Birt á Moggablogginu 27.7.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd
Þetta eru áhugaverðar pælingar hjá Hauki Arnþórssyni (sjá frétt) um samkeyrslu upplýsinga og þá ógn sem slík samkeyrsla er við friðhelgi einkalífsins. Þar sem að ég fæst mikið við málefni, sem tengjast persónuvernd og meðferð persónuupplýsinga, þá hef ég oft rekist á hve auðvelt er í raun að samkeyra marga stóra gagnagrunna með ólíkum upplýsingum til að útbúa persónusnið. Ég vil taka það skýrt fram að ég hef á móti hvergi séð það gert, nema legið hafi fyrir leyfi frá Persónuvernd. Það vill nefnilega svo til, að til þess að mega samkeyra skrár að ólíkum uppruna eða með ólíkum upplýsingum, þarf ósköp einfaldlega leyfi Persónuverndar og hefur stofnunin hingað til tekið mjög skýra og stífa afstöðu ef slík mál hafa komið upp. En að sjálfsögðu lenda mörg mál undir radar Persónuverndar.
Vandamálið liggur í útbreiddri notkun kennitölu sem viðskiptamannsnúmers í upplýsingakerfum. Nokkuð sem á sér líklega ekki hliðstæðu annars staðar í heiminum. Að hluta til er þessi almenna notkun kennitölu arfleif frá fyrri tímum, þegar nafnnúmerið varð að nokkurs konar lykli í upplýsingakerfum Reiknistofu bankanna og hjá skattayfirvöldum. Þegar gamla skjalskrárkerfið vék fyrir rafrænu viðskiptamannakerfi hjá fyrirtækjum, þá þótti sjálfsagt að nota nafnnúmerið sem lykil og síðar breyttist nafnnúmerið í kennitölu. Í persónuverndarlögum (nr. 77/2000) segir í 10. gr.:
Notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Persónuvernd getur bannað eða fyrirskipað notkun kennitölu.
Ég er einn af þeim, sem sé engin haldbær rök fyrir því að t.d. myndbandaleigur noti kennitölu sem viðskiptamannsnúmer. Raunar sé ég heldur ekki haldbær rök fyrir því að bankarnir noti kennitöluna sem viðskiptamannsnúmer og lykli allar færslur á kennitöluna. Það er alveg hægt að koma á ,,öruggri persónugreiningu" eftir öðrum leiðum. Þessi víðtæka notkun kennitölunnar getur meira segja opnað óheiðarlegum aðilum leið til svika, þar sem alltof oft er nóg að gefa upp kennitölu til að fá aðgang að margs konar trúnaðarupplýsingum. Bankarnir notast vissulega við fleiri sannvottanir, en eftir því sem treyst er meira á kennitöluna sem viðskiptamannsnúmer er auðveldara fyrir svikara að misnota hana. Það er t.d. auðvelt fyrir mig að taka út myndbönd eða mynddiska á myndbandaleigu nánast hvar sem er með því að gefa upp kennitölu og nafn annars einstaklings, þar sem starfsmenn biðja almennt ekki um skilríki þegar spóla eða diskur er tekið og ég hef hingað til ekki verið spurður um slíkt þegar ég hef stofnað til viðskiptana í fyrsta sinn. Þetta væri ekki eins auðvelt, ef viðskiptamannsnúmerið byggði á einhverju öðru en kennitölunni. Fyrirtæki geta auðveldlega notað eigið viðskiptamannsnúmer til að lykla saman færslur viðskiptavina sinna og síðan er ein tafla í gagnagrunnum þeirra sem tengja þetta viðskiptamannsnúmer við kennitöluna og aðrar persónuupplýsingar, svo sem nafn, heimilisfang, símanúmer o.s.frv. Það er í raun lítið mál að breyta þessu, ef vilji er fyrr hendi. Vandinn er að það er bara svo þægilegt að nota kennitöluna, vegna þess að hún er svo útbreidd og fólk man hana yfirleitt.
En snúum aftur að viðtalinu við Hauk Arnþórsson í Blaðinu i dag. Hann telur að með breytingum á lögum megi draga úr líkum á misnotkun rafrænna upplýsinga. Það má færa rök með og á móti því. Fyrst má spyrja hvers vegna að breyta lögum. Er einhver munur á því að brot gegn friðhelgi er framið með rafrænum hætti eða með áþreifanlegum aðferðum? Í mínum huga er það ekki og um leið og við opnum fyrir þá hugsun að hegningarlög eigi að túlka mismunandi eftir tækninni við brotið, þá erum við komin út á hálan ís. Vissulega hafa lönd í kringum okkur farið þá leið að setja lög um tölvumisnotkun (t.d. Computer Misuse Act í Bretlandi) samhliða lögum um persónuverndarlögum (sbr. Data Protection Act í Bretlandi), meðan Indverjar eru með upplýsingatæknilög (Information Technology Act) sem þeir láta ná til persónuverndarinnar án þess að hún sé beint nefnd á nafn. Næst má spyrja hvort núverandi löggjöf geri brotin saknæm án þess að gera mönnum næga refsingu? Persónuverndarlögin (nr. 77/2000) taka á misnotkun rafrænna upplýsinga, en það er rétt hjá Hauki að Persónuvernd getur lítið beitt sér umfram að setja mönnum boð og bönn eða skilyrði sem uppfylla þarf innan vissra tímamarka. Þriðja atriðið sem Haukur nefnir er að setja lagaramma um notkun vistaðra gagna um almenning sem hindrar kerfisbundna greiningu á samskiptum hans. Þessi lög eru til sem lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þetta framferði er bannað nema að fengnu leyfi frá Persónuvernd. Þeir sem stunda slíkt án leyfis frá Persónuvernd eru því að brjóta lög. Takmarkanirnar í lögunum ganga svo langt, að fyrirtæki má ekki greina viðskiptahætti viðskiptavina sinna til að skilgreina persónusnið. Nú geri menn þetta og hafa síðan samband símleiðis við viðskiptavinina, þá eru fyrirtæki að brjóta gegn fjarskiptalögum.
En þó að hlutirnir séu bannaðir, þá er ekki þar með sagt að þeir séu ekki gerðir. Ég fékk t.d. ítrekað hringingu sl. haust frá nýstofnuðu dótturfyrirtæki ónefnds fyrirtækis, þar sem var verið að bjóða mér þjónustu fyrirtækisins (þ.e. þess nýstofnaða) og kaup á vöru frá tveimur systurfyrirtækjum þess. Ég taldi að með þessum símtölum væri hið nýstofnaða dótturfyrirtæki að brjóta a.m.k. tvenn lög, þ.e. persónuverndarlög og fjarskiptalög. Ég taldi brotið á persónuverndarlögum felast í því að sá sem hringdi hafði upplýsingar um viðskipti mín við hin tvö fyrirtækin (systurfyrirtækin) án þess að ég hefði gefið heimild mína að þessar upplýsingar færu milli fyrirtækja eða hefði verið upplýstur um slíkt og hins vegar fjarskiptalög, þar sem að númerið mitt er x-merkt í símaskrá. Ég hringdi í Persónuvernd til að forvitnast hvort það væri virkilega túlkun laganna, að með því að tvö óskyld fyrirtæki kæmust í eigu sömu aðila og þau gerð að systurfyrirtækjum undir einu móðurfyrirtæki, þá mættu upplýsingar um viðskipti mín við þessi fyrirtæki fljóta frjálst og óhindrað til allra fyrirtækja undir þessu móðurfyrirtæki. Mér til mikillar furðu, þá taldi viðmælandi minn hjá Persónuvernd þetta vera leyfilegt, en sagði jafnframt að til að fá umsögn Persónuverndar um málið yrði að senda erindi og þá væri ekki víst að Persónuvernd gæti tekið afstöðu, þar sem stofnunin yrði að geta úrskurðað ef þetta yrði kært til hennar. Mér finnst þetta brjóta freklega í bága við persónuverndarlögin, þar sem ekki má samkeyra óskyld gögn án heimildar Persónuverndar og skiptir þá ekki máli hvort gögnin verða til innan mismunandi deilda sama fyrirtækisins (og vinnslan er ekki eðlilegur hluti af starfsemi þess) eða, eins og í þessu tilfelli, hjá tveimur aðskildum fyrirtækjum. Að síðan þriðja fyrirtækið hefði upplýsingarnar undir höndum fannst mér ganga út fyrir allan þjófabálk.