająca np. Orange na podlasiu może widnieć jako osoba siedząca w Warszawie.

Ale mając do dyspozycji kawałek adresu IP można ustrzec się aukcji wystawianych za pośrednictwem proxy z innych kontynentów. Być może Finansowo uniemożliwi też w systemie wystawiania takich aukcji.

Jaka przyszłość tej propozycji?

Rozmawiałem przed chwilą z administratorem Finansowo.pl. Naświetliłem sprawę. Mam zadzwonić we wtorek i wtedy dowiem się, jak  to widzą mądrzy ludzie z Finansowo. Może coś drgnie…

Ja tego nie odpuszczę. Publikując 3 bloki z adresu IP, właściciel Finansowo pokaże, że ma dobrą wolę i dba o interesu użytkowników.  Poza wszystkim nakład pracy jest minimalny – już teraz możecie zauważyć na swoim profilu informację, z jakiego IP logowaliście się ostatnio. Wystarczy przenieść kawałek kodu w inne miejsce…