[Wikipl-l] Szablon pacynkowy niezgody z zasadami polityki prywatności

[Marcin Cieslak]

(na początek zastrzeżenie: brałem udział w tłumaczeniu
zasad ochrony prywatności Fundacji na język polski, dlatego
zalecam korzystanie z angielskiego oryginału zasad, a nie
z częściowo mojego tłumaczenia).

>> Tomasz Ganicz <polimerek w gmail.com> wrote:
> W dniu 29 stycznia 2011 20:07 użytkownik Marcin Cieslak
><saper w saper.info> napisał:
>>>> Tomasz Ganicz <polimerek w gmail.com> wrote:
>>> Hej,
>>>
>>> Zwrócono mi słuszną uwagę, na to, że szablon pacynkowy narusza zasady
>>> prywatności Wikimedia Foundation w przypadkach, gdy jedno z
>>> pacynkowych kont jest anonimowe (w sensie, że na stronie usera nie ma
>>> informacji umożliwiających identyfikację konkretnej osoby) - a drugie
>>> nie jest - czyli edytor wpisał na swojej stronie usera informacje,
>>> które umożliwiają jego/jej identyfikację. Wiążąc te konta szablonem
>>> pacynkowym - niechcący ujawniamy dane osobowe konta pacynki - wbrew
>>> woli zainteresowanej osoby, która po to tworzy pacynkę, żeby edycje
>>> spod tej pacynki nie były wiązane z tą konkretną osobą fizyczną.
>>
>> Nie zgadzam się z tą interpretacją. Dane osoby na koncie pierwotnym pozostają
>> ujawione tak jak były i nikomu nie dzieje się krzywda. Ujawnianie powiązań
>> między kontami w przypadku naruszeń zasad pacynkowania nie stoi w sprzeczności
>> z zasadami prywatności, między innymi dlatego, że pacynka nie jest jako
>> taka narzędziem ochrony danych osobowych.
>
> Nie rozumiem tego stwierdzenia. Zasady prywatności Fundacji odnoszą
> się do ujawniania danych osobowych właścicieli kont i dość dokładnie
> jest określone w jakich przypadkach do tego ujawnienia może dojść i
> nie ma tam w spisie opisanego przypadku, gdy ktoś narusza zasady
> tworzenia pacynek. Do tego ujawnienia dochodzi w efekcie powiązania
> kont dokonanego wbrew woli zainteresowanego na podstawie danych
> dostępnych dla checkuserów, którzy są zobowiązaniu do zachowywania
> zasad prywatności Fundacji. Dlatego jeśli checkuser ujawnia tożsamość
> właściciela danego konta - musi się do zasad polityki stosować. A
> dokładnie powinien w takim przypadku na wezwanie wskazać punkt tej
> polityki który mu na to ujawnienie pozwolił.

CheckUser operuje zgodnie z polityką prywatności Fundacji na danych
osobowych ale ich nie ujawnia, ("The Foundation and the project
communities have established a number of mechanisms to prevent or
remedy abusive activities. For example, when investigating abuse
on a project, including the suspected use of malicious “sockpuppets”
(duplicate accounts), vandalism, harassment of other users, or
disruptive behavior, the IP addresses of users (derived either from
those logs or from records in the database) may be used to identify
the source(s) of the abusive behavior. This information may be
shared by users with administrative authority who are charged by
their communities with protecting the projects.") za wyjątkiem
punktu, o którym wspomniałeś ("Release — Policy on Release of Data
It is the policy of Wikimedia that personally identifiable data
collected in the server logs, or through records in the database
via the CheckUser feature, or through other non-publicly-available
 methods, may be released by Wikimedia volunteers or staff, in
 any of the following situations: (...)").

O ile dobrze sobie przypominam mnie osobiście (ani chyba nikomu
z naszych checkuserów w naszym projekcie do tej pory - ale mogę się
mylić), nie zdarzyło się do tej pory skorzystać z możliwości
ujawnienia danych osobowych opisanej w punkcie "Policy on
Release of Data". Jedyne, co ma miejsce, to wymiana
informacji pomiędzy uprawnionymi checkuserami innych projektów
w ramach zwalczania zagrożeń obejmujacych więcej niż jeden 
projekt ("cross-wiki"). Checkuserzy poza własnym gronem ograniczają
się do pytyjskich stwierdzeń typu "inny provider, inny region, ta
sama przeglądarka" i temu podobne.

Przez "ujawnienie danych znajdujących się w zasobach Fundacji"
rozumiem działanie osoby, mającej do nich dostęp (np. CheckUser),
tzn. udostępnienie informacji, która jest udostępniona 
przez rozszerzenie CheckUser. Nic takiego moim zdaniem nie nastąpiło,
tzn. nikt z checkuserów nie ujawił danych z bazy danych Fundacji.

Ujawnienie danych osobowych konta A następuje w omawianym przypadku
tylko i wyłącznie z woli użytkownika tego konta.

Jak rozumiem, chodzi o to, że działanie CheckUsera czy administratora
blokującego kogoś za pacynkowanie (nie musi być to checkuser, a na 
przykład na holenderskiej wiki checkuser nie jest administratorem), które
w konsekwencji może prowadzić do powiązania pewnych informacji ze sobą,
mogących z kolei prowadzić do przypisania pewnej osobie fizycznej określonych
zachowań na wiki, które do tej pory nie mogły być jej przypisane.

>> Uważam, że ujawnianie pacynek jest potrzebne ze względu na wpływ pacynki
>> stosowanej wbrew zasadom (np. udzielanie się w dyskusji sprawiając wrażenie,
>> że to kilka osób a nie jedna) powien być uświadomiony innym edytującym.
>
> Tak - zgoda - ale bez naruszania polityki prywatności Fundacji, która
> gwarantuje zachowanie anonimowości właściciela konta - poza
> przypadkami, które są ściśle określone i nie obejmują nadużywania
> pacynek, czy też jakichkolwiek innych naruszeń wewnętrznych zasad i
> zaleceń Wikipedii. Tożsamość właściciela konta wolno ujawnić w
> zasadzie tylko albo za jego/jej zgodą albo z powodu naruszania prawa.

(..wycięte moje...)

> Nie chodzi o immunitet na pacynkowanie - powiązać konta publicznie
> moża - tylko wcześniej trzeba usunąć skutecznie dane osobowe z konta
> głównego jeśli zainteresowana może nie chcieć aby je ujawniono w
> stosunku do dowiązanej pacynki. Przypadki mogą być bardzo różne - np:
> możemy mieć znaną publicznie osobę, która edytuje z jednego konta pod
> swoim szyldem artykuły z jednej tematyki (dajmy na to hipotetycznie: z
> filozofii) a oprócz tego mieć pacynkę którą używa do pisania o
> aktorkach porno. Następnie z powodu wojen edycyjnych wszczynanych z
> konta "oficjalnego" blokujemy profesora i checkuser sprawdzając
> pacynki znajduje też tą "pornograficzną" i ujawnia kto za nią stoi -
> blokując ją z szablonem wiążącym tę pacynkę z kontem główny. Efekt -
> studenci i koledzy profesora dowiadują, że ten fascynuje się aktorkami
> porno.  Albo np: znana postać w świecie organizacji pozarządowych -
> edytuje hasła o NGO-sach z konta nie-anonimowego i edytuje hasła o
> politykach dopisując tam różne kompromitujące szczegóły z ich życia z
> drugiego konta, które się kojarzy z jego anonimowo też prowadzonym
> blogiem.
>
> IMHO w takiej sytuacji dochodzi ewidentnie do naruszenia polityki
> prywatności Fundacji i dochodzi też do naruszenia dóbr osobistych.
> Przypominam, że mówimy o sytuacji, kiedy checkuser dokonuje tego
> powiązania na podstawie danych z serwera, które nie są publicznie
> dostępne.

Każda blokada za pacynkowanie w odstępie krótkiego czasu zapisana
w rejestrze blokad może być uznana za ujawnienie powiązania kont. 
Generalnie przeważnie udaje się uniknać ujawnienia np. adresu IP
blokowanego użytkownika (dzięki funkcji "blokuj adres IP"
z której korzystał użytkownik"), ale nie zawsze - czasem niestety
trzeba zablokować cały zakres adresów IP i trzeba to zrobić wprost.

Gdyby ktoś uważnie śledził rejestry i blokady mógłby być może 
dojść do wniosków w rodzaju "XY jest z Lublina i korzysta z Neostrady".
Czy jest to jednak naruszenie polityki prywatności przez osobę 
blokującą? Moim zdaniem nie. Z tego rodzaju fusów można
wróżyć o wiele lepiej analizując po prostu edycje czy styl danej 
osoby (a zdarza się często, że jakaś osoba jest zidentyfikowana
o wiele lepiej na podstawie tematów, które edytuje, języka, stylu,
błędów jężykowych itp. itd. Zdarzają się blokady za pacynkowanie
dokonywane przez administratorów bez konsultacji z checkuserem
lub po uzyskaniu niepełnej odpowiedzi ("nie wiadomo", "nie
da się potwierdzić ani wykluczyć"). Czy taki administator również
naruszy zasady ochrony danych osobowych Wikimedia Foundation?
Moim zdaniem nie. 

Zresztą w - jak sądzę przedmiotowym - przypadku ja zablokowałem
konto użytkownika (komentarz: "niedozwolone użycie pacynki").
Inny administrator (z którym ja nie rozmawiałem w ogóle, nie wiem
czy kontaktował się z innym checkuserem) wstawił szablon
{{PacynkaCU}} z informacją o nazwie konta pierwotnego.    
Czy w taki sposób doszło do ujawnienia danych znajdujących się
w zasobach Fundacji? Nie sądzę. Mogło dojść najwyżej 
do pomyłki lub zbyt pochopnego działania administratora. 
Załóżmy, że teraz ktoś oskarży tego administratora o naruszenie
dóbr osobistych użytkownika przez oskarżenie tego użytkownika
o bycie pacynką, co może godzić w jej dobre imię :) i checkuserzy
zostaną poproszeni o ponowne sprawdzenie sprawy. Gdyby przyjąć
taką interpretację zasad, o której mówisz, to checkuserzy nie mogliby
się w tej sprawie wypowiedzieć, bo przypadkowo ujawniliby dane
- moim zdaniem wcale ich nie ujawniając - poprzez potwierdzenie
powiązania. To jest ten "immunitet".

I na koniec chciałym odnieść się do sprawy owego pornograficznego
profesora, choć wolałbym odnieść się do sprawy osoby, która
podała swoje dane osobowe na stronie użytkownika, a prawdopodobnie
w jakiś sposób doprowadziła do wykorzystania jej konta przez inne
osoby w sposób bezpośredni lub pośredni. Otóż być może różnimy się
w rozumieniu polityki prywatności fundacji. Piszesz: 

"Tak - zgoda - ale bez naruszania polityki prywatności Fundacji, która
gwarantuje zachowanie anonimowości właściciela konta - poza
przypadkami, które są ściśle określone i nie obejmują nadużywania
pacynek, czy też jakichkolwiek innych naruszeń wewnętrznych zasad i
zaleceń Wikipedii. "

Moim zdaniem, wbrew być może obiegowej opinii, zasady ochrony prywatności
Fundacji nie gwarantuje zachowania anonimowości właściciela konta.
Dość wyrażnie mówi o tym zapis na końcu zasad, w skrócie 
"staramy się nie ujawniać danych, które mamy, ale pewnych rzeczy 
nie można wykluczyć".

Moim zdaniem dokument Fundacji w dość rozsądny sposób:
- opisuje sposób działania wiki i wyjaśnia, że rejestry zmian 
  i edycje są publiczne i że działalność na wiki ma charakter
  publiczny,

- zawiera kilka porad, gdzie i jakie dane są widoczne,
  że mogą być korelowane i obrabiane przez wszystkich
  tu również stwierdzenia typu "Using a username is a better way
  of preserving privacy in this situation."

- opisywane są również przykładowe pułapki, poprzez
  które użytkownik może ujawnić swój adres email, adres IP
  i inne dane (skorzystanie z wysyłania maili przez wiki,
  IRCa, komunikajca z innymi lub poprzez inne serwery w Internecie
  poza kontrolą Fundacji)

- opisuje sposób zbierania rejestrów i co dokładnie jest zbierane
  (logi dostępu do stron, logi edycji)

- wyjaśnia, dlaczego tak się dzieje

- objaśnia, kto i dlaczego ma do tych dostęp i jakie trzeba
  spełnić warunki, aby ten dostęp uzyskać (w połączeniu
  z dodatkowym oddzielnym regulaminem dostępu do informacji
  niejawnej)

- precyzuje sytuacje, które w których dane zbierane
  przez Fundację mogą być udostępnione.

O ile Fundacja i społeczność uważają prywatność użytkowników
za sprawę wielkiej wagi, nikt nie może jej zagwarantować.

I nie chodzi tutaj tylko o bardzo wyjątkowe sytuacje
(typu żądania prokuratury albo kradzież danych z serwerów
Fundacji) tylko również o tysiące drobnych przypadków
z życia codziennego, choćby jak wysłanie emaila przez wiki,
czy wejście na IRC w celu skontaktowania się ze społecznością,
czy też - właśnie - umieszczenie prawdziwego imienia i nazwiska
w nazwie użytkownika lub na jego stronie. "Volenti non fit
iniuria - chcącemu nie dzieje się krzywda". 

Moim zdaniem tu mamy do czynienia z następującą sytuacją: "dane
osobowe zgromadzone w rejestrach (logach) serwerów Fundacji" nie
zostały ujawnione w rozumieniu zasady ochrony prywatności Fundacji.

Administrator umieszczający taki szablon działał w dobrej wierze, opierając
się (poza swoim zdrowym rozsądkiem) na opinii osoby, do której
społeczność wyraziła w pewnym stopniu zaufanie (checkusera).

Zauważmy, że nigdzie w zasadach Fundacji nie ma wprost zezwolenia
na podstawową działalność CheckUserów, czyli odpowiadanie
"X i Y to pacynka", "nie można wykluczyć ani potwierdzić",
"pacynkowanie praktycznie wykluczone". Ten powszedni chleb
checkuserów nie mieści się moim zdaniem nawet w punkcie 

"(...) personally identifiable data collected (...) through
records in the database via the CheckUser feature (...)
may be released by Wikimedia volunteers (...), 
in any of the following situations: (...)
- When necessary for investigation of abuse complaints,"

CheckUser (działając z mandatu zaufania udzielonego mu
przez społeczność) serwuje jedynie specyficznego rodzaju
wyrocznie w oparciu o dostępne mu dane. Działanie wikipedystów
w oparciu o tego rodzaju wyrocznię nie stanowi 
udostępniania danych przechowywanych przez Fundację. 
CheckUserzy są zobowiązani do przestrzegania zasad ochrony
danych Fundacji, prawie tak jak jej pracownicy -
zasada ochrony danych osobowych przewiduje dla checkuserów
wyjątek polegający na udostępnieniu im pewnych danych,
ale - moim zdaniem - nie daje im specjalnych uprawnień
do ich udostępniania, poza omawianym tu punktem 
"Release — Policy on Release of Data".

To, na ile umieszczenie szablonu {{PacynkaCU}} godzi w dobra
osobiste jakiejś osoby, jest moim zdaniem sprawą odrębną, 
i nie związaną z zasadą ochrony danych osobowych WMF. 

//Saper

(Leinad: sorry, najpierw napisałem tu i musiałem przeformatować)