A Technological Infrastructure for Adequate Data Protection on the Internet. Moulinos Konstantinos

Save this PDF as:
 WORD  PNG  TXT  JPG

Μέγεθος: px
Εμφάνιση ξεκινά από τη σελίδα:

Download "A Technological Infrastructure for Adequate Data Protection on the Internet. Moulinos Konstantinos"

Transcript

1 A Technological Infrastructure for Adequate Data Protection on the Internet Moulinos Konstantinos December 2003

2 ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΔΙΑΤΡΙΒΗ για την απόκτηση Διδακτορικού Διπλώματος του Τμήματος Πληροφορικής Κωνσταντίνου Διονυσίου Μουλίνου ΤΕΧΝΟΛΟΓΙΚΗ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Εξεταστική Επιτροπή: Συμβουλευτική Επιτροπή: Πρόεδρος: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μέλη: Κάτσικας Σωκράτης, Καθηγητής Πανεπιστήμιο Αιγαίου Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Αθήνα, Δεκέμβριος 2003 Πρόεδρος: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μέλη: Κάτσικας Σωκράτης, Καθηγητής Πανεπιστήμιο Αιγαίου Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Κιουντούζης Ευάγγελος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Χρυσικόπουλος Βασίλης, Καθηγητής Ιόνιο Πανεπιστήμιο Γεωργιάδης Παναγιώτης, Αναπληρωτής Καθηγητής Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών Σπινέλλης Διομήδης, Επίκουρος Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών

3 "Η έγκριση διδακτορικής διατριβής υπό του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών δεν υποδηλοί αποδοχή των γνωμών του συγγραφέως". (Ν. 5343/ 1932, αρθρ. 202)

4 ΠΡΟΛΟΓΟΣ ΚΑΙ ΕΥΧΑΡΙΣΤΙΕΣ Η παρούσα διατριβή πραγματεύεται ζητήματα που σχετίζονται με τις Τεχνολογίες Προάσπισης Ιδιωτικότητας στο Διαδίκτυο και έλαβε χώρα σε μια εποχή όπου το θέμα της προστασίας ιδιωτικότητας κεντρίζει ολοένα και περισσότερο το ενδιαφέρον της σύγχρονης κοινωνίας. Όπως γνωρίζει κάθε Διδάκτορας, η εκπόνηση μιας διατριβής είναι επίπονο έργο και απαιτεί την βοήθεια πολλών. Κατ' αρχήν, θέλω να ευχαριστήσω τον Αναπληρωτή Καθηγήτη Δ. Γκρίτζαλη, και δάσκαλό μου, για την αμέριστη συμπαράστασή του, σε όλους τους τομείς της ζωής μου, κατά την διάρκεια των τελευταίων επτά ετών. Η γόνιμη συνεργασία μας με έμαθε πολλά και στο τέλος κατανόησα τα λόγια του Ευαγγελιστή Λουκά "Δεν είναι μαθητής ανώτερος του διδασκάλου αυτού. πας δε τελειοποιημένος θέλει είσθαι ως ο διδάσκαλος αυτού". Ελπίζω η συνεργασία μας να συνεχισθεί και στο μέλλον. Επίσης, θέλω να ευχαριστήσω τους Καθηγητές Θ. Αποστολόπουλο και Σ. Κάτσικα οι οποίοι υπήρξαν μέλη της Τριμελούς Επιτροπής παρακολούθησης της διατριβής. Ειδικά ο πρώτος με βοήθησε πολύ και στα πρώτα, δύσκολα χρόνια της μεταπτυχιακής μου μαθητείας. Ειδικές ευχαριστίες ανήκουν και στον Καθηγητή Ε. Κιουντούζη διότι διέθεσε το χρόνο του και με βοήθησε στη συγγραφή του τρίτου κεφαλαίου. Θα ήθελα επίσης να ευχαριστήσω τους συνεργάτες και φίλους της Διεπιστημονικής Ερευνητικής Ομάδας για την Ασφάλεια στις Τεχνολογίες Πληροφοριών και Επικοινωνιών του Οικονομικού Πανεπιστημίου και του Πανεπιστημίου Αιγαίου για τη συνεργασία μας. Ειδικά, οι Γιάννης Ηλιάδης, Θοδωρής Τρύφωνας, Βασίλης Τσούμας, Στέφανος Γκρίτζαλης Δημήτρης Λέκκας και Σπύρος Κοκολάκης έχουν συμβάλλει ποικιλοτρόπως σε διάφορα στάδια της παρούσας έρευνας. Στη διαμόρφωση της διατριβής σημαντικό ρόλο έπαιξαν και οι εμπειρίες που απέκτησα από την απασχόλησή μου στην Αρχή Προστασίας Δεδομένων. Η καθημερινή τριβή με τους συναδέλφους Ελεγκτές επηρέασε τον τρόπο σκέψης μου σχετικά με την προστασία δεδομένων. Για το λόγο αυτό ευχαριστώ, όλους τους συναδέλφους του τμήματος Ελεγκτών με ειδική αναφορά στους Πελοπίδα Δόνο και Βασίλη Ζορκάδη. Επιπλέον, ευχαριστώ τους Προέδρους της Αρχής, Κωνσταντίνο Δαφέρμο και Δημήτρη Γουργουράκη για τις διευκολύνσεις που παρείχαν ώστε να μπορέσω να ολοκληρώσω το έργο μου. Τέλος, αισθάνομαι βαθιά ευγνωμοσύνη για τον πατέρα μου, Διονύση, που με έμαθε να αγαπάω τα γράμματα, την πρόσφατα εκλιπούσα μητέρα μου, Πόπη, γιατί με έμαθε να είμαι πεισματάρης, τον αδελφό μου, Γεράσιμο, γιατί με στήριξε σε πολύ δύσκολες φάσεις της ζωής μου και τη σύντροφό μου, Μαρίνα, γιατί επιμελήθηκε συστηματικά το κείμενο και, με την υπομονή και ανοχή της, λείανε το δύσβατο δρόμο της ολοκλήρωσης της διατριβής. Αθήνα, 30 Σεπτεμβρίου 2003 Οικονομικό Πανεπιστήμιο Αθηνών Σελ 4

5 Στην μνήμη της μητέρας μου «Μετά από κάθε γιατί να ψάχνεις το γιατί των γιατί. Εκεί θα βρίσκεις πάντα πάνω από τη μισή απάντηση και ίσως όλη την αλήθεια»...όμως το «γιατί των γιατί» παρέμενε αναπάντητο. Έτρεξε το μυαλό μου μέσα στη ζάλη του παντού κι ακούμπησε στη μόνη ελπίδα που βρήκε όρθια, ικανή να μου απαντήσει. Στ' αγαπημένα μου βιβλία." Από το βιβλίο του Νίκου Θέμελη, "Η αναζήτηση" Οικονομικό Πανεπιστήμιο Αθηνών Σελ 5

6 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ 1 ΕΙΣΑΓΩΓΗ ΠΛΗΡΟΦΟΡΙΚΗ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΑΦΟΡΜΗ ΚΑΙ ΚΙΝΗΤΡΑ ΓΙΑ ΤΗΝ ΠΑΡΟΥΣΑ ΕΡΕΥΝΑ ΑΝΤΙΚΕΙΜΕΝΟ ΚΑΙ ΣΤΟΧΟΙ ΤΗΣ ΔΙΑΤΡΙΒΗΣ ΔΟΜΗ ΤΗΣ ΔΙΑΤΡΙΒΗΣ Δομική περιγραφή της διατριβής Συνοπτική Περιγραφή των κεφαλαίων ΣΥΜΒΟΛΗ ΤΗΣ ΠΑΡΟΥΣΑΣ ΕΡΕΥΝΑΣ ΣΤΟ ΠΕΔΙΟ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Αυθεντικοποίηση χωρίς ταυτοποίηση Δικτυοενδιάμεσοι Ψηφιακές σφραγίδες και επικύρωση πολιτικών προστασίας δεδομένων Διαχείριση ασφάλειας Λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ Λειτουργικό μοντέλο υπηρεσιών ΕΤΟ ΟΡΙΣΜΟΙ ΚΑΙ ΕΠΙΣΚΟΠΗΣΗ ΤΟΥ ΟΡΓΑΝΟΤΕΧΝΙΚΟΥ ΠΛΑΙΣΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Η ΕΞΕΛΙΞΗ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Ορισμός της ιδιωτικότητας Μοντέλα ιδιωτικότητας Το δικαίωμα στην ιδιωτικότητα Η ανάπτυξη της Προστασίας Δεδομένων Επίβλεψη της προστασίας δεδομένων Γενικές αρχές και δικαιώματα στην προστασία δεδομένων Διασυνοριακή ροή δεδομένων Η ΑΝΑΓΚΗ ΓΙΑ ΤΕΧΝΟΛΟΓΙΕΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ Η έννοια της ασφάλειας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 6

7 2.2.2 Ιδιότητες της ασφάλειας Παράγοντες απαίτησης ασφάλειας Η ΕΝΝΟΙΑ ΤΗΣ ΑΠΕΙΛΗΣ Απειλές κατά την αποθήκευση Απειλές κατά την μετάδοση ΑΝΤΙΜΕΤΩΠΙΣΗ ΑΠΕΙΛΩΝ Συσχέτιση απειλών και τεχνικών αντιμετώπισής τους Η ΑΝΑΓΚΗ ΓΙΑ ΤΕΧΝΟΛΟΓΙΕΣ ΠΡΟΑΣΠΙΣΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΑΠΕΙΛΕΣ ΚΑΤΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ Απειλές στο επικοινωνιακό επίπεδο Απειλές στο επίπεδο εφαρμογής Τρόποι συλλογής προσωπικών δεδομένων στο Διαδίκτυο ΤΕΧΝΟΛΟΓΙΕΣ ΠΡΟΑΣΠΙΣΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ: ΑΝΑΣΚΟΠΗΣΗ Ταξινόμηση των ΤΠΙ Συσχέτιση των ΤΠΙ με απειλές κατά της ιδιωτικότητας Συσχέτιση απειλών και αρχών ιδιωτικότητας που παραβιάζουν ΣΥΝΟΨΗ ΤΟ ΕΠΙΣΤΗΜΟΛΟΓΙΚΟ ΠΛΑΙΣΙΟ ΤΗΣ ΕΡΕΥΝΑΣ ΟΝΤΟΛΟΓΙΚΕΣ ΚΑΙ ΕΠΙΣΤΗΜΟΛΟΓΙΚΕΣ ΠΑΡΑΔΟΧΕΣ Η ΜΕΘΟΔΟΛΟΓΙΑ ΤΗΣ ΠΑΡΟΥΣΑΣ ΕΡΕΥΝΑΣ Παραδοχές της έρευνας Μεθοδολογία της έρευνας ΕΝΝΟΙΟΛΟΓΙΚΟ ΜΟΝΤΕΛΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΤΕΧΝΟΛΟΓΙΚΗ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Η προστασία προσωπικών δεδομένων ως σύστημα Απαιτήσεις χρήστη Υπηρεσίες Οικονομικό Πανεπιστήμιο Αθηνών Σελ 7

8 3.5 ΣΥΝΟΨΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΜΗΧΑΝΙΣΜΟΙ ΣΥΛΛΟΓΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΔΗΜΙΟΥΡΓΙΑ ΠΕΡΙΓΡΑΜΜΑΤΩΝ ΣΥΜΠΕΡΙΦΟΡΑΣ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΑΝΩΝΥΜΗ ΠΡΟΣΒΑΣΗ ΣΤΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΣΥΜΠΕΡΙΦΟΡΑΣ ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΧΩΡΙΣ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΤΡΙΤΟΥ Ανώνυμα πιστοποιητικά Τριτεγγύηση ταυτότητας Η χρήση συναρτήσεων σύνοψης στην τριτεγγύηση ταυτότητας ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ ΜΕ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΔΙΚΤΥΟΕΝΔΙΑΜΕΣΟΥ Υπάρχον μοντέλο λειτουργίας δικτυοενδιάμεσων Προβλήματα ασφάλειας υπάρχοντος πλαισίου λειτουργίας Προτεινόμενο μοντέλο λειτουργίας Υπηρεσία Πρόσβασης σε Ανώνυμα Περιγράμματα της ΥΠΔ ΣΥΝΟΨΗ ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΕΠΙΒΛΕΨΗ ΕΝΗΜΕΡΩΣΗ Γενικά Υπηρεσία "Ενημέρωση" της ΥΠΔ ΕΠΙΒΛΕΨΗ Απευθείας επικύρωση πολιτικών προστασίας ιδιωτικότητας Προγράμματα ψηφιακών σφραγίδων Επεκτάσεις Τεχνολογίες υλοποίησης ψηφιακής σφραγίδας Υπηρεσία "Επίβλεψη" της ΥΠΔ ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ Προβλήματα υπάρχοντος πλαισίου διαχείρισης πολιτικών ασφάλειας Προτεινόμενο μοντέλο διαχείρισης ασφάλειας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 8

9 5.3.3 Απαιτήσεις χρήστη Βάση Διαχείρισης Πληροφοριών Ασφάλειας Μοντέλο Διαχείρισης Ασφάλειας Ικανοποίηση απαιτήσεων χρήστη Υπηρεσία "Ασφάλεια" της ΥΠΔ ΣΥΝΟΨΗ ΕΠΙΛΟΓΗ ΑΠΟΚΑΛΥΨΗΣ ΤΑΥΤΟΤΗΤΑΣ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΧΡΗΣΤΗ ΠΡΟΣΤΑΤΗΣ ΤΑΥΤΟΤΗΤΑΣ Προσεγγίσεις του προστάτη ταυτότητας Ανάθεση του προστάτη ταυτότητας σε μια Έμπιστη Οντότητα ΠΡΟΣΕΓΓΙΣΗ ΤΟΥ ΠΡΟΣΤΑΤΗ ΤΑΥΤΟΤΗΤΑΣ ΩΣ ΑΝΕΞΑΡΤΗΤΟΥ ΤΜΗΜΑΤΟΣ ΤΟΥ ΠΣ ΠΡΟΣΤΑΤΗΣ ΤΑΥΤΟΤΗΤΑΣ Απαιτήσεις χρήστη Προσφερόμενες υπηρεσίες Μοντέλο αναφοράς Λειτουργική αρχιτεκτονική ΔΙΚΑΙΩΜΑ ΠΡΟΣΒΑΣΗΣ-ΥΠΗΡΕΣΙΑ "ΠΡΟΣΒΑΣΗ" ΤΗΣ ΥΠΔ ΣΥΝΟΨΗ ΥΠΟΔΟΜΗ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ ΚΑΙ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΕΜΠΙΣΤΟΣΥΝΗ Ορισμός της εμπιστοσύνης Εμπιστοσύνη και προστασία δεδομένων Εμπιστοσύνη και υπηρεσίες ΕΤΟ ΈΜΠΙΣΤΕΣ ΤΡΙΤΕΣ ΟΝΤΟΤΗΤΕΣ ΕΝΣΩΜΑΤΩΣΗ ΥΠΗΡΕΣΙΩΝ ΕΤΟ ΣΤΙΣ ΤΠΕ Απαιτήσεις χρήστη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 9

10 7.3.2 Υπηρεσίες ΕΤΟ Μοντέλο αναφοράς Λειτουργική αρχιτεκτονική ΕΠΙΔΡΑΣΗ ΑΡΧΩΝ-ΔΙΚΑΙΩΜΑΤΩΝ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΥΠΗΡΕΣΙΕΣ ΕΤΟ ΣΥΝΟΨΗ ΣΥΝΟΨΗ, ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΚΑΤΕΥΘΥΝΣΕΙΣ ΠΕΡΑΙΤΕΡΩ ΕΡΕΥΝΑΣ ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ ΥΠΔ ΛΕΙΤΟΥΡΓΙΚΟ ΜΟΝΤΕΛΟ ΥΠΔ Γενικό λειτουργικό μοντέλο Ονοματοδοσία λειτουργικών μονάδων ΣΥΝΟΨΗ ΤΟΥ ΠΡΟΒΛΗΜΑΤΟΣ ΚΑΙ ΤΗΣ ΕΡΕΥΝΗΤΙΚΗΣ ΠΡΟΣΠΑΘΕΙΑΣ ΒΑΘΜΟΣ ΚΑΛΥΨΗΣ ΤΟΥ ΑΡΧΙΚΟΥ ΠΡΟΒΛΗΜΑΤΟΣ ΚΑΙ ΕΚ ΝΕΟΥ ΑΝΟΙΧΤΑ ΘΕΜΑΤΑ ΣΥΜΒΟΛΗ ΣΤΟ ΓΝΩΣΤΙΚΟ ΑΝΤΙΚΕΙΜΕΝΟ ΠΡΟΤΕΙΝΟΜΕΝΗ ΠΕΡΑΙΤΕΡΩ ΕΡΕΥΝΑ ΑΝΑΦΟΡΕΣ ΚΑΙ ΒΙΒΛΙΟΓΡΑΦΙΑ ΣΤΗΝ ΑΓΓΛΙΚΗ ΓΛΩΣΣΑ ΣΤΗΝ ΕΛΛΗΝΙΚΗ ΓΛΩΣΣΑ ΠΡΟΣΒΑΣΗ ΧΩΡΙΣ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΤΡΙΤΟΥ ΜΕ ΑΝΩΝΥΜΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΠΡΟΣΒΑΣΗ ΧΩΡΙΣ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΤΡΙΤΟΥ ΜΕ ΤΡΙΤΕΓΓΥΗΣΗ ΤΑΥΤΟΤΗΤΑΣ ΠΡΟΣΒΑΣΗ ΜΕ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΔΙΚΤΥΟΕΝΔΙΑΜΕΣΟΥ ΜΕ ΑΝΩΝΥΜΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΠΡΟΣΒΑΣΗ ΜΕ ΔΙΑΜΕΣΟΛΑΒΗΣΗ ΔΙΚΤΥΟΕΝΔΙΑΜΕΣΟΥ ΜΕ ΤΡΙΤΕΓΓΥΗΣΗ ΤΑΥΤΟΤΗΤΑΣ Οικονομικό Πανεπιστήμιο Αθηνών Σελ 10

11 1 ΕΙΣΑΓΩΓΗ 1.1 Πληροφορική και προστασία δεδομένων Η επίδραση των Τεχνολογιών Πληροφοριών και Επικοινωνιών (ΤΠΕ) στην κοινωνική, οικονομική και προσωπική ζωή του ανθρώπου αποτελεί κεντρικό σημείο της σύγχρονης κοινωνικής προβληματικής και δημοφιλές αντικείμενο μελέτης. Όπως είναι φυσικό, οι απόψεις ποικίλλουν σημαντικά, καλύπτοντας ένα ευρύ φάσμα από την πλήρη δαιμονοποίηση της τεχνολογίας πληροφορικής μέχρι την προσδοκία της "κοινωνίας της αφθονίας", όπου οι νοήμονες μηχανές θα απαλλάξουν τον άνθρωπο από τη δουλεία της εργασίας. Το ότι οι ΤΠΕ επιφέρουν σημαντικές αλλαγές στη ζωή του ανθρώπου που ξεπερνούν σε ένταση κάθε προηγούμενη τεχνολογική επανάσταση, αποτελεί κοινή και αναμφισβήτητη διαπίστωση σε επιστημονικές και μη αναλύσεις. Οι συντελούμενες αλλαγές έχουν ορισμένα ποιοτικά χαρακτηριστικά που δικαιολογούν τη σημασία που τους αποδίδεται: (α) αφορούν όλες τις πτυχές της ζωής του ανθρώπου και (β) πραγματοποιούνται με πρωτόγνωρη, για την ανθρωπότητα ταχύτητα. Τα όρια της προσαρμοστικότητας του ανθρώπου σε αυτόν τον ρυθμό αλλαγών είναι μάλλον άγνωστα. Πολλοί άνθρωποι βιώνουν το πέρασμα στην εποχή των ραγδαίων εξελίξεων ως ισχυρό "σοκ" [TOF-91], ενώ άλλοι εμφανίζουν μεγαλύτερη ευκολία προσαρμογής. Ανεξάρτητα από το βαθμό προσαρμοστικότητας, οι περισσότεροι άνθρωποι υποδέχονται την έλευση των ΤΠΕ με ένα αίσθημα ανασφάλειας. Στο επίπεδο της προσωπικής ζωής η ανασφάλεια παίρνει τη μορφή φόβου για την ενδεχόμενη αδυναμία προστασίας της προσωπικής ζωής του ατόμου [ΚΟΚ-00]. Η διαρκής μείωση του κόστους αποθήκευσης και επεξεργασίας πληροφοριών και η αυξανόμενη ζήτηση προσωπικών πληροφοριών για εμπορική εκμετάλλευση έχουν σαν αποτέλεσμα την ένταση της ανασφάλειας του ανθρώπου. Αυτό προκάλεσε την αύξηση του ενδιαφέροντος σχετικά με το δικαίωμα της ιδιωτικότητας στις δεκαετίες του 60 και του 70. Η δυνατότητα παρακολούθησης από υπολογιστικά ισχυρές μηχανές οδήγησε στην ανάγκη δημιουργίας κανόνων που ρυθμίζουν την συλλογή και διαχείριση προσωπικών πληροφοριών. Η γέννηση του σύγχρονου νομικού πλαισίου σε αυτή την περιοχή συσχετίζεται με τον πρώτο, σε παγκόσμιο επίπεδο, νόμο προστασίας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 11

12 δεδομένων που ενεργοποιήθηκε στα 1970 στο κρατίδιο της Έσσης της Γερμανίας. Από τότε πολλά κράτη ή μεγαλύτερα κοινωνικά σύνολα που ξεπερνούν τα στενά όρια ενός κράτους (π.χ. η Ευρωπαϊκή Κοινότητα) έχουν θεσπίσει νόμους για την προστασία από την επεξεργασία δεδομένων, που αντανακλούν την κουλτούρα τους και εκφράζουν την φροντίδα για την αύξηση του αισθήματος ασφάλειας των πολιτών τους. Η συστηματική καταγραφή και μελέτη των διεθνών νόμων οδήγησε στην ομαδοποίηση τους σε τέσσερις μεγάλες κατηγορίες που ονομάζονται μοντέλα προστασίας δεδομένων (privacy models, βλ ). Το αίσθημα ανασφάλειας των ανθρώπων, οδήγησε, εκτός από την θέσπιση των γενικών νόμων, στην αλλαγή των διαδικασιών, πρακτικών και λειτουργιών που απαιτούνται για τη συλλογή και επεξεργασία των προσωπικών δεδομένων. Οι νέες αυτές διαδικασίες πήραν την μορφή θεμελιωμένων αρχών προστασίας δεδομένων (data protection principles), οι οποίες, με τη σειρά τους, αποτυπώθηκαν στους νόμους περί προστασίας δεδομένων του κάθε κράτους. Παρά τις διαφοροποιήσεις, υπάρχουν κάποιες βασικές αρχές που διέπουν τη συλλογή και επεξεργασία των προσωπικών δεδομένων που απαντώνται σε όλα τα μοντέλα προστασίας δεδομένων και είναι γνωστές ως βασικές αρχές προστασίας δεδομένων (βλ ). Οι νέοι νόμοι περί προστασίας δεδομένων, με τη σειρά τους, επηρέασαν την εσωτερική οργάνωση των οργανισμών που τα επεξεργάζονται. Παράδειγμα αυτής της επίδρασης, αποτελεί η δημιουργία του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) στο οργανόγραμμα μεγάλων οργανισμών. Τέλος, οι απειλές κατά της ασφάλειας και της ιδιωτικότητας των πληροφοριών, σε συνδυασμό με την κατακόρυφη αύξηση της χρήσης του Διαδικτύου ως μέσου ανταλλαγής τους, έδωσαν το έναυσμα για την ανάπτυξη ΤΠΕ που θα αντιμετωπίζουν τις συγκεκριμένες απειλές. Οι ΤΠΕ που έχουν σαν στόχο την προστασία της ασφάλειας των πληροφοριών είναι γνωστές ως Τεχνολογίες Ασφάλειας Πληροφοριών και Επικοινωνιών (ΤΑΠΕ) ενώ οι ΤΠΕ που έχουν σαν στόχο την αποφυγή ή περιορισμό της συλλογής και επεξεργασίας προσωπικών δεδομένων είναι γνωστές με τον όρο Τεχνολογίες Προάσπισης Ιδιωτικότητας (ΤΠΙ, Privacy Enhancing Technologies) [EPI-01]. Με βάση τα παραπάνω προκύπτει ότι η ανασφάλεια σε σχέση με τις ΤΠΕ είναι ένα ζήτημα με τεχνικές και κοινωνικές διαστάσεις. Αντίστοιχα, τα μέτρα αντιμετώπισης της ανασφάλειας μπορούν να χωριστούν σε τεχνικά και κοινωνικά [KOW-94]. Τα τεχνικά αφορούν τα δεδομένα, το υλικό και το λογισμικό των υπολογιστικών συστημάτων, ενώ τα κοινωνικά μπορούν να χωρισθούν σε τέσσερις κατηγορίες: (α) νομικά-κανονιστικά, (β) λειτουργικά-διαδικαστικά, (γ) διοικητικά-διαχειριστικά και (δ) ηθικά-κουλτούρας (βλ. Πίνακας 1). Κατηγορίες μέτρων άμβλυνσης της ανασφάλειας Νομικά-Κανονιστικά Παράδειγμα Οδηγία 95/46 της Ε.Ε, για την προστασία προσωπικών δεδομένων Οικονομικό Πανεπιστήμιο Αθηνών Σελ 12

13 Ηθικά-Κουλτούρας Λειτουργικά-Διαχειριστικά Διοικητικά-Διαχειριστικά Τεχνικά (Υλικό, Λογισμικό, Δεδομένα) Μοντέλα Προστασίας Δεδομένων Βασικές αρχές προστασίας δεδομένων Τοποθέτηση Υπευθύνου Προστασίας Δεδομένων και καθορισμός σχετικών αρμοδιοτήτων Τεχνολογίες Προάσπισης Ιδιωτικότητας Πίνακας 1: Κατηγορίες μέτρων άμβλυνσης της ανασφάλειας σε σχέση με την προσβολή της ιδιωτικότητας που προκαλούν οι ΤΠΕ Συνοψίζοντας, η αύξηση στην χρήση των ΤΠΕ και του Διαδικτύου (Internet), συνέβαλε στην αύξηση της ανασφάλειας των ανθρώπων, σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, και έκανε ορατή την ανάγκη να μελετηθούν και αναπτυχθούν: (α) το κανονιστικό πλαίσιο για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία των προσωπικών του δεδομένων, (β) η ασφάλεια των ΤΠΕ και (γ) οι ΤΠΙ. Οι παραπάνω τρεις συνιστώσες οριοθετούν το οργανοτεχνικό πλαίσιο λειτουργίας σχετικά με την προστασία των προσωπικών δεδομένων του ατόμου και η μελέτη του πρέπει να λάβει υπ' όψη, τόσο τους τεχνικούς όσο και τους κοινωνικούς παράγοντες που εμπλέκονται. 1.2 Αφορμή και κίνητρα για την παρούσα έρευνα Τα ζητήματα που σχετίζονται με την προστασία των προσωπικών δεδομένων που διακινούνται στο Διαδίκτυο έχουν συγκεντρώσει το ενδιαφέρον τόσο των επιχειρήσεων όσο και των επιστημόνων της πληροφορικής. Κατά την διάρκεια της προηγούμενης δεκαετίας, εμφανίσθηκε μεγάλος όγκος εργασιών και ερευνών σχετικές με την προστασία των δεδομένων στο Διαδίκτυο. Παρά την ανάπτυξη των ΤΠΙ και την υιοθέτηση νόμων περί προστασίας δεδομένων, παραμένει έντονο το αίσθημα ανασφάλειας των χρηστών του Διαδικτύου σχετικά με την ιδιωτικότητα και την ασφάλεια των προσωπικών τους δεδομένων που διακινούνται στο Διαδίκτυο. Συγκεκριμένα, συγκριτική έρευνα που πραγματοποιήθηκε από τον Maximilian Teltzrow και τον Alfred Cobsa το 2003, και περιελάμβανε τριάντα έρευνες σχετικές με την προστασία δεδομένων, έδειξε ότι το 81%, το χρηστών ανησυχούν για την ιδιωτικότητα των προσωπικών πληροφοριών τους, καθόλη την διάρκεια σύνδεσής τους στο Διαδίκτυο [TEL-03]. Τα στατιστικά αποτελούν ένδειξη ότι δεν υπάρχει εμπιστοσύνη των χρηστών και ότι οι περισσότεροι θεωρούν την προστασία των δεδομένων τους ως αναπόσπαστο τμήμα της εμπιστοσύνης στο Διαδίκτυο. Χαρακτηριστικά είναι τα στοιχεία που προέκυψαν κατά την διάρκεια έρευνας του έγκυρου περιοδικού BusinessWeek το 1998, και αποκαλύπτουν ότι το 78% των ερωτηθέντων χρηστών, θα ήταν πρόθυμοι να χρησιμοποιήσουν το Διαδίκτυο για την διενέργεια απευθείας (on line) συναλλαγών με τον όρο ότι θα εξασφαλιζόταν η ιδιωτικότητα των δεδομένων τους [BUS-98]. Σε τεχνικό επίπεδο, επιστημονική έρευνα που πραγματοποίησε ο France Belanger και άλλοι ερευνητές το 2002 [BEL-02], οι ψηφιακές σφραγίδες πιστοποίησης από τρίτες οντότητες, η ανακοίνωση των πολιτικών προστασίας δεδομένων, τα χαρακτηριστικά ασφάλειας ενός δικτυακού τόπου και η χρήση τεχνολογιών ανωνυμίας αναδεικνύονται, από τους χρήστες, ως Οικονομικό Πανεπιστήμιο Αθηνών Σελ 13

14 οι κυριότεροι μηχανισμοί που συνεισφέρουν στην αύξηση της εμπιστοσύνης ενώ σε νομικόκανονιστικό επίπεδο το 50% των ερωτηθέντων θεωρεί ότι θα πρέπει να υιοθετηθούν νόμοι που ρυθμίζουν θέματα που σχετίζονται με την προστασία δεδομένων στο διαδίκτυο. Συνεπώς, μπορούμε να συμπεράνουμε ότι η προστασία των προσωπικών δεδομένων στο Διαδίκτυο είναι ένα ανοικτό για έρευνα ζήτημα. Πιο συγκεκριμένα αφορμή για την παρούσα έρευνα έδωσαν οι παρακάτω διαπιστώσεις: 1. Παρά την ύπαρξη νόμων προστασίας δεδομένων, στο φυσικό κόσμο, δεν υπάρχει η αίσθηση στους χρήστες του Διαδικτύου ότι αυτοί οι νόμοι εφαρμόζονται και στο διαδικτυακό περιβάλλον [TEL-03]. 2. Παρά την ύπαρξη Αρχών (authorities), ή οργανισμών με εμπειρία στην προστασία δεδομένων, που ελέγχουν την τήρηση των νόμων, η διαδικτυακή δραστηριοποίησή τους, συνήθως, περιορίζεται μόνο στην ενημέρωση των πολιτών μέσω της ανάρτησης πληροφοριακού υλικού στις ιστοσελίδες των διαδικτυακών τόπων τους. 3. Παρά το γεγονός ότι υπάρχει βιβλιογραφία για κάθε μια από τις βασικές αρχές προστασίας δεδομένων, εντούτοις απουσιάζουν ερευνητικές προσπάθειες που προσπαθούν να εξετάσουν την προστασία προσωπικών δεδομένων, συνολικά, ως μια ολότητα που αποτελείται από ρόλους και σχέσεις που διέπουν τις αλληλεπιδράσεις μεταξύ των ρόλων. 4. Πολλές από τις προτεινόμενες ΤΠΙ παρουσιάζουν ελλείψεις που οφείλονται είτε στο πρώιμο στάδιο της εμφάνισής τους είτε σε παραλήψεις στη σχεδίασή τους. 1.3 Αντικείμενο και στόχοι της διατριβής Αντικείμενο της διατριβής είναι οι τεχνολογίες προστασίας προσωπικών δεδομένων. Σκοπός της διατριβής είναι η διερεύνηση του υπάρχοντος οργανοτεχνικού πλαισίου προστασίας δεδομένων και περιγραφή ενός λειτουργικού μοντέλου, ανεξάρτητου τεχνολογίας υλοποίησης, κατάλληλου για κοινό τόπο αναφοράς χρηστών του Διαδικτύου που επιθυμούν την πρόσβαση σε διαδικτυακές υπηρεσίες προστασίας δεδομένων. Τα κύρια ζητήματα στα οποία επικέντρωσε η παρούσα διατριβή είναι: 1. Αποτύπωση του εννοιολογικού-αφαιρετικού μοντέλου προστασίας δεδομένων με σκοπό τον προσδιορισμό των ρόλων και των μεταξύ τους συσχετίσεων που είναι κοινοί σε όλα τα μοντέλα ιδιωτικότητας (privacy models). 2. Αντιμετώπιση τεχνολογικών ζητημάτων που εμποδίζουν την περιγραφή των υπηρεσιών μιας κλιμακούμενης, επεκτάσιμης και στηριγμένης σε πρότυπα διαδικτυακής Υποδομής Προστασίας Δεδομένων (ΥΠΔ, Data Protection Infrastructure). 3. Συγκρότηση του μοντέλου αναφοράς και του λειτουργικού μοντέλου της διαδικτυακής τεχνολογικής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 14

15 Στο πλαίσιο αυτό, οι στόχοι της παρούσας έρευνας είναι οι εξής: 1. Αποτύπωση του εννοιολογικού-αφαιρετικού μοντέλου προστασίας δεδομένων με σκοπό τον προσδιορισμό των ρόλων και των μεταξύ τους συσχετίσεων που είναι κοινοί σε όλα τα μοντέλα ιδιωτικότητας. 2. Περιγραφή των υπηρεσιών μιας κλιμακούμενης, επεκτάσιμης και στηριγμένης σε πρότυπα διαδικτυακής ΥΠΔ που ενσωματώνει τις παρατηρήσεις από την αντιμετώπιση των σχετικών τεχνολογικών ζητημάτων. 3. Συγκρότηση μοντέλου αναφοράς της τεχνολογικής διαδικτυακής ΥΠΔ, το οποίο θα στηρίζεται στο αντίστοιχο εννοιολογικό-αφαιρετικό μοντέλο, και λειτουργικού μοντέλου που περιγράφει τις λειτουργικές μονάδες των υπηρεσιών της ΥΠΔ με τις μεταξύ τους συσχετίσεις, καθώς επίσης και τις συσχετίσεις αυτών με τις τεχνολογίες που δύναται να χρησιμοποιηθούν για την υλοποίησή τους. 1.4 Δομή της διατριβής Δομική περιγραφή της διατριβής Η παρούσα διατριβή χωρίζεται σε τρία μέρη και οκτώ κεφάλαια. Στο πρώτο μέρος (Κεφάλαια 2 και 3) διαμορφώνεται το εννοιολογικό και επιστημολογικό υπόβαθρο, το οποίο είναι απαραίτητο για την κατανόηση της οπτικής μέσα από την οποία αντιμετωπίζεται το ζήτημα της διαδικτυακής προστασίας δεδομένων από τον ερευνητή. Επίσης, γίνεται ανασκόπηση των βασικών εννοιών του υπάρχοντος κανονιστικού πλαισίου. Από την ανασκόπηση προκύπτουν οι ρόλοι που εμπλέκονται στην προστασία δεδομένων και οι μεταξύ τους σχέσεις και τεκμηριώνεται η έννοια της τεχνολογικής Υποδομής Προστασίας Δεδομένων. Στη συνέχεια εξετάζονται οι απειλές κατά της διαδικτυακής ασφάλειας και ιδιωτικότητας των πληροφοριών. Επιπλέον, γίνεται ανασκόπηση των ΤΑΠΕ και των ΤΠΙ και επισημαίνεται ο ρόλος της κρυπτογραφίας δημοσίου κλειδιού στην παροχή απευθείας υπηρεσιών προστασίας δεδομένων [MOU-00b]. Το αποτέλεσμα αυτής της διαδικασίας είναι η δημιουργία ενός κοινού τόπου αναφοράς του οργανοτεχνικού πλαισίου προστασίας δεδομένων ο οποίος εστιάζει: (α) στους ρόλους που εμπλέκονται σε ένα σύστημα προστασίας δεδομένων και τις μεταξύ τους σχέσεις (εννοιολογικό μοντέλο), (β) τις ΤΠΙ που μπορούν να εφαρμοσθούν για την διαδικτυακής υποστήριξη των ρόλων και των μεταξύ τους σχέσεων και (γ) τη διαπίστωση ότι οι περισσότερες ΤΠΙ κάνουν χρήση υπηρεσιών Έμπιστης Τρίτης Οντότητας (ΕΤΟ). Τέλος, καθορίζονται οι απαιτήσεις χρήσης από την διαδικτυακής τεχνολογική ΥΠΔ και καθορίζονται οι υπηρεσίες που απαιτούνται για να συγκροτηθεί το λειτουργικό μοντέλο της. Το δεύτερο μέρος (Κεφάλαιο 4 έως 7) ασχολείται με τα τεχνολογικά ζητήματα που εμποδίζουν την περιγραφή των υπηρεσιών της διαδικτυακής τεχνολογικής ΥΠΔ. Με δεδομένη την ύπαρξη μιας ΕΤΟ, κατάλληλης να λειτουργήσει σε ένα απευθείας περιβάλλον Οικονομικό Πανεπιστήμιο Αθηνών Σελ 15

16 προστασίας δεδομένων, τα κεφάλαια τέσσερα, πέντε και έξι επικεντρώνουν στην εξέταση καθεμιάς υπηρεσίας που προσφέρει η ΥΠΔ ξεχωριστά. Στα πλαίσια αυτά αποτυπώνεται η υφιστάμενη κατάσταση των τεχνολογιών που υποστηρίζουν την συγκεκριμένη υπηρεσία, εντοπίζονται τυχόν προβλήματα και προτείνονται τεχνολογίες που αντιμετωπίζουν τα εντοπισθέντα προβλήματα [GRI-01a], [GRI-01b], [SPI-02], [APO-98a], [APO-98b]. Το περιεχόμενο του εβδόμου κεφαλαίου σχετίζεται με τη διαπίστωση ότι ενώ οι περισσότερες ΤΠΙ, στις οποίες στηρίζονται οι υπηρεσίες της διαδικτυακής τεχνολογικής ΥΠΔ, κάνουν χρήση υπηρεσιών ΕΤΟ, απουσιάζει μια ευρείας αποδοχής ΥΔΚ ως φορέας υποστήριξης των σχετικών τεχνολογιών. Στα πλαίσια του ίδιου κεφαλαίου περιγράφεται ένα λειτουργικό μοντέλο ενσωμάτωσης υπηρεσιών ΕΤΟ στις ΤΠΕ [GRI-00], [GRI-01]. Η προκύπτουσα από την χρήση του προτεινόμενου μοντέλου Υποδομή Δημοσίου Κλειδιού (ΥΔΚ, Public Key Infrastructure) μπορεί πλέον να χρησιμοποιηθεί από τις υπηρεσίες της διαδικτυακής ΥΠΔ. Τέλος, στο τρίτο μέρος (κεφάλαιο 8) παρουσιάζονται το μοντέλο αναφοράς και το λειτουργικό μοντέλο της διαδικτυακής τεχνολογικής ΥΠΔ. Τα συμπεράσματα της έρευνας και τα ανοικτά ερευνητικά πεδία κλείνουν την διατριβή. Η δομή της διατριβής απεικονίζεται σχηματικά στο Σχήμα 1. Η περιγραφή του εννοιολογικού και επιστημολογικού υπόβαθρου, στο πρώτο μέρος, κρίθηκε χρήσιμη και αναγκαία, διότι: ο νέος, σε σχέση με άλλους, επιστημονικός κλάδος της Προστασίας Δεδομένων, δεν έχει αποκρυσταλλώσει ένα εννοιολογικό και επιστημολογικό υπόβαθρο, με συνέπεια να συνυπάρχουν αντικρουόμενοι τρόποι θεώρησης της προστασίας δεδομένων. η διεπιστημονικότητα του ζητήματος της διαδικτυακής προστασίας δεδομένων (νομοπληροφορική), που χαρακτηρίζεται από την αλληλεξάρτηση της νομικής και της τεχνικής διάστασης, επιβάλλει τη διαμόρφωση κοινής γλώσσας. οι τεχνολογίες που θα προταθούν, καλούνται να στηρίξουν ένα σύστημα προστασίας δεδομένων, το οποίο με τη σειρά του πρέπει πρώτο από όλα να ορισθεί. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 16

17 Σχήμα 1: Δόμηση της παρούσας διατριβής Συνοπτική Περιγραφή των κεφαλαίων Η ανάπτυξη της παρούσας διατριβής γίνεται σε εννέα κεφάλαια και ακολουθεί σε γενικές γραμμές τη ροή της δομικής περιγραφής που παρουσιάσθηκε. Οι βιβλιογραφικές αναφορές παρατίθενται στο κεφάλαιο 9, ενώ παράλληλα υπάρχουν επιπλέον τρία παραρτήματα. Σε αυτά περιλαμβάνεται λεπτομερειακό υλικό απαραίτητο για την επιστημονική τεκμηρίωση της διατριβής. Στο κεφάλαιο 1 "ΕΙΣΑΓΩΓΗ", περιλαμβάνεται η περιγραφή, η οριοθέτηση και η σημασία επίλυσης του προβλήματος. Αναλύονται οι γενικοί στόχοι τους οποίους επιχειρεί να προσεγγίσει η διατριβή και συμβολή της στη γνωστική περιοχή. Στο κεφάλαιο 2 "ΟΡΙΣΜΟΙ ΚΑΙ ΕΠΙΣΚΟΠΗΣΗ ΤΟΥ ΟΡΓΑΝΟΤΕΧΝΙΚΟΥ ΠΛΑΙΣΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ" αναφέρεται συνοπτικά η εξέλιξη του διεθνούς κανονιστικού πλαισίου ιδιωτικότητας και προστασίας προσωπικών δεδομένων. Στην συνέχεια γίνεται ανασκόπηση των απειλών κατά της ασφάλειας πληροφοριών και κατά της ιδιωτικότητας. Επιπλέον, παρατίθενται γνωστοί τρόποι αντιμετώπισης των απειλών αυτών. Στη συνέχεια, γίνεται ανασκόπηση των τεχνολογιών και προτύπων ασφάλειας και προάσπισης ιδιωτικότητας των πληροφοριών. Ο εξοικειωμένος, με τα παραπάνω ζητήματα, αναγνώστης μπορεί να διαβάσει τα συγκεντρωτικά αποτελέσματα (βλ έως 2.7.3) και τη σύνοψη του κεφαλαίου (βλ. 2.8) και να προχωρήσει στο επόμενο κεφάλαιο. Στο κεφάλαιο 3 "ΤΟ ΕΠΙΣΤΗΜΟΛΟΓΙΚΟ ΠΛΑΙΣΙΟ ΤΗΣ ΕΡΕΥΝΑΣ" αναφέρονται οι παραδοχές και η μεθοδολογία της έρευνας. Στα πλαίσια του κεφαλαίου παρουσιάζεται το Οικονομικό Πανεπιστήμιο Αθηνών Σελ 17

18 αφαιρετικό εννοιολογικό μοντέλο αναφοράς της προστασίας δεδομένων (Ζήτημα 1ο της διατριβής), οι απαιτήσεις χρήσης και η αντιστοίχησή τους με τις υπηρεσίες της διαδικτυακής τεχνολογικής ΥΠΔ. Τα κεφάλαια 4 έως 7 ασχολούνται με το 2ο ζήτημα της διατριβής. Στο κεφάλαιο 4, "ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ", αναδεικνύεται η αρχή της αναλογικότητας ως βασικής προϋπόθεσης για τη συλλογή προσωπικών δεδομένων και τεκμηριώνεται ο αρνητικός ρόλος των καταναλωτικών περιγραμμάτων στο Διαδίκτυο. Στην συνέχεια εξετάζονται οι διάφορες τεχνολογικές προσεγγίσεις αντιμετώπισης του προβλήματος και εντοπίζονται τα μειονεκτήματά τους. Τέλος, παρουσιάζονται δύο εναλλακτικοί μηχανισμοί δημιουργίας ανώνυμων καταναλωτικών περιγραμμάτων (profiles) τα οποία δεν παρουσιάζουν τα εντοπισθέντα μειονεκτήματα. Ο πρώτος μηχανισμός αφορά τη διαμεσολάβηση μιας ΕΤΟ στην αυθεντικοποίηση, χρηστών του Διαδικτύου, χωρίς ταυτοποίηση, από πλευράς των ιδιοκτητών δικτυακών τόπων, ενώ ο δεύτερος αφορά στο επιχειρηματικό μοντέλο (business model) του δικτυοενδιάμεσου (infomediary). Το κεφάλαιο 5, "ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΕΠΙΒΛΕΨΗ", αναφέρεται στην επίβλεψη των πολιτικών προστασίας δεδομένων. Αρχικά τεκμηριώνεται η σπουδαιότητα ύπαρξης μιας πολιτικής προστασίας προσωπικών δεδομένων για την ενημέρωση των χρηστών του Διαδικτύου. Στην συνέχεια ορίζεται η έννοια της ψηφιακής σφραγίδας ως μέσου επικύρωσης πολιτικών προστασίας προσωπικών δεδομένων και αναλύονται υπάρχοντες μηχανισμοί ψηφιακής σφραγίδας. Κατά την διάρκεια αυτής της ανάλυσης επισημαίνονται οι αδυναμίες των ευρύτερα διαδεδομένων μηχανισμών ψηφιακής σφραγίδας. Οι προσδιορισμένες αδυναμίες και οι απαιτήσεις χρηστών, έτσι όπως αυτές προέκυψαν μέσα από Ευρωπαϊκά έργα και την διεθνή εμπειρία, αποτελούν την βάση για την περιγραφή ενός νέου μηχανισμού ψηφιακής σφραγίδας. Τέλος, αναδεικνύεται η αναγκαιότητα της μετάβασης από τις προδιαγραφές της πολιτικής ασφάλειας στην υλοποίησή της με αυτοματοποιημένο τρόπο που στηρίζεται σε πρότυπα. Στην συνέχεια, παρατίθενται τα μειονεκτήματα του υπάρχοντος πλαισίου διαχείρισης των τεχνικών μέτρων ασφάλειας και προτείνεται ένα νέο μοντέλο διαχείρισής τους. Παράλληλα, περιγράφονται η αρχιτεκτονική ενός συστήματος διαχείρισης, που ακολουθεί το παραπάνω μοντέλο, και η δομή μιας Βάσης Πληροφοριών Διαχείρισης (Management Information Base) ασφάλειας. Στο κεφάλαιο 6, "ΕΠΙΛΟΓΗ ΑΠΟΚΑΛΥΨΗΣ ΤΑΥΤΟΤΗΤΑΣ", εξετάζεται το δικαίωμα της επιλογής αποκάλυψης της ταυτότητας των χρηστών του Διαδικτύου. Οριοθετείται το πρόβλημα του περιορισμού του δικαιώματος της επιλογής αποκάλυψης και τεκμηριώνονται τα μειονεκτήματα των υπαρχόντων τεχνολογικών λύσεων του προβλήματος. Στη συνέχεια παρουσιάζεται ένα λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ στις ΤΠΕ ως μέτρο προστασίας του δικαιώματος επιλογής αποκάλυψης. Στο κεφάλαιο 7 "ΥΠΟΔΟΜΗ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ ΚΑΙ ΥΠΟΔΟΜΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ", εξετάζεται ο ρόλος των ΕΤΟ για την εύρυθμη λειτουργία της διαδικτυακής τεχνολογικής ΥΠΔ. Αναδεικνύεται ο σημαντικός ρόλος των ΕΤΟ, εξετάζονται οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 18

19 περιβαλλοντικοί (context) παράγοντες που επηρεάζουν τη λειτουργία της ΕΤΟ και γίνεται ανασκόπηση των τεχνολογικών προτύπων που σχετίζονται με τις λειτουργίες της ΕΤΟ, έχοντας ως τελικό στόχο την παρουσίαση ενός τεχνολογικού περιγράμματος. Επίσης, προτείνεται ένα ολοκληρωμένο πλαίσιο παροχής υπηρεσιών ΕΤΟ, το οποίο καλύπτει μεγάλο εύρος απαιτήσεων ασφάλειας. Τέλος προτείνεται ένα αφαιρετικό μοντέλο αναφοράς και μία λειτουργική αρχιτεκτονική για την παροχή ανοικτών και κατανεμημένων υπηρεσιών ΕΤΟ, που χαρακτηρίζεται από ευελιξία, δυνατότητα κλιμάκωσης, χρησιμότητα, επεκτασιμότητα και προτυποποίηση. Στη συνέχεια παρουσιάζονται οι λειτουργικές ομάδες και οι μεταξύ τους αλληλεπιδράσεις, διαμορφώνοντας έτσι μία λειτουργική αρχιτεκτονική. Αυτή η αρχιτεκτονική αντιστοιχίζεται στην υπάρχουσα τεχνολογία και προτείνεται ένα ολοκληρωμένο τεχνολογικό περίγραμμα. Στο κεφάλαιο 8, "ΣΥΝΟΨΗ, ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΚΑΤΕΥΘΥΝΣΕΙΣ ΠΕΡΑΙΤΕΡΩ ΕΡΕΥΝΑΣ", της διατριβής συγκροτείται το μοντέλο αναφοράς και το λειτουργικό μοντέλο της διαδικτυακής τεχνολογικής ΥΠΔ. Επιπλέον, γίνεται μια σύνοψη του προβλήματος, παρατίθενται τα γενικά συμπεράσματα της διατριβής και σκιαγραφούνται οι προοπτικές για περαιτέρω έρευνα. Τέλος, στο Κεφάλαιο 9 (σελ. 244) παρατίθεται αλφαβητικά η βιβλιογραφία, ξενόγλωσση και ελληνική, στην οποία αναφέρεται η παρούσα διατριβή. Στο Παράρτημα Ι (σελ. 257) περιγράφεται η διεπαφή χρήσης της υπηρεσίας πρόσβασης σε ανώνυμα περιγράμματα που αναλύεται στο κεφάλαιο 4. Στο Παράρτημα ΙΙ (σελ. 265) περιγράφεται η διεπαφή χρήσης της υπηρεσίας επίβλεψης της οποίας η ανάλυση γίνεται στο κεφάλαιο 5 ενώ στο τελευταίο παράρτημα (Παράρτημα IΙΙ, σελ. 267) περιγράφεται η διεπαφή χρήσης του προστάτη ταυτότητας, η λειτουργικότητα του οποίου αναλύεται στο κεφάλαιο Συμβολή της παρούσας έρευνας στο πεδίο της προστασίας προσωπικών δεδομένων στο Διαδίκτυο Με την παρούσα διατριβή επιχειρείται η αποτύπωση του λειτουργικού μοντέλου ενός διαδικτυακής συστήματος προστασίας δεδομένων. Η κύρια συνεισφορά της διατριβής συνίσταται: 1. Αποτύπωση του κοινού εννοιολογικού-αφαιρετικού μοντέλου αναφοράς των διαφορετικών προσεγγίσεων της προστασίας δεδομένων και ορισμός της διαδικτυακής τεχνολογικής ΥΠΔ. 2. Αντιμετώπιση τεχνολογικών ζητημάτων των υπηρεσιών της διαδικτυακής τεχνολογικής ΥΠΔ. Κατά την διάρκεια αυτού του σταδίου πραγματοποιήθηκαν τα εξής: α. Περιγραφή μηχανισμού αυθεντικοποίησης, με μεσολάβηση μιας ΕΤΟ, των χρηστών του Διαδικτύου χωρίς ταυτοποίηση από πλευράς των ιδιοκτητών δικτυακών τόπων, που χρησιμοποιεί την τεχνική της Τριτεγγύησης Ταυτότητας (Identity Escrow). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 19

20 β. Περιγραφή επιχειρηματικού μοντέλου διενέργειας ανώνυμων απευθείας (on line) συναλλαγών με την μεσολάβηση δικτυοενδιαμέσων, το οποίο αντιμετωπίζει τα προβλήματα του υπάρχοντος μοντέλου δικτυοενδιαμέσων και προστατεύει τους χρήστες του Διαδικτύου από τη δημιουργία καταναλωτικών περιγραμμάτων με προσωπικά δεδομένα. γ. Περιγραφή ασφαλούς μηχανισμού που αντιμετωπίζει τα προβλήματα των υπαρχόντων προγραμμάτων ψηφιακής σφραγίδας επικύρωσης πολιτικών προστασίας προσωπικών δεδομένων. δ. Περιγραφή πλαισίου διαχείρισης των τεχνικών μέτρων ασφάλειας με στόχο την υποβοήθηση της αυτοματοποιημένης, και στηριγμένης σε πρότυπα, μετάβασης από τις προδιαγραφές των τεχνικών μέτρων της πολιτικής ασφάλειας στην διαχείρισή τους στο πλαίσιο ενός Πληροφοριακού Συστήματος (ΠΣ). ε. Πρόταση για αρχιτεκτονική διαχείρισης των τεχνικών μέτρων ασφάλειας, σύμφωνη με το προτεινόμενο πλαίσιο, η οποία είναι λειτουργική, επεκτάσιμη, στηρίζεται σε πρότυπα, ασφαλής, ευέλικτη και προσφέρει διαχείριση από ένα κεντρικό σημείο. στ. Περιγραφή λειτουργικού μοντέλου κατάλληλου για την ενσωμάτωση των ΤΠΙ στις ΤΠΕ με σκοπό την αύξηση της δυνατότητας αυτοπροστασίας και κατά συνέπεια της κατοχύρωσης του δικαιώματος του πληροφοριακού αυτοπροσδιορισμού του ατόμου. ζ. Περιγραφή λειτουργικού μοντέλου κατάλληλου για την ενσωμάτωση υπηρεσιών ΕΤΟ στις ΤΠΕ και εξέταση της επίδρασης των υπηρεσιών της ΥΠΔ σε αυτό. 3. Περιγραφή του μοντέλου αναφοράς της διαδικτυακής τεχνολογικής ΥΠΔ, το οποίο θα στηρίζεται στο εννοιολογικό-αφαιρετικό μοντέλο αναφοράς της προστασίας δεδομένων και συγκρότηση λειτουργικού μοντέλου το οποίο περιγράφει τις λειτουργικές μονάδες της διαδικτυακής τεχνολογικής ΥΠΔ και τις μεταξύ τους αλληλοσυσχετίσεις. Η συνεισφορά της παρούσας διατριβής παρουσιάζεται αναλυτικότερα στις παραγράφους που ακολουθούν και στον Πίνακα 2. Εκτιμάται ότι η επίτευξη των στόχων της διατριβής: συνεισφέρει στην αντιμετώπιση των προβληματικών παραγόντων που αναλύθηκαν, αποτελεί προσπάθεια συνολικής αντιμετώπισης του προβλήματος προστασίας προσωπικών δεδομένων στο Διαδίκτυο, και συμβάλλει στην ανάπτυξη των γνωστικών πεδίων της ασφάλειας των ΤΠΕ και των ΤΠΙ. Κεφάλαια διατριβής Συμβολή της διατριβής Κεφάλαιο 1 Κεφάλαιο 2 Επισκόπηση του υπάρχοντος οργανοτεχνικού πλαισίου προστασίας δεδομένων [MOU-00a], [MOU-00b] Οικονομικό Πανεπιστήμιο Αθηνών Σελ 20

21 Κεφάλαιο 3 Εννοιολογικό και επιστημολογικό πλαίσιο Εννοιολογικό μοντέλο προστασίας δεδομένων Κεφάλαιο 4 Αυθεντικοποίηση χωρίς ταυτοποίηση [GRI-01a] Μοντέλο αναφοράς για την ασφαλή λειτουργία των δικτυοενδιάμεσων με τρόπο που να προασπίζουν την ιδιωτικότητα των πληροφοριών που διατηρούν [GRI-01b] Κεφάλαιο 5 Μηχανισμός ψηφιακής σφραγίδας για την επικύρωση πολιτικών προστασίας δεδομένων [SPI-02] Ο ρόλος της διαχείρισης ασφάλειας στην προστασία προσωπικών δεδομένων Προτεινόμενο πλαίσιο διαχείρισης τεχνικών μέτρων ασφάλειας [APO-98a] Λειτουργική αρχιτεκτονική που στηρίζεται στην χρήση του προτεινόμενου πλαισίου διαχείρισης ασφάλειας [APO-98b] Κεφάλαιο 6 Κεφάλαιο 7 Λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ στις ΤΠΕ Υποδομή Δημοσίου Κλειδιού και διαδικτυακή τεχνολογική ΥΠΔ Λειτουργικό μοντέλο ενσωμάτωσης υπηρεσιών ΕΤΟ στις ΤΠΕ. [GRI-00], [GRI-01] Προσαρμογή του μοντέλου ώστε να είναι κατάλληλο για την υποστήριξη των υπηρεσιών της τεχνολογικής διαδικτυακής ΥΠΔ Κεφάλαιο 8 Μοντέλο αναφοράς διαδικτυακής τεχνολογικής ΥΠΔ Λειτουργικό μοντέλο διαδικτυακής Υποδομής Προστασίας Δεδομένων Συμπεράσματα Περιγραφή ανοικτών ερευνητικών ζητημάτων που προκύπτουν από την παρούσα διδακτορική έρευνα Πίνακας 2: Συμβολή της διατριβής ανά κεφάλαιο Αυθεντικοποίηση χωρίς ταυτοποίηση Περιγράφεται ένα πρωτόκολλο αυθεντικοποίησης των χρηστών του Διαδικτύου που δεν απαιτεί την ταυτοποίησή τους από τους ιδιοκτήτες των δικτυακών τόπων το οποίο στηρίζεται στην τεχνική της τριτεγγύησης ταυτότητας (identity escrow). Το προτεινόμενο, διαφέρει από τα υπάρχοντα πρωτόκολλα διότι χρησιμοποιεί την τεχνική των συναρτήσεων σύνοψης αντί των αγνωστικών πρωτοκόλλων για την λειτουργία του με αποτέλεσμα να είναι εύκολη η ενσωμάτωσή του στην υπάρχουσα τεχνολογική υποδομή των χρηστών του Διαδικτύου. Το προτεινόμενο πρωτόκολλο χρησιμοποιεί τις υπηρεσίες ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Δικτυοενδιάμεσοι Το προτεινόμενο επιχειρηματικό μοντέλο προσφέρει ασφάλεια και προστασία των δεδομένων που διακινούνται στο παραδοσιακό επιχειρηματικό μοντέλο των δικτυοενδιάμεσων. Η ασφάλεια στηρίζεται στην δημιουργία μιας υποδομής εμπιστοσύνης Οικονομικό Πανεπιστήμιο Αθηνών Σελ 21

22 μεταξύ των δικτυοενδιάμεσων. Επιπλέον, το προτεινόμενο μοντέλο διασφαλίζει την ανωνυμία των χρηστών, με χρήση της τεχνικής τριτεγγύησης ταυτότητας, ενώ παράλληλα διατηρεί μηχανισμούς αποκάλυψης της ταυτότητάς τους σε περιπτώσεις αξιόποινων πράξεων. Τέλος, προσφέρει πρόσβαση των δικτυοενδιάμεσων σε ένα παγκόσμιο γεωγραφικά κατανεμημένο σύνολο περιγραμμάτων με χρήση των υπηρεσιών ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Ψηφιακές σφραγίδες και επικύρωση πολιτικών προστασίας δεδομένων Προτείνεται πρωτόκολλο ψηφιακής σφραγίδας για την επικύρωση από τους χρήστες των πολιτικών προστασίας δεδομένων που αναρτούν οι ιδιοκτήτες διαδικτυακών τόπων στα πλαίσια μιας κοινότητας που χαρακτηρίζεται από ένα συγκεκριμένο μοντέλο προστασίας δεδομένων. Το προτεινόμενο πρωτόκολλο αντιμετωπίζει τις επιθέσεις πλαστοπροσωπίας (masquerading) στις οποίες είναι ευάλωτα τα αντίστοιχα παραδοσιακά και επιπλέον δίνει την δυνατότητα στους χρήστες να διαπιστώσουν σε πραγματικό χρόνο την ακεραιότητα μιας πολιτικής προστασίας δεδομένων. Τα προτεινόμενα πρωτόκολλα, χρησιμοποιούν τις υπηρεσίες ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Διαχείριση ασφάλειας Στην παρούσα διατριβή προτείνεται ένα πλαίσιο αυτοματοποιημένης και στηριγμένης σε πρότυπα μετάβασης από τις προδιαγραφές των τεχνικών μέτρων ασφάλειας στην υλοποίησή και διαχείρισή τους, το οποίο διαφοροποιείται σε σχέση με το παραδοσιακό πλαίσιο διαχείρισης στα εξής σημεία: i. Μειώνει τις αποκλίσεις μεταξύ των προδιαγραφών της πολιτικής ασφάλειας (security policy specifications) και της διαχείρισης των τεχνικών μέτρων ασφάλειας. ii. Εξαλείφει το πρόβλημα επικοινωνίας των εργαλείων ανίχνευσης και διαχείρισης των ευπαθειών ΤΠΕ διότι χρησιμοποιεί πρότυπους μηχανισμούς επικοινωνίας που διαθέτουν τα εργαλεία διαχείρισης ασφάλειας ΤΠΕ. iii. Προσαρμόζει σε πληροφοριακές υποδομές μεγάλης κλίμακας την αποτελεσματικότητα των υπαρχόντων εργαλείων ανίχνευσης και διαχείρισης των ευπαθειών ΤΠΕ. Επιπλέον, παρουσιάζεται μια αρχιτεκτονική που στηρίζεται στο προαναφερθέν πλαίσιο διαχείρισης, η οποία προσφέρει κλιμάκωση, επεκτασιμότητα, ενσωμάτωση με την υπάρχουσα πληροφοριακή υποδομή του οργανισμού, ασφάλεια, προσαρμογή στις διαφορετικές απαιτήσεις ασφάλειας του οργανισμού, διαχείριση από κεντρικό σημείο και φιλική διεπαφή χρήσης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 22

23 1.5.5 Λειτουργικό μοντέλο ενσωμάτωσης ΤΠΙ Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Το προτεινόμενο λειτουργικό μοντέλο διαφοροποιείται σε σχέση με προηγούμενες ερευνητικές προσπάθειες στα εξής σημεία: 1. Δεν περιορίζει την προστασία ταυτότητας σε απλή δημιουργία ψευδωνύμων αλλά δίνει την δυνατότητα ενσωμάτωσης σύγχρονων ΤΠΙ στις ΤΠΕ κατάλληλων να αντιμετωπίζουν πολύπλοκες απειλές κατά της ιδιωτικότητας των προσωπικών πληροφοριών στο Διαδίκτυο. 2. Παρέχει μηχανισμούς αποκατάστασης της ευθύνης σε περιπτώσεις αξιόποινων πράξεων που διαπράττονται από το χρήστη. 3. Δεν απαιτεί την χρήση κάποιου εξειδικευμένου υλικού/λογισμικού. 4. Ο χρήστης είναι και ιδιοκτήτης του προστάτη ταυτότητας. 5. Ο χρήστης διαχειρίζεται ο ίδιος τα προσωπικά του δεδομένα και δεν απαιτείται η εμπιστοσύνη σε τρίτες οντότητες για το έργο αυτό. 6. Η χρήση του είναι απλή. Ο προτεινόμενος προστάτης ταυτότητας χρησιμοποιεί τις υπηρεσίες ΕΤΟ του λειτουργικού μοντέλου της παραγράφου Λειτουργικό μοντέλο υπηρεσιών ΕΤΟ Το προτεινόμενο μοντέλο, διαφοροποιείται σε σχέση με προηγούμενες ερευνητικές προσπάθειες στα εξής σημεία: 1. Είναι κατάλληλο να υποστηρίξει τις υπηρεσίες της διαδικτυακής τεχνολογικής ΥΠΔ. Επιπλέον, λαμβάνει υπ' όψη του την επίδραση του κανονιστικού πλαισίου προστασίας δεδομένων στις υπηρεσίες ΕΤΟ. 2. Παρέχει μία ενοποιημένη, ανοικτή, κλιμακούμενη και επεκτάσιμη αρχιτεκτονική Υποδομή Δημοσίου Κλειδιού (ΥΔΚ), έτσι ώστε οι υπηρεσίες ασφάλειας και προστασίας δεδομένων να είναι δυνατό να χρησιμοποιηθούν σε ένα ολοκληρωμένο απευθείας περιβάλλον. 3. Δίνει έμφαση στην ύπαρξη διαλειτουργικότητας μεταξύ των ΕΤΟ και προωθεί την παροχή ολοκληρωμένων υπηρεσιών πιστοποίησης, πλέον της έκδοσης και διαχείρισης πιστοποιητικών, όπως υπηρεσίες καταλόγου, χρονοσήμανσης και καταχώρησης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 23

24 ΜΕΡΟΣ Α' 2 ΟΡΙΣΜΟΙ ΚΑΙ ΕΠΙΣΚΟΠΗΣΗ ΤΟΥ ΟΡΓΑΝΟΤΕΧΝΙΚΟΥ ΠΛΑΙΣΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Στο παρόν κεφάλαιο, θα γίνει μια σύντομη εισαγωγή τόσο στο χώρο της Προστασίας Δεδομένων (βλ. 2.1) όσο και στο χώρο της Ασφάλειας ΠΣ (βλ. 2.2 έως 2.7) δεδομένου ότι το αντικείμενο της διατριβής βρίσκεται στο σημείο τομής αυτών των επιστημονικών πεδίων. Οι παράγραφοι 2.4 και του κεφαλαίου αποτελούν την κύρια συμβολή στην επιστήμη και αναφέρονται στο ρόλο της κρυπτογραφίας δημοσίου κλειδιού στην κατασκευή ΠΣ που προασπίζουν την ιδιωτικότητα. Επιπλέον, θα παρατεθούν ορισμένα εισαγωγικά στοιχεία και για την εξέλιξη της προστασίας ιδιωτικότητας εξαιτίας του γεγονότος ότι η προστασία προσωπικών δεδομένων του ατόμου αποτελεί τμήμα της. 2.1 Η εξέλιξη της ιδιωτικότητας και της προστασίας προσωπικών δεδομένων Η ιδιωτικότητα είναι ένα από τα βασικά ανθρώπινα δικαιώματα το οποίο μπορεί πολύ εύκολα να προσβληθεί στην σύγχρονη εποχή. Υποστηρίζει την ανθρώπινη αξιοπρέπεια και άλλες αξίες όπως η ελευθερία συναναστροφής και η ελευθερία του λόγου. Αναγνωρίζεται διεθνώς σε διαφορετικές κουλτούρες και καθεστώτα και προστατεύεται από την Οικουμενική Διακήρυξη των Δικαιωμάτων του Ανθρώπου, την Διεθνή Συνθήκη Πολιτικών Δικαιωμάτων και σε πολλές άλλες διεθνείς συνθήκες και συμβάσεις (βλ ). Σχεδόν όλες οι χώρες του κόσμου έχουν ενσωματώσει στο Σύνταγμά τους διατάξεις που σχετίζονται με την ιδιωτικότητα. Αυτές οι διατάξεις περιλαμβάνουν, κατ ελάχιστον, το απαραβίαστο της Οικονομικό Πανεπιστήμιο Αθηνών Σελ 24

25 οικογενειακής στέγης και το απόρρητο των επικοινωνιών. Τα νεώτερα Συντάγματα περιλαμβάνουν συγκεκριμένα δικαιώματα του ατόμου που αφορούν την πρόσβαση και τον έλεγχο των προσωπικών του πληροφοριών 1, Ορισμός της ιδιωτικότητας Η ιδιωτικότητα (privacy) είναι ίσως το λιγότερο σαφώς προσδιορισμένο από τα ανθρώπινα δικαιώματα που περιλαμβάνονται στον αντίστοιχο διεθνή κατάλογο. Υπάρχουν πολλοί oρισμοί της ιδιωτικότητας οι οποίοι ποικίλουν ανάλογα με το περιβάλλον, την κουλτούρα και το πλαίσιο εφαρμογής της. Σε πολλές χώρες, συγχέεται η έννοια της ιδιωτικότητας με την έννοια της προστασίας προσωπικών δεδομένων. Η τελευταία ερμηνεύει την ιδιωτικότητα ως την ελευθερία του ατόμου να διαχειρίζεται αυτοβούλως τις προσωπικές του πληροφορίες. Εκτός της στενής αυτής ερμηνείας, η προστασία της ιδιωτικότητας αποτελεί το όριο πέραν του οποίου η κοινωνία δεν μπορεί να εισβάλλει στα προσωπικά ενός ατόμου. Η απουσία ενός συγκεκριμένου ορισμού δεν υπονοεί σε καμία περίπτωση ότι το ζήτημα της ιδιωτικότητας δεν είναι σημαντικό. Όπως ένας συγγραφέας έχει παρατηρήσει, «κατά κάποια έννοια, όλα τα ανθρώπινα δικαιώματα άπτονται του δικαιώματος της ιδιωτικότητας» [VOL- 81]. Μερικοί ορισμοί της ιδιωτικότητας δίνονται παρακάτω: Στα 1890, ο μελλοντικός δικαστής του Ανώτατου Δικαστηρίου των ΗΠΑ, Louis Brandeis, διευκρίνισε την έννοια της ιδιωτικότητας που έγκειται στο «δικαίωμα της απομόνωσης» (right to be left alone) του ατόμου [SAM-90]. Ο Alan Westin, συγγραφέας μιας πρωτοποριακής εργασίας με τίτλο «Privacy and Freedom» το 1967, όρισε την ιδιωτικότητα ως την επιθυμία του ανθρώπου να επιλέγει ελεύθερα τις συνθήκες και την έκταση στην οποία θα εκθέτει τον εαυτό του, τις απόψεις του και την συμπεριφορά του προς τους άλλους [WES-67]. Σύμφωνα με τον Edward Bloustein η ιδιωτικότητα σχετίζεται με την ανθρώπινη προσωπικότητα. Προστατεύει το απαραβίαστο της προσωπικότητας, την ανεξαρτησία του ατόμου, την αξιοπρέπεια και την ακεραιότητα [BLO-64]. 1 Άρθρο 10 παρ. 2 του Ολλανδικού Συντάγματος. 2 Άρθρο 18 παρ. 4 του Ισπανικού Συντάγματος Οικονομικό Πανεπιστήμιο Αθηνών Σελ 25

26 Η επιτροπή Calcutt στο Ηνωμένο Βασίλειο υποστήριξε ότι δεν μπόρεσε να βρει πουθενά έναν θεσπισμένο ικανοποιητικό ορισμό της ιδιωτικότητας. Παραταύτα η επιτροπή αισθάνθηκε ικανοποίηση όταν μπόρεσε να την ορίσει νομικά και να ενσωματώσει τον ορισμό αυτό στην πρώτη της αναφορά σχετικά με την ιδιωτικότητα: Το δικαίωμα του ατόμου να προφυλάσσει τόσο την προσωπική του ζωή ή τα προσωπικά του ζητήματα όσο και της οικογένειας του από εισβολή που επιχειρείται είτε με φυσικά μέσα είτε με την δημοσίευση πληροφοριών [CAL-90]. Παρά την ασάφεια στον ορισμό της, η ιδιωτικότητα ενυπάρχει στις δραστηριότητες της ζωής του ατόμου και μπορούμε να την διαχωρίσουμε στα παρακάτω είδη [EPI-01]: ιδιωτικότητα της πληροφορίας (information privacy): αφορά την δημιουργία κανόνων συλλογής και διαχείρισης των προσωπικών δεδομένων, πιστωτικής πληροφορίας και ιατρικών εγγράφων. Το είδος αυτό είναι ευρύτερα γνωστό με τον όρο προστασία δεδομένων. ιδιωτικότητα των επικοινωνιών (privacy of communication): αφορά την ιδιωτικότητα της αλληλογραφίας, των τηλεφωνικών κλήσεων, του ηλεκτρονικού ταχυδρομείου καθώς και άλλων τύπων επικοινωνίας. σωματική ιδιωτικότητα (bodily privacy): αφορά την προστασία των φυσικών προσώπων κατά διαδικασιών εισβολής, όπως γενετικοί έλεγχοι, έλεγχοι χρήσης ναρκωτικών ουσιών κ.λ.π. εδαφική ιδιωτικότητα(territorial privacy): αφορά τον περιορισμό εισβολών στο οικογενειακό και σε άλλα περιβάλλοντα, στο χώρο εργασίας ή σε δημόσιο χώρο. Περιλαμβάνει τα κλειστά κυκλώματα παρακολούθησης και τους ελέγχους ταυτοτήτων. Η παρούσα διατριβή ασχολείται μόνο με τα δύο πρώτα είδη ιδιωτικότητας Μοντέλα ιδιωτικότητας Υπάρχουν τέσσερα κύρια μοντέλα προστασίας ιδιωτικότητας. Τα μοντέλα αυτά μπορεί να είναι είτε συμπληρωματικά είτε να έρχονται σε αντίθεση μεταξύ τους, ανάλογα με το πεδίο στο οποίο εφαρμόζονται. Στις περισσότερες χώρες όμως, εφαρμόζονται παράλληλα. Στις χώρες που προστατεύουν επαρκώς την ιδιωτικότητα, όλα τα μοντέλα λειτουργούν εκ παραλλήλου [EPI-01]. Α. Γενικό ρυθμιστικό πλαίσιο (Comprhensive law model) Σε πολλές χώρες του κόσμου, υπάρχει ένας εθνικός νόμος που ρυθμίζει σε γενικές γραμμές την συλλογή, χρήση και διανομή των προσωπικών πληροφοριών τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα. Αυτό το μοντέλο έχει επιλεχθεί από χώρες που έχουν θεσπίσει νόμους για την προστασία δεδομένων και υιοθετήθηκε από την ΕΕ για να εξασφαλισθεί η Οικονομικό Πανεπιστήμιο Αθηνών Σελ 26

27 εναρμόνιση όλων των κρατών-μελών της σε ένα ενιαίο καθεστώς προστασίας δεδομένων. Μια παραλλαγή αυτών των νόμων που αποκαλείται συν-ρυθμιστικό (co-regulatory) μοντέλο, υιοθετήθηκε από τον Καναδά και πρόκειται να υιοθετηθεί από την Αυστραλία. Σύμφωνα με το μοντέλο αυτό, η "αγορά" παράγει κανόνες για την προστασία της ιδιωτικότητας τους οποίους και θέτει σε εφαρμογή. Η επίβλεψή τους όμως γίνεται από τον αρμόδιο φορέα Προστασίας Ιδιωτικότητας. Β. Τομεακοί Νόμοι (Sectorial model) Μερικές χώρες, όπως οι ΗΠΑ, αποφεύγουν να θεσπίσουν ένα γενικό νόμο προστασίας δεδομένων προτιμώντας την ύπαρξη συγκεκριμένων νόμων που διέπουν την λειτουργία ενός συγκεκριμένου τομέα δραστηριότητας π.χ. νόμοι που σχετίζονται με τα αρχεία ενοικίασης κασετών video, την οικονομική ιδιωτικότητα κ.λ.π. Το σημαντικότερο μειονέκτημα αυτού του μοντέλου είναι η καθυστερημένη προσαρμογή στις νέες τεχνολογίες. Κάθε φορά που εμφανίζεται μια νέα τεχνολογία, ένας νέος νόμος πρέπει να θεσπισθεί. Τρανταχτό παράδειγμα αυτής της καθυστέρησης είναι η απουσία νομικής προστασίας για ιατρικά και γενετικά δεδομένα στις ΗΠΑ. Ένα άλλο πρόβλημα αυτού του μοντέλου είναι η απουσία ενός οργανισμού επίβλεψης της τήρησης των νόμων περί προστασίας δεδομένων. Στις περισσότερες χώρες που διαθέτουν ένα γενικό ρυθμιστικό πλαίσιο προστασίας ιδιωτικότητας οι τομεακοί νόμοι λειτουργούν ως συμπληρωματικό νομικό εργαλείο παρέχοντας περισσότερες λεπτομέρειες που σχετίζονται με την προστασία συγκεκριμένων κατηγοριών δεδομένων π.χ. αρχεία τηλεπικοινωνιακών οργανισμών, αστυνομίας και πιστωτικών καρτών. Γ. Αυτορρύθμιση (Self-regulation) Στο μοντέλο αυτό οι εταιρείες και η οργανισμοί που εκπροσωπούν την βιομηχανία δημιουργούν κώδικες δεοντολογίας και δεσμεύονται για την τήρησή τους. Παραταύτα, σε πολλές χώρες, ανάμεσά τους και οι ΗΠΑ, οι προσπάθειες αυτορρύθμισης δεν έχουν τα αναμενόμενα αποτελέσματα. Τα κύρια προβλήματα αυτού του μοντέλου είναι η έλλειψη επάρκειας και η αδυναμία επιβολής των κωδικών δεοντολογίας. Το μοντέλο αυτό προωθείται κυρίως από τις κυβερνήσεις των ΗΠΑ, της Ιαπωνίας και της Σιγκαπούρης. Δ. Τεχνολογικό μοντέλο (Technological model) Με την ανάπτυξη των ΠΣ, υπάρχει μεταφορά της ευθύνης της προστασίας των δεδομένων από τους οργανισμούς που τα συλλέγουν προς τους πολίτες (ιδιοκτήτες τους), δίνοντας τη δυνατότητα στους χρήστες του Διαδικτύου και ορισμένων άλλων εφαρμογών, να μπορούν να προμηθευθούν προγράμματα τα οποία παρέχουν ποικιλία στην προστασία και την ασφάλεια των επικοινωνιών. Τέτοια εργαλεία είναι η κρυπτογραφία, οι ανώνυμοι εξυπηρέτες ηλεκτρονικού ταχυδρομείου, οι αντιπρόσωποι, το ψηφιακό χρήμα και οι έξυπνες κάρτες. Η προβληματική που αναπτύσσεται γύρω από αυτό το μοντέλο σχετίζεται με την ασφάλεια και την αξιοπιστία των εργαλείων αυτών. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 27

28 Το μοντέλο του γενικού ρυθμιστικού πλαισίου και της αυτορρύθμισης είναι τα μοντέλα ιδιωτικότητας που κυριαρχούν στη διεθνή νομική σκηνή της προστασίας δεδομένων. Το τομεακό και τεχνολογικό μοντέλο συνυπάρχουν, συνήθως, με ένα από τα βασικά [ΕΡΙ01] Το δικαίωμα στην ιδιωτικότητα Το δικαίωμα της ιδιωτικότητας έχει αναγνωρισθεί από τα αρχαία χρόνια. Πολλές αναφορές στην ιδιωτικότητα περιέχει η Βίβλος [HIX-87]. Ο Εβραϊκός νόμος αναγνωρίζει το δικαίωμα της ελευθερίας από παρακολούθηση. Η ιδιωτικότητα προστατευόταν στην Αρχαία Ελλάδα αλλά και την αρχαία Κίνα. Στα 1890 οι Αμερικάνοι δικηγόροι Samuel Warren και Louis Brandeis έγραψαν μια πρωτοποριακή εργασία για το δικαίωμα της ιδιωτικότητας περιγράφοντας την ως το δικαίωμα αυτοπροσδιορισμού του ατόμου [SAM-90]. Στα χρόνια που ακολούθησαν, η όψη αυτή της ιδιωτικότητας έγινε ευρέως γνωστή στις ΗΠΑ και ενσωματώθηκε στο κοινό νομικό κώδικα της χώρας. Το σημείο αναφοράς για την μοντέρνα όψη της ιδιωτικότητας βρίσκεται στην Οικουμενική Διακήρυξη των Δικαιωμάτων του Ανθρώπου στα 1948 η οποία προστατεύει κυρίως την εδαφική ιδιωτικότητα και την ιδιωτικότητα των επικοινωνιών. Γράφει το άρθρο 12 της Διακήρυξης [ΗΕΘ-48]: Κανείς δεν επιτρέπεται να υποστεί αυθαίρετες επεμβάσεις στην ιδιωτική του ζωή, την οικογένεια, την κατοικία ή την αλληλογραφία του, ούτε προσβολές της τιμής και της υπόληψής του. Καθένας έχει το δικαίωμα να τον προστατεύουν οι νόμοι από επεμβάσεις και προσβολές αυτού του είδους. Η ιδιωτικότητα αναγνωρίζεται ως δικαίωμα σε πληθώρα συμφωνιών. Η Διεθνής Συμφωνία για τα Πολιτικά Δικαιώματα (International Covenant on Civil and Political Rights, ICCPR), η Σύμβαση για τους Μετανάστες Εργάτες του Οργανισμού Ηνωμένων Εθνών και η Σύμβαση για την Προστασία του Παιδιού του Οργανισμού Ηνωμένων Εθνών είναι μερικές από αυτές. Σε περιφερειακό επίπεδο, διάφορες συμφωνίες προβλέπουν την εφαρμογή των παραπάνω δικαιωμάτων. Για παράδειγμα στο άρθρο 8 της Σύμβασης για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών του 1950, αναγράφεται ότι [ΕΕΑ-93]: (1) Παν πρόσωπο δικαιούται τον σεβασμό της ιδιωτικής και οικογενειακής ζωής του, της κατοικίας του και της αλληλογραφίας του. (2) Δεν επιτρέπεται να υπάρξει επέμβαση δημόσιας αρχής στην άσκηση αυτού του δικαιώματος, εκτός αν η επέμβαση αυτή προβλέπεται από το νόμο και αποτελεί μέτρο το οποίο, σε μια δημοκρατική κοινωνία, είναι αναγκαίο για την εθνική ασφάλεια, την δημόσια ασφάλεια, την οικονομική ευημερία της χώρας, την προάσπιση της τάξεως και την πρόληψη ποινικών παραβάσεων, την προστασία της υγείας ή της ηθικής ή την προστασία των δικαιωμάτων και ελευθεριών άλλων. Ανεξάρτητα από τις διαφοροποιήσεις τους, το κοινό χαρακτηριστικό όλων των ορισμών της ιδιωτικότητας, που έχουν παρατεθεί, μέχρι αυτό το σημείο της ανασκόπησης, είναι ότι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 28

29 αντιμετωπίζουν την ιδιωτικότητα ως ένα περιουσιακό στοιχείο (property) του ατόμου το οποίο χρίζει προστασίας. Η άποψη αυτή έχει επηρεάσει τα σύγχρονα νομικά κείμενα προστασίας δεδομένων με ποικίλους τρόπους. Για παράδειγμα, οι αρχές της συγκατάθεσης και της προσβασιμότητας από το υποκείμενο στα προσωπικά δεδομένα και ο διαχωρισμός των δεδομένων, σε ευαίσθητα και απλά προσωπικά, είναι απόρροια της αντίληψης της ιδιωτικότητας ως περιουσιακού στοιχείου το οποίο πρέπει να προστατεύεται όπως ένα οποιοδήποτε άλλο περιουσιακό στοιχείο. Αυτή η αντιμετώπιση της ιδιωτικότητας προέρχεται από το γεγονός ότι η ιδιωτικότητα, και κατ' επέκταση τα προσωπικά δεδομένα, συνδέθηκε με την προστασία του ιδιωτικού βίου έτσι ώστε να αποτελέσει τμήμα της ιδιωτικής σφαίρας του ατόμου [ΔΑΓ-91]. Ο τρόπος αντιμετώπισης της προστασίας προσωπικών δεδομένων ως τμήμα της ιδιωτικής σφαίρας έχει καθιερωθεί ως "αμυντική" πλευρά του δικαιώματος του πληροφοριακού αυτοπροσδιορισμού του ατόμου. Η προστασία των προσωπικών δεδομένων, σαν υποσύνολο της ιδιωτικής σφαίρας, καλύπτει μεν ένα σημαντικό μέρος του προστατευόμενου έννομου αγαθού δεν πρέπει όμως σε καμία περίπτωση να είναι αυτοσκοπός [ΑΡΑ-94]. Η "αμυντική" θεώρηση είναι περιοριστική διότι δεν περιλαμβάνει την ανάγκη για επικοινωνία μεταξύ των ανθρώπων και προκαλεί δυσχέρειες σε ένα παγκόσμιο περιβάλλον ανταλλαγής πληροφοριών. Η συνεχόμενη τεχνολογική εξέλιξη παρέχει απεριόριστες δυνατότητες συνδυασμού των δεδομένων, με αποτέλεσμα την διαφοροποίησή τους ανάλογα με τον αποδέκτη και το σκοπό επεξεργασίας. Η διεύρυνση του τρόπου αντιμετώπισης της ιδιωτικότητας έλαβε χώρα στα μεταγενέστερα χρόνια. Αποτέλεσμα της Σύμβασης του 1950, ήταν η δημιουργία της Ευρωπαϊκής Επιτροπής Ανθρωπίνων Δικαιωμάτων και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων προκειμένου να ελεγχθεί η εφαρμογή της. Και οι δύο οργανισμοί δραστηριοποιούνται στην επίβλεψη της εφαρμογής του δικαιώματος της ιδιωτικότητας. Η Επιτροπή κατέγραψε στα 1976 [ECH-76]: Για πολλούς Αγγλοσάξονες και Γάλλους συγγραφείς, το δικαίωμα σεβασμού στην «ιδιωτική ζωή» περιλαμβάνει το δικαίωμα της ιδιωτικότητας, το δικαίωμα να ζει κάποιος όπως επιθυμεί προστατευμένος από την δημοσιότητα. Κατά την άποψη της Επιτροπής το δικαίωμα στην ιδιωτική ζωή δεν σταματά εδώ. Περιλαμβάνει επίσης, σε κάποιο βαθμό, το δικαίωμα της δημιουργίας και ανάπτυξης σχέσεων με άλλους ανθρώπους, ειδικά στο συναισθηματικό τομέα, με σκοπό την ανάπτυξη και ολοκλήρωση της προσωπικότητας του ατόμου. Στο παραπάνω κείμενο γίνεται για πρώτη φορά λόγος για την ανάγκη αντιμετώπισης της ιδιωτικότητας ως απαραίτητου συστατικού επικοινωνίας και ανάπτυξης της προσωπικότητας του ατόμου. Αυτή η θεώρηση της ιδιωτικότητας, και κατ' επέκταση των προσωπικών δεδομένων, προέρχεται από την διαπίστωση ότι αυτό που διακυβεύεται στη σύγχρονη τεχνολογική πραγματικότητα δεν είναι το απαραβίαστο μιας όλο και πιο δύσκολα προσδιορίσιμης ιδιωτικής πληροφοριακής σφαίρας, αλλά η εν γένει ελεύθερη ανάπτυξη της προσωπικότητας και η δυνατότητα της επικοινωνίας σε μια κοινωνία που βασίζει τις αποφάσεις της στην ελεύθερη ροή και επεξεργασία πληροφοριών [ΔΟΝ-00]. Η θεώρηση της Οικονομικό Πανεπιστήμιο Αθηνών Σελ 29

30 προστασίας δεδομένων ως μέσου ελεύθερης ανάπτυξης της προσωπικότητας του ατόμου ονομάζεται "επιθετική" πλευρά του δικαιώματος του πληροφοριακού αυτοπροσδιορισμού. Συμπληρώνει την "αμυντική" πλευρά υποδηλώνοντας το δικαίωμα του ατόμου να καθορίζει ο ίδιος ενεργά τη ροή πληροφοριών που τον αφορούν και να νομιμοποιεί, με τη συγκατάθεσή του, την επεξεργασία των προσωπικών του δεδομένων. Οι αρχές της ενημέρωσης και της διασυνοριακής ροής δεδομένων είναι δείγματα της επιρροής της επιθετικής πλευράς στα σύγχρονα νομοθετικά κείμενα Η ανάπτυξη της Προστασίας Δεδομένων Η ανάπτυξη των ΤΠΕ προκάλεσε την αύξηση του ενδιαφέροντος σχετικά με το δικαίωμα στην ιδιωτικότητα στις δεκαετίες του 60 και του 70. Η δυνατότητα παρακολούθησης από υπολογιστικά ισχυρές μηχανές δημιούργησε την ανάγκη για κανόνες που ρυθμίζουν την συλλογή και διαχείριση προσωπικών πληροφοριών. Η γέννηση του σύγχρονου νομικού πλαισίου σε αυτή την περιοχή συσχετίζεται με τον πρώτο, σε παγκόσμιο επίπεδο, νόμο προστασίας δεδομένων που ενεργοποιήθηκε στα 1970 στο κρατίδιο της Έσσης της Γερμανίας. Ακολούθησαν οι εθνικοί νόμοι της Σουηδίας στα 1973, των ΗΠΑ στα 1974, της Γερμανίας στα 1977 και της Γαλλίας στα Από τους παραπάνω νόμους προέκυψαν δύο κρίσιμα για την εξέλιξη της προστασίας δεδομένων εγχειρίδια: Η Σύμβαση για την Προστασία των φυσικών προσώπων έναντι της αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα του Ευρωπαϊκού Συμβουλίου στα 1981 [EUC-81] και οι Οδηγίες που διέπουν την Προστασία της ιδιωτικότητας και την Διασυνοριακή ροή δεδομένων προσωπικού χαρακτήρα του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη (ΟΟΣΑ) [OEC-81]. Τα κείμενα αυτά θέτουν για πρώτη φορά συγκεκριμένους κανόνες που πρέπει να διέπουν την διαχείριση ηλεκτρονικών δεδομένων. Οι κανόνες αυτοί ορίζουν τις προσωπικές πληροφορίες ως δεδομένα τα οποία χρίζουν προστασίας σε κάθε βήμα από την φάση της συλλογής μέχρι την φάση της αποθήκευσης και διανομή τους. Τα δύο παραπάνω νομικά κείμενα ([EUC-81], [OEC-81]) άσκησαν τεράστια παγκόσμια επίδραση στην θέσπιση νόμων που σχετίζονται με προστασία δεδομένων. Τριάντα περίπου χώρες υπέγραψαν την Σύμβαση του Ευρωπαϊκού Συμβουλίου και πολλές άλλες σχεδιάζουν να το κάνουν στο εγγύς μέλλον. Οι οδηγίες του ΟΟΣΑ έχουν ευρέως χρησιμοποιηθεί σε εθνικές νομοθεσίες ακόμη και από χώρες που δεν ανήκουν σε αυτόν Κατηγοριοποίηση προσωπικών δεδομένων Από νομικής πλευράς, προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (αρ. 2 95/46/ΕΚ). Στις χώρες της Βόρειας Αμερικής χρησιμοποιείται ευρύτερα ο όρος Πληροφορίες Ταυτοποίησης Προσώπων (Personal Identifiable Information, PII). Σε όλους τους ορισμούς των προσωπικών δεδομένων χρησιμοποιείται ο όρος ταυτοποίηση. Σύμφωνα με το αρ. 2 της 95/46/ΕΚ, ένα φυσικό πρόσωπο μπορεί να τύχει είτε άμεσης είτε έμμεσης ταυτοποίησης. Η Οικονομικό Πανεπιστήμιο Αθηνών Σελ 30

31 άμεση ταυτοποίηση απαιτεί βασικές πληροφορίες που ανήκουν στο σύνολο των προσωπικών δεδομένων: ονοματεπώνυμο, διεύθυνση, βιομετρικά χαρακτηριστικά κ.λ.π. Η έμμεση ταυτοποίηση απαιτεί τον συσχετισμό διάφορων συμπληρωματικών στοιχείων του ατόμου που αφορά: ο αριθμός αυτοκινήτου είναι ένα παράδειγμα δεδομένου έμμεσης ταυτοποίησης διότι απαιτείται ο συνδυασμός του με την χρονική στιγμή ταυτοποίησης. Η Ευρωπαϊκή νομοθεσία έχει προχωρήσει και σε άλλη μια επιπλέον διαβάθμιση των προσωπικών δεδομένων, ως απόρροια της "αμυντικής" θεώρησης του δικαιώματος του πληροφοριακού προσδιορισμού του ατόμου (βλ ). Διαχωρίζει τα δεδομένα σε προσωπικά και ευαίσθητα. Ευαίσθητα είναι τα δεδομένα που σχετίζονται με την φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές και φιλοσοφικές πεποιθήσεις, την συνδικαλιστική δράση, την υγεία, την κοινωνική πρόνοια, την ερωτική ζωή και τις ποινικές διώξεις και καταδίκες ενός φυσικού προσώπου. Δεδομένα που δεν ανήκουν στις παραπάνω κατηγορίες και μπορούν να χρησιμοποιηθούν για την ταυτοποίηση προσώπων χαρακτηρίζονται απλά προσωπικά δεδομένα. Η διαβάθμιση των δεδομένων έγινε διότι θεωρήθηκε ότι οι κατηγορίες που ανήκουν στα ευαίσθητα, συγκροτούν τον σκληρό πυρήνα της ιδιωτικής σφαίρας και για το λόγο αυτό θα πρέπει να τυγχάνουν διακριτικής προστασίας σύμφωνα με το Ευρωπαϊκό νομικό πλαίσιο. Πράγματι, η 95/46/ΕΚ προβλέπει ειδικές διατάξεις για την προστασία των ευαίσθητων δεδομένων και επιβάλει ειδικές υποχρεώσεις προς τους υπεύθυνους επεξεργασίας που διατηρούν τέτοια. Τέλος, υπάρχουν και αυτά τα οποία δεν είναι προσωπικά και περιλαμβάνουν όλες εκείνες τις κατηγορίες των δεδομένων έμμεσης ταυτοποίησης, των οποίων η ποιότητα και ποσότητα είναι τέτοιες που επιτρέπουν την ταυτοποίηση ενός φυσικού προσώπου μόνο αν καταβληθεί δυσανάλογη (disproportionate) του σκοπού συλλογής τους προσπάθεια (αρ. 26, προοίμιο 95/46/ΕΚ) Οδηγίες της Ευρωπαϊκής Ένωσης Στα 1995 και 1997, η Ευρωπαϊκή Ένωση ενεργοποίησε δύο οδηγίες με σκοπό να ομογενοποιήσει το νομικό πλαίσιο σε όλη την επικράτειά της σχετικά με το επίπεδο προστασίας που παρέχει στους πολίτες της και την ελευθερία της διακίνησης προσωπικών πληροφοριών εντός των συνόρων της [ΕΚΣ-95], [ΕΚΣ-97]. Οι Οδηγίες εξασφαλίζουν ένα κατώτατο όριο στην προστασία της ιδιωτικότητας και προστατεύουν όχι μόνο τα ήδη κεκτημένα αλλά θέτουν και νέα δικαιώματα. Η Οδηγία του 1995 περί Προστασίας Προσωπικών Δεδομένων (Οδηγία 95/46/EC), για παράδειγμα, αναφέρεται όχι μόνο στα ηλεκτρονικά αλλά και στα χειρόγραφα αρχεία ενώ η Οδηγία του 1997 για τις Τηλεπικοινωνίες (Οδηγία 97/66/EC) υιοθετεί μια σειρά από μέτρα προστασίας που καλύπτουν τομείς όπως η τηλεφωνία, η ψηφιακή τηλεόραση, τα κινητά δίκτυα και άλλα τηλεπικοινωνιακά συστήματα. Πολλές αρχές και δικαιώματα της προστασίας δεδομένων εδραιώθηκαν με τις δύο Οδηγίες: το δικαίωμα στην γνώση των πηγών των πληροφοριών, το δικαίωμα της διόρθωσης των ανακριβών δεδομένων, το δικαίωμα της προσφυγής για περιπτώσεις παράνομης επεξεργασίας και το δικαίωμα της αναίρεσης της άδειας χρήσης των δεδομένων σε Οικονομικό Πανεπιστήμιο Αθηνών Σελ 31

32 ορισμένες περιπτώσεις. Η Οδηγία για την Προστασία Δεδομένων Προσωπικού χαρακτήρα περιέχει ενισχυμένα μέτρα προστασίας για την χρήση ευαίσθητων δεδομένων που σχετίζονται για παράδειγμα με την υγεία και τις ποινικές καταδίκες. Η εμπορική και κυβερνητική χρήση τέτοιου είδους δεδομένων απαιτεί την ρητή και ευκρινή συγκατάθεση του υποκειμένου των δεδομένων. Η αρχή-κλειδί του Ευρωπαϊκού μοντέλου είναι η εκτελεστότητα (enforceabiltiy). Σύμφωνα με την ΕΈ τα υποκείμενα έχουν δικαιώματα τα οποία προστατεύονται επακριβώς με συγκεκριμένους κανόνες και μπορούν να καταφύγουν σε κάποια Αρχή ή Επίτροπο που έχει το δικαίωμα να ενεργεί για λογαριασμό του. Σε κάθε Ευρωπαϊκό κράτος-μέλος υπάρχει ένας Επίτροπος ή μια Αρχή Προστασίας Δεδομένων που είναι υπεύθυνοι για την επίβλεψη των νόμων. Η Οδηγία υποχρεώνει τα κράτη-μέλη να εξασφαλίζουν για τους πολίτες τους ότι τα δεδομένα τους που εξάγονται και υφίστανται επεξεργασία σε χώρες εκτός ΕΈ θα απολαμβάνουν ανάλογο επίπεδο προστασίας με αυτό που προσφέρει το κράτος τους. Αυτό έχει σαν αποτέλεσμα την αυξανόμενη πίεση προς τις άλλες χώρες ώστε να υιοθετήσουν και αυτές νόμους περί προστασίας δεδομένων. Χώρες οι οποίες δεν ανταποκρίνονται σε αυτές τις επιταγές της ΕΕ αντιμετωπίζουν προβλήματα στην ροή πληροφοριών από την ΕΕ, ειδικά όταν οι τελευταίες περιέχουν ευαίσθητα δεδομένα. Η Οδηγία για τις τηλεπικοινωνίες θέτει ευρείας κλίμακας περιορισμούς και υποχρεώσεις στους κομιστές και παρόχους υπηρεσιών, με σκοπό την διασφάλιση της ιδιωτικότητας στις επικοινωνίες των πολιτών, συμπεριλαμβανόμενου και του Διαδικτύου. Η Οδηγία κάνει πρόβλεψη για περιοχές και σημεία τα οποία δεν καλύπτονται με τους υπάρχοντες νόμους περί προστασίας δεδομένων. Για παράδειγμα τα δεδομένα τιμολόγησης και τα στοιχεία διαφήμισης τυγχάνουν συγκεκριμένης μεταχείρισης. Οι τεχνολογίες που προσφέρουν αναγνώριση κλήσης πρέπει να προσφέρουν στον χρήστη την δυνατότητα απόκρυψης του αριθμού κατά περίπτωση. Τον Ιούλιο του 2000, η Ευρωπαϊκή Επιτροπή εξέδωσε πρόταση για νέα Οδηγία για "την επεξεργασία των προσωπικών δεδομένων και την προστασία της ιδιωτικότητας στον τομέα των ηλεκτρονικών επικοινωνιών" [ΕΚΣ-02]. Η Οδηγία αποτέλεσε μέρος ενός μεγαλύτερου πακέτου προτάσεων με σκοπό την αναζωογόνηση του ανταγωνισμού στις Ευρωπαϊκές ηλεκτρονικές αγορές. Η Οδηγία αυτή ψηφίστηκε τον Ιούλιο του 2002 και αντικατέστησε την υπάρχουσα Οδηγία για τις τηλεπικοινωνίες του Η φιλοσοφία της νέας Οδηγίας διαφέρει από την παλιά στο ότι επεκτείνει την προστασία των "τηλεπικοινωνιών" του πολίτη σε μια νέα τεχνολογικά, κατά το δυνατόν, ουδέτερη κατηγορία των "ηλεκτρονικών επικοινωνιών". Στα πλαίσια αυτά, γίνεται αντικατάσταση των όρων και ορισμών που αναφέρονται σε τηλεπικοινωνιακά δίκτυα και υπηρεσίες με νέους όρους που αναφέρονται σε "ηλεκτρονικά δίκτυα και υπηρεσίες". Επιπρόσθετα, η νέα Οδηγία εισάγει νέους ορισμούς και μέτρα προστασίας για τις "κλήσεις", τα "συστήματα επικοινωνιών", "δεδομένα κίνησης" και "δεδομένα εντοπισμού θέσης" με σκοπό να προασπίσει: το δικαίωμα του χρήστη στην Οικονομικό Πανεπιστήμιο Αθηνών Σελ 32

33 ιδιωτικότητα και τον έλεγχο σε όλα τα είδη επεξεργασίας των δεδομένων που τον αφορούν. Τα νέα άρθρα προβλέπουν, για παράδειγμα, την προστασία όλων των δεδομένων "κίνησης" που μεταδίδονται στο Διαδίκτυο, απαγορεύουν την αποστολή αυτόκλητων μηνυμάτων διαφήμισης (spam) μέσω ηλεκτρονικού ταχυδρομείου χωρίς την συγκατάθεση του υποκειμένου, και προστατεύουν τους χρήστες κινητών τηλεφώνων από τον εντοπισμό και παρακολούθηση της τοποθεσίας κλήσης. Επίσης, η νέα Οδηγία δίνει την δυνατότητα στους χρήστες των υπηρεσιών ηλεκτρονικών επικοινωνιών (GSM, ηλεκτρονικό ταχυδρομείο) να επιλέξουν αν τα στοιχεία τους θα αναφέρονται σε δημοσίους καταλόγους ή όχι. Κατ' αναλογία με την προηγούμενη Οδηγία, τα κράτη-μέλη μπορούν να άρουν τα μέτρα προστασίας σε περιπτώσεις προάσπισης του έννομου συμφέροντος και της δημόσιας ασφάλειας Επίβλεψη της προστασίας δεδομένων Η επίβλεψη της τήρησης των νόμων και η επιβολή κυρώσεων, σε περιπτώσεις παραβιάσεων, αποτελεί ουσιαστικό τμήμα κάθε πλαισίου προστασίας δεδομένων. Έτσι, σε κάθε χώρα που διαθέτει νόμους ή νομοθετικές πράξεις προστασίας δεδομένων ή ιδιωτικότητας υπάρχει ένας αξιωματούχος ή μια αντιπροσωπεία που επιβλέπουν την τήρηση τους. Η εξουσία των αντιπροσώπων ποικίλλει από χώρα σε χώρα. Σύμφωνα με το άρθρο 28, της Ευρωπαϊκής Οδηγίας 95/46 EC, κάθε χώρα μέλος πρέπει να διαθέτει ένα ανεξάρτητο σώμα επίβλεψης της εφαρμογής του νόμου περί προστασίας δεδομένων. Η παραπάνω οδηγία δίνει σημαντικές εξουσίες σε αυτά τα σώματα: παροχή συμβουλών για θέματα προστασίας δεδομένων διενέργεια ελέγχων σε όλους τους φορείς και πρόσβαση στις πληροφορίες που απαιτούνται για την διενέργεια των ελέγχων επιβολή κυρώσεων σε περιπτώσεις παραβιάσεων αποδοχή παραπόνων και σύνταξη αναφορών. Πολλές χώρες έχουν Επίτροπο που επιβλέπει την τήρηση του νόμου, μολονότι δεν έχουν ακόμη υιοθετήσει νόμους πλαίσια για την προστασία των προσωπικών δεδομένων. Μια σημαντική εξουσία που έχουν οι Επίτροποι, σε αυτές τις περιπτώσεις, είναι και αυτή της ενημέρωσης του κοινού σχετικά με τις προβληματικές περιοχές ακόμα και όταν δεν έχουν την εξουσία να διορθώσουν το πρόβλημα. Τέλος, σε χώρες όπου υιοθετείται το μοντέλο αυτορρύθμισης, η επίβλεψη στηρίζεται στον περιοδικό έλεγχο και την πιστοποίηση των υπευθύνων επεξεργασίας, που το επιθυμούν, από ανεξάρτητα σώματα ή εταιρίες με εμπειρία στην προστασία δεδομένων. Με δεδομένο ότι, η επίδειξη του πιστοποιητικού ελέγχου προς τα υποκείμενα αυξάνει την αίσθηση ασφαλείας τους, προς τους υπεύθυνους επεξεργασίας, παρατηρείται ολοένα αυξανόμενη ζήτηση από τους υπεύθυνους επεξεργασίας για πραγματοποίηση περιοδικών ελέγχων συμβατότητας με τις αρχές προστασίας δεδομένων. Η απουσία όμως αποτελεσματικών διαδικασιών επιβολής κυρώσεων και επανόρθωσης, σε Οικονομικό Πανεπιστήμιο Αθηνών Σελ 33

34 περιπτώσεις παραβάσεων, αποτελεί το σημαντικότερο μειονέκτημα των καθεστώτων αυτορρύθμισης και έχει αρνητικές επιπτώσεις στις σχέσεις εμπιστοσύνης μεταξύ των οντοτήτων ενός συστήματος προστασίας δεδομένων. Ανεξάρτητα της μορφής και της εξουσίας που διαθέτει, μια Αρχή Ελέγχου είναι μια οντότητα η οποία θέτει πρότυπα και διενεργεί ελέγχους συμβατότητας με το νομικό πλαίσιο προστασίας που υιοθετείται Γενικές αρχές και δικαιώματα στην προστασία δεδομένων Σε πολλές διακηρύξεις και νόμους συναντάμε διαφορετικές διατυπώσεις σχετικά με την προστασία δεδομένων. Σε όλες όμως γίνεται λόγος για: 1. Υποκείμενο επεξεργασίας: το φυσικό πρόσωπο το οποίο αφορά η προσωπική πληροφορία. 2. Υπεύθυνο επεξεργασίας: η οντότητα που με οποιονδήποτε τρόπο συλλέγει και επεξεργάζεται προσωπικές πληροφορίες από τα υποκείμενα. 3. Εκτελών την επεξεργασία: η οντότητα που με οποιονδήποτε τρόπο συλλέγει και επεξεργάζεται προσωπικές πληροφορίες για λογαριασμό του υπευθύνου επεξεργασίας. 4. Αρχή Ελέγχου: η οντότητα που είναι εξουσιοδοτημένη από τις αρχές μια κοινότητας να εποπτεύει την τήρηση των νόμων και να διενεργεί ελέγχους συμβατότητας, των μελών της κοινότητας, με το κανονιστικό-νομικό πλαίσιο προστασίας δεδομένων που υιοθετείται. Επιπλέον, σε όλα τα νομικά κείμενα γίνεται λόγος για τα παρακάτω χαρακτηριστικά των προσωπικών πληροφοριών ώστε να θεωρείται ότι προστατεύονται επαρκώς: συλλέγεται με δίκαιο και νόμιμο τρόπο (αρχή της νομιμότητας και τιμιότητας). χρησιμοποιείται μόνο για τον σκοπό που αρχικά έχει ορισθεί (αρχή του σκοπού). είναι επαρκής, σχετική και όχι υπερβάλλουσα του σκοπού για τον οποίο συλλέγεται (αρχή της αναλογικότητας) είναι ακριβής και επίκαιρη (αρχή της ακρίβειας) είναι προσβάσιμη από το υποκείμενο (δικαίωμα πρόσβασης) είναι ασφαλής (αρχή της ασφάλειας) καταστρέφεται μετά την ολοκλήρωση του σκοπού για τον οποίο συλλέχθηκε. Αυτό το χαρακτηριστικό αναφέρεται στον χρόνο τήρησης του αρχείου προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας και μερικοί ερευνητές την ονομάζουν αρχή της ανωνυμίας [SIO-02]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 34

35 Οι παραπάνω βασικές αρχές-δικαιώματα (data protection principles) αναφέρονται στις ιδιότητες των προσωπικών πληροφοριών που πρέπει να διατηρούνται από τους υπεύθυνους επεξεργασίας. Τα μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας για την υποστήριξη αυτών των αρχών-δικαιωμάτων διατυπώνονται σε ένα κείμενο που ονομάζεται πολιτική προστασίας δεδομένων (data protection policy). Υπάρχει μια ακόμη αρχή η οποία αναφέρεται στην υπευθυνότητα (accountability, responsibility) των υπευθύνων επεξεργασίας να τηρούν τις παραπάνω αρχές. Η αρχή αυτή προϋποθέτει την ύπαρξη μιας Αρχής Ελέγχου, ανεξάρτητα των εξουσιών της, η οποία επιβλέπει την τήρηση των παραπάνω αρχών-δικαιωμάτων από τους υπεύθυνους επεξεργασίας. Για το λόγο αυτό, η αρχή που αναφέρεται στην υπευθυνότητα των υπευθύνων επεξεργασίας θα ονομάζεται αρχή επίβλεψης Διασυνοριακή ροή δεδομένων Λαμβάνοντας υπ' όψη την ευκολία διακίνησης ηλεκτρονικών δεδομένων σε παγκόσμιο επίπεδο, οι νόμοι προστασίας δεδομένων μιας χώρας μπορούν πολύ εύκολα να καταστρατηγηθούν με την μεταβίβαση των πληροφοριών σε τρίτες χώρες όπου δεν υφίσταται νομικό καθεστώς προστασίας. Στην συνέχεια, οι πληροφορίες αυτές μπορούν να τύχουν χωρίς περιορισμούς επεξεργασίας στις χώρες αυτές που συχνά αποκαλούνται "λιμένες δεδομένων" (data havens). Για το λόγο αυτό, οι περισσότεροι νόμοι προστασίας δεδομένων περιλαμβάνουν περιορισμούς που σχετίζονται με την μεταφορά τους σε τρίτες χώρες. Οι περιορισμοί αυτοί καταργούνται μόνο αν η χώρα στην οποία προορίζονται τα δεδομένα διαθέτει νόμους περί προστασίας δεδομένων. Για παράδειγμα, το άρθρο 25 της Ευρωπαϊκής Οδηγίας υποχρεώνει κάθε κράτος μέλος, πριν την έναρξη της μεταφοράς δεδομένων, να διασφαλίζει ότι κάθε πληροφορία που αφορά Ευρωπαίους πολίτες προστατεύεται από νόμους στις χώρες προορισμού. Η απόφαση σχετικά με το επίπεδο προστασίας που προσφέρει μια χώρα προορισμού γίνεται από την Ευρωπαϊκή Επιτροπή. Η αρχή βάση της οποίας λαμβάνεται αυτή η απόφαση είναι ότι η χώρα προορισμού θα πρέπει να παρέχει "επαρκές" αν όχι "ισοδύναμο" με την ΕΕ επίπεδο προστασίας. Στις 26 Ιουλίου 2000, η Ευρωπαϊκή Επιτροπή αποφάσισε ότι η Ελβετία και η Ουγγαρία παρέχουν επαρκές επίπεδο προστασίας και κατά συνέπεια συνεχίζεται η απρόσκοπτη ροή δεδομένων προς αυτές τις χώρες. Η Νέα Ζηλανδία, η Αυστραλία, ο Καναδάς και η Ιαπωνία είναι μερικές από τις χώρες για τις οποίες η Ευρωπαϊκή Επιτροπή δεν έχει ακόμη λάβει θέση σχετικά με το επίπεδο προστασίας που παρέχουν [EUC-00] Αρχές 'Ασφαλούς Λιμένα' Το νομικό πλαίσιο προστασίας δεδομένων στις ΗΠΑ στηρίζεται στους τομεακούς νόμους και την αυτορρύθμιση. Παρά το γεγονός ότι η ΕΕ δεν έχει λάβει καμία επίσημη θέση σχετικά με την επάρκεια του επίπεδου προστασίας που παρέχουν οι ΗΠΑ, θεωρείται μάλλον Οικονομικό Πανεπιστήμιο Αθηνών Σελ 35

36 δύσκολο, υπό τις παρούσες συνθήκες, οι τελευταίες να ικανοποιήσουν τις απαιτήσεις που θέτει η ΕΕ. Η ΕΕ προσέλαβε δύο επιφανείς Αμερικάνους δικηγόρους, οι οποίο συνέταξαν λεπτομερή αναφορά σχετικά με την κατάσταση της προστασίας ιδιωτικότητας στις ΗΠΑ και ανέδειξαν πολλά κενά στο νομικό πλαίσιο προστασίας των ΗΠΑ [SCH-96]. Οι ΗΠΑ άσκησαν μεγάλη πίεση στην ΕΕ, και τα κράτη μέλη, ώστε να αποδεχθούν ως επαρκές το σύστημα προστασίας τους. Στα 1998, οι ΗΠΑ ξεκίνησαν την διαπραγμάτευση μιας συμφωνίας «Ασφαλούς Λιμένα» (Safe Harbor), ώστε να διασφαλισθεί η απρόσκοπτη ροή προσωπικών δεδομένων από την ΕΕ. Η βασική ιδέα της συμφωνίας είναι ότι οργανισμοί και εταιρείες των ΗΠΑ εθελοντικά θα αυτο-πιστοποιούν την προσήλωσή τους σε μια σειρά από αρχές ιδιωτικότητας οι οποίες θα καθορίζονται από το Τμήμα Εμπορίου των ΗΠΑ και την Διεύθυνση Εσωτερικής Αγοράς της ΕΕ. Οργανισμοί οι οποίοι έχουν εμπράκτως αποδεχθεί την συμφωνία του Ασφαλούς Λιμένα θεωρούνται εκ των προτέρων ότι ικανοποιούν το κριτήριο της επάρκειας που θέτει η ΕΕ και κατά συνέπεια μπορούν να λαμβάνουν προσωπικά δεδομένα από αυτήν. Στις 26 Ιουλίου 2000, η ΕΕ ενέκρινε την συμφωνία. Παραταύτα, η ΕΕ διατήρησε το δικαίωμα να επαναδιαπραγματευθεί την συμφωνία σε περίπτωση που αποδειχθεί ότι δεν είναι επαρκής η προστασία που προσφέρεται στους Ευρωπαίους πολίτες. Οι υπερασπιστές της ιδιωτικότητας και οι ενώσεις καταναλωτών επέκριναν την απόφαση της ΕΕ να εγκρίνει την συμφωνία του Ασφαλούς Λιμένα διότι φοβούνται ότι θα αποτύχει να προστατέψει την ιδιωτικότητα των Ευρωπαίων πολιτών [USC-00]. Κύρια πηγή προβληματισμού τους αποτελεί το γεγονός ότι η συμφωνία στηρίζεται σε ένα σύστημα αυτορρύθμισης μέσω του οποίου οι εταιρείες δεσμεύονται μόνο να μην παραβιάζουν τις δεδηλωμένες πολιτικές προστασίας δεδομένων που έχουν υιοθετήσει. Επίσης, δεν υπάρχει μηχανισμός συστηματικής επίβλεψης τήρησης των όρων της συμφωνίας και δεν προβλέπεται μηχανισμός αποζημίωσης σε περιπτώσεις παραβίασης της συμφωνίας. Τέλος, η συμφωνία εφαρμόζεται σε εταιρείες που επιβλέπονται από την Ομοσπονδιακή Επιτροπή Εμπορίου και το Τμήμα Μεταφορών ενώ υπάρχουν ειδικές εξαιρέσεις για δημόσια αρχεία τα οποία προστατεύονται από την Ευρωπαϊκή νομοθεσία. Σε αυτό το σημείο, ολοκληρώθηκε η σύντομη ανασκόπηση του κανονιστικού πλαισίου προστασίας δεδομένων. Η συγκρότηση του εννοιολογικού μοντέλου προστασίας δεδομένων (Σχήμα 8) απαιτεί την εξέταση και των τεχνολογιών που δύναται να χρησιμοποιηθούν για την εφαρμογή των παραπάνω στο Διαδίκτυο. Για το λόγο αυτό, στο υπόλοιπο του κεφαλαίου, παρουσιάζονται δύο τεχνολογίες που συνεισφέρουν τα μέγιστα στην διαδικτυακή τεχνολογική Υποδομή Προστασίας Δεδομένων: οι Τεχνολογίες Ασφάλειας Πληροφοριών και Επικοινωνιών (ΤΑΠΕ) και οι Τεχνολογίες Προάσπισης Ιδιωτικότητας (ΤΠΙ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 36

37 2.2 Η ανάγκη για Τεχνολογίες Ασφάλειας Πληροφοριών και Επικοινωνιών Η έννοια της ασφάλειας Τα πέντε συστατικά στοιχεία ενός Πληροφοριακού Συστήματος (ΠΣ) είναι το υλικό, το λογισμικό, οι διαδικασίες, οι άνθρωποι και τα δεδομένα [ΚΙΟ-95]. Ο όρος ασφάλεια ΠΣ (information systems security) δίνει έμφαση στην προστασία τόσο αυτών των συστατικών στοιχείων όσο και του ίδιου του ΠΣ στην ολότητά του. Αρκετά συχνά απαντάται ο όρος ασφάλεια στις ΤΠΕ. Όπως είναι φανερό, ο όρος αυτός δίνει έμφαση στους τεχνικούς παράγοντες που σχετίζονται με την ασφάλεια. Όπως ορίζεται στο [ΚΙΟ-95] η Ασφάλεια Πληροφοριακού Συστήματος είναι το οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία του Πληροφοριακού Συστήματος, αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή. Ο ορισμός αυτός δίνει έμφαση όχι μόνο στο ΠΣ ως ολότητα αλλά και στα επιμέρους στοιχεία του, ενώ η αναφερόμενη προφύλαξη αφορά κάθε είδους απειλή (τυχαία ή σκόπιμη). Η ασφάλεια του ΠΣ συνδέεται άμεσα τόσο με τις τεχνικές, τις διαδικασίες και τα διοικητικά μέτρα όσο και με ηθικοκοινωνικές αντιλήψεις, αρχές και παραδοχές. Είναι βέβαια προφανές ότι η προφύλαξη δεν πρέπει να παρεμποδίζει την απρόσκοπτη λειτουργία του συστήματος και την ελεύθερη διακίνηση των πληροφοριών, έτσι ώστε να μην θέτονται αδικαιολόγητοι φραγμοί στην ανάπτυξη της τεχνολογίας της πληροφορίας. Η ασφάλεια πληροφοριών αναφέρεται αποκλειστικά στην προστασία των πληροφοριών και είναι στενότερη έννοια από αυτή της ασφάλειας ΠΣ, αφού η πληροφορία εμπεριέχεται σε ένα ΠΣ. Βέβαια η ασφάλεια πληροφοριών δεν μπορεί να αγνοήσει το ΠΣ, στα πλαίσια του οποίου παράγεται και χρησιμοποιείται η πληροφορία. Αντίθετα, κάθε αναλυτική εργασία, η οποία αποσκοπεί στην ανάπτυξη και διαχείριση της ασφάλειας των πληροφοριών, πρέπει να στηρίζεται στην κατανόηση των σχετικών ΠΣ. Συνεπώς, όταν αναφερόμαστε στην ασφάλεια ενός ΠΣ, η προστασία όλων των συστατικών στοιχείων που μετέχουν σε αυτό έχει ιδιαίτερη σημασία, ενώ όταν αναφερόμαστε στην ασφάλεια πληροφοριών, η ασφάλεια του υλικού μας ενδιαφέρει μόνο στο βαθμό που σχετίζεται με την προστασία των πληροφοριών Ιδιότητες της ασφάλειας Η ασφάλεια των πληροφοριών αναφέρεται στην προστασία της πληροφορίας στην ολότητά της και των σχετικών με την ασφάλεια ιδιοτήτων. Ως θεμελιώδεις ιδιότητες ασφάλειας θεωρούνται η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα, οι οποίες ορίζονται ως εξής [ΓΚΡ-94], [ISO-17799]: Ακεραιότητα πληροφοριών (integrity): είναι η ιδιότητα των δεδομένων να υφίστανται σε προκαθορισμένο φυσικό μέσο ή χώρο και να είναι ακριβή. Δηλαδή η μη-εξουσιοδοτημένη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 37

38 τροποποίηση της πληροφορίας πρέπει να αποτρέπεται, ενώ κάθε αλλαγή του περιεχομένου των δεδομένων να είναι αποτέλεσμα εξουσιοδοτημένης και ελεγχόμενης ενέργειας. Εμπιστευτικότητα πληροφοριών (confidentiality): η ιδιότητα των δεδομένων να καθίστανται αναγνώσιμα μόνο από εξουσιοδοτημένα λογικά υποκείμενα, όπως φυσικές οντότητες και διεργασίες λογισμικού. Διαθεσιμότητα πληροφοριών (availability): η αποτροπή της προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας σε κάθε εξουσιοδοτημένο λογικό υποκείμενο του συστήματος. Σε αρκετές ερευνητικές εργασίες υποστηρίζεται πως οι παραπάνω τρεις ιδιότητες δεν επαρκούν, για να οριστεί η ασφάλεια πληροφοριών. Πρόσθετες ιδιότητες που συναντώνται είναι η αυθεντικότητα (authenticity) [PAR-95], δηλαδή η απόδειξη της προέλευσης και του ιδιοκτήτη της πληροφορίας, η ιδιότητα της εγκυρότητας (validity) [ΓΚΡ-96], δηλαδή ότι η πληροφορία αντιπροσωπεύει την πραγματικότητα και είναι επίκαιρη, ενώ σε άλλες πηγές [BOL-95] αναφέρονται η μοναδικότητα (uniqueness), δηλαδή η αδυναμία αντιγραφής και αναπαραγωγής της πληροφορίας χωρίς εξουσιοδότηση και η μη αποποίηση (non-repudiation) δηλαδή η αδυναμία άρνησης των ενεργειών που έχουν εκτελεστεί για την τροποποίηση, την αποστολή ή τη λήψη μίας πληροφορίας. Η ύπαρξη διαφορετικών θεωρήσεων για τις ιδιότητες της ασφάλειας δεν πρέπει να θεωρηθεί παράδοξο, καθώς στον επιστημονικό τομέα της πληροφορικής, η ασφάλεια έχει μεταφερθεί ως μία αφηρημένη έννοια, η οποία επιδέχεται ποικίλες ερμηνείες. Επίσης η έννοια της ασφάλειας στο κοινωνικό σύνολο, αντιστοιχεί ουσιαστικά σε ένα ανθρώπινο συναίσθημα. Έτσι ο όρος ασφάλεια αναφέρεται σε διάφορες ιδιότητες της πληροφορίας, ανάλογα με την οπτική του ερευνητή και το ΠΣ στο οποίο αναφέρεται. Συνεπώς, σε κάθε ειδική περίπτωση που μελετάμε πρέπει να ορίζουμε με σαφήνεια τις συγκεκριμένες ιδιότητες της πληροφορίας που καλούμαστε να προστατέψουμε [ΚOK-00]. Οι παραπάνω ιδιότητες της ασφάλειας των πληροφοριών δεν μετρώνται σε απόλυτα μεγέθη αλλά είναι συγκρίσιμες και έτσι υπεισέρχεται σε ένα βαθμό η σχετικότητα. Παρά τη σαφήνεια και απλότητα των ορισμών που δίδονται για τις τρεις βασικές ιδιότητες, στην πράξη δεν είναι πάντοτε εύκολο να προσδιορίσουμε πότε μία από αυτές έχει παραβιαστεί [ΓΚΡ-94]. Για παράδειγμα, η άρνηση διάθεσης της πληροφορίας (παραβίαση της διαθεσιμότητας) μπορεί να εκτιμηθεί με άλλο τρόπο σε διαφορετικές περιπτώσεις, αφού ο χρόνος αναμονής που θεωρείται ανεκτός διαφέρει από εφαρμογή σε εφαρμογή. Έτσι, μία καθυστέρηση ενός λεπτού στην παροχή μίας κρίσιμης ιατρικής πληροφορίας μπορεί να θεωρηθεί ως έλλειψη διαθεσιμότητας, ενώ ο ίδιος χρόνος στην αναζήτηση της καρτέλας φορολογουμένου σε μία δημόσια οικονομική υπηρεσία να θεωρηθεί αποδεκτός και αναμενόμενος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 38

39 2.2.3 Παράγοντες απαίτησης ασφάλειας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Όπως είναι ευνόητο, οι απαιτούμενες ιδιότητες που πρέπει να έχουν τα δεδομένα ενός ΠΣ ώστε να θεωρηθούν ασφαλή, δεν είναι σταθερές, αλλά εξαρτώνται κυρίως από τη δυναμικότητά του όσο και του περιβάλλοντός του. Αναλυτικότερα, το επίπεδο ασφάλειας που απαιτείται για να προστατευθεί ένα ΠΣ εξαρτάται από δύο παράγοντες: (1) τη φύση των διαχειριζόμενων δεδομένων και (2) το συγκεκριμένο χωρο-χρονικό πλαίσιο. Τα διαχειριζόμενα δεδομένα μπορεί να χαρακτηριστούν κάτω από συγκεκριμένες συνθήκες ως άξια, ή μη, προστασίας. Τα δεδομένα που χρήζουν προστασίας από δυνητικές απειλές αποκαλούνται ευπαθή. Για παράδειγμα, τα δεδομένα που αφορούν στον σχεδιασμό πωλήσεων μίας επιχείρησης ή ενός στρατιωτικού σχεδίου άμυνας χρήζουν προστασίας. Επιπρόσθετης προστασίας χρίζουν τα ευαίσθητα προσωπικά δεδομένα (βλ ). Η απαίτηση για ασφάλεια ορισμένων δεδομένων ενδέχεται να μην ισχύει για όλα τα κοινωνικά περιβάλλοντα. Η ίδια κατηγορία δεδομένων είναι πιθανό να χρήζει προστασίας σε ένα συγκεκριμένο περιβάλλον ενώ σε ένα άλλο να μην θεωρείται ευπαθές δεδομένο. Παράδειγμα είναι η καταγραφή των χρηματικών συναλλαγών σε ένα εμπορικό κατάστημα ως μη ευπαθές δεδομένο από τη μία πλευρά και η καταγραφή των χρηματικών συναλλαγών σε μία τράπεζα από την άλλη, όπου απαιτείται υψηλό επίπεδο ασφάλειας. Τέλος, είναι πιθανό σε κάποιο περιβάλλον να έχει παγιωθεί ή να έχει γίνει ευρέως αποδεκτή η άποψη ότι κάποιο από τα παραπάνω δεδομένα δεν είναι ευαίσθητο και συνεπώς δεν απαιτείται η προστασία του. Η σύγχρονη ιστορία μας δίνει τέτοια παραδείγματα δεδομένων, όπως η υπηκοότητα και οι καταναλωτικές συνήθειες. 2.3 Η έννοια της απειλής Σύμφωνα με τον ορισμό της ασφάλειας που δόθηκε στην παράγραφο 2.2, η ασφάλεια έχει σκοπό την προστασία ενός ΠΣ από κάθε σκόπιμη ή τυχαία απειλή. Με τον όρο απειλή εννοείται μια πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσότερων χαρακτηριστικών της ασφάλειας του ΠΣ [ΓΚΡ-96]. Οι απειλές διακρίνονται σε δύο κατηγορίες: σκόπιμες είναι οι απειλές που προϋποθέτουν κακή πρόθεση ενώ τυχαίες είναι εκείνες που προκύπτουν από ενέργειες που δεν προϋποθέτουν κακή πρόθεση. Σκόπιμες ή όχι, οι απειλές εκμεταλλεύονται αδυναμίες ενός συστήματος για προκαλέσουν ζημιά στα αγαθά του. Με τον όρο ζημιά νοείται η ολική ή μερική απώλεια μιας ή περισσοτέρων από τις ιδιότητες των αγαθών που χρίζουν προστασίας. Με τον όρο αδυναμία νοείται ένα σημείο του ΠΣ που μπορεί να επιτρέψει την πρόκληση ζημιάς σε ένα η περισσότερα αγαθά του. Οι σχέσεις μεταξύ απειλών, αδυναμιών και αγαθών συνοψίζονται στο Σχήμα 2. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 39

40 Σχήμα 2: Οι σχέσεις μεταξύ απειλών, αδυναμιών και αγαθών Η εκτίμηση των απειλών εναντίον της ασφάλειας ενός συστήματος είναι πολύ σημαντική διότι αποτελεί το πρώτο βήμα που πρέπει να κάνει ένας οργανισμός που θέλει να δημιουργήσει ένα συνολικό πλάνο προστασίας της ασφάλειας της πληροφοριακής υποδομής του. Η επιστημονική μεθοδολογία που χρησιμοποιείται για την δημιουργία αυτού του πλάνου ονομάζεται ανάλυση επικινδυνότητας. Η ανάλυση επικινδυνότητας είναι μια οργανοτεχνική μελέτη η οποία μελετά τις απειλές, τις ευπάθειες και τα αγαθά ενός οργανισμού και προτείνει τα μέτρα ασφάλειας που πρέπει να ληφθούν για την αντιμετώπιση των προσδιορισμένων απειλών. Υπάρχουν διάφορες μεθοδολογίες για την εκπόνηση μιας μελέτης ανάλυσης επικινδυνότητας [BS7-99]. Η εκτίμηση των απειλών, είναι το σημείο έναρξης για κάθε μεθοδολογία ανάλυσης επικινδυνότητας. Κατ' αναλογία, στο σημείο αυτό παρουσιάζονται οι απειλές κατά της ασφάλειας του Διαδικτύου, ως φορέα της τεχνολογικής διαδικτυακής ΥΠΔ. Οι απειλές κατά της ασφάλειας πληροφοριών χωρίζονται σε δύο μεγάλες κατηγορίες: (α) απειλές κατά την αποθήκευση και (β) απειλές κατά την μετάδοσή τους Απειλές κατά την αποθήκευση Στην κατηγορία αυτή ανήκουν όλες οι απειλές που μπορούν να προσβάλλουν τις πληροφορίες που διατηρεί ένας χρήστης του Διαδικτύου στον προσωπικό υπολογιστή του [DΕΝ-97]: μη εξουσιοδοτημένη μεταβολή (tampering, data diddling) δεδομένων ή λογισμικού που βρίσκονται αποθηκευμένα σε έναν υπολογιστή. μη εξουσιοδοτημένη πρόσβαση στα δεδομένα ενός χρήστη. Η απειλή αυτή μοιάζει με την προηγούμενη αλλά δεν περιλαμβάνει μεταβολή των δεδομένων. υπερφόρτωση (jamming) των πόρων του συστήματος. Ο επίβουλος εισβολέας μπορεί να υπερφορτώσει τους πόρους ενός συστήματος (την μνήμη, τον επεξεργαστή, το σκληρό δίσκο κ.λ.π) και να ελαχιστοποιήσει την διαθεσιμότητα του συστήματος προς τους εξουσιοδοτημένους χρήστες. το ιομορφικό λογισμικό είναι το λογικό αντικείμενο το οποίο όταν ενεργοποιείται προκαλεί την άμεση ή έμμεση εκτέλεση διαδικασιών οι οποίες δεν είναι γνωστές στο λογικό υποκείμενο, που προκαλεί την ενεργοποίησή του, ούτε στον διαχειριστή του συστήματος [ΓΚΡ-94]. τα λάθη στο σχεδιασμό, την υλοποίηση και την διαχείριση του υλικού/λογισμικού είναι βασικό χαρακτηριστικό όλων των ΠΣ. Η εκμετάλλευσή τους μπορεί να οδηγήσει στην απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ένα σύστημα. 'σπάσιμο' κωδικών, συνθηματικών και κλειδιών κρυπτογράφησης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 40

41 2.3.2 Απειλές κατά την μετάδοση Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Στην κατηγορία αυτή ανήκουν όλες οι απειλές που μπορούν να προσβάλλουν την ασφάλεια των πληροφοριών που μεταδίδονται σε ένα ηλεκτρονικό επικοινωνιακό δίκτυο [VIV-98]. υποκλοπή δικτυακής κίνησης (eavesdropping, packet sniffing) είναι η μη εξουσιοδοτημένη υποκλοπή των μηνυμάτων που ανταλλάσσουν δύο ή περισσότερα επικοινωνούντα μέρη. Οι ωτακουστές (eavesdroppers) δεν μεταβάλλουν τα περιεχόμενα των μηνυμάτων. πλαστοπροσωπία (spoofing, masquerading, impersonation) ενός εξουσιοδοτημένου χρήστη. Στην απειλή αυτή ο επίδοξος εισβολέας καταφέρνει να ξεγελάσει ένα σύστημα υποκλέπτοντας τα στοιχεία ταυτοποίησης ενός εξουσιοδοτημένου χρήστη. Να σημειωθεί ότι η υπερφόρτωση μπορεί να υπάρξει και για τους πόρους ενός δικτύου. Η ευρύτερα χρησιμοποιούμενη επίθεση αυτού του είδους είναι η άρνηση υπηρεσίας (denial of service). Περιστατικά εκδήλωσης τέτοιων απειλών υπήρξαν το 'σκουλήκι' του Διαδικτύου ([ΚΑΒ-94]) και η υπερφόρτωση ενός συστήματος με την αποστολή ειδικά διαρθρωμένων μηνυμάτων μέσω της εντολής ping (ping of death) [CER-96]. 2.4 Αντιμετώπιση απειλών Υπάρχουν τεχνικές με τις οποίες δίνεται η δυνατότητα στον χρήστη του Διαδικτύου να αντιμετωπίσει τις προαναφερθείσες απειλές κατά της ασφάλειας. Στην συνέχεια περιγράφονται οι σημαντικότεροι από αυτούς τους μηχανισμούς. Κρυπτογραφία Η μέθοδος που χρησιμοποιείται για την μετατροπή ενός αρχείου σε μορφή τέτοια ώστε να μην είναι κατανοητό το περιεχόμενό του, από μη εξουσιοδοτημένα άτομα ή οντότητες, ονομάζεται κρυπτογράφηση (encryption). Η αντίστροφη διαδικασία, δηλαδή η μετατροπή του κρυπτογραφημένου κειμένου (ciphertext) στο αρχικό κείμενο (plaintext, cleartext) ονομάζεται αποκρυπτογράφηση (decryption). Η κρυπτογραφία χρησιμοποιεί μαθηματικές συναρτήσεις για την κρυπτογράφηση και την αποκρυπτογράφηση δεδομένων δίνοντας την δυνατότητα αποθήκευσης ευαίσθητων πληροφοριών ή μετάδοσής τους μέσω μη ασφαλών δικτύων (για παράδειγμα το Διαδίκτυο). H κρυπτανάλυση έχει αντίθετα κίνητρα από την κρυπτογραφία. Προσπαθεί να παρακάμψει την ασφαλή επικοινωνία, έχοντας σαν σκοπό την αποκρυπτογράφηση του περιεχομένου από μη εξουσιοδοτημένες οντότητες. Η κρυπτολογία περιλαμβάνει τόσο την κρυπτογραφία, όσο και την κρυπτανάλυση. Η κρυπτογραφία μπορεί να είναι ισχυρή ή αδύναμη. Κριτήριο για το χαρακτηρισμό αυτό αποτελεί ο χρόνος και οι πόροι οι οποίοι απαιτούνται για την κρυπτανάλυση ενός κρυπτογραφημένου κειμένου. Στην ισχυρή κρυπτογραφία δημιουργείται ένα Οικονομικό Πανεπιστήμιο Αθηνών Σελ 41

42 κρυπτογραφημένο κείμενο που απαιτεί μεγάλη υπολογιστική ισχύ και ανάλωση χρόνου, για να αποκρυπτογραφηθεί. Η ραγδαία εξέλιξη της τεχνολογίας μπορεί μελλοντικά να υποβιβάσει σε αδύναμη την σημερινή ισχυρή κρυπτογραφία. Ένας κρυπτογραφικός αλγόριθμος (cipher) είναι μια μαθηματική συνάρτηση, η οποία χρησιμοποιείται κατά την διαδικασία της κρυπτογράφησης και της αποκρυπτογράφησης και σε συνδυασμό με μια αλφαριθμητική ακολουθία που λέγεται κλειδί (key), κρυπτογραφεί ένα αρχείο. Κρυπτογραφώντας ένα κείμενο με διαφορετικά κλειδιά, προκύπτουν διαφορετικά κρυπτογραφημένα κείμενα. Η ασφάλεια των κρυπτογραφημένων δεδομένων εξαρτάται από την ισχύ του αλγόριθμου και τη μυστικότητα του κλειδιού. Ο κρυπτογραφικός αλγόριθμος, όλα τα δυνατά κλειδιά και τα πρωτόκολλα που χρησιμοποιούνται, αποτελούν ένα κρυπτοσύστημα. Τα κρυπτοσυστήματα μπορούν να διακριθούν σε δύο κατηγορίες, ιδιωτικού κλειδιού ή συμβατικά ή συμμετρικά και δημοσίου κλειδιού ή ασύμμετρα. Τα σύγχρονα κρυπτοσυστήματα μπορούν να λάβουν την μορφή κρυπτοβιβλιοθηκών οι οποίες χρησιμοποιούνται για την ενσωμάτωση (built-in) μηχανισμών προάσπισης ιδιωτικότητας σε ένα ΠΣ. Ο κατασκευαστής πρέπει να λάβει υπ' όψη του διάφορα κριτήρια για να αποφασίσει την καταλληλότητα ενός προϊόντος για το σύστημά του [MOU-00]: ευκολία χρήσης της γλώσσας διεπαφής (Application Programming Interface, API) της κρυπτοβιβλιοθήκης. Κύρια χαρακτηριστικά της γλώσσας διεπαφής πρέπει να είναι: (α) η ιεραρχική δομή και (β) ο περιορισμένος αριθμός παραμέτρων που χρησιμοποιεί. η υλοποίηση με βάση τις αρχές του αντικειμενοστραφούς προγραμματισμού βοηθά στην επαναχρησιμοποίηση μονάδων λογισμικού και τον έλεγχο ορθότητας της κρυπτοβιβλιοθήκης. η υποστήριξη υπηρεσιών ΥΔΚ (PKI) θεωρείται συνθήκη sine qua non για μια κρυπτοβιβλιοθήκη που χρησιμοποιείται για την δημιουργία εφαρμογών Διαδικτύου. επαρκής τεκμηρίωση των μονάδων λογισμικού. κρυπτογραφικοί αλγόριθμοι που υποστηρίζονται. πρόβλεψη για την υποστήριξη κρυπτογραφικών τεκμηρίων (π.χ. έξυπνες κάρτες). υποστήριξη προτύπων ασφάλειας. δυνατότητα λειτουργίας σε διαφορετικές τεχνολογικές πλατφόρμες (π.χ. UNIX, MsWindows) η χρήση κρυπτογραφικών αλγορίθμων που προστατεύονται από πατέντες ή υπόκεινται σε έλεγχο εξαγωγών (export control) λειτουργούν ανασταλτικά για την χρήση μιας κρυπτοβιβλιοθήκης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 42

43 η παροχή του πηγαίου κώδικα της κρυπτοβιβλιοθήκης διευκολύνει τον έλεγχο ορθότητάς της και αυξάνει την εμπιστοσύνη του σχεδιαστή της εφαρμογής. το κόστος αγοράς πρέπει να είναι μικρό. Ο Πίνακας 3 παρέχει την απεικόνιση των παραπάνω κριτηρίων με τις ευρύτερα χρησιμοποιούμενες κρυπτοβιβλιοθήκες [MOU-00]. Κριτήρια CDSA GSS-API Crypto SESAME RSA Bsafe, RSA Baltimore SSLeay Cryptlib API Bcert Jsafe PKI Plus Αντικειμενοστρέφεια Ναι Όχι Ναι Όχι Όχι Ναι Ναι Όχι Ευκολία χρήσης Μέτρια Όχι Μέτρια Όχι Ναι Όχι Ναι Υπηρεσίες ΥΔΚ Ναι Όχι Ναι Ναι Ναι Όχι Ναι Ναι Ναι * Τεκμηρίωση Καλή Καλή Καλή Καλή Σπάνια Σπάνια Καλή Σπάνια Καλή Κρυπτογραφικοί Αλγόριθμοι Ναι Ναι* Ναι Ναι Ναι Ναι Ναι Κρυπτογραφικά τεκμήρια Όχι Ναι Όχι Ναι Ναι Ναι Όχι Ναι Πρότυπα Ναι Ναι Ναι Ναι Ναι Ναι Ναι Ναι Πολλαπλές τεχνολογικές Όχι Όχι Ναι Ναι Ναι Όχι Ναι Ναι πλατφόρμες Πατέντες Έλεγχος Εξαγωγών Ναι Ναι Όχι Όχι Πηγαίος Κώδικας Όχι Όχι Όχι Όχι Όχι Ναι Όχι Κόστος Δωρεάν Δωρεάν Πίνακας 3: Κριτήρια επιλογής κρυπτοβιβλιοθηκών Συμμετρική Κρυπτογραφία Στην συμβατική κρυπτογραφία, η οποία επίσης ονομάζεται κρυπτογραφία μυστικού κλειδιού ή συμμετρικού κλειδιού (secret-key ή private-key ή symmetric-key), χρησιμοποιείται ένα κλειδί τόσο για την κρυπτογράφηση, όσο και για την αποκρυπτογράφηση. Το γεγονός αυτό την καθιστά ακατάλληλη για χρήση στο Διαδίκτυο εξαιτίας του γεγονότος ότι δεν υπάρχει ασφαλής μηχανισμός για την ανακοίνωση του μυστικού κλειδιού κρυπτογράφησης προς τους παραλήπτες των κρυπτογραφημένων μηνυμάτων. Από την άλλη, το κύριο χαρακτηριστικό της συμμετρικής κρυπτογραφίας είναι η μεγάλη ταχύτητα εκτέλεσης των αλγορίθμων κρυπτογράφησης και αποκρυπτογράφησης. * κριτήριο μερικώς εκπληρωμένο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 43

44 Οι πλέον ευρέως γνωστοί συμμετρικοί αλγόριθμοι είναι οι: Data Encryption Standard (DES) και triple-des [NBS-88], International Data Encryption Algorithm (IDEA) [LAI-92] και η σειρά RC2, RC4, RC5 [RIV-95]. Κρυπτογραφία Δημοσίου Κλειδιού Η κρυπτογραφία δημοσίου κλειδιού (public key cryptography) χρησιμοποιεί δύο κλειδιά: ένα δημόσιο κλειδί (public key) για κρυπτογράφηση, το οποίο δημοσιοποιείται και ένα ιδιωτικό κλειδί (private key) για αποκρυπτογράφηση, το οποίο διατηρείται μυστικό. Ο αποστολέας κρυπτογραφεί το μήνυμα με το γνωστό δημόσιο κλειδί και ο παραλήπτης το αποκρυπτογραφεί κάνοντας χρήση του μυστικού κλειδιού που μόνο ο ίδιος γνωρίζει. Τα δύο κλειδιά συνδέονται με μια μονόδρομη συνάρτηση (one-way function) που εξασφαλίζει ότι ο κάτοχος του δημοσίου κλειδιού είναι υπολογιστικά δύσκολο να προσδιορίσει το μυστικό κλειδί. Όποιος έχει το δημόσιο κλειδί, μπορεί να κρυπτογραφεί πληροφορίες που μόνο ο κάτοχος του ιδιωτικού κλειδιού μπορεί να αποκρυπτογραφήσει. Χαρακτηριστικά παραδείγματα ασύμμετρων κρυπτοσυστημάτων είναι τα: Rivest-Shamir-Adleman (RSA) [RIV-78], Diffie-Hellmann [DIF-76], ElGamal [ELG-84] και Rabin [RAB-78]. Τα ασύμμετρα κρυπτοσυστήματα χρησιμοποιούνται ευρέως για την κρυπτογράφηση μηνυμάτων που μεταδίδονται μέσω του Διαδικτύου. Η διαχείριση των δημόσιων κλειδιών γίνεται από την ΥΔΚ. Στην πράξη χρησιμοποιούνται υβριδικά συστήματα κρυπτογραφίας που συνδυάζουν τα πλεονεκτήματα των συμμετρικών με τα αντίστοιχα των κρυπτοσυστημάτων δημοσίου κλειδιού. Η κρυπτογράφηση των πραγματικών δεδομένων γίνεται με χρήση συμμετρικής κρυπτογραφίας ενώ το ιδιωτικό κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση, κρυπτογραφείται με το δημόσιο κλειδί του παραλήπτη του μηνύματος. Η υβριδική χρήση των δύο κρυπτοσυστημάτων, με τον παραπάνω τρόπο, συνιστά την έννοια του ψηφιακού φακέλου (digital envelope). Ένα χαρακτηριστικό παράδειγμα χρήσης ψηφιακών φακέλων συναντάται στο Pretty Good Privacy (PGP) [ZIM-95] όπου χρησιμοποιείται το συμμετρικό σύστημα IDEA και το ασύμμετρο RSA. Έλεγχος αυθεντικότητας Έλεγχος αυθεντικότητας είναι η διαδικασία επαλήθευσης της ορθότητας του ισχυρισμού ενός χρήστη ότι κατέχει μια συγκεκριμένη ταυτότητα [ΓΚΡ-96]. Τα συνθηματικά, τα PINS, η κρυπτογραφία, οι ψηφιακές υπογραφές, οι έξυπνες και οι PCMICIA κάρτες, συσκευές με δυνατότητες προς-τα-πίσω κλήσεων (call back devices), βιομετρικά στοιχεία και δεδομένα τοποθεσίας κλήσης περιλαμβάνονται στους μηχανισμούς που χρησιμοποιούνται για τον έλεγχο αυθεντικότητας. Ο ευρύτερα χρησιμοποιούμενος μηχανισμός ελέγχου αυθεντικότητας είναι οι ψηφιακές υπογραφές (digital signatures), τα αθροίσματα ελέγχου και οι συναρτήσεις σύνοψης (hash functions). Ψηφιακές υπογραφές Οικονομικό Πανεπιστήμιο Αθηνών Σελ 44

45 Η ψηφιακή υπογραφή είναι το ηλεκτρονικό αντίστοιχο της χειρόγραφης υπογραφής και βοηθά στην επαλήθευση της αυθεντικότητας του αποστολέα και της ακεραιότητας των δεδομένων που μεταδίδονται. Ένα ασφαλές σύστημα παροχής ψηφιακών υπογραφών αποτελείται από δύο υποσυστήματα: (α) το υποσύστημα παραγωγής της υπογραφής, που ανήκει στον αποστολέα και (β) το υποσύστημα επικύρωσης της υπογραφής, που ανήκει στον παραλήπτη ενός μηνύματος. Οι πιο διαδεδομένοι αλγόριθμοι που χρησιμοποιούνται για την δημιουργία ψηφιακών υπογραφών είναι οι: MD5 [RIV-92], SHA-1 και RIPEMD-160 [ISO ]. Έλεγχος προσπέλασης και επίβλεψη Επίβλεψη είναι μια συνεχής διαδικασία ανίχνευσης σχεδιασμένη να εξασφαλίσει την αναγνώριση των περιστατικών και των παραβιάσεων όταν εμφανίζονται [ΓΚΡ-96]. Οι ελεγκτές δικτύου, οι περιοδικοί έλεγχοι και τα αναχώματα είναι οι κυριότεροι μηχανισμοί επίβλεψης. Υπάρχουν δύο ειδών έλεγχοι προσπέλασης: (α) ο έλεγχος προσπέλασης συστήματος είναι ο περιορισμός της προσπέλασης στο σύστημα μόνο από εξουσιοδοτημένους χρήστες και (β) ο έλεγχος προσπέλασης πληροφοριών είναι ο περιορισμός της προσπέλασης των πληροφοριών μόνο στους εξουσιοδοτημένους χρήστες [ΓΚΡ-96]. Οι λίστες ελέγχου προσπέλασης, οι λίστες ικανοτήτων, η συσκευασία (wrapping) προγραμμάτων, οι ελεγκτές ακεραιότητας, οι αντιπρόσωποι και τα αναχώματα είναι οι σημαντικότεροι μηχανισμοί που χρησιμοποιούνται για έλεγχο προσπέλασης. Αναχώματα και αντιπρόσωποι Με τον όρο ανάχωμα (Firewall) [CHE-96], περιγράφονται σήμερα τα ολοκληρωμένα συστήματα ασφάλειας ενός ΠΣ. Ένα ανάχωμα είναι συνδυασμός κατάλληλου υλικού (δρομολογητές, εξυπηρέτες, κάρτες δικτύου) και λογισμικού. Παρεμβάλλεται του εσωτερικού δικτύου και του ανασφαλούς Διαδικτύου και προστατεύει το εσωτερικό δίκτυο από εξωτερικές επιθέσεις. Ανάλογα με την πολιτική ασφάλειας του οργανισμού, το ανάχωμα παίζει τον ρόλο ελεγκτή, τόσο για την πρόσβαση από το Διαδίκτυο στο εσωτερικό δίκτυο, όσο και αντίστροφα, ενεργώντας επιλεκτικά, σε άλλους επιτρέποντας την πρόσβαση και σε άλλους όχι. Ένα ανάχωμα προσφέρει, συνήθως, ανάμεσα στις άλλες και υπηρεσίες καταγραφής γεγονότων και ενεργειών χρηστών. Οι υπηρεσίες αυτές είναι χρήσιμες σε περιπτώσεις έλεγχων συμβάντων που σχετίζονται με την ασφάλεια του ΠΣ. Εξαιτίας όμως των προσωπικών δεδομένων που καταγράφουν (π.χ. ώρα πρόσβασης σε ένα σύστημα, προσπελάσιμες ιστοσελίδες), οι ίδιες υπηρεσίες μπορούν να προσβάλλουν την ιδιωτικότητα των υπαλλήλων ενός οργανισμού. Η λειτουργία των αντιπροσώπων (proxies) μοιάζει με αυτή των αναχωμάτων. Η κύρια διαφορά τους έγκειται στο ότι ο αντιπρόσωπος δρα εκ μέρους του προγράμματος-πελάτη και δεν αποκαλύπτει την ταυτότητα του χρήστη που τον χρησιμοποιεί. Για τον λόγο αυτό Οικονομικό Πανεπιστήμιο Αθηνών Σελ 45

46 αιτήσεις για πληροφορίες από πλευράς του χρήστη προωθούνται μέσω του αντιπροσώπου ενώ οι απαντήσεις επιστρέφονται στον αντιπρόσωπο και από αυτόν στον τελικό χρήστη. Στην περίπτωση των αναχωμάτων ο άμεσος παραλήπτης της πληροφορίας είναι ο χρήστης. Έλεγχος, καταγραφή και ανίχνευση εισβολών Ο έλεγχος ασφάλειας αναφέρεται στην διαδικασία καταγραφής γεγονότων που σχετίζονται με την ασφάλεια σε αρχείο το οποίο εξετάζεται για τον προσδιορισμό τυχόν παραβιάσεων ασφάλειας. Ένα σύστημα ανίχνευσης προσβολών (intrusion detection) ανιχνεύει τα αρχεία καταγραφής του ΠΣ με σκοπό την ανακάλυψη εισβολών ή πράξεων επίβουλης χρήσης των πόρων του συστήματος. Οι τεχνικές που χρησιμοποιούνται για την ανίχνευση εισβολών περιλαμβάνουν: 1. Τεχνικές ανίχνευσης ανώμαλης συμπεριφοράς: στην κατηγορία των τεχνικών ανίχνευσης ανώμαλης συμπεριφοράς κατατάσσονται (α) οι τεχνικές στατιστικής ανάλυσης, (β) τα νευρωνικά δίκτυα, (γ) οι τεχνικές αναγνώρισης διαθέσεων χρηστών, (δ) οι αυτόνομοι πράκτορες (autonomous agents) και (ε) η επιλογή χαρακτηριστικών και οι τεχνικές γράφων. 2. Τεχνικές ανίχνευσης κατάχρησης πόρων: στην κατηγορία των τεχνικών ανίχνευσης κατάχρησης πόρων κατατάσσονται: (α) τα έμπειρα συστήματα, (β) η αναγνώριση προτύπων, (γ) η τεχνική των μοντέλων, (δ) η τεχνική ανάλυσης αλλαγής καταστάσεων και (ε) η ανάλυση χαρακτηριστικών πληκτρολόγησης. Μια συγκριτική μελέτη πολλών συστημάτων ανίχνευσης προσβολών δίνεται στο [ΓKP-94]. Αντιμετώπιση ιομορφικού λογισμικού Οι μεθοδολογίες αντιμετώπισης του ιομορφικού λογισμικού χωρίζονται σε δύο κατηγορίες [ΓKP-94]: 1. Αντιμετώπιση ιών με μεθόδους βασισμένες στην εμφάνιση. Στην κατηγορία αυτή ανήκουν: οι ανιχνευτές (scanners) ιών, τα αντίδοτα, τα αρθροίσματα ελέγχου, η αυτό-άμυνα λογισμικού, το σφαλματοανθεκτικό λογισμικό, ο έλεγχος μεταβολών και τα κελύφη προστασίας. 2. Αντιμετώπιση ιών με μεθόδους βασισμένες στην συμπεριφορά. Στην κατηγορία αυτή ανήκουν: τα έμπειρα συστήματα, τα νευρωνικά δίκτυα και οι γλώσσες προσδιορισμού προδιαθέσεων. Αντίγραφα ασφάλειας Η τήρηση αντιγράφων ασφάλειας είναι η βασική τεχνική που χρησιμοποιείται για την ανάνηψη των δεδομένων από καταστροφές. Όλα τα σύγχρονα λειτουργικά συστήματα προσφέρουν λειτουργίες τήρησης αντιγράφων ασφάλειας: οι εντολές tar και dump στο σύστημα UNIX, η λειτουργία backup στα Windows. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 46

47 Ασφαλής σχεδιασμός, υλοποίηση και διαχείριση Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Στην κατηγορία αυτή ανήκουν τα εργαλεία και οι τεχνικές σχεδίασης, υλοποίησης, συντήρησης, εγκατάστασης και διαχείρισης ασφαλών συστημάτων. Περιλαμβάνει δοκιμασμένες ασφαλείς πρακτικές μηχανικής λογισμικού, τυπικές μεθόδους, έλεγχους (testing) και ανάλυση ευπαθειών του συστήματος, διαχείριση τεχνοδιαμόρφωσης (configuration) υπολογιστικών συστημάτων, ανθρώπινες δραστηριότητες και εκπαίδευση χρηστών Συσχέτιση απειλών και τεχνικών αντιμετώπισής τους Ο Πίνακας 4 απεικονίζει την συσχέτιση των απειλών κατά της ασφάλειας και των τεχνικών αντιμετώπισής τους [DEN-97]. Η φύση των αντιμέτρων χωρίζεται σε τρεις κατηγορίες: (α) πρόληψη (Π), (β) ανίχνευση (Α) και (γ) ανάνηψη (Αν). Πολλές από τις απειλές κατά της ασφάλειας μπορούν να προσβάλλουν και την ιδιωτικότητα. Για παράδειγμα η μη εξουσιοδοτημένη πρόσβαση σε αρχεία έχει σαν αποτέλεσμα την παραβίαση της ιδιωτικότητας του ιδιοκτήτη τους. Τέλος, η κρυπτογραφία, οι ψηφιακές υπογραφές, τα αναχώματα και οι αντιπρόσωποι είναι τεχνικές που χρησιμοποιούνται και για την αντιμετώπιση απειλών κατά της ιδιωτικότητας. Από αυτά συμπεραίνουμε την συσχέτιση της ασφάλειας με την προστασία της ιδιωτικότητας. Η συσχέτιση αυτή γίνεται ευκρινής κατά την διάρκεια των αμέσως επόμενων παραγράφων. Μηχανισμοί Απειλές Μη εξουσιοδοτημένη μεταβολή Υπερφόρτωση Ιομορφικό λογισμικό Λάθη στο σχεδιασμό Σπάσιμο κωδικών Μη εξουσιοδοτημένη πρόσβαση Ωτακουστές Πλαστοπροσωπία Κρυπτογραφία Έλεγχος αυθεντικότητας (ψηφιακές υπογραφές) Έλεγχος προσπέλασης και επίβλεψη Έλεγχος, Ανίχνευση εισβολών Αντιμετώπιση ιομορφικού λογισμικού Αντίγραφα ασφάλειας Ασφαλής σχεδιασμός Α Α Αν Π Π Α Π ΑΠ Π Α ΑΠ Π Π Α Π Π Π Α Π Π ΑΠ Α Π Π Π Πίνακας 4: Συσχέτιση απειλών κατά της ασφάλειας και τεχνικών αντιμετώπισής τους 2.5 Η ανάγκη για Τεχνολογίες Προάσπισης Ιδιωτικότητας Η κατακόρυφη αύξηση στην χρήση των υπηρεσιών του Διαδικτύου σηματοδοτήθηκε από την εφαρμογή των γραφικών διεπαφών χρήστη στα 1993 και την μετακίνηση της διαχείρισης του Διαδικτύου προς τον ιδιωτικό τομέα στα Αρχικά επρόκειτο για ένα φαινόμενο το οποίο εμφανίσθηκε στην Βόρεια Αμερική ενώ σήμερα το Διαδίκτυο αποτελεί παγκόσμιο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 47

48 μέσο επικοινωνίας [EPI-02]. Η ανάπτυξη του Διαδικτύου αναμένεται να συνεχισθεί με γοργούς ρυθμούς στο άμεσο μέλλον εξαιτίας της απελευθέρωσης των τηλεπικοινωνιών, της μείωσης των τιμών του υλικού, του λογισμικού και της πρόσβασης στο Διαδίκτυο και της παροχής αξιόλογων απευθείας υπηρεσιών. Το Διαδίκτυο όμως δεν είναι ένα "φιλικό" προς την ιδιωτικότητα δίκτυο. Η ανοικτή αρχιτεκτονική του, οι απειλές κατά της ασφάλειας που παρουσιάσθηκαν παραπάνω, και το γεγονός ότι δεν ενσωματώθηκαν σε αυτό εξ' αρχής στοιχεία προάσπισης ιδιωτικότητας και ασφάλειας, το καθιστά ως το πλέον εχθρικό περιβάλλον για την επίτευξη ανώνυμων επικοινωνιών. Παρά τις αρχιτεκτονικές ελλείψεις του το Διαδίκτυο έχει προσελκύσει το επενδυτικό ενδιαφέρον των επιχειρηματιών. Η απελευθέρωση και η ανάπτυξη των τηλεπικοινωνιών πολλαπλασίασαν τα σημεία πρόσβασης. Διαμορφωτές/αποδιαμορφωτές (modem), φορητοί υπολογιστές και κινητά τηλέφωνα είναι μόνο μερικά από τα μέσα που χρησιμοποιούνται για την πρόσβαση στο Διαδίκτυο. Παράλληλα όμως με την αύξηση της χρήσης του, το Διαδίκτυο προσέλκυσε και το οικονομικό ενδιαφέρον του ιδιωτικού τομέα. Η μείωση του κόστους παραγωγής και διαφήμισης και η δημιουργία νέων αγορών είναι μόνο μερικά από τα κέρδη μια τέτοιας εμπορικής εκμετάλλευσης του Διαδικτύου από τους εμπόρους. Αποτέλεσμα των παραπάνω εξελίξεων είναι η συνεχόμενη αύξηση του ενδιαφέροντος των επιχειρηματιών για τα προσωπικά δεδομένα των χρηστών του Διαδικτύου. Με την συλλογή και επεξεργασία προσωπικών δεδομένων, οι ιδιοκτήτες διαδικτυακών τόπων πετυχαίνουν την καλύτερη προσαρμογή των υπηρεσιών και της γραμμής παραγωγής τους στις ανάγκες του χρήστη, την βελτίωση της διαφημιστικής τους εκστρατείας και την δημιουργία νέων ομάδων-στόχων καταναλωτών. Για τους λόγους αυτούς, συλλέγονται προσωπικές πληροφορίες κάθε φορά που ένας χρήστης συνδέεται με κάποιο διαδικτυακό τόπο. Στην συνέχεια οι πληροφορίες αυτές τυγχάνουν επεξεργασίας από εργαλεία data and knowledge mining και δημιουργούνται περιγράμματα (profiles) της καταναλωτικής συμπεριφοράς του χρήστη. Σήμερα τα περιγράμματα καταναλωτικής συμπεριφοράς αποτελούν έναν από τους πιο σημαντικούς πόρους εσόδων για πολλές επιχειρήσεις που δραστηριοποιούνται στο Διαδίκτυο. Σύμφωνα μάλιστα, με έρευνα που πραγματοποιήθηκε το 2003, η προσβολή της ιδιωτικότητας είναι το μείζων θέμα που απασχολεί τους χρήστες του Διαδικτύου. Άλλα θέματα, μικρότερης όμως σημασίας είναι η ευκολία χρήσης, η αποστολή αυτόκλητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, η ασφάλεια και το οικονομικό κόστος [TEL-03]. Οι προαναφερθείσες απειλές κατά της ιδιωτικότητας, ενεργοποίησαν την επιστημονική κοινότητα, μη κερδοσκοπικούς οργανισμούς, κρατικούς αλλά και ιδιωτικούς φορείς προς την ανεύρεση διεξόδου. Μέσα από τις δραστηριότητες των φορέων αυτών δημιουργήθηκαν, ανάμεσα σε άλλα, οι Τεχνολογίες Προάσπισης Ιδιωτικότητας (Privacy Enhancing Technologies, PETs). Παρά το γεγονός ότι οι ΤΠΙ χρησιμοποιούν πολλές από τις τεχνικές των τεχνολογιών ασφάλειας, διαφέρουν από αυτές διότι οι τελευταίες ασχολούνται με την ασφάλεια και όχι με τον περιορισμό της συλλογής και επεξεργασίας των δεδομένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 48

49 Η καταγραφή των απειλών κατά της ιδιωτικότητας είναι το πρώτο βήμα για την διασφάλιση της προστασίας των προσωπικών δεδομένων που διακινούνται στο Διαδίκτυο. Μια τέτοια λεπτομερής παρουσίαση των απειλών κατά της ιδιωτικότητας στο Διαδίκτυο επιχειρείται στην επόμενη παράγραφο. 2.6 Απειλές κατά της ιδιωτικότητας των πληροφοριών Η ανθρώπινη φύση είναι η κύρια πηγή απειλών κατά της ιδιωτικότητας. Όπως είδαμε στις προηγούμενες παραγράφους, κατά την διάρκεια της ιστορίας, σε εποχές που δεν υπήρχε το Διαδίκτυο, η ιδιωτικότητα προσβάλλονταν από τους ανθρώπους. Σήμερα η αύξηση στη χρήση της τεχνολογίας και η διάχυση της πληροφορίας απλώς όξυναν το ήδη υπάρχον πρόβλημα. Η στρωματοποιημένη αρχιτεκτονική του Διαδικτύου θα χρησιμοποιηθεί ως οδηγός για την κατηγοριοποίηση των απειλών κατά της ιδιωτικότητας. Η αρχιτεκτονική του Διαδικτύου μπορεί να χωρισθεί σε δύο τμήματα: το επικοινωνιακό τμήμα που αναφέρεται στα χαμηλότερα επίπεδα (επίπεδα 1-3 κατά το μοντέλο OSI) και το τμήμα εφαρμογής που αναφέρεται στα ανώτερα επίπεδα (επίπεδα 4-7 κατά το μοντέλο OSI) Απειλές στο επικοινωνιακό επίπεδο Λόγο της ανοικτής αρχιτεκτονικής του Διαδικτύου, έχουν συμπεριληφθεί στον σχεδιασμό των πρωτοκόλλων του, περισσότερο από άγνοια παρά σκόπιμα, χαρακτηριστικά τα οποία μπορούν να χρησιμοποιηθούν για την προσβολή της ιδιωτικότητας των επικοινωνιών. Τα χαρακτηριστικά αυτά είναι: 1. Η δρομολόγηση των πακέτων γίνεται από ειδικά κατασκευασμένο υλικό που ονομάζεται δρομολογητής. Κάθε δρομολογητής αποφασίζει για την προώθηση των πακέτων, που λαμβάνει, με βάση κάποιους αλγόριθμους εξοικονόμησης χρόνου μετάδοσης εισερχόμενου μηνύματος (αλγόριθμοι μικρότερου μονοπατιού). Βάση αυτών των αλγορίθμων, η βέλτιστη απόσταση μεταξύ δύο δρομολογητών, και επομένως η δρομολόγηση ενός πακέτου, αποφασίζεται δυναμικά με βάση στοιχεία του δικτύου όπως ο φόρτος των γραμμών, το εύρος ζώνης της γραμμής κ.λ.π. Ο χρήστης δεν μπορεί να αποφασίσει την δρομολόγηση του πακέτου. Αν το πακέτο διέλθει μέσα από δρομολογητές που είναι εγκατεστημένοι σε χώρες που δεν διαθέτουν νόμους περί προστασίας προσωπικών δεδομένων τότε τα προσωπικά του δεδομένα βρίσκονται σε κίνδυνο. 2. Οι πληροφορίες καταλόγου, υπεύθυνες για την μετατροπή των ΙΡ διευθύνσεων σε ονόματα, μπορούν να χρησιμοποιηθούν για την καταγραφή των ηλεκτρονικών διευθύνσεων ή διευθύνσεων δικτυακών τόπων που προσπαθεί να προσπελάσει ένας χρήστης. 3. Η εντολή ping, χρήσιμη για την διαχείριση δικτύων, μπορεί να χρησιμοποιηθεί για την ανίχνευση στοιχείων ενός απομακρυσμένου συστήματος. Η απάντηση μιας εντολή ping Οικονομικό Πανεπιστήμιο Αθηνών Σελ 49

50 γίνεται με διαφανή προς τον χρήστη τρόπο. Ως εκ τούτου ο χρήστης έχει άγνοια του γεγονότος ότι ο υπολογιστής του απαντά σε μια τέτοια εντολή. 4. Κάθε πακέτο που ταξιδεύει στο Διαδίκτυο οριοθετείται από μια επικεφαλίδα. Βασικό στοιχείο αυτής της επικεφαλίδας είναι οι διευθύνσεις προορισμού και αποστολής. Δυστυχώς η πιο διαδεδομένη έκδοση του πρωτοκόλλου Διαδικτύου (ΙΡv4), δεν επιτρέπει κρυπτογράφηση των διευθύνσεων αποστολής και προορισμού. Ένας ωτακουστής (βλέπε παρ ) μπορεί να παρακολουθήσει τις διευθύνσεις αυτές και να προβεί σε ανάλυση της κίνησης (traffic analysis), ακόμα και αν τα πραγματικά δεδομένα είναι κρυπτογραφημένα, μεταξύ δύο επικοινωνούντων μερών. Η κρυπτογράφηση των διευθύνσεων αποστολής και προορισμού είναι μια από τις σημαντικότερες αλλαγές που προωθούνται με την νέα έκδοση (IΡv6) του πρωτοκόλλου Διαδικτύου. Τα δεδομένα δρομολόγησης και οι επικεφαλίδες των πακέτων χρησιμοποιούνται με αποκλειστικό σκοπό την επιτυχή μετάδοση των δεδομένων ή την τιμολόγηση των χρηστών του Διαδικτύου. Δεδομένα τέτοιου είδους είναι γνωστά με τον όρο δεδομένα κίνησης (traffic data) (αρ /58/ΕΚ). Η διαχείριση των δεδομένων κίνησης σε ένα ηλεκτρονικό επικοινωνιακό δίκτυο, υπόκειται σε συγκεκριμένες διατάξεις της Ευρωπαϊκής νομοθεσίας (αρ. 6,7 2002/58/ΕΚ). Ο χρόνος τήρησής τους, η ενημέρωση των υποκειμένων και οι προϋποθέσεις επεξεργασίας τους είναι οι βασικοί άξονες των διατάξεων αυτών. Ο διαχωρισμός των δεδομένων κίνησης από τα περιεχόμενα ενός μηνύματος δεν είναι σαφής από νομικής άποψης [ΜΙΤ-03]. Είναι ασαφές, για παράδειγμα, αν οι επικεφαλίδες ενός μηνύματος των ανώτερων επιπέδων της αρχιτεκτονικής του Διαδικτύου (HTTP, SMTP, FTP κ.λ.π) ανήκει στα δεδομένα κίνησης ή όχι [WPW-00], [DPW-00], [SCH-99]. Επομένως, ο πάροχος υπηρεσιών Διαδικτύου δεν γνωρίζει ποιά δεδομένα μπορεί να διατηρήσει ή να διαβιβάσει σε τρίτους. Η ασάφεια αυτή αποτελεί νέα απειλή που σχετίζεται με την παραβίαση των νόμων από πλευράς των παρόχων υπηρεσιών Διαδικτύου Απειλές στο επίπεδο εφαρμογής Οι απειλές αυτές σχετίζονται με τα χαρακτηριστικά του πρωτοκόλλου HTTP και την υλοποίηση των ευρύτερα χρησιμοποιούμενων εφαρμογών του Διαδικτύου. Στις απειλές του πρωτοκόλλου HTTP περιλαμβάνονται: 1. Η διαρροή των φυλλομετρητών (browser chat) παγκόσμιου ιστού αναφέρεται στα πλεονάζοντα δεδομένα που ανταλλάσσουν ο φυλλομετρητής με τον εξυπηρέτη παγκόσμιου ιστού σε κάθε επικοινωνία τους. Παραδείγματα τέτοιων δεδομένων, ανάμεσα σε άλλα, περιλαμβάνουν την έκδοση του λειτουργικού συστήματος, τις βοηθητικές εφαρμογές και τη γλώσσα που χρησιμοποιεί ο φυλλομετρητής. Κατ' αυτόν τον τρόπο παραβιάζεται η αρχή της αναλογικότητας (proportionality, βλ ) [WPW-00]. 2. Οι αόρατοι υπερ-σύνδεσμοι βοηθούν τους χρήστες να μετακινούνται από μια ιστοσελίδα σε άλλη. Μια από τις δυνατότητες του πρωτοκόλλου HTTP είναι η ενσωμάτωση σε μια ιστοσελίδα εικόνων οι οποίες δεν είναι αποθηκευμένες στον διαδικτυακό τόπο που Οικονομικό Πανεπιστήμιο Αθηνών Σελ 50

51 επισκέπτεται ο χρήστης αλλά σε κάποιον άλλον απομακρυσμένο. Με τον τρόπο αυτό λειτουργούν τα περισσότερα διαφημιστικά σήματα (banners). Μια εταιρεία που θέλει να διαφημιστεί μέσω μιας δημοφιλούς ιστοσελίδας προσθέτει ένα διαφημιστικό σήμα στην ιστοσελίδα. Οι ιστοσελίδες αυτές ανήκουν, συνήθως, σε μηχανές αναζήτησης, γνωστές εταιρείες κ.λ.π. Στοιχεία του χρήστη που επισκέπτεται την ιστοσελίδα μεταφέρονται και στον διαδικτυακό τόπο της εταιρείας που έχει εγκαταστήσει το διαφημιστικό σήμα. Κατά συνέπεια ο χρήστης δεν λαμβάνει γνώση των δεδομένων που συλλέγονται. 3. Τα Cookies [GOL-97], [CRA-99] είναι δεδομένα που δημιουργούνται από εξυπηρέτες υπηρεσιών παγκόσμιου ιστού. Τα δεδομένα αυτά βρίσκονται σε αρχείο το οποίο αποθηκεύεται στον σκληρό δίσκο του χρήστη. Αντίγραφο του αρχείου αυτού αποθηκεύεται και στον εξυπηρέτη υπηρεσιών παγκόσμιου ιστού. Τα cookies χρησιμοποιούνται για την αυθεντικοποίηση ενός χρήστη του Διαδικτύου που επισκέπτεται ένα διαδικτυακό τόπο. Στην πράξη όμως, εξυπηρετούν τη δημιουργία περιγραμμάτων της διαδικτυακής συμπεριφοράς και των συνηθειών του χρήστη, παρακολουθώντας και καταγράφοντας τους διαδικτυακούς τόπους που επισκέπτεται. Επίσης μπορούν να χρησιμοποιηθούν και για διαφημιστικούς λόγους. Τέλος, χρησιμοποιούνται και για λόγους προσωποποίησης (personalization) των επιλογών που θα είναι διαθέσιμες στον χρήστη, την επόμενη φορά που θα επισκεφθεί ένα διαδικτυακό τόπο. Δεδομένου ότι, δεν ζητείται πουθενά η άδεια του χρήστη για τις ενέργειες αυτές, τα cookies αποτελούν παραβίαση της ιδιωτικότητας. Περισσότερες λεπτομέρειες σχετικά με τον προβληματισμό που έχει αναπτυχθεί γύρω από τα cookies δίνονται στην παράγραφο 4.1. Στo Σχήμα 3 απεικονίζεται το περιεχόμενο ενός αρχείου cookie. Με την χρήση των cookies, ακόμα και όταν υπάρχει συγκατάθεση για την εγκατάσταση του στον σκληρό δίσκο, ο χρήστης δεν ενημερώνεται για το είδος των δεδομένων που συλλέγονται. Σχήμα 3: Παράδειγμα αρχείου cookie 4. Η συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου χρησιμοποιείται για την αποστολή αυτόκλητων μηνυμάτων ηλεκτρονικού ταχυδρομείου (spamming). Η αποστολή αυτόκλητων μηνυμάτων απαγορεύεται από την Ευρωπαϊκή νομοθεσία αν δεν υπάρχει συγκατάθεση των παραληπτών (άρθρο 13 της 2002/58/ΕΚ). Η διεύθυνση ηλεκτρονικού ταχυδρομείου αποτελεί πολύτιμο δεδομένο το οποίο συμπεριλαμβάνεται σε στοιχεία που χρησιμοποιούνται για την καταχώρηση (registration) υλικού/λογισμικού, την εγγραφή σε ομάδες κοινών ενδιαφερόντων και την αυθεντικοποίηση χρήστη σε εφαρμογές ανώνυμου ftp. Τα τελευταία χρόνια ακμάζει η υπηρεσία αποστολής ηλεκτρονικών μηνυμάτων με χρήση διεπαφής παγκόσμιου ιστού (Webmail). Η υπηρεσία αυτή πρόσθεσε νέες απειλές κατά της ιδιωτικότητας διότι είναι ευπαθής στην χρήση υποκλοπέων παγκόσμιου ιστού (Web bugs). Οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 51

52 υποκλοπείς (βλ ) είναι προγράμματα τα οποία χρησιμοποιούν ειδικές ετικέτες και cookies προσπαθώντας να παρακάμψουν την ανωνυμία του χρήστη. 5. Η αυθεντικοποίηση του χρήστη κατά την διάρκεια ηλεκτρονικών πληρωμών. Στον φυσικό κόσμο η τοις μετρητοίς πληρωμή για την απόκτηση αγαθών προσφέρει πλήρη ανωνυμία στον αγοραστή. Δεν συμβαίνει όμως το ίδιο με πολλές κατηγορίες ηλεκτρονικών πληρωμών. Σε τέτοιου είδους συστήματα, απαιτείται ισχυρή αυθεντικοποίηση του αγοραστή με αποτέλεσμα να δίνεται η δυνατότητα στον πωλητή να δημιουργεί περίγραμμα της καταναλωτικής συμπεριφοράς του. Εκτός από τις παραπάνω απειλές που σχετίζονται με την αρχιτεκτονική του Διαδικτύου, υπάρχουν και άλλες οι οποίες δεν εντάσσονται στις παραπάνω κατηγορίες. Αυτές είναι: η μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα υλοποιείται μέσω της πραγματοποίησης επιθέσεων data diddling ή spoofing (βλ και 2.3.2). η παραβίαση των όρων που αναφέρονται στην πολιτική προστασίας δεδομένων ενός διαδικτυακού τόπου αναφέρεται στην προσπάθεια του ιδιοκτήτη του, να ξεγελάσει τους χρήστες σχετικά με τα πρότυπα προάσπισης ιδιωτικότητας που εφαρμόζει. Παρά το γεγονός ότι ο διαδικτυακός τόπος εμφανίζεται ως μέλος ομάδας που προασπίζει την ιδιωτικότητα, στην πράξη δεν ακολουθεί τα πρότυπα προάσπισης ιδιωτικότητας που προβλέπονται από την ομάδα. η συνωμοσία (collusion) των εμπλεκόμενων σε μια επικοινωνία μερών. Υπάρχουν περιπτώσεις όπου για την επίτευξη μιας επικοινωνίας απαιτείται η εμπλοκή περισσότερων μερών εκτός του αποστολέα και του παραλήπτη. Όταν κάποια (περισσότερα από ένα) από αυτά τα μέρη αποφασίσουν να συνδυάσουν τα επί μέρους στοιχεία της επικοινωνίας που διαθέτουν τίθεται σε κίνδυνο η ιδιωτικότητα του αποστολέα. Όσα αναφέρθηκαν για τα δεδομένα κίνησης που αφορούν το επικοινωνιακό επίπεδο, ισχύουν και για τα δεδομένα κίνησης του επιπέδου εφαρμογής του Διαδικτύου. Η καταγραφή των δεδομένων κίνησης (traffic data) για χρονικό διάστημα μεγαλύτερο από αυτό που προβλέπουν οι νόμοι τιμωρείται από την Ευρωπαϊκή νομοθεσία (άρθρο 6 Οδηγία 2002/58/ΕΚ). Η ασάφεια που σχετίζεται με τον διαχωρισμό των δεδομένων κίνησης από τα πραγματικά δεδομένα ισχύει για όλα τα ανώτερα επίπεδα της στρωματοποιημένης αρχιτεκτονικής του Διαδικτύου. Η διεύθυνση αποστολέα και παραλήπτη, η ημερομηνία αποστολής, το θέμα του μηνύματος και το σύνολο των εξυπηρετών ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν για την αποστολή ενός μηνύματος, αποτελούν παραδείγματα δεδομένων κίνησης για την υπηρεσία ηλεκτρονικού ταχυδρομείου και για την υπηρεσία ηλεκτρονικού ταχυδρομείου. Οι επικεφαλίδες και τα δεδομένα πλοήγησης είναι παραδείγματα δεδομένων κίνησης του πρωτοκόλλου HTTP. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 52

53 Παρά το γεγονός ότι η παρακολούθηση και καταγραφή του περιεχομένου ηλεκτρονικών μηνυμάτων απαγορεύεται, άρθρο 5 Οδηγία 2002/58/ΕΚ, δεν ισχύει το ίδιο για τα δεδομένα κίνησης που χρησιμοποιούνται για λόγους ελέγχου του δικτύου και τιμολόγησης των χρηστών. Η παρακολούθηση και καταγραφή τέτοιων δεδομένων όμως μπορεί να οδηγήσει στην παραβίαση της ιδιωτικότητας των χρηστών και πραγματοποιείται με την χρήση υλικούλογισμικού υποκλοπής (sniffers). Η παρακολούθηση των επικεφαλίδων των μηνυμάτων που στέλνει ένας χρήστης μπορεί να οδηγήσει στην ανάλυση της κίνησης του χρήστη ενώ η συσχέτιση των δεδομένων πλοήγησης μπορεί να οδηγήσει στην δημιουργία καταναλωτικών περιγραμμάτων. Μπροστά σε μια τέτοια κατάσταση οι πάροχοι υπηρεσιών Διαδικτύου γίνονται πολύ επιφυλακτικοί σχετικά με το είδος των δεδομένων που μπορούν να διατηρούν και να διαβιβάζουν σε τρίτους, ακόμα και όταν μια τέτοια διαβίβαση επιβάλλεται από το νόμο Τρόποι συλλογής προσωπικών δεδομένων στο Διαδίκτυο Τα προσωπικά δεδομένα των χρηστών του Διαδικτύου συλλέγονται με πολλούς τρόπους και με την εξέλιξη της τεχνολογίας οι τρόποι αυτοί θα αυξηθούν. Η συλλογή των δεδομένων χωρίζεται σε τρεις κατηγορίες: 1. Παθητική συλλογή δεδομένων απευθείας συναλλαγών. Τα δεδομένα πλοήγησης, per se, δεν αποτελούν προσωπικά δεδομένα. Η συσχέτισή τους όμως με προσωπικά δεδομένα όπως η ΙΡ διεύθυνση ή η διεύθυνση ηλεκτρονικού ταχυδρομείου, οδηγεί στην καταγραφή των συνηθειών του χρήστη. 2. Συλλογή προσωπικών δεδομένων χωρίς την συγκατάθεση του χρήστη. Πολλοί φυλλομετρητές είναι ρυθμισμένοι ώστε να συλλέγουν προσωπικά δεδομένα του χρήστη και να τα αποστέλλουν σε συγκεκριμένους δικτυακούς τόπους. Η δραστηριότητα αυτή γίνεται χωρίς την συγκατάθεση του χρήστη. 3. Ενεργητική συλλογή προσωπικών ή δεδομένων απευθείας συναλλαγών. Η δραστηριότητα αυτή επιτυγχάνεται με τα εξής τεχνικά μέσα: λογαριασμός χρήστη. Μερικοί διαδικτυακοί τόποι επιτρέπουν στους χρήστες την απευθείας δημιουργία λογαριασμών. Κατά την φάση της δημιουργίας τους, ζητείται η παροχή προσωπικών δεδομένων όπως τηλέφωνο, ταχυδρομική διεύθυνση και διεύθυνση ηλεκτρονικού ταχυδρομείου. απευθείας (on line) φόρμες. Αποτελεί τον δημοφιλέστερο τρόπο συλλογής προσωπικών δεδομένων. Η εγγραφή σε ομάδες και η καταχώρηση ή απόκτηση λογισμικού είναι οι πιο συχνά χρησιμοποιούμενες υπηρεσίες που απαιτούν την συμπλήρωση φορμών. τα cookies μπορούν να χωρισθούν σε δύο κατηγορίες: (α) τα συνεχή είναι αυτά που παραμένουν στο σκληρό δίσκο του χρήστη και μετά την παύση της σύνδεσης με τον Οικονομικό Πανεπιστήμιο Αθηνών Σελ 53

54 διαδικτυακό τόπο που εγκατέστησε το cookie και (β) τα cookies συνόδου είναι αυτά που διαγράφονται από το σκληρό δίσκο του χρήστη μετά την παύση της σύνδεσης με τον διαδικτυακό τόπο που εγκατέστησε το cookie οι υποκλοπείς παγκόσμιου ιστού (web bugs) είναι μικρές εικόνες (συνήθως 1 pixel), που χρησιμοποιούνται για την ανίχνευση και καταγραφή του χρήστη προς όφελος του διαδικτυακού τόπου στον οποίο ανήκει ο υποκλοπέας. Συνήθως χρησιμοποιούνται για την μέτρηση της κίνησης σε ένα διαδικτυακό τόπο. οι φυλλομετρητές που έχουν ενσωματωμένες υπηρεσίες ηλεκτρονικού ταχυδρομείου μπορούν να διαβιβάσουν στοιχεία της ηλεκτρονικής αλληλογραφίας του χρήστη κατόπιν σχετικής αίτησης από ένα διαδικτυακό τόπο. 2.7 Τεχνολογίες Προάσπισης Ιδιωτικότητας: Ανασκόπηση Οι ΤΠΙ αποτελούν ένα σημαντικό εργαλείο στην προώθηση της προστασίας προσωπικών δεδομένων. Η χρησιμότητα, η λειτουργικότητα, η τεχνική δομή και οι δυνατότητες τους ποικίλλουν. Παραταύτα, όλες έχουν σαν στόχο να βοηθήσουν τους χρήστες στον έλεγχο των προσωπικών τους δεδομένων. Πολλές φορές έχουν δεχθεί κριτική σχετικά με την δυσκολία χρήσης τους. Ο μεγαλύτερος όμως περιορισμός στην χρήση των ΤΠΙ είναι η έλλειψη ενημέρωσης των χρηστών και για αυτό το λόγο πολλές από αυτές είτε εγκαταλείφθηκαν είτε αναθεωρήθηκαν. Για την ανάπτυξη τους χρειάζεται η γνώση και η ενημέρωση των χρηστών σχετικά με τους περιορισμούς και τις δυνατότητές τους. Όταν οι χρήστες επιλέξουν να χρησιμοποιούν κάποια συγκεκριμένη τεχνολογία πρέπει να την χρησιμοποιούν συνέχεια και με συνέπεια. Τέλος, κάθε χρήστης πρέπει να επιλέγει τεχνολογίες που είναι κατασκευασμένες για να καλύψουν τις δικές του ανάγκες σχετικά με την συλλογή και επεξεργασία των προσωπικών του δεδομένων στο Διαδίκτυο. Στις σελίδες που ακολουθούν καταγράφονται όλες οι σύγχρονες ΤΠΙ, δίνοντας έμφαση στην κάλυψη όλου του φάσματος των διαθέσιμων τεχνολογιών. Η περιγραφή όμως κάθε τεχνολογίας είναι αρκετά συνεκτική και επικεντρώνει στις ανάγκες προστασίας δεδομένων που καλύπτει. Για τον απαιτητικό αναγνώστη παρατίθενται βιβλιογραφικές ή διαδικτυακές αναφορές προς αναζήτηση περισσότερων τεχνικών λεπτομερειών. Τέλος, μετά την ανασκόπηση γίνεται και ταξινόμηση τους με βάση διάφορα κριτήρια. Τα κριτήρια έχουν προκύψει από έγκυρες μελέτες [OEC-99], [OEC-02] και σκοπό έχουν την καλύτερη κατανόηση των συγκεκριμένων τεχνολογιών. Κρυπτογραφία Στην παράγραφο 2.4 δόθηκαν λεπτομέρειες σχετικά με την κρυπτογραφία. Ψηφιακές υπογραφές Οικονομικό Πανεπιστήμιο Αθηνών Σελ 54

55 Στην παράγραφο 2.4 δόθηκαν λεπτομέρειες σχετικά με τις ψηφιακές υπογραφές. Ειδική μνεία, σε αυτό το σημείο, γίνεται για τις τυφλές ψηφιακές υπογραφές ως κατ' εξοχήν μηχανισμού προστασίας της ανωνυμίας του αποστολέα ενός ηλεκτρονικού μηνύματος. Τυφλές ψηφιακές υπογραφές (Blind Digital Signatures) Οι τυφλές ψηφιακές υπογραφές είναι το ψηφιακό ανάλογο μιας χειρόγραφης υπογραφής που πιστοποιεί την γνησιότητα ενός εγγράφου χωρίς να γνωρίζει το περιεχόμενό του [CHA-90]. Για παράδειγμα, κάποιος προσκομίζει ένα, σφραγισμένο σε φάκελο, έγγραφο σε έναν συμβολαιογράφο, διότι δεν επιθυμεί ούτε ο συμβολαιογράφος να γνωρίζει το περιεχόμενο του εγγράφου. Ο φάκελος σφραγίζεται ή υπογράφεται από τον συμβολαιογράφο, χωρίς αυτός να γνωρίζει το περιεχόμενό του εγγράφου που περιέχεται, το οποίο μπορεί να είναι υπογεγραμμένο από το ίδιο τον αποστολέα ή και από κάποιον άλλο. Με τον τρόπο αυτό βεβαιώνεται η αυθεντικότητα του φακέλου και η μη τροποποίηση του περιεχομένου του, αλλά δεν τίθεται θέμα αποδοχής του περιεχομένου εφόσον αυτό είναι άγνωστο. Ο αποδέκτης έχει επιβεβαιώσει την αυθεντικότητα του εγγράφου, χωρίς να γνωρίζει τον αποστολέα του φακέλου. Μπορεί μόνο να αναγνωρίσει τον υπογράφοντα στο εσώκλειστο έγγραφο, εάν αυτό είναι υπογεγραμμένο, χωρίς να γνωρίζει ποιος προσκόμισε το έγγραφο στον συμβολαιογράφο. Ένας ψηφιακός τέτοιος φάκελος θα μπορούσε να είναι ένα ανώνυμο μήνυμα ηλεκτρονικού ταχυδρομείου υπογεγραμμένο «τυφλά», το οποίο θα μπορούσε να έχει συνημμένα ψηφιακά υπογεγραμμένα έγγραφα. Ο αποδέκτης έχει την επιβεβαίωση ότι το μήνυμα που έλαβε είναι αυθεντικό και δεν τροποποιήθηκε, χωρίς να μπορεί να αποκαλύψει τον αποστολέα του. Η λειτουργία ενός σχήματος τυφλής ψηφιακής υπογραφής δίνεται στο Σχήμα 4. Σχήμα 4: Λειτουργία τυφλών ψηφιακών υπογραφών Ο αποστολέας του μηνύματος χρησιμοποιεί την διαδικασία «τύφλωσης» (blinding process) ώστε να μην είναι δυνατή η ανάγνωση του περιεχομένου του μηνύματος από τον παραλήπτη. Στην συνέχεια δημιουργεί τον ψηφιακό φάκελο και τον στέλνει στον παραλήπτη να τον υπογράψει. Ο παραλήπτης υπογράφει το φάκελο χωρίς να διαβάσει τα περιεχόμενά του και στέλνει τον υπογεγραμμένο φάκελο, πίσω, στον αποστολέα του μηνύματος. Ο τελευταίος απομακρύνει το φάκελο και ανακτά το υπογεγραμμένο, πλέον, μήνυμα. Διαχείριση Cookies Οικονομικό Πανεπιστήμιο Αθηνών Σελ 55

56 Με τον όρο Διαχείριση Cookies (Cookies Management) εννοούμε το σύνολο των ενεργειών που έχουν σαν σκοπό την απαγόρευση της ανεξέλεγκτης δράσης των cookies, μέσω του ελέγχου προέλευσής τους, της αποθήκευσης και διαγραφής τους και της δυνατότητας άρνησης αποδοχής cookies, είτε επιλεκτικά, από ορισμένους αποστολείς, είτε καθολικά. Η καθολική απαγόρευση των cookies είναι, σύμφωνα με τις πρακτικές των ιδιοκτητών διαδικτυακών τόπων, πρακτικά ανέφικτη, διότι η μη αποδοχή τους, πολλές φορές, σημαίνει και απαγόρευση πρόσβασης στο συγκεκριμένο δικτυακό τόπο. Τα ευρέως διαδεδομένα σήμερα προγράμματα διαδικτυακής πλοήγησης, όπως ο Internet Explorer και ο Netscape Navigator, παρέχουν κάποιες δυνατότητες διαχείρισης των cookies. Επιπλέον υπάρχουν διαθέσιμα προϊόντα λογισμικού, γνωστά ως cookie busters, τα οποία παρέχουν όλες τις παραπάνω λειτουργίες [MAY-97]. Open Profiling Standard (OPS) Το Open Profiling Standard (OPS) [NET-97] προτάθηκε από τις εταιρείες Microsoft, Netscape και Firefly. Δημιουργήθηκε για να παρέχει στους σχεδιαστές διαδικτυακών τόπων μία ομοιόμορφη αρχιτεκτονική με τα εξής βασικά χαρακτηριστικά: α) αύξηση της αποδοτικότητας της πληροφορίας περιγράμματος, β) προσαρμοσμένο περιεχόμενο και γ) προάσπιση ιδιωτικότητας. Έχει διπλό σκοπό: να επιτρέψει στους ιδιοκτήτες διαδικτυακών τόπων την εξατομίκευση των σελίδων τους στις ανάγκες των χρηστών και να επιτρέψει στους χρήστες τον έλεγχο των προσωπικών πληροφοριών που μοιράζονται με τους ιδιοκτήτες διαδικτυακών τόπων. Ο τρόπος λειτουργίας του, στηρίζεται στην ελεγχόμενη από τον χρήστη δημιουργία περιγραμμάτων συμπεριφοράς. Τα περιγράμματα που δημιουργούνται αποθηκεύονται στους διαδικτυακούς τόπους επίσκεψης. Το προσωπικό περίγραμμα, το οποίο στην ουσία είναι ένα cookie διαμορφωμένο από τον χρήστη, περιλαμβάνει μεταξύ άλλων προσωπικές πληροφορίες του χρήστη (όνομα, διεύθυνση, κ.λ.π), πληροφορίες σύνδεσης και προτιμήσεις. Το OPS συμπληρώνεται από το πρωτόκολλο P3P (βλέπε παρακάτω), το οποίο προσθέτει επιπλέον αυτοματισμό στην όλη διαδικασία, και ενημερώνει τον χρήστη για την περαιτέρω χρήση των δεδομένων που θα διαθέσει. Ολική Διαγραφή Αρχείων (Disk/file erasers) Κατά την διαγραφή ενός αρχείου, το λειτουργικό σύστημα ενεργοποιεί μια σειρά από λειτουργίες με σκοπό την απελευθέρωση της μνήμης που καταλαμβάνει το αρχείο. Δεδομένου ότι οι λειτουργίες διαγραφής ενός αρχείου είναι χρονοβόρες, τα στοιχεία του δεν διαγράφονται πραγματικά παρά μόνο όταν εγγραφούν νέα δεδομένα. Στο μεσοδιάστημα όμως, παρέχεται η δυνατότητα σε έναν επιτιθέμενο, με τις κατάλληλες γνώσεις και τον κατάλληλο εξοπλισμό, να αποκτήσει πρόσβαση στα δεδομένα του διαγραμμένου αρχείου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 56

57 Για τον λόγο αυτό έχουν αναπτυχθεί τεχνολογίες που διαγράφουν πλήρως τα δεδομένα ενός αρχείου από το μαγνητικό μέσο, αποτρέποντας την παραπάνω απειλή. Οι τεχνολογίες αυτές είναι γνωστές ως «Ολικοί Διαγραφείς Αρχείων» ( File Erasers ή Disk Erasers ). Οι Ολικοί Διαγραφείς Αρχείων χρησιμοποιούν διάφορες τεχνικές [GOO-96]. Αυτές που απαντώνται συχνότερα είναι: 1. Μορφοποίηση (Formatting) του μαγνητικού μέσου: είναι συνηθισμένη τεχνική, η οποία παρέχεται συνήθως και από το λειτουργικό σύστημα. Δεν μπορεί να εφαρμοσθεί επιλεκτικά σε αρχεία, παρά μόνο σε ολόκληρη την επιφάνεια του μαγνητικού μέσου. Επαναφέρει την επιφάνεια αποθήκευσης στην αρχική της κατάσταση συμβατότητας με το λειτουργικό σύστημα. 2. Magnetic force microscopy (MFM) και Magnetic force scanning tunneling microscopy (STM): είναι τεχνικές που επιτυγχάνουν την ολική διαγραφή μεμονωμένων αρχείων. Η ιδέα στην οποία βασίζονται είναι η αλλαγή της πολικότητας της μαγνητικής επιφάνειας που καταλαμβάνει το αρχείο, χρησιμοποιώντας πολύ προσεκτικά επιλεγμένα δείγματα από όλο τον σκληρό δίσκο. Φίλτρα Τα Φίλτρα (Filters), γνωστά και ως «φίλτρα περιεχομένου» (content filters), ή «λογισμικό αναχαίτισης» (blocking software), είναι προϊόντα λογισμικού που αναχαιτίζουν την μετάδοση δεδομένων στο Διαδίκτυο [CHE-96]. Τα φίλτρα περιεχομένου αποτελούν μία από τις πολλές κατηγορίες εργαλείων που ο χρήστης έχει στη διάθεσή του για τη διαχείριση των προσωπικών πληροφοριών που μεταδίδει στο Διαδίκτυο, ή το τοπικό εσωτερικό δίκτυο. Υπάρχουν πολλά διαθέσιμα φίλτρα περιεχομένου [EPI-02]. Μέσω αυτών ο χρήστης, μπορεί να καθορίζει παραμέτρους όπως, HTML επικεφαλίδες που δεν επιθυμεί να δέχεται, συνδέσεις που απαγορεύονται στο σύστημά του, κατηγορίες δεδομένων που δεν είναι ευπρόσδεκτες, αναχαίτιση διαφημιστικών applets κ.α. Αναχώματα και αντιπρόσωποι Στην παράγραφο 2.4 δόθηκαν λεπτομέρειες σχετικά με τα αναχώματα και τους αντιπρόσωπους. Ψηφιακές ετικέτες Οι ψηφιακές ετικέτες αποτελούν έναν εναλλακτικό τρόπο απευθείας ενημέρωσης των χρηστών σχετικά με την πολιτική προστασίας δεδομένων που ακολουθεί ένας διαδικτυακός τόπος. Η βασική ιδέα πίσω από τις ψηφιακές ετικέτες είναι η χρήση ενός κοινά αποδεκτού λεξιλογίου για την απευθείας περιγραφή των πολιτικών προστασίας προσωπικών δεδομένων. Το λεξιλόγιο αυτό δημιουργείται από κάποια κοινότητα χρηστών ή έναν κοινής αποδοχής οργανισμό. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 57

58 Platform for Privacy Preferences (P3P) Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Το P3P είναι ένα πρωτόκολλο που σχεδιάσθηκε από το W3C με σκοπό να βοηθήσει, από την μια, τους ιδιοκτήτες διαδικτυακών τόπων να παρουσιάσουν τις πολιτικές προστασίας προσωπικών δεδομένων που ακολουθούν και, από την άλλη, τους χρήστες να επιλέγουν ποιας διαχείρισης θέλουν να τύχουν τα προσωπικά τους δεδομένα που διοχετεύονται στο Διαδίκτυο [W3C-00]. Η έκδοση 1.0 είναι ήδη πρότυπο και έχει ενσωματωθεί στο HTTP. Το P3P έρχεται να συμπληρώσει το πρότυπο OPS (βλ. παραπάνω), παρέχοντας αυτοματοποίηση της αποδοχής μιας πολιτικής προστασίας προσωπικών δεδομένων μέσω του προγράμματος πλοήγησης που χρησιμοποιεί ο χρήστης (βλ 2.1.6). Η επικοινωνία με χρήση του P3P έχει δύο στάδια: (α) στο στάδιο των διαπραγματεύσεων (negotiation) η δομή δεδομένων που περιέχει την πολιτική προστασίας δεδομένων, αποστέλλεται στον χρήστη και αυτός αποφασίζει εάν την αποδέχεται ή όχι. Εάν τελικά την αποδεχθεί, μία επίσης τυποποιημένη δομή δεδομένων που περιλαμβάνει τα ζητούμενα δεδομένα, αποστέλλεται από τον χρήστη στον εξυπηρέτη του διαδικτυακού τόπου και (β) στο στάδιο της συναλλαγής, εφόσον έχει προηγηθεί αποδοχή, ο χρήστης αποκτά πρόσβαση στις υπηρεσίες του εξυπηρέτη και εκτελεί συναλλαγές μαζί του. Το P3P έχει αναπτυχθεί για να αυτοματοποιήσει την διαδικασία πληροφόρησης του χρήστη σχετικά με την πολιτική προστασίας δεδομένων που ακολουθεί ένας διαδικτυακός τόπος, παρέχοντάς του άμεση σύγκριση με τις δικές του επιλογές διάθεσης των προσωπικών του στοιχείων. Ο χρήστης πληροφορείται, με αυτοματοποιημένο τρόπο, σχετικά με τα προσωπικά δεδομένα που θα συλλεχθούν κατά την είσοδό του σε ένα διαδικτυακό τόπο και επιλέγει να συναινέσει ή να αρνηθεί στην παραχώρησή τους. Για την ανάπτυξη εφαρμογών, που βασίζονται στο P3P, έχει δημιουργηθεί η γλώσσα APPEL (η έκδοση 1.0 της APPEL είναι επίσης πρότυπο του W3C), προκειμένου να περιγραφούν με τυποποιημένο τρόπο: (α) οι δομές δεδομένων που ανταλλάσσονται μεταξύ του εξυπηρέτη παγκόσμιου ιστού και του φυλλομετρητή του πελάτη, (β) τα δεδομένα που απαιτεί το σύστημα και (γ) η επιβεβαίωση αποδοχής από τον χρήστη. Το P3P έχει δεχθεί αρκετή κριτική. Δεν παρέχει καμία δυνατότητα εφαρμογής τεχνικών ιδιωτικότητας (κρυπτογραφία, ψευδωνυμία, ανωνυμία κλπ). Εάν ο χρήστης θέλει να κάνει χρήση ψευδωνύμου, τότε η όλη διαδικασία διαπραγμάτευσης πρέπει να γίνει με το ψευδώνυμό του και όχι με τα πραγματικά του στοιχεία. Επιπλέον, δεν παρέχει καμία διαβεβαίωση εάν το ΠΣ πράγματι είναι ειλικρινές σχετικά με την χρήση των στοιχείων του χρήστη και δεν εξασφαλίζει ότι αυτά δεν θα χρησιμοποιηθούν με διαφορετικό τρόπο από αυτόν που δηλώνεται. Παρόλο που το P3P παρέχει υπηρεσίες αυτοματισμού της αποδοχής ή απόρριψης μιας πολιτικής προστασίας προσωπικών δεδομένων, οι περισσότεροι διαδικτυακοί τόποι που το εφαρμόζουν, αρκούνται στο να συμπεριλαμβάνουν στην σελίδα τους μια δήλωση (P3P statement), η οποία απλώς πληροφορεί τους υποψήφιους χρήστες περί του είδους των Οικονομικό Πανεπιστήμιο Αθηνών Σελ 58

59 προσωπικών στοιχείων που πρόκειται να συλλεχθούν, καθώς και για την περαιτέρω χρήση αυτών των στοιχείων από τον ιδιοκτήτη του διαδικτυακού τόπου. Τέλος, πολλοί υποστηρίζουν ότι το Ρ3Ρ έχει σχεδιασθεί περισσότερο για να εξυπηρετήσει την διακίνηση προσωπικών δεδομένων μεταξύ των εταιρειών παρά τον περιορισμό της αποκάλυψής τους [EPI-00]. Ψηφιακές σφραγίδες Η συνηθισμένη πρακτική πολλών διαδικτυακών τόπων είναι η συμμετοχή τους σε ένα πρόγραμμα ψηφιακής σφραγίδας με σκοπό να εμπνέουν στους χρήστες τους εμπιστοσύνη για τον τρόπο που διαχειρίζονται τα προσωπικά τους δεδομένα. Τα προγράμματα αυτά τα διαχειρίζονται οργανισμοί με εμπειρία στο χώρο της προστασίας ιδιωτικότητας οι οποίοι υιοθετούν κάποια πρότυπα προστασίας. Οι οργανισμοί που θέλουν να συμμετέχουν στο πρόγραμμα δεσμεύονται ότι θα ακολουθούν τα πρότυπα προστασίας ιδιωτικότητας. Μερικά από αυτά τα προγράμματα παρέχουν και υπηρεσίες παρακολούθησης και ελέγχου συμβατότητας των οργανισμών-μελών τους με τα υιοθετημένα πρότυπα. Επίσης παρέχουν συμβουλές που σχετίζονται με την ιδιωτικότητα, μηχανισμούς επίλυσης διαφορών σε περιπτώσεις διενέξεων και επιβάλλουν κυρώσεις στους παραβάτες οργανισμούς-μέλη. Τα γνωστότερα προγράμματα ψηφιακών σφραγίδων (μεταξύ άλλων TRUSTe, BBBOnline, WebTrust, DMA) λειτουργούν στις ΗΠΑ σε περιβάλλον που καθορίζεται από το καθεστώς της αυτορρύθμισης. Σύμφωνα με έκθεση που πραγματοποίησε η εταιρεία Forrester στα 1999 [FOR-99], οι εταιρείες που διαχειρίζονται αυτά τα προγράμματα είναι εξαρτημένες από τις εταιρείες-συνδρομητές τους και γι αυτό καταλήγουν να γίνονται περισσότερο συνήγοροι των επιχειρήσεων παρά προστάτες της ιδιωτικότητας των καταναλωτών-χρηστών. Μηχανική Γνώσης Προστασίας Δεδομένων Η Μηχανική Γνώσης Προστασίας Δεδομένων (Privacy Knowledge Engineering, PYKE) είναι ένας νέος κλάδος τεχνολογιών προάσπισης ιδιωτικότητας που προτάθηκε από τους Kenny και Borking το 2002 [KEN-02]. Ο στόχος της γνωστικής αυτής περιοχής είναι η μετατροπή των νόμων σε κώδικα που είναι κατανοητός από υπολογιστικές μηχανές. Οι εμπνευστές της δημιούργησαν μια μεθοδολογία, γνωστή με τον όρο Σχεδιασμός Ενσωματωμένης Διαχείρισης Κινδύνων κατά της Προστασίας Δεδομένων (Design Embedded Privacy Risk Management, DEPRM), με σκοπό την ενσωμάτωση των αρχών της 95/46/ΕΚ σε προγράμματα λογισμικού [KEN-02]. Τα αποτελέσματα αυτής της μεθοδολογίας δεν έχουν οδηγήσει, προς το παρόν, στην παραγωγή κάποιου εμπορικού προϊόντος. Ανώνυμοι επανα-ταχυδρομητές Η υπηρεσία του ανώνυμου ηλεκτρονικού ταχυδρομείου βασίζεται στην ιδέα επαναδιαβίβασης ενός μηνύματος προς τον τελικό του αποδέκτη, με προηγούμενη τροποποίηση ή και απαλοιφή των στοιχείων του αποστολέα, έτσι ώστε να επιτυγχάνεται η ανωνυμία του τελευταίου [GOL-97]. Τα προγράμματα που υλοποιούν την παραπάνω υπηρεσία ονομάζονται ανώνυμοι επανα-ταχυδρομητές (anonymous r ers). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 59

60 Ένας ανώνυμος επανα-ταχυδρομητής μπορεί να συνδυάσει τις τεχνικές της τροποποίησης ή απαλοιφής της επικεφαλίδας και την διαδικασία επανα-διαβίβασης, με αυτοματοποιημένο τρόπο, μέσω κατάλληλου λογισμικού. Υπάρχουν τρεις τύποι επαναταχυδρομητών [BLE-98]: (α) anon.penet.fi (type 0 ), (β) cypherpunk-style (type I) και (γ) mixmaster (type II). Η κατηγοριοποίησή τους γίνεται με βάση την ασφάλεια που παρέχουν και την χρονολογική σειρά κατά την οποία εμφανίστηκαν οι τεχνικές που εφαρμόζονται. Οι τεχνικές που χρησιμοποιούν ποικίλλουν από την απογύμνωση των επικεφαλίδων των εξερχόμενων μηνυμάτων, την αλυσιδωτή (chaining) προώθηση ενός μηνύματος μέσω διαφορετικών ανώνυμων επανα-ταχυδρομητών και την χρήση κρυπτογραφίας. Ο τρίτος τύπος επαναταχυδρομητή είναι ο πιο σύγχρονος και θεωρείται ο πιο ασφαλής. Re-webbers Η τεχνολογία αυτή βασίζεται στην τεχνική των φωλιασμένων ενδεικτών (nested locators) και υποστηρίζεται από ένα δίκτυο κατάλληλα διαρθρωμένων εξυπηρετών υπηρεσιών παγκόσμιου ιστού (re-webbers). Οι εξυπηρέτες έχουν την ικανότητα να μεταφράζουν και να δρομολογούν φωλιασμένους ενοποιημένους ενδείκτες πόρων (Unified Resource Locators, URLs). Ο χρήστης δεν συνδέεται απ ευθείας με τον διαδικτυακό τόπο που επιθυμεί αλλά με κάποιον από τους εξυπηρέτες του δικτύου. Ο εξυπηρέτης με τον οποίο συνδέθηκε ο χρήστης αναλαμβάνει το φώλιασμα και δρομολόγηση της αίτησης σύνδεσης του χρήστη προς τον πραγματικό διαδικτυακό τόπο. Στην εικόνα 2 απεικονίζεται η λειτουργία των φωλιασμένων ενδεικτών. Τελικό αποτέλεσμα της παραπάνω διαδικασίας είναι η δημοσίευση στο Διαδίκτυο ενός ενδείκτη, ο οποίος δείχνει στην διεύθυνση του επιθυμητού διαδικτυακού τόπου, χωρίς να φαίνεται ποια είναι αυτή. Για την αύξηση της ασφάλειας του δικτύου γίνεται και κρυπτογράφηση των ενδεικτών [GOL-97]. Υπάρχουν αρκετά δίκτυα που χρησιμοποιούν την τεχνολογία των re-webbers. Τα πιο διαδεδομένα από αυτά είναι το δίκτυο των εξυπηρετών TAZ και το Crowds ([GOL-98], [REI-98]). Δίκτυα Ιδιωτικότητας Σχήμα 5 Λειτουργία Rewebber Η λειτουργία των δικτύων προστασίας μοιάζει με αυτή του ανώνυμου ηλεκτρονικού ταχυδρομείου, των αντιπροσώπων και των φωλιασμένων ενδεικτών. Σκοπός τους είναι η απόκρυψη της πραγματικής ταυτότητας του χρήστη. Στην προσπάθεια τους αυτή, τα δίκτυα προστασίας ιδιωτικότητας προσφέρουν επιπρόσθετες υπηρεσίες που τα διαφοροποιούν από τις προαναφερθείσες τεχνολογίες. Τυπικά, προσφέρουν στους χρήστες τους περισσότερες Οικονομικό Πανεπιστήμιο Αθηνών Σελ 60

61 επιλογές σχετικά με τον έλεγχο και διαχείριση των προσωπικών τους δεδομένων. Για παράδειγμα, τα cookies που προορίζονται για έναν συγκεκριμένο χρήστη αποθηκεύονται σε κόμβους του δικτύου και όχι στον υπολογιστή του χρήστη. Για την παροχή αυτών των υπηρεσιών οι ιδιοκτήτες των δικτύων προστασίας ιδιωτικότητας συνεργάζονται με παρόχους υπηρεσιών Διαδικτύου, οργανισμούς προστασίας ιδιωτικότητας και άλλους σχετικούς φορείς. Παράλληλα, σε μερικά από αυτά, γίνεται χρήση ειδικά εξοπλισμένου υλικού και λογισμικού με σκοπό την υλοποίηση των πολύπλοκων αλγορίθμων που υλοποιούν για να προσφέρουν προστασία των δεδομένων του τελικού χρήστη. Μερικά από τα πιο διαδεδομένα δίκτυα προστασίας ιδιωτικότητας είναι το Mix-nets και η υπηρεσία Passport της εταιρείας Microsoft ([FIS-01]). Το EPIC (Electronic Privacy Information Center) έχει ασκήσει έντονη κριτική για την ποιότητα της προστασίας ιδιωτικότητας που παρέχει το τελευταίο. Παράλληλα ισχυρίζεται ότι χρησιμοποιείται από την Microsoft για την δημιουργία καταναλωτικών περιγραμμάτων σε παγκόσμια κλίμακα ([EPI-01a], [EPI-01b]). Onion Routing Πρόκειται για μια τεχνική μεταγωγής πακέτων σε ένα δημόσιο δίκτυο η οποία βασίζεται στην ίδια λογική με αυτή της τεχνολογίας των re-webbers. Η διαφορά της οφείλεται στο γεγονός ότι το onion routing δρα στο επίπεδο δικτύου ενώ η τεχνολογία των re-webbers δρα στο επίπεδο εφαρμογής της στρωματοποιημένης αρχιτεκτονικής του Διαδικτύου. Το onion routing [SYV-00], είναι μια ευέλικτη επικοινωνιακή υποδομή, που παρέχει ανεξάρτητη, πραγματικού χρόνου και ανώνυμη αμφίδρομη σύνδεση, η οποία μπορεί να αντέξει σε επιθέσεις από ωτακουστές και ανάλυση κυκλοφορίας (βλ , 2.6.1). Αντί να παρέχεται πληροφορία πηγής και προορισμού, τα πακέτα κινούνται μέσα σε μια ανώνυμη σύνδεση περιέχοντας πληροφορία μόνο για το προηγούμενο και επόμενο βήμα (hop). Το δίκτυο αποτελείται από ένα σύνολο από onion δρομολογητές. Κάθε ένας έχει μια μόνο σύνδεση με κάθε γειτονικό του onion router και μιλά μόνο με τους γειτονικούς του. Σαν αποτέλεσμα η ανώνυμη σύνδεση είναι μια σειρά από γειτονικούς onion δρομολογητές. Τα δεδομένα «ταξιδεύουν» στο δίκτυο υπό την μορφή onion («κρεμμύδι»). Η ονομασία αυτή έχει προκύψει διότι κάθε onion δρομολογητής που στέλνει ένα πακέτο, το κρυπτογραφεί χρησιμοποιώντας το δημόσιο κλειδί του επομένου δρομολογητή. Με αυτό τον τρόπο, σε κάθε onion δρομολογητή από τον οποίο περνά το πακέτο, προστίθεται ένας επίπεδο κρυπτογράφησης, με αποτέλεσμα το μήνυμα που ταξιδεύει στο δίκτυο να είναι ένα ψηφιακό ανάλογο ενός κρεμμυδιού (onion). Η κρυπτογράφηση γίνεται με κρυπτογραφία δημοσίου κλειδιού. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 61

62 Σχήμα 6: Onion Ψηφιακά πιστοποιητικά Τα ψηφιακά πιστοποιητικά είναι τεκμήρια τα οποία εκδίδονται από Έμπιστες Τρίτες Οντότητες (ΕΤΟ). Έχουν την μορφή δυαδικών αρχείων και η λειτουργία τους στηρίζεται στην κρυπτογραφία δημοσίου κλειδιού. Μπορούν να χρησιμοποιηθούν για τον περιορισμό της αποκάλυψης της ταυτότητας του χρήστη ενσωματώνοντας ψευδώνυμα αντί της πραγματικής ταυτότητάς του. Μερικά από τα προβλήματα της χρήσης ψηφιακών πιστοποιητικών, αναφορικά με την προστασία προσωπικών δεδομένων, σχετίζονται με την αλλαγή στοιχείων του πιστοποιητικού σε διάφορα χρονικά διαστήματα και τη διατήρηση μεγάλου όγκου προσωπικών δεδομένων από τις ΕΤΟ. Δικτυοενδιάμεσοι Ο όρος δικτυοενδιάμεσος (infomediary) προέρχεται από τη σύνθεση των λέξεων πληροφορία (information) και ενδιάμεσος (intermediary). Δικτυοενδιάμεσος είναι μια επιχείρηση που διαχειρίζεται δεδομένα πελατών για όφελος του πελάτη. Ο πελάτης επιτρέπει στον δικτυοενδιάμεσο να συλλέγει πληροφορίες που σχετίζονται με τις διαδικτυακές δραστηριότητες και προτιμήσεις του, με αντάλλαγμα την γρήγορη αναζήτηση του Διαδικτύου για χρήσιμες διαφημίσεις [HAG-97]. Οι δικτυοενδιάμεσοι λειτουργούν σε συνδρομητική βάση, συλλέγουν προσωπικές πληροφορίες και τις διαπραγματεύονται με τις εταιρείες. Ο πελάτης διατηρεί τον έλεγχο της πληροφορίας και μπορεί να απαγορεύσει την διαπραγμάτευσή της σε συγκεκριμένους διαδικτυακούς τόπους. Ο δικτυοενδιάμεσος δρα για λογαριασμό του πελάτη του και μπορεί να του προσφέρει σημαντικά οφέλη. Από την άλλη πλευρά, έχει ασκηθεί αρκετή κριτική στους δικτυοενδιάμεσους με κεντρικό άξονα την έλλειψη ρυθμιστικού πλαισίου της λειτουργίας των οντοτήτων αυτών. Συστήματα ανώνυμων πληρωμών Μερικά συστήματα πληρωμών αποκαλύπτουν λιγότερες προσωπικές πληροφορίες σε σχέση με άλλα. Για παράδειγμα πληρώνοντας με χρήση πιστωτικής κάρτας αποκαλύπτονται περισσότερες προσωπικές πληροφορίες συγκριτικά με τις πληρωμές τοις μετρητοίς. Κατ' αυτήν την έννοια η πληρωμή τοις μετρητοίς είναι πλήρως ανώνυμη. Τα συστήματα ανώνυμων πληρωμών προσπαθούν να προσομοιώσουν τα πλεονεκτήματα, από πλευράς προστασίας της ανωνυμίας του χρήστη, των πληρωμών τοις μετρητοίς. Στηρίζονται στην Οικονομικό Πανεπιστήμιο Αθηνών Σελ 62

63 χρήση της κρυπτογραφίας και των τυφλών ψηφιακών υπογραφών. Υπάρχουν αρκετά συστήματα ανώνυμων πληρωμών για χρήση στο Διαδίκτυο. Τα πιο δημοφιλή από αυτά είναι το Ecash και το Mondex. Παρά τα ευεργετήματα που προσφέρουν τα συστήματα ανώνυμων πληρωμών περιορίζουν σημαντικά τους χρήστες τους: (α) τα περισσότερα είναι συνδεδεμένα με την χρήση συγκεκριμένης, συνήθως μη πρότυπης τεχνολογίας, (β) για την παράδοση των προϊόντων στους αγοραστές απαιτείται η χρήση του ονόματος και της ταχυδρομικής διεύθυνσης παράδοσης 3 και (γ) πολλοί φοβούνται ότι τα συστήματα αυτά μπορούν να χρησιμοποιηθούν για το "ξέπλυμα" χρήματος που είναι προϊόν αξιόποινων πράξεων. Εργαλεία υλοποίησης των περισσότερων από τις παραπάνω τεχνικές παρέχονται στην διαδικτυακή τοποθεσία Μετά την ολοκλήρωση της ανασκόπησής τους σειρά έχει η ταξινόμηση των ΤΠΙ με χρήση ποικίλλων κριτηρίων Ταξινόμηση των ΤΠΙ Έχουν προταθεί διάφορα μοντέλα για την ομαδοποίηση των ΤΠΙ. Στην συνέχεια θα παρουσιασθούν τρία μοντέλα κατηγοριοποίησης που χρησιμοποιούν σαν κριτήριο: (α) τον σκοπό, (β) την τεχνολογία και (γ) την υπηρεσία για την οποία χρησιμοποιείται μια συγκεκριμένη ΤΠΙ Κατηγοριοποίηση με βάση τον σκοπό Οι σκοποί χρήσης μιας συγκεκριμένης ΤΠΙ είναι [OEC-99]: ελαχιστοποίηση της αποκάλυψης και συλλογής προσωπικών δεδομένων ενημέρωση υποκειμένων σχετικά με την πολιτική προστασίας δεδομένων στο διαδίκτυο παροχή εναλλακτικών επιλογών στο υποκείμενο σχετικά με την αποκάλυψη και χρήση των προσωπικών του δεδομένων παροχή πρόσβασης του υποκειμένου στα προσωπικά του δεδομένα 3 Στο παράγραφο 4.4, θα παρουσιασθεί το επιχειρηματικό μοντέλο των δικτυοενδιάμεσων, το οποίο δύναται να συνδυασθεί με κάποιο από τα συστήματα ανώνυμων πληρωμών με σκοπό την άρση αυτού του περιορισμού. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 63

64 προστασία της ιδιωτικότητας με χρήση συμβολαίων διασυνοριακής ροής δεδομένων εφαρμογή αρχών ιδιωτικότητας εκπαίδευση-ενημέρωση χρηστών και ιδιωτικών φορέων. O Πίνακας 5 περιλαμβάνει την αντιστοίχιση των ΤΠΙ με τους παραπάνω σκοπούς. Τεχνολογίες Σκοποί Ελαχιστοποίηση αποκάλυψης και συλλογής Ενημέρωση για πολιτική προστασίας δεδομένων στο διαδίκτυο Παροχή εναλλακτικών επιλογών Παροχή πρόσβασης Προστασία με χρήση συμβολαίων διασυνοριακής ροής Εφαρμογή αρχών ιδιωτικότητας Εκπαίδευση Κρυπτογραφία Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Διαγραφή Αρχείων Φίλτρα Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επανα-ταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 5: Κατηγοριοποίηση των ΤΠΙ με βάση τον σκοπό Κατηγοριοποίηση με βάση την τεχνολογία Οι ΤΠΙ δύναται να βασίζονται σε [OEC-02]: τεχνολογίες προσωπικού υπολογιστή τεχνολογίες παγκόσμιου ιστού δικτυακές τεχνολογίες. O Πίνακας 6 αντιστοιχίζει τις ΤΠΙ με τις παραπάνω τεχνολογίες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 64

65 Υποκείμενες Τεχνολογίες Τεχνολογίες Προάσπισης Ιδιωτικότητας Τεχνολογία προσωπικού υπολογιστή Τεχνολογίες παγκόσμιου ιστού Δικτυακές τεχνολογίες Κρυπτογραφία Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Διαγραφή Αρχείων Φίλτρα Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επανα-ταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 6: Κατηγοριοποίηση των ΤΠΙ με βάση την υποκείμενη τεχνολογία Κατηγοριοποίηση με βάση την υπηρεσία Οι ΤΠΙ χρησιμοποιούν τις παρακάτω υπηρεσίες Διαδικτύου [ΠAN-01]: ανώνυμο ηλεκτρονικό ταχυδρομείο ανώνυμη πλοήγηση στο Διαδίκτυο δημιουργία ψευδωνύμων κρυπτογράφηση αποκρυπτογράφηση φιλτράρισμα ή διήθηση ψηφιακές υπογραφές απευθείας ενημέρωση για πολιτικές προστασίας προσωπικών δεδομένων διαγραφή αρχείων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 65

66 O Πίνακας 7 περιλαμβάνει την αντιστοίχιση των ΤΠΙ με τις παραπάνω υπηρεσίες: Τεχνολογίες Υπηρεσίες Ανώνυμο ηλεκτρονικό ταχυδρομείο Ανώνυμη πλοήγηση στο Διαδίκτυο Δημιουργία Ψευδωνύμων Κρυπτογράφηση Αποκρυπτογράφηση Διήθηση Ψηφιακές υπογραφές Απευθείας ενημέρωση για πολιτικές προστασίας προσωπικών δεδομένων Διαγραφή αρχείων Κρυπτογραφία Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Αρχείων Φίλτρα Διαγραφή Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επαναταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 7: Κατηγοριοποίηση των ΤΠΙ με βάση την προσφερόμενη υπηρεσία Συσχέτιση των ΤΠΙ με απειλές κατά της ιδιωτικότητας Με βάση όσα έχουν αναφερθεί στις παραγράφους 2.6 και 2.7 κάθε επί μέρους ΤΠΙ μπορεί να χρησιμοποιηθεί για την αντιμετώπιση συγκεκριμένων απειλών κατά της ιδιωτικότητας των δεδομένων στο Διαδίκτυο. Η μεταξύ τους αντιστοίχιση δίνεται στον παρακάτω πίνακα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 66

67 Απειλές ΕΠΙΚΟΙΝΩΝΙΑΚΟ ΕΠΙΠΕΔΟ ΕΠΙΠΕΔΟ ΕΦΑΡΜΟΓΗΣ ΔΙΑΦΟΡΕΣ Τεχνολογίες προάσπισης Κρυπτογραφία Δρομολόγηση Πληροφορίες Καταλόγου Ping Ανάλυση κίνησης Δεδομένα Κίνησης 4 Περιεχόμενα Διαρροή φυλλομετρητών Αόρατοι υπερ-σύνδεσμοι Cookies Spamming Δεδομένα κίνησης Περιεχόμενα Μη εξουσιοδοτημένη πρόσβαση Παραβίαση πολιτικής προσωπικών δεδομένων Αυθεντικοποίηση ηλεκτρονικών συναλλαγών Ψηφιακές υπογραφές Διαχείριση cookies OPS Ολική Διαγραφή Αρχείων Φίλτρα Αναχώματα &Αντιπρόσωποι P3P Ψηφιακές Σφραγίδες PYKE Ανώνυμοι επαναταχυδρομητές Re-webbers Δίκτυα Ιδιωτικότητας Onion Routing Ψηφιακά πιστοποιητικά Δικτυοενδιάμεσοι Ανώνυμες Πληρωμές Πίνακας 8: Συσχέτιση ΤΠΙ με απειλές κατά της ιδιωτικότητας Συσχέτιση απειλών και αρχών ιδιωτικότητας που παραβιάζουν Ο Πίνακας 9 συσχετίζει τις απειλές με τις αρχές-δικαιώματα προστασίας δεδομένων (βλ ). 4 η δυνατότητα αυτή δίνεται στο ΙΡv6 Οικονομικό Πανεπιστήμιο Αθηνών Σελ 67

68 Απειλές Αρχές που προσβάλλονται Αρχή νομιμότητας-τιμιότητας Αρχή αναλογικότητας Αρχή σκοπού Αρχή ασφάλειας Δικαίωμα πρόσβασης Αρχή της ακρίβειας Χρόνος τήρησης (αρχή ανωνυμίας) Αρχή επίβλεψης Δρομολόγηση Πληροφορίες Καταλόγου Ping Ανάλυση κίνησης Δεδομένα Κίνησης Περιεχόμενα Διαρροή φυλλομετρητών Αόρατοι υπερ-σύνδεσμοι Cookies Spamming Δεδομένα κίνησης Περιεχόμενα Μη εξουσιοδοτημένη πρόσβαση Παραβίαση πολιτικής προστασίας προσωπικών δεδομένων Αυθεντικοποίηση ηλεκτρονικών συναλλαγών Πίνακας 9: Συσχέτιση απειλών και αρχών ιδιωτικότητας που προσβάλλονται Η συσχέτιση των στοιχείων του Πίνακα 8 με τα στοιχεία του Πίνακα 9, μας αποκαλύπτει τις ΤΠΙ που δύναται να χρησιμοποιηθούν για να υποστηρίξουν τις βασικές αρχές-δικαιώματα προστασίας δεδομένων. 2.8 Σύνοψη Τα γενικά συμπεράσματα που μπορούν να εξαχθούν από τη σύντομη ανασκόπηση του οργανοτεχνικού πλαισίου προστασίας δεδομένων είναι: η προστασία δεδομένων είναι υποσύνολο της προστασίας της ιδιωτικότητας. υπάρχουν δύο όψεις του δικαιώματος πληροφοριακού αυτοπροσδιορισμού του ατόμου: (α) η "αμυντική" αντιμετωπίζει την ιδιωτικότητα ως περιουσιακό στοιχείο και (β) η "επιθετική" αντιμετωπίζει την ιδιωτικότητα ως μέσο επικοινωνίας και ανάπτυξης της προσωπικότητας του ατόμου. Τα σύγχρονα νομικά κείμενα προστασίας έχουν επηρεασθεί και από τις δύο τάσεις. παρά την διαφορετικότητα των πλαισίων προστασίας δεδομένων, σε όλα τα νομικά κείμενα αναγνωρίζονται οι εξής ρόλοι: (α) Υποκείμενο επεξεργασίας, (β) Υπεύθυνος επεξεργασίας, (γ) Εκτελών την επεξεργασία και (δ) Αρχή Ελέγχου. παρά την διαφορετικότητα των πλαισίων προστασίας δεδομένων, σε όλα τα νομικά κείμενα αναγνωρίζονται οι παρακάτω αρχές-δικαιώματα που πρέπει να ισχύουν για την προστασία των προσωπικών δεδομένων: (1) αρχή της νομιμότητας και τιμιότητας (2) αρχή του σκοπού (3) αρχή της αναλογικότητας (4) αρχή της ακρίβειας (5) δικαίωμα πρόσβασης (6) αρχή της ασφάλειας (7) αρχή της ανωνυμίας και (8) αρχή της επίβλεψης. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 68

69 τα μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας για την υποστήριξη των αρχώνδικαιωμάτων διατυπώνονται σε ένα κείμενο που ονομάζεται πολιτική προστασίας δεδομένων. το Διαδίκτυο δεν έχει σχεδιασθεί με τρόπο που να διασφαλίζει την ασφάλεια και την ιδιωτικότητα των διακινούμενων πληροφοριών και για αυτό το λόγο είναι περιβάλλον εχθρικό προς την προστασία δεδομένων. υπάρχουν απειλές κατά της ασφάλειας των πληροφοριών που διακινούνται στο Διαδίκτυο και αντιμετωπίζονται από τις ΤΑΠΕ (Πίνακας 4). υπάρχουν απειλές κατά της ιδιωτικότητας (παραβίαση των αρχών ιδιωτικότητας) των πληροφοριών που διακινούνται στο Διαδίκτυο και αντιμετωπίζονται από τις ΤΠΙ (Πίνακας 8). υπάρχει συσχέτιση της ασφάλειας πληροφοριών και της προάσπισης προσωπικών δεδομένων. Η σχέση αυτή λειτουργεί σε δύο επίπεδα: (α) στο κανονιστικό επίπεδο υπογραμμίζεται από την ενσωμάτωση άρθρων που σχετίζονται με την ασφάλεια σε όλα τα σύγχρονα κείμενα προστασίας προσωπικών δεδομένων και (β) στο τεχνολογικό επίπεδο, είναι πολλές οι κοινές τεχνικές που εφαρμόζονται τόσο για την αντιμετώπιση απειλών ασφάλειας όσο και για την αντιμετώπιση απειλών κατά της ιδιωτικότητας στο Διαδίκτυο. οι περισσότερες ΤΠΙ χρησιμοποιούν κρυπτογραφικές μεθόδους για να επιτύχουν τους στόχους τους (κρυπτογραφία, ψηφιακές υπογραφές, ψηφιακές σφραγίδες, ανώνυμοι επαναταχυδρομητές, re-webbers, δίκτυα ιδιωτικότητας, onion routing, ψηφιακά πιστοποιητικά, δικτυοενδιάμεσοι 5, ανώνυμες πληρωμές). το πρώτο στάδιο προς την κατεύθυνση της εφαρμογής του υπάρχοντος οργανοτεχνικού πλαισίου στο Διαδίκτυο, είναι η διερεύνηση των απειλών κατά της ιδιωτικότητας και η συσχέτισή τους τόσο με τις τεχνολογίες προάσπισής της όσο και με τις βασικές αρχέςδικαιώματα προστασίας δεδομένων που αυτές παραβιάζουν. 5 Το υπάρχον μοντέλο δικτυοενδιάμεσων δεν κάνει χρήση κρυπτογραφικών μεθόδων. Θα δειχθεί όμως, κατά την διάρκεια της διατριβής, ότι αυτό το γεγονός αποτελεί πηγή κινδύνων κατά της ασφάλειας και της ιδιωτικότητας των πληροφοριών των χρηστών του. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 69

70 3 ΤΟ ΕΠΙΣΤΗΜΟΛΟΓΙΚΟ ΠΛΑΙΣΙΟ ΤΗΣ ΕΡΕΥΝΑΣ Στο κεφάλαιο αυτό επιχειρείται να καταγραφεί το επιστημολογικό πλαίσιο στο οποίο αναπτύσσεται η διατριβή. Θεωρείται ότι αυτό είναι ιδιαίτερα συγγενικό με το επιστημολογικό πλαίσιο των κοινωνικών επιστημών, άποψη η οποία έχει ήδη καταγραφεί τόσο στη θεωρία των συστημάτων όσο και στην οργανωσιακή θεωρία [CHE-81], [HIR-95]. Η θεωρία των συστημάτων ταξινομείται συχνά σε αναλογία με την κοινωνική θεωρία. Τα Παραδείγματα (paradigms) στη θεωρία των συστημάτων αντιστοιχούνται στα Παραδείγματα της κοινωνικής θεωρίας. Ο λόγος είναι ότι κάποιο αντικείμενο των θεωριών αυτών συμπίπτει, συνήθως είτε η έννοια της κοινωνίας είτε η έννοια του οργανισμού. Τα ζητήματα που καταγράφονται και διαμορφώνουν τα διαφορετικά Παραδείγματα, αφορούν κυρίως στην αντικειμενικότητα ή υποκειμενικότητα του ερευνητή και της παρατήρησής του και στη συναινετική ή συγκρουσιακή φύση των συστημάτων υπό μελέτη. Με βάση τις απαντήσεις που δίνονται στα ζητήματα αυτά, προκύπτουν και οι διαφοροποιήσεις στις μεθόδους έρευνας και μέτρησης [ΚΩΝ-02]. Αρχικά γίνεται μια σύντομη παρουσίαση των διαφορετικών Παραδειγμάτων-παραδοχών και παρουσιάζονται οι παραδοχές και η μεθοδολογία του ερευνητή. Στη συνέχεια επιχειρείται η απεικόνιση των παραδοχών αυτών στην προστασία δεδομένων στο διαδίκτυο. Αυτή η απεικόνιση στηρίζεται στην επισκόπηση του τομέα της προστασίας δεδομένων σε κανονιστικό και τεχνολογικό επίπεδο (βλ. Κεφάλαιο 2). 3.1 Οντολογικές και επιστημολογικές παραδοχές Κάθε ερευνητική προσπάθεια στηρίζεται σε κάποιες θεμελιώδεις παραδοχές, έστω και αν αυτές δεν εκφράζονται ρητά. Οι παραδοχές αυτές περιλαμβάνουν, μεταξύ άλλων [ΚΟΚ-02]: οντολογικές παραδοχές για τη φύση της (φυσικής και κοινωνικής) πραγματικότητας επιστημολογικές παραδοχές για την απόκτηση γνώσης σε σχέση με τον πραγματικό κόσμο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 70

71 μεθοδολογικές παραδοχές για τις μεθόδους και τα μέσα που μπορούν να χρησιμοποιηθούν για την απόκτηση γνώσης και την παρέμβαση στην κοινωνική πραγματικότητα. Το σύνολο των παραδοχών που γίνονται καθολικά αποδεκτές από μια επιστημονική κοινότητα αποκαλείται συνήθως παράδειγμα. Τα παραδείγματα στη θεωρία συστημάτων αντιστοιχίζονται στα παραδείγματα της κοινωνικής θεωρίας. Ο λόγος είναι ότι κάποιο αντικείμενο των θεωριών αυτών συμπίπτει, συνήθως είτε η έννοια της κοινωνίας είτε η έννοια του οργανισμού [ΚΩΝ-02]. Τέσσερα είναι τα παραδείγματα παραδοχών, σύμφωνα με τον Hirschheim και άλλους ερευνητές, και οριοθετούνται από δύο βασικούς άξονες: (α) υποκειμενικότητα-αντικειμενικότητα (subjective-objective) και (β) τάξη-σύγκρουση (orderconflict) [HIR-95], [BUR-79]. Στα τέσσερα τεταρτημόρια, που σχηματίζονται από τους δύο άξονες, εντάσσονται τέσσερα παραδείγματα (βλ. Σχήμα 7): Λειτουργισμός (functionalism) Ερμηνευτική προσέγγιση (interpretivism) Ριζοσπαστικός δομισμός (radical structuralism) Νεοανθρωπισμός (neohumanism) Σχήμα 7: Τέσσερα παραδείγματα στον τομέα των ΠΣ Οι δύο άξονες ερμηνεύονται ως εξής [ΚΟΚ-01]: 1. Ο άξονας "τάξη-σύγκρουση" εκφράζει την αντίθεση ανάμεσα στις απόψεις (α) ότι η κοινωνική πραγματικότητα χαρακτηρίζεται από τάξη (υπάρχουν δεδομένοι κοινωνικοί νόμοι αντίστοιχοι των φυσικών) και (β) ότι η κοινωνική πραγματικότητα χαρακτηρίζεται από τη σύγκρουση (ατόμων και ομάδων). 2. Ο άξονας "αντικειμενικότητα-υποκειμενικότητα" αναφέρεται στις απόψεις ότι (α) η κοινωνική πραγματικότητα μπορεί να μελετηθεί αντικειμενικά (από αντικειμενικούς παράγοντες), όπως η φυσική πραγματικότητα και (β) ότι η κοινωνική πραγματικότητα δεν μπορεί να μελετηθεί αντικειμενικά παρά μόνο να ερμηνευθεί υποκειμενικά. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 71

72 Η παράθεση των παραδοχών των τεσσάρων παραδειγμάτων, και η κριτική τους ανάλυση, θεωρείται ότι ξεφεύγει των ορίων της διατριβής και θα κουράσουν τον αναγνώστη. Για λόγους που σχετίζονται με την μεθοδολογία της παρούσας διατριβής (βλ. 3.2) παρατίθονται τα πολύ βασικά στοιχεία που αφορούν το παράδειγμα του λειτουργισμού και της ερμηνευτικής προσέγγισης: 1. Λειτουργισμός: ο λειτουργισμός αποτελεί το κυρίαρχο παράδειγμα στο χώρο των ΠΣ. Σύμφωνα με το λειτουργισμό, στη μελέτη των κοινωνικών φαινομένων πρέπει να αναζητούμε τις αιτίες που τα προκαλούν και τις λειτουργίες που πραγματοποιούνται. Βασίζεται στην υπόθεση ότι τα κοινωνικά φαινόμενα μπορούν να μελετηθούν με τον ίδιο τρόπο με τα φυσικά φαινόμενα. Η επίδραση του λειτουργισμού στο χώρο των ΠΣ αποτυπώνεται στις μεθόδους και πρακτικές με τις οποίες αντιμετωπίζονται τα ζητήματα ενώ η κατανόηση των ΠΣ επιχειρείται μέσα από αφαιρετικές κατασκευές (μοντέλα, τεχνικές απεικόνισης και καταγραφής), μεθόδους μάθησης και εξαγωγής γνώσης, καθώς και μέσα από νοητικά σχήματα (έννοιες, θεωρίες, υποθέσεις). Οι βασικές υποθέσεις του λειτουργισμού για τα ΠΣ περιλαμβάνουν [WIN-86], [ROB-97], [HIR-95]: υπόθεση της αντικειμενικής πραγματικότητας. Η άποψη αυτή υιοθετεί τις παραδοχές ότι κατοικούμε σε έναν "πραγματικό" κόσμο που αποτελείται από αντικείμενα που έχουν ιδιότητες και οι πράξεις μας λαμβάνουν χώρα σε αυτόν τον κόσμο. Επιπλέον, υπάρχουν αντικειμενικά γεγονότα για τον πραγματικό κόσμο τα οποία δεν εξαρτώνται από την ερμηνεία κάποιου ανθρώπου. μηχανιστική αντίληψη της κοινωνικής πραγματικότητας. Υπάρχουν γενικοί νόμοι με τους οποίους μπορούμε να προβλέψουμε και να ελέγξουμε την κοινωνική πραγματικότητα. Οι αντικειμενικοί στόχοι και τα προβλήματα είναι σαφή και καλά ορισμένα και επομένως ζητήματα πολιτικής είναι έξω από το πεδίο της επιστημονικής αναζήτησης. επαναλαμβανόμενες, αντικειμενικές και εμπειρικές παρατηρήσεις μπορούν να χρησιμοποιηθούν για την εξαγωγή γενικών συμπερασμάτων και συνεπώς η εμπειρία του παρελθόντος μπορεί να μας βοηθήσει για το μέλλον. 2. Ερμηνευτική προσέγγιση: η ερμηνευτική προσέγγιση στηρίζεται στις οντολογικές και επιστημολογικές της φαινομενολογίας, σύμφωνα με την οποία, δεν υπάρχει μια μοναδική πραγματικότητα, παρά μόνο διαφορετικές προσλήψεις της πραγματικότητας. Η καθημερινή πραγματικότητα κατασκευάζεται μέσα από τις ανθρώπινες δραστηριότητες. Οι βασικές υποθέσεις της ερμηνευτικής προσέγγισης για τα ΠΣ περιλαμβάνουν [ΚΟΚ-02]: η χρήση, ο σχεδιασμός και η μελέτη των ΠΣ είναι μια ερμηνευτική διαδικασία η υποκειμενικότητα είναι αναπόφευκτη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 72

73 δεν υπάρχουν σωστές ή λάθος θεωρίες παρά μόνο διαφορετικοί τρόποι να δούμε τον κόσμο ο αναλυτής παίζει το ρόλο του καταλύτη και του φορέα αλλαγών οι οργανισμοί δεν έχουν προκαθορισμένους και σταθερούς στόχους και δεν υπάρχουν καλά-ορισμένα προβλήματα προς επίλυση. Οι μεθοδολογίες που ακολουθούν το Paradigm I, ονομάζονται συστηματικές και στηρίζονται στις παρακάτω παραδοχές: 1. Η πραγματικότητα, όπως την αντιλαμβανόμαστε, είναι συστημική, δηλαδή ο κόσμος περιέχει συστήματα και 2. Η μεθοδολογία που χρησιμοποιείται για την διερεύνηση της πραγματικότητας δύναται να είναι συστηματική. Οι συστηματικές μεθοδολογίες, ακολουθώντας το παράδειγμα του λειτουργισμού, αντιμετωπίζουν την συμπλοκότητα του προβλήματος κατά τρόπο συστηματικό, βήμα προς βήμα, αναλύοντας το πρόβλημα σε μικρότερα προβλήματα, τα οποία επιλύουν ένα προς ένα. Χαρακτηριστικό των συστηματικών μεθοδολογιών είναι ο προσδιορισμός καλά ορισμένων σταδίων και βημάτων τα οποία εκτελούνται σειριακά. Σε αυτή την κατηγορία, για παράδειγμα, ανήκουν οι μεθοδολογίες που στηρίζονται στον παραδοσιακό κύκλο ζωής, όπου το πρόβλημα της ανάπτυξης και λειτουργίας ενός ΠΣ ανάγεται σε μικρότερα προβλήματα, όπως η ανάλυση απαιτήσεων, ο σχεδιασμός, η υλοποίηση κ.λ.π. Οι μεθοδολογίες που ακολουθούν το Paradigm ΙI, ονομάζονται συστημικές και στηρίζονται στις παρακάτω παραδοχές: 1. Η πραγματικότητα έτσι όπως την αντιλαμβανόμαστε είναι προβληματική, ενώ 2. Η μεθοδολογία που χρησιμοποιείται για την διερεύνηση της πραγματικότητας δύναται να είναι συστημική. Εδώ, οι μεθοδολογίες δεν χρησιμοποιούνται για την επίλυση καλά ορισμένων προβλημάτων, αλλά χρησιμοποιούνται για την αντιμετώπιση μιας προβληματικής κατάστασης, με σκοπό να επιτύχουν τη βελτίωση της κατάστασης. Η πραγματικότητα, εφόσον μας ενδιαφέρει, είναι προβληματική και εμείς βρισκόμαστε απέναντι, ή μέσα, σε μια προβληματική κατάσταση. Η προβληματική κατάσταση όμως, δεν μπορεί να αναλυθεί σε επιμέρους καλά-ορισμένα προβλήματα και η επίλυση των τελευταίων δεν μπορεί να οδηγήσει σε πλήρη άρση της προβληματικότητας. Στο Paradigm ΙI οι μεθοδολογίες είναι συστημικές, δηλαδή οι ίδιες οι μεθοδολογίες μπορούν να ειδωθούν ως συστήματα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 73

74 3.2 Η μεθοδολογία της παρούσας έρευνας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Κάθε ερευνητική προσπάθεια υιοθετεί κάποιες θεμελιώδεις παραδοχές, οι οποίες αφενός καθορίζουν τον τρόπο που ο ερευνητής προσεγγίζει το αντικείμενό του αφετέρου χρησιμεύουν στον αναγνώστη για την κατανόηση της λογικής δομής της προσπάθειας. Ο κάθε ερευνητής μπορεί να επιλέξει από ένα πλήθος προσεγγίσεων Παραδοχές της έρευνας Αναγνωρίζοντας την ανάγκη μιας τεχνολογικής διαδικτυακής Υποδομής Προστασίας Δεδομένων σε παγκόσμιο επίπεδο η οποία είναι ανεξάρτητη τεχνολογίας υλοποίησης, ο ερευνητής ξεκινά από το εννοιολογικό-αφαιρετικό μοντέλο προστασίας δεδομένων, το οποίο προκύπτει από τη μελέτη των διεθνών νομικών και κανονιστικών κειμένων, και θα προτείνει ένα εικονικό-λειτουργικό μοντέλο της, υιοθετώντας, κατά κύριο λόγο, το παράδειγμα του λειτουργισμού. Οι κύριες παραδοχές, για την επίτευξη αυτού του σκοπού, που υιοθετούνται στην παρούσα διατριβή είναι: 1. Το πλαίσιο προστασίας δεδομένων, ως ένα ΠΣ το οποίο επεξεργάζεται προσωπικά δεδομένα, εμπεριέχει ένα αφαιρετικό μοντέλο (ρόλοι και μεταξύ τους σχέσεις) που προέρχεται από τον πραγματικό κόσμο και ένα μηχανισμό αντίληψης πραγματικών γεγονότων και μεταγλώττισής τους σε αυτό το μοντέλο (Υπόθεση αντικειμενικής πραγματικότητας). Το μοντέλο κατασκευάζεται με βάση τους ρόλους και τις γενικές αρχές της προστασίας δεδομένων (βλ ). 2. Δεδομένου του προηγούμενου αφαιρετικού μοντέλου, αντικειμενικό στόχος της διατριβής είναι η συγκρότηση του εικονικού-λειτουργικού μοντέλου. 3. Για την μετάβαση από το αφαιρετικό-εννοιολογικό στο εικονικό μοντέλο, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη υπηρεσίες μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης Μεθοδολογία της έρευνας Η έρευνα που παρουσιάζεται, ασχολείται με το ζήτημα της προστασίας δεδομένων στο διαδίκτυο και συγκεκριμένα με την συγκρότηση ενός εικονικού μοντέλου προστασίας δεδομένων που λαμβάνει υπ' όψη του το οργανοτεχνικό πλαίσιο προστασίας δεδομένων. Η έρευνα επικεντρώθηκε στην αντιμετώπιση τριών ζητημάτων: Ζήτημα 1 ο. Αποτύπωση του εννοιολογικού-αφαιρετικού μοντέλου αναφοράς των διαφορετικών μοντέλων ιδιωτικότητας. Ζήτημα 2 ο. Αντιμετώπιση τεχνολογικών ζητημάτων που εμποδίζουν την δημιουργία μιας κλιμακούμενης, επεκτάσιμης και στηριγμένης σε πρότυπα διαδικτυακής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 74

75 Ζήτημα 3 ο. Αποτύπωση μοντέλου αναφοράς και συγκρότηση λειτουργικού μοντέλου της τεχνολογικής διαδικτυακής ΥΠΔ. Η αντιμετώπιση του πρώτου ζητήματος στηρίχθηκε: 1. Στη βιβλιογραφική μελέτη των πιο γνωστών κανονιστικών πλαισίων προστασίας δεδομένων. 2. Στη βιβλιογραφική και συγκριτική μελέτη των ΤΠΙ. Το αποτέλεσμα της ερευνητικής προσπάθειας είναι η αποτύπωση ενός αφαιρετικού εννοιολογικού μοντέλου αναφοράς, το οποίο είναι ανεξάρτητο μοντέλου ιδιωτικότητας, της προστασίας δεδομένων. Το μοντέλο περιγράφει τους ρόλους (βλ ), τις σχέσεις (βλ ) που αναπτύσσονται από τις μεταξύ τους αλληλεπιδράσεις και το απαραίτητο τεχνολογικό υπόβαθρο της υποστήριξής τους στο διαδικτυακό περιβάλλον. Η αντιμετώπιση του δεύτερου ζητήματος στηρίχθηκε στα εξής: 1. Βιβλιογραφική και συγκριτική μελέτη των τεχνολογιών που υποστηρίζουν, απευθείας, κάθε μια από τις σχέσεις που προσδιορίσθηκαν από την επίλυση του πρώτου ζητήματος. 2. Εντοπισμός τεχνολογικών ζητημάτων με βάση βιβλιογραφικές αναφορές και την παρατήρηση του ερευνητή. 3. Αντιμετώπιση των εντοπισθέντων τεχνολογικών ζητημάτων με την πρόταση για ανάλογους μηχανισμούς που αξιοποιούν τις υπηρεσίες του μοντέλου που προέκυψε από την έρευνα του πρώτου ζητήματος. Για την περιγραφή των μηχανισμών, ανάλογα με την περίπτωση, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: ανάλυση απαιτήσεων χρήστη καθορισμός υπηρεσιών μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης λεπτομέρειες σχεδίασης λειτουργικών μονάδων. Το αποτέλεσμα της ερευνητικής προσπάθειας συνίσταται στην ανάλυση των επιμέρους σχέσεων του εννοιολογικού-αφαιρετικού μοντέλου με στόχο την πρόταση για μηχανισμούς που υποστηρίζουν το λειτουργικό μοντέλο της διαδικτυακής τεχνολογικής ΥΠΔ. Τμήματα της συγκεκριμένης έρευνας έχουν πραγματοποιηθεί στα πλαίσια Ευρωπαϊκών ερευνητικών προγραμμάτων και η ορθότητά τους έχει ελεγχθεί από τις αρμόδιες αρχές της ΕΕ. Η αντιμετώπιση του τρίτου ζητήματος στηρίχθηκε στα εξής: 1. Σύνθεση των προσεγγίσεων που προτάθηκαν κατά την διάρκεια αντιμετώπισης του δεύτερου ζητήματος. 2. Για την συγκρότηση του λειτουργικού μοντέλου, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: ανάλυση απαιτήσεων χρήστη Οικονομικό Πανεπιστήμιο Αθηνών Σελ 75

76 καθορισμός υπηρεσιών μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική. Το αποτέλεσμα της ερευνητικής προσπάθειας συνίσταται στην αποτύπωση του λειτουργικού μοντέλου της τεχνολογικής διαδικτυακής ΥΠΔ λαμβάνοντας υπ' όψη τα αποτελέσματα από την αντιμετώπιση του δεύτερου ζητήματος της έρευνας. Η σύνθεση των συμπερασμάτων της παραπάνω έρευνας αποτελεί το ζητούμενο εικονικό-λειτουργικό μοντέλο. 3.3 Εννοιολογικό μοντέλο προστασίας δεδομένων Για την αποτύπωση του εννοιολογικού μοντέλου προστασίας δεδομένων απαιτείται ο προσδιορισμός των ρόλων και των μεταξύ τους σχέσεων (βλ. Σχήμα 8). Οι ρόλοι που αναγνωρίζονται στο υπάρχον οργανοτεχνικό πλαίσιο προστασίας δεδομένων είναι (βλ 2.1.6): υποκείμενο επεξεργασίας, υπεύθυνος επεξεργασίας, εποπτεύουσα Αρχή και εκτελών την επεξεργασία. Οι σχέσεις μεταξύ των παραπάνω ρόλων οριοθετούνται από τις εξής βασικές αρχές-δικαιώματα προστασίας προσωπικών δεδομένων: αρχή της νομιμότητας και τιμιότητας, αρχή του σκοπού, αρχή της αναλογικότητας, αρχή της ακρίβειας, δικαίωμα πρόσβασης, αρχή της ασφάλειας, αρχή της ανωνυμίας και αρχή της επίβλεψης. Σχήμα 8: Εννοιολογικό μοντέλο αναφοράς προστασίας δεδομένων Οικονομικό Πανεπιστήμιο Αθηνών Σελ 76

77 Για να αποτελέσει το εννοιολογικό μοντέλο αναφοράς της προστασίας δεδομένων το εφαλτήριο για τη συγκρότηση του μοντέλου αναφοράς της τεχνολογικής διαδικτυακής ΥΠΔ πρέπει να χρησιμοποιηθούν οι ΤΠΙ (βλ ). Επιπλέον, και σύμφωνα με όσα περιγράφηκαν στην παράγραφο 2.8, οι ΤΑΠΕ αποτελούν την βάση για την υποστήριξη των ΤΠΙ. 3.4 Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Το πρώτο βήμα προς την κατεύθυνση περιγραφής του λειτουργικού μοντέλου Υποδομής Προστασίας Δεδομένων στο Διαδίκτυο, είναι η τεκμηρίωση του γεγονότος ότι η προστασία δεδομένων αποτελεί ένα ΠΣ το οποίο επεξεργάζεται προσωπικές πληροφορίες. Στην συνέχεια, θα καταγραφούν οι απαιτήσεις χρήσης του ΠΣ, και οι υπηρεσίες που θα προσφέρει Η προστασία προσωπικών δεδομένων ως σύστημα Οι παραπάνω ρόλοι και αρχές-δικαιώματα συνιστούν ένα σύστημα το οποίο διαμορφώθηκε με την πάροδο του χρόνου, σύμφωνα με όσα αναφέρθηκαν στο Κεφάλαιο 2 της διατριβής, και έχει σαν σκοπό την προστασία των προσωπικών δεδομένων. Η εισαγωγή της έννοιας του συστήματος έδωσε τη δυνατότητα να αναπτυχθεί μία γενική θεωρία για τη μελέτη και ερμηνεία των φυσικών και κοινωνικών φαινομένων. Η θεωρία αυτή είναι γνωστή ως Γενική Θεωρία Συστημάτων και ασχολείται με την ανάλυση των χαρακτηριστικών μίας οντότητας, σύμφωνα με τα οποία μπορεί να θεωρηθεί ότι αποτελεί ένα σύστημα. Ένας συχνά χρησιμοποιούμενος ορισμός για την έννοια σύστημα έχει δοθεί από το [SCH-90]: Σύστημα είναι ένα σύνολο από αντικείμενα μαζί με τις σχέσεις μεταξύ των αντικειμένων και των γνωρισμάτων τους, τα οποία είναι σε αλληλοσυσχέτιση μεταξύ τους και με το περιβάλλον, έτσι ώστε να αποτελούν μία ολότητα. Στο Οικονομικό Πανεπιστήμιο Αθηνών Σελ 77

78 Σχήμα 9 απεικονίζεται το πλαίσιο προστασίας δεδομένων ως σύστημα του οποίου: τα αντικείμενα είναι οι ρόλοι που εμπλέκονται σε αυτό η συλλογή, επεξεργασία και διαβίβαση δεδομένων καθορίζουν τις σχέσεις μεταξύ των αντικειμένων οι βασικές αρχές-δικαιώματα προστασίας δεδομένων αποτελούν τα γνωρίσματα των αντικειμένων και καθορίζουν τη νομιμότητα των μεταξύ τους σχέσεων η αλληλοσυσχέτιση μεταξύ των διαφορετικών ρόλων του συστήματος πηγάζει από την επεξεργασία των προσωπικών δεδομένων που λαμβάνει χώρα εντός του συστήματος. η συλλογή των δεδομένων αποτελεί την είσοδο και η διαβίβασή τους αποτελεί την έξοδο του συστήματος. Η αλληλοσυσχέτιση με το περιβάλλον στηρίζεται στην συλλογή και διαβίβαση των δεδομένων από και προς το περιβάλλον. Στα παλαιότερα νομικά συστήματα, η προστασία της ιδιωτικότητας είχε κατασταλτικό (postactive) χαρακτήρα. Ο νόμος επιβαλλόταν κατόπιν του τετελεσμένου γεγονότος. Αντίθετα, στα σύγχρονα νομοθετικά κείμενα, η προστασία προσωπικών δεδομένων λαμβάνει χαρακτήρα συστημικού δικαίου με προληπτικό (proactive) χαρακτήρα, πράγμα που σημαίνει ότι ρυθμίζει κανονιστικά την επεξεργασία προσωπικών δεδομένων σε όλες τις φάσεις της: (α) στην αλληλεπίδραση του συστήματος με το περιβάλλον (συλλογή-είσοδος, διαβίβασηέξοδος) και (β) εντός του ίδιου του συστήματος (επεξεργασία) [DON-98]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 78

79 Σχήμα 9: Η προστασία προσωπικών δεδομένων ως σύστημα Γενικά διακρίνονται τέσσερις κατηγορίες συστημάτων: (1) φυσικά συστήματα, (2) σχεδιασμένα φυσικά συστήματα, (3) σχεδιασμένα αφηρημένα συστήματα και (4) συστήματα ανθρώπινης δραστηριότητας. Τα πρώτα δημιουργούνται και λειτουργούν, χωρίς να απαιτείται η παρέμβαση του ανθρώπου (π.χ. πλανητικό σύστημα), τα δεύτερα είναι κατασκευασμένα από τον άνθρωπο και έχουν φυσική υπόσταση (π.χ. τεχνητή λίμνη), τα τρίτα έχουν κατασκευαστεί από τον άνθρωπο, αλλά έχουν μόνο νοητική υπόσταση (π.χ. αριθμητικό σύστημα) και τέλος τα συστήματα ανθρώπινης δραστηριότητας είναι εκείνα που ορίζονται στο [CHE-98] ως: Ένα νοητικό σκόπιμο σύστημα, το οποίο εκφράζει κάποια σκόπιμη ανθρώπινη δραστηριότητα, η οποία θα μπορούσε γενικά να υπάρξει στον πραγματικό κόσμο. Αυτά τα συστήματα είναι νοητικά με την έννοια ότι δεν είναι περιγραφές δραστηριοτήτων του πραγματικού κόσμου (που είναι ένα εξαιρετικά περίπλοκο φαινόμενο), αλλά είναι διανοητικά κατασκευάσματα. Είναι ιδεατοί τύποι που χρησιμοποιούνται σε ένα διάλογο για τις πιθανές αλλαγές που μπορούν να γίνουν σε μία προβληματική κατάσταση του πραγματικού κόσμου. Ειδικά για τα συστήματα ανθρώπινης δραστηριότητας, ιδιαίτερη σημασία έχουν δύο χαρακτηριστικά τους: η αναζήτηση ενός σκοπού και ο δυναμικός τους χαρακτήρας. Τα συστήματα ανθρώπινης δραστηριότητας συγκροτούνται και λειτουργούν για την επίτευξη κάποιου σκοπού. Αυτό δεν σημαίνει ότι ο σκοπός είναι πάντα δεδομένος και σαφής ή ότι όλα τα συμμετέχοντα μέρη αντιλαμβάνονται το σκοπό του συστήματος με τον ίδιο τρόπο. Το σύστημα προστασίας δεδομένων είναι ένα σύστημα ανθρώπινης δραστηριότητας διότι: 1. Οι πληροφορίες που προστατεύονται αναφέρονται σε ανθρώπους (προσωπικές ή ευαίσθητες, βλ ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ 79

80 2. Είναι ένα νοητικό σύστημα καθώς η προστασία δεδομένων δεν υπάρχει στον φυσικό κόσμο (δεν είναι φυσικό φαινόμενο). 3. Εμπεριέχει την έννοια της αλλαγής με την πάροδο του χρόνου. 4. Ο τελικός σκοπός των στοιχείων του συστήματος προστασίας προσωπικών δεδομένων, ως μία ολότητα, είναι η προστασία των προσωπικών δεδομένων των υποκειμένων χωρίς αυτό να αποτελεί εμπόδιο στην εύρυθμη λειτουργία της ανθρώπινης κοινωνίας. Τα ΠΣ είναι συστήματα ανθρώπινης δραστηριότητας [ΚΟΚ-00]: Πληροφοριακό σύστημα είναι ένα σύστημα ανθρώπινης δραστηριότητας το οποίο αποτελείται από πέντε στοιχεία: ανθρώπους, λογισμικό, υλικό, διαδικασίες και δεδομένα, τα οποία αλληλεπιδρούν μεταξύ τους και με το περιβάλλον, με σκοπό την παραγωγή και διαχείριση πληροφορίας για την υποστήριξη ανθρώπινων δραστηριοτήτων, στα πλαίσια ενός οργανισμού. Το σύστημα προστασίας δεδομένων είναι ένα ΠΣ καθώς είναι ένα σύστημα ανθρώπινης δραστηριότητας και υπό τον όρο, στα πλαίσια της παρούσας διατριβής, να γίνουν οι παρακάτω παραδοχές: 1. Η επεξεργασία των προσωπικών δεδομένων γίνεται είτε με χρήση αυτοματοποιημένων (υλικό, λογισμικό, Διαδίκτυο) είτε μη αυτοματοποιημένων διαδικασιών. 2. Η επεξεργασία δεδομένων δεν γίνεται μόνο στα πλαίσια ενός οργανισμού αλλά και στα πλαίσια μιας κοινότητας που υιοθετεί κάποιο από τα μοντέλα ιδιωτικότητας. Από τα παραπάνω. μπορούμε να διατυπώσουμε τον παρακάτω ορισμό για την διαδικτυακή Υποδομή Προστασίας Δεδομένων (ΥΠΔ): Η διαδικτυακή Υποδομή Προστασίας Δεδομένων είναι ένα Πληροφοριακό Σύστημα, με σκοπό την προστασία δεδομένων στο Διαδίκτυο, στα πλαίσια μιας συλλογικότητας που ακολουθεί ένα συγκεκριμένο μοντέλο ιδιωτικότητας. Για την περιγραφή της ΥΠΔ ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη υπηρεσίες μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική Απαιτήσεις χρήστη Με βάση τους παράγοντες που αποτέλεσαν το κίνητρο της παρούσας διατριβής (βλ. 1.2) και τις διαπιστώσεις από την αποτύπωση του υπάρχοντος πλαισίου προστασίας δεδομένων (βλ. 2.8), καταγράφονται οι παρακάτω απαιτήσεις χρήσης, ανά ρόλο, της τεχνολογικής διαδικτυακής ΥΠΔ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 80

81 Λειτουργικές απαιτήσεις Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Υπεύθυνος επεξεργασίας 1. Υποστήριξη των αρχών-δικαιωμάτων προστασίας δεδομένων (βλ ). Ο υπεύθυνος επεξεργασίας ενδιαφέρεται για τις εξής αρχές-δικαιώματα προστασίας: αρχή της νομιμότητας και τιμιότητας. Η νομιμότητα συλλογής και επεξεργασίας αναφέρεται στο γεγονός ότι το υποκείμενο επεξεργασίας πρέπει να λαμβάνει γνώση των δεδομένων που συλλέγονται (διαφάνεια). Η τιμιότητα αναφέρεται στο γεγονός ότι ο τρόπος που ο υπεύθυνος συλλέγει και επεξεργάζεται τα προσωπικά δεδομένα επηρεάζει την εμπιστοσύνη των υποκειμένων επεξεργασίας. Για το λόγο αυτό πρέπει να ενημερώνεται το υποκείμενο σχετικά με τις διαδικασίες επεξεργασίας και να μην υπάρχουν αποκλείσεις από την ενημέρωση που έχει λάβει το υποκείμενο. αρχή του σκοπού. Τα δεδομένα πρέπει να συλλέγονται για συγκεκριμένο και νόμιμο σκοπό. αρχή της αναλογικότητας: Δεν πρέπει να συλλέγονται προσωπικά δεδομένα που δεν σχετίζονται με τον σκοπό συλλογής και επεξεργασίας. αρχή της ακρίβειας. Μη εξουσιοδοτημένη πρόσβαση και αλλαγή στα προσωπικά δεδομένα πρέπει να αποτρέπεται. δικαίωμα πρόσβασης. Πρέπει να παρέχεται στο υποκείμενο επεξεργασίας η πρόσβαση στα προσωπικά δεδομένα που το αφορούν. αρχή της ασφάλειας. Πρέπει να λαμβάνονται όλα τα οργανοτεχνικά μέτρα που είναι απαραίτητα για την προστασία της ασφάλειας των δεδομένων. Η επάρκεια των μέτρων πρέπει να είναι εύκολο να αποδειχθεί. αρχή της ανωνυμίας. Τα δεδομένα πρέπει να διατηρούνται για συγκεκριμένο χρονικό διάστημα. αρχή της επίβλεψης. Σε περιπτώσεις ελέγχου από την αρμόδια Αρχή Ελέγχου πρέπει να είναι εύκολη η απόδειξη της επάρκειας των μέτρων προστασίας. Επιπλέον, η πολιτική προστασίας δεδομένων (βλ ) πρέπει να υποβάλλεται για έλεγχο από την αρμόδια Αρχή Ελέγχου και τα υποκείμενα επεξεργασίας να μπορούν να επιβεβαιώσουν την εγκυρότητά της. 2. Παράκαμψη ανωνυμίας σε περιπτώσεις διενέξεων. Οι τεχνολογίες ανωνυμίας (ή ψευδωνυμίας) που ενδέχεται να χρησιμοποιεί το υποκείμενο, πρέπει να παρέχουν τη δυνατότητα αποκάλυψης της ταυτότητάς του σε περιπτώσεις διενέξεων με τον υπεύθυνο επεξεργασίας. Στη συνέχεια, ο υπεύθυνος επεξεργασίας (ή κάποιος έμπιστος αντιπρόσωπος) Οικονομικό Πανεπιστήμιο Αθηνών Σελ 81

82 θα χρησιμοποιήσει την ταυτότητα ως αποδεικτικό στοιχείο για την επίλυση της διένεξης παρουσιάζοντάς τη σε κάποιο δικαστήριο ή ανεξάρτητη Διοικητική Αρχή Αρχή Ελέγχου Υποστήριξη της αρχής επίβλεψης (βλ ). Η Αρχή Ελέγχου ενδιαφέρεται πρώτιστα, οι υπεύθυνοι, να συμπεριφέρονται με υπεύθυνο τρόπο απέναντι στα υποκείμενα επεξεργασίας, σχετικά με τις δεσμεύσεις που αναλαμβάνουν ανακοινώνοντας την πολιτική προστασίας δεδομένων. Για το λόγο αυτό πρέπει να ελέγχουν τους υπεύθυνους επεξεργασίας και ταυτόχρονα να παρέχεται η δυνατότητα στα υποκείμενα να επιβεβαιώσουν την διενέργεια ελέγχου Υποκείμενο επεξεργασίας 1. Υποστήριξη των αρχών-δικαιωμάτων προστασίας δεδομένων. Το υποκείμενο επεξεργασίας ενδιαφέρεται για τις εξής αρχές-δικαιώματα προστασίας: αρχή της νομιμότητας και τιμιότητας. Η νομιμότητα συλλογής και επεξεργασίας αναφέρεται στο γεγονός ότι το υποκείμενο επεξεργασίας πρέπει να λαμβάνει γνώση των δεδομένων που συλλέγονται (διαφάνεια). Η τιμιότητα αναφέρεται στο γεγονός ότι, το υποκείμενο πρέπει να ενημερώνεται σχετικά με τις διαδικασίες επεξεργασίας και να μην υπάρχουν αποκλίσεις από την ενημέρωση που έχει λάβει το υποκείμενο. αρχή του σκοπού. Τα δεδομένα πρέπει να συλλέγονται για συγκεκριμένο και νόμιμο σκοπό. αρχή της αναλογικότητας. Πρέπει να παρέχονται οι ελάχιστες δυνατές προσωπικές πληροφορίες που είναι απαραίτητες για την εξυπηρέτηση του σκοπού συλλογής. αρχή της ακρίβειας. Οι προσωπικές πληροφορίες που διατηρεί ο υπεύθυνος επεξεργασίας πρέπει να είναι ακριβείς. δικαίωμα πρόσβασης. Το υποκείμενο επεξεργασίας πρέπει να έχει πρόσβαση στα προσωπικά δεδομένα που το αφορούν. αρχή της ασφάλειας. Τα οργανοτεχνικά μέτρα που λαμβάνει ο υπεύθυνος επεξεργασίας για την προστασία της ασφάλειας των δεδομένων πρέπει να ανακοινώνονται στο υποκείμενο επεξεργασίας. αρχή της ανωνυμίας. Τα δεδομένα πρέπει να διατηρούνται για συγκεκριμένο χρονικό διάστημα. αρχή της επίβλεψης. Το υποκείμενο επεξεργασίας ενδιαφέρεται να λαμβάνει έγκυρη ενημέρωση σχετικά με το γεγονός ότι ο υπεύθυνος επεξεργασίας σέβεται τις αρχέςδικαιώματα προστασίας δεδομένων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 82

83 2. Επιλογή αποκάλυψης ταυτότητας. Το υποκείμενο επεξεργασίας πρέπει να έχει τη δυνατότητα να επιλέξει αν θέλει να παραχωρήσει τα προσωπικά του στοιχεία ή να παραμείνει ανώνυμο (βλ ) Μη λειτουργικές απαιτήσεις Ανεξαρτήτως ρόλου, οι οντότητες που συμμετέχουν στην τεχνολογική διαδικτυακή ΥΠΔ έχουν τις παρακάτω μη λειτουργικές απαιτήσεις: 1. Απαίτηση για προστασία από τις απειλές κατά της ασφάλειας των πληροφοριών στο Διαδίκτυο (βλ. 2.4). 2. Απαίτηση για προστασία από τις απειλές κατά της ιδιωτικότητας πληροφοριών στο Διαδίκτυο (βλ ). 3. Απαίτηση για τεχνολογίες που ενσωματώνονται εύκολα και είναι συμβατές με την υπάρχουσα διαδικτυακή υποδομή. Όπως παρατηρεί ο αναγνώστης οι ανάγκες του χρήστη, που αναφέρεται ως εκτελών την επεξεργασία, δεν έχουν συμπεριληφθεί στον κατάλογο των απαιτήσεων χρήσης. Ο λόγος για τον οποίο έγινε αυτό, σχετίζεται με το γεγονός ότι σε όλα τα κανονιστικά πλαίσια προστασίας δεδομένων, η ευθύνη της τήρησης των διατάξεων του νόμου βαρύνει τον υπεύθυνο επεξεργασίας, ο οποίος, για να περιχαρακώσει την προστασία των δεδομένων, που διαβιβάζει στον εκτελούντα την επεξεργασία, υπογράφει συμφωνία που περιέχει ειδικές παραγράφους περί εχεμύθειας και τήρησης απορρήτου των δεδομένων [OEC-97]. Η υπογραφή τέτοιου είδους συμφωνιών δεν αποτελεί αντικείμενο της παρούσας έρευνας Υπηρεσίες Το λειτουργικό μοντέλο της τεχνολογικής διαδικτυακής ΥΠΔ, θα προσφέρει ένα σύνολο υπηρεσιών που ικανοποιούν τις απαιτήσεις χρήσης. Μια υπηρεσία μπορεί να καλύπτει μια ή περισσότερες απαιτήσεις και μια ή περισσότερες υπηρεσίες μπορούν να καλύπτουν διαφορετικά τμήματα μιας συγκεκριμένης απαίτησης. Επιπλέον, σε μια υπηρεσία μπορεί να αναμειγνύονται ένας ή περισσότεροι ρόλοι. Αυτό έχει σαν αποτέλεσμα την διάσπαση της λειτουργίας σε επί μέρους λειτουργίες. Η λεπτομερής ανάλυση των υπηρεσιών δεν γίνεται σε αυτό το σημείο αλλά στα υπόλοιπα κεφάλαια της διατριβής. Η επιλογή αυτή στηρίχθηκε στο γεγονός ότι η παρουσίαση, μέρους εκ, των υπηρεσιών είναι αρκετά σύνθετη και για το λόγο αυτό αφιερώνεται ένα κεφάλαιο σε κάθε μια. Στο σημείο αυτό θα γίνει μόνο μια συνοπτική παρουσίασή τους Υπηρεσία πρόσβασης σε ανώνυμα περιγράμματα Κανένα κανονιστικό πλαίσιο προστασίας δεδομένων δεν απαγορεύει την δημιουργία και επεξεργασία ανώνυμων περιγραμμάτων καταναλωτικής συμπεριφοράς των υποκειμένων. Κατ' αυτή την έννοια η δημιουργία και επεξεργασία ανώνυμων περιγραμμάτων: Οικονομικό Πανεπιστήμιο Αθηνών Σελ 83

84 (α) είναι ανεξάρτητη μοντέλου ιδιωτικότητας και δύναται να συμπεριληφθεί στην ΥΠΔ. (β) σχετίζεται με την απαίτηση τήρησης της αρχής της νομιμότητας, γιατί όλα τα πλαίσια προστασίας δεδομένων νομιμοποιούν τη συλλογή και επεξεργασία ανώνυμων περιγραμμάτων. (γ) σχετίζεται με την απαίτηση τήρησης της αρχής της αναλογικότητας, γιατί δεν διαβιβάζονται προσωπικά δεδομένα Υπηρεσία ενημέρωσης Η υπηρεσία αυτή σχετίζεται με την ανάγνωση, από το υποκείμενο επεξεργασίας, της πολιτικής προστασίας δεδομένων του υπευθύνου επεξεργασίας. Την χρησιμοποιεί και ο υπεύθυνος επεξεργασίας για να δημιουργήσει την πολιτική προστασίας δεδομένων, σε μορφότυπο κατάλληλο για ανάγνωση στο Διαδίκτυο. Στην πολιτική προστασίας δεδομένων συμπεριλαμβάνονται όλα τα μέτρα που λαμβάνει ο υπεύθυνος για να προασπίσει τις βασικές αρχές-δικαιώματα προστασίας δεδομένων. Κάνοντας χρήση αυτής της υπηρεσίας: (α) ο υπεύθυνος επεξεργασίας μπορεί να προσδιορίσει την πολιτική προστασίας δεδομένων του, και (β) το υποκείμενο επεξεργασίας μπορεί να προσδιορίσει την πολιτική προστασίας δεδομένων του και να διαπραγματευθεί τις απαιτήσεις ιδιωτικότητάς του με την πολιτική του υπευθύνου επεξεργασίας Υπηρεσία επίβλεψης Η υπηρεσία αυτή σχετίζεται με την απαίτηση για διατήρηση της αρχής επίβλεψης και περιλαμβάνει τις παρακάτω επιμέρους λειτουργίες: (1) Υποβολή πολιτικής προστασίας δεδομένων από τον υπεύθυνο επεξεργασίας στην Αρχή Ελέγχου για έλεγχο, (2) Έλεγχος και έκδοση σφραγίδας πιστοποίησης της πολιτικής προστασίας δεδομένων και (3) Επικύρωση της σφραγίδας από το υποκείμενο Υπηρεσία ασφάλειας Σχετίζεται με την απαίτηση για τήρηση της αρχής ασφάλειας από την πλευρά του υπευθύνου επεξεργασίας και περιλαμβάνει τις εξής γενικές λειτουργίες: (1) Καθορισμός μέτρων ασφάλειας και, (2) Διαχείριση μέτρων ασφάλειας Υπηρεσία πρόσβασης Σχετίζεται με το δικαίωμα πρόσβασης του υποκειμένου στα προσωπικά του δεδομένα και περιλαμβάνει τις παρακάτω επιμέρους λειτουργίες: (1) Αίτηση από το υποκείμενο προς τον υπεύθυνο επεξεργασίας και (2) Παροχή πρόσβασης από τον υπεύθυνο επεξεργασίας στα προσωπικά δεδομένα του υποκειμένου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 84

85 Υπηρεσία επιλογής αποκάλυψης ταυτότητας Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο Καλύπτει την απαίτηση του υποκειμένου να επιλέγει αν θα παραχωρήσει τα προσωπικά του δεδομένα ή θα παραμείνει ανώνυμος. Περιλαμβάνει τις εξής επιμέρους υπηρεσίες: (1) Ανωνυμία, (2) Ψευδωνυμία και (3) Προστασία δεδομένων. Τέλος, η παράκαμψη ανωνυμίας δεν θα παρέχεται σαν μια ανεξάρτητη υπηρεσία, αλλά θα ενσωματώνεται σε κάθε υπηρεσία στην οποία εμπλέκεται το υποκείμενο με τον υπεύθυνο επεξεργασίας. Ο Πίνακας 10 απεικονίζει τις απαιτήσεις χρήσης με τις προσφερόμενες υπηρεσίες. Υπηρεσίες Ανώνυμα Ενημέρωση Επίβλεψη Ασφάλεια Πρόσβαση Επιλογή αποκάλυψης Απαιτήσεις περιγράμματα Αρχή νομιμότητας συλλογής Αρχή σκοπού Αρχή αναλογικότητας Αρχή ακρίβειας Δικαίωμα πρόσβασης Αρχή ασφάλειας Αρχή ανωνυμίας Αρχή επίβλεψης Επιλογή αποκάλυψης Παράκαμψη ανωνυμίας Πίνακας 10: Αντιστοίχιση υπηρεσιών ΥΠΔ και απαιτήσεων χρήσης Η μη λειτουργική απαίτηση για την προστασία από τις απειλές κατά της ιδιωτικότητας των πληροφοριών στο Διαδίκτυο μπορεί να ικανοποιηθεί από τις ΤΠΙ (βλ. 2.7). Η μη λειτουργική απαίτηση για προστασία από τις απειλές κατά της ασφάλειας των πληροφοριών στο Διαδίκτυο απαιτεί την χρήση κρυπτογραφίας δημοσίου κλειδιού (βλ 2.4). Η χρήση των υπηρεσιών κρυπτογραφίας δημοσίου κλειδιού, με την σειρά της, απαιτεί την ύπαρξη μιας ΥΔΚ. Το παρακάτω σχήμα απεικονίζει τη σχέση μεταξύ απαιτήσεων χρήσης και υπηρεσιών της τεχνολογικής διαδικτυακής ΥΠΔ, ΤΠΙ και ΥΔΚ. Μερική εκπλήρωση Οικονομικό Πανεπιστήμιο Αθηνών Σελ 85

86 Σχήμα 10: Σχέση υπηρεσιών ΥΠΔ, ΤΠΙ και ΥΔΚ Ο Πίνακας 12 απεικονίζει συνοπτικά τη μεθοδολογία ανάπτυξης των υπηρεσιών και τις σελίδες της διατριβής όπου ο αναγνώστης δύναται να αναζητήσει τα αποτελέσματα της ερευνητικής προσπάθειας. Ρόλος Υποκείμενο επεξεργασίας Υπεύθυνος επεξεργασίας Αρχή Ελέγχου Υπηρεσίες ΥΠΔ Ανώνυμα περιγράμματα Ενημέρωση Επίβλεψη Ασφάλεια Πρόσβαση Επιλογή αποκάλυψης Πίνακας 11: Ρόλοι του εννοιολογικού μοντέλου που εμπλέκονται στην παροχή των υπηρεσιών ΥΠΔ Οι ΤΠΙ, σε μεγάλο βαθμό, χρησιμοποιούν υπηρεσίες κρυπτογράφησης δημοσίου κλειδιού (βλ. 2.8). Επιπλέον, η χρήση κρυπτοβιβλιοθηκών μπορεί να υποστηρίξει την ανάπτυξη υπηρεσιών προάσπισης της ιδιωτικότητας στο Διαδίκτυο [MOU-00b]. Κατά συνέπεια, οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ 86

87 υπηρεσίες της τεχνολογικής διαδικτυακής ΥΠΔ μπορούν να στηριχθούν στη χρήση κρυπτογραφίας δημοσίου κλειδιού. Υπηρεσίες ΥΠΔ Απαιτήσεις χρήστη Επιμέρους υπηρεσίες Μοντέλο αναφοράς Λειτουργίες Λειτουργική αρχιτεκτονική Τεχνολογίες υλοποίησης Σχέση με ΕΤΟ Πρόσβαση ανώνυμα περιγράμματα σε Σελ. 96 & Σελ. 104 Σελ. 106 Σχήμα 13 6 Σελ. 257 Δεν απαιτείται Πίνακας 15 Πίνακας 13 7 Ενημέρωση Σελ. 121 Σελ. 121 Σχήμα 14 Σελ. 121 Δεν απαιτείται 121 Δεν υπάρχει Επίβλεψη Σελ. 122 Σελ. 133 Σχήμα 15 Σελ. 133 Δεν απαιτείται Πίνακας 16 Δεν απαιτείται Ασφάλεια Σελ.138 Σελ. 146 Σχήμα 20 Σελ. 146 Σχήμα 19 Δεν υπάρχει Πρόσβαση Σελ. 181 Σελ. 181 Δεν απαιτείται Σελ. 181 Δεν απαιτείται Σελ. 181 Σελ. 181 Επιλογή αποκάλυψης Σελ. 158 Σελ 159 Σχήμα 23 Σελ. 162 Σχήμα 24 Πίνακας 18 Πίνακας 12: Συνοπτική παρουσίαση της ανάλυσης των υπηρεσιών της ΥΠΔ Σελ. 169 Το προτεινόμενο λειτουργικό μοντέλο για την τεχνολογική ΥΠΔ στο διαδίκτυο στηρίζεται στο αφαιρετικό μοντέλο σχέσεων και ρόλων που παρουσιάσθηκε στην παράγραφο 3.3. Οι αρχές και οι ρόλοι έχουν προκύψει από τη μελέτη των σύγχρονων κανονιστικών πλαισίων έτσι όπως αυτά έχουν διαμορφωθεί από τη δεκαετία του 70 ως σήμερα. Μεταβολή κάποιας από τις αρχές ή τους ρόλους που εμπλέκονται στο αφαιρετικό μοντέλο θα επηρεάσει και το λειτουργικό μοντέλο που προτείνεται. Σε αυτή την περίπτωση, πρέπει να προσδιορισθεί εκ νέου το αφαιρετικό μοντέλο και να ακολουθηθεί η προτεινόμενη μεθοδολογία (βλ ) ώστε να συγκροτηθεί το νέο λειτουργικό μοντέλο. 6 Μόνο για δικτυοενδιάμεσους. 7 Μόνο για τριτεγγύηση ταυτότητας Οικονομικό Πανεπιστήμιο Αθηνών Σελ 87

88 3.5 Σύνοψη Τα συμπεράσματα του παρόντος κεφαλαίου μπορούν να συνοψισθούν ως εξής: Το πλαίσιο προστασίας δεδομένων, ως ένα ΠΣ το οποίο επεξεργάζεται προσωπικά δεδομένα, εμπεριέχει ένα εννοιολογικό-αφαιρετικό μοντέλο, ρόλων και σχέσεων, που προέρχεται από τον πραγματικό κόσμο και ένα μηχανισμό αντίληψης πραγματικών γεγονότων και μεταγλώττισής τους σε αυτό το μοντέλο. Το μοντέλο κατασκευάζεται με βάση τους ρόλους και τις γενικές αρχές της προστασίας δεδομένων (βλ. Σχήμα 8). Με δεδομένη την ύπαρξη ενός αφαιρετικού μοντέλου, ο στόχος της διατριβής είναι η συγκρότηση του λειτουργικού μοντέλου προστασίας δεδομένων. Η διαδικτυακή τεχνολογική ΥΠΔ είναι ένα ΠΣ και για την μετάβαση από το εννοιολογικό στο εικονικό μοντέλο, ακολουθείται μια τυπική μεθοδολογία κύκλου ζωής ενός ΠΣ που περιλαμβάνει τα εξής στάδια: απαιτήσεις χρήστη υπηρεσίες μοντέλο αναφοράς περιγραφή λειτουργικών μονάδων λειτουργική αρχιτεκτονική τεχνολογίες υλοποίησης. Οι παραπάνω παραδοχές συνθέτουν μια επιστημονική προσέγγιση η οποία κινείται στο τεταρτημόριο του λειτουργισμού (βλ. Σχήμα 7). προσδιορίστηκαν οι απαιτήσεις χρήσης της διαδικτυακής τεχνολογικής ΥΠΔ και οι υπηρεσίες που τις ικανοποιούν (Πίνακας 10). οι υπηρεσίες της ΥΠΔ περιλαμβάνουν: επιλογή αποκάλυψης ταυτότητας, πρόσβαση σε ανώνυμα περιγράμματα, ενημέρωση, επίβλεψη, ασφάλεια και πρόσβαση. η υποστήριξη των παραπάνω υπηρεσιών απαιτεί την ύπαρξη μιας ΥΔΚ. Στο σημείο αυτό ολοκληρώνεται το Α' μέρος της διατριβής. Πριν προχωρήσουμε στο Β' μέρος, που σχετίζεται με τεχνολογικά ζητήματα των υπηρεσιών της τεχνολογικής διαδικτυακής ΥΠΔ, κρίνεται απαραίτητη η παρεμβολή του σχήματος 11, που απεικονίζει τη διαγραμματική περίληψη από την αρχή της διατριβής έως αυτό το σημείο, και προετοιμάζει την εισαγωγή στο επόμενο μέρος της διατριβής. Οικονομικό Πανεπιστήμιο Αθηνών Σελ 88

89 Σχήμα 11: Διαγραμματική απεικόνιση σχέσης μεταξύ Α και Β μερών της διατριβής Οικονομικό Πανεπιστήμιο Αθηνών Σελ 89

90 ΜΕΡΟΣ Β' 4 ΠΡΟΣΒΑΣΗ ΣΕ ΑΝΩΝΥΜΑ ΠΕΡΙΓΡΑΜΜΑΤΑ Με την εμφάνιση των απευθείας (on-line) συναλλαγών και του ηλεκτρονικού εμπορίου, πολλοί διαδικτυακοί τόποι διατηρούν ίχνη των επισκεπτών τους και συλλέγουν πληροφορίες που τους αφορούν με σκοπό τη προσαρμογή τους (των διαδικτυακών τόπων) στις απαιτήσεις των χρηστών. Η IP διεύθυνση του υπολογιστή, ο χρησιμοποιούμενος φυλλομετρητής, ο τύπος του υπολογιστή που χρησιμοποίησε ο χρήστης σε προηγούμενες επισκέψεις του σε ένα ή περ&io