Έγγραφο εργασίας σχετικά µε τις υπηρεσίες ελέγχου ταυτότητας στο ιαδίκτυο. Εγκρίθηκε στις 29 Ιανουαρίου 2003

Transcript

1 29 - µ π µ 10054/03/EL WP 68 Έγγραφο εργασίας σχετικά µε τις υπηρεσίες ελέγχου ταυτότητας στο ιαδίκτυο Εγκρίθηκε στις 29 Ιανουαρίου 2003 µ µ 29 95/46/EC. µ µ π µ /46/E 14 97/66/. µµ µ E (π, πµ µ, µ µ π π µ) " " π ππ, B-1049 Brussels, Belgium, : C100-6/136. π:

2 Η ΟΜΑ Α ΕΡΓΑΣΙΑΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ η οποία συστάθηκε δυνάµει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 24ης Οκτωβρίου , έχοντας υπόψη: 1) τα άρθρα 29 και 30 παραγράφους 1 (α) και 3 της εν λόγω οδηγίας, 2) τον εσωτερικό κανονισµό της και ιδίως τα άρθρα 12 και 14, ΕΝΕΚΡΙΝΕ ΤΟ ΠΑΡΟΝ ΕΓΓΡΑΦΟ ΕΡΓΑΣΙΑΣ: 1. ΕΙΣΑΓΩΓΗ: Η ΕΠΕΚΤΑΣΗ ΤΩΝ ΥΠΗΡΕΣΙΩΝ ΕΛΕΓΧΟΥ ΤΑΥΤΟΤΗΤΑΣ ΣΤΟ ΙΑ ΙΚΤΥΟ Η αυξανόµενη χρήση των υπηρεσιών ελέγχου ταυτότητας επέφερε αλλαγές στο χώρο του ιαδικτύου 2. Ολοένα και περισσότεροι ιστοχώροι προτείνουν ή απαιτούν από τους επισκέπτες τους να δηλώνουν τα στοιχεία τους, λόγω του ότι, για παράδειγµα, παρέχουν εµπιστευτικές πληροφορίες, δίνουν τη δυνατότητα καταχώρισης των προτιµήσεων του χρήστη, προσφέρουν υπηρεσίες επί πληρωµή ή οι υπηρεσίες τους συνίστανται στη διανοµή αγαθών. Όλοι αυτοί οι ιστοχώροι απαιτούν να παράσχει ο χρήστης κάποια στοιχεία ταυτότητας, στα οποία συµπεριλαµβάνεται συχνά η ηλεκτρονική διεύθυνση, καθώς και ένα είδος επαλήθευσης που συχνά είναι ένας κωδικός πρόσβασης. Η εφαρµογή του συνδυασµού "ταυτότητα χρήστη/κωδικός πρόσβασης" είναι δυνατόν να δηµιουργήσει ορισµένες δυσκολίες για τους παροχείς υπηρεσιών: - Οι χρήστες έχουν την τάση να ξεχνούν τον κωδικό πρόσβασής τους. Ολοένα και περισσότερα τηλεφωνήµατα στα γραφεία παροχής βοήθειας ή επιστολές αφορούν την αδυναµία ενθύµησης του κωδικού πρόσβασης. Το κόστος του επαναπροσδιορισµού των κωδικών πρόσβασης εξελίσσεται σε ολοένα και µεγαλύτερη επιβάρυνση για τους ιστοχώρους. - Αυξάνεται ο αριθµός των χρηστών που ακολουθούν διαφορετικές µεθόδους πρόσβασης στο ιαδίκτυο, ενώ απαιτούν την ίδια εξυπηρέτηση από τους παροχείς υπηρεσιών. Από τεχνολογική άποψη, υπάρχει ποικιλοµορφία όσον αφορά τις µεθόδους πρόσβασης: από την πρόσβαση µέσω ενός προσωπικού ηλεκτρονικού υπολογιστή έως την πρόσβαση µέσω WAP. Το σύνηθες, όµως, είναι η πρόσβαση στο ιαδίκτυο να γίνεται µέσω διαφορετικών προσωπικών υπολογιστών, σε Internet-café ή σε δηµόσιες βιβλιοθήκες. Εποµένως, οι χρήστες πρέπει να θυµούνται πολλαπλούς κωδικούς πρόσβασης. 1 Επίσηµη Εφηµερίδα αριθ. L 281 της 23/11/1995, σ. 31, η οποία διατίθεται στον ιστοχώρο: 2 Όπως έχει ήδη αναφέρει η οµάδα εργασίας σε προηγούµενα έγγραφα, οι αρχές της οδηγίας ισχύουν, επίσης, και για τις δραστηριότητες που λαµβάνουν χώρα στο ιαδίκτυο. Βλέπε, για παράδειγµα, το έγγραφο εργασίας "Προστασία της ιδιωτικής ζωής στο ιαδίκτυο - Ολοκληρωµένη κοινοτική προσέγγιση σχετικά µε την προστασία των δεδοµένων στο ιαδίκτυο" που εγκρίθηκε στις 21 Νοεµβρίου 2002, WP

3 - Τέλος, ορισµένοι χρήστες δεν επιθυµούν να πληκτρολογούν την ταυτότητα του χρήστη και τους κωδικούς πρόσβασης, διότι αισθάνονται ότι, κατά τον τρόπο αυτό, διακόπτεται η εµπειρία του χρήστη. Οι χρήστες έχουν την τάση να ελαχιστοποιούν τις προσπάθειες που χρειάζεται να καταβάλουν, γεγονός που έχει ως αποτέλεσµα τη δηµιουργία σύντοµων κωδικών πρόσβασης, οι οποίοι δεν είναι ασφαλείς και συχνά χρησιµοποιούνται παράλληλα σε πολλούς ιστοχώρους. Όλες οι λύσεις στα τρία προβλήµατα που προαναφέρθηκαν απαιτούν την ανάθεση από την πλευρά του χρήστη µέρους του ελέγχου της ταυτότητας. Επί του παρόντος, υπάρχουν τέσσερις δυνατότητες: Η διαχείριση του κωδικού πρόσβασης ανατίθεται στο λογισµικό πλοήγησης ιαδικτύου (browser) του προσωπικού ηλεκτρονικού υπολογιστή του χρήστη, όπως συµβαίνει, για παράδειγµα, µε τον διαχειριστή κωδικών πρόσβασης Mozilla. Η διαχείριση του κωδικού πρόσβασης ανατίθεται σε έναν εξυπηρετητή µεσολάβησης (proxy-server) στο ιαδίκτυο, ο οποίος πιθανότατα παρέχεται από τον ISP (φορέα παροχής υπηρεσιών ιαδικτύου) Ο έλεγχος της ταυτότητας γίνεται από έναν τρίτο µε τη χρήση ενός ειδικού πρωτοκόλλου ελέγχου ταυτότητας. Αυτό γίνεται από την υπηρεσία Microsoft.NET Passport. Ο έλεγχος ταυτότητας γίνεται από ένα συµβαλλόµενο µέρος εντός ενός "κύκλου εµπιστοσύνης". Χρησιµοποιείται ένα συγκεκριµένο πρωτόκολλο, όπως για παράδειγµα αυτό της υπηρεσίας Liberty Alliance. Ακολουθεί αναλυτική παρουσίαση των δυνατοτήτων αυτών: 1. ιαχειριστής κωδικών πρόσβασης στον προσωπικό ηλεκτρονικό υπολογιστή Η ύπαρξη ενός διαχειριστή κωδικών πρόσβασης ως τµήµα του λογισµικού πλοήγησης ιαδικτύου λύνει µόνον µέρος του προβλήµατος. Απαλλάσσει το χρήστη από την πληκτρολόγηση κωδικών πρόσβασης και κατ αυτόν τον τρόπο ελαχιστοποιεί τον κίνδυνο απώλειας του εν λόγω κωδικού. Ωστόσο, δεν λύνει το πρόβληµα για χρήστες που αποκτούν πρόσβαση σε υπηρεσίες µέσα από διαφορετικούς προσωπικούς ηλεκτρονικούς υπολογιστές. Από την άποψη της προστασίας των δεδοµένων, η κατάσταση είναι σχετικά απλή. Όλο το λογισµικό εκτελείται στον προσωπικό ηλεκτρονικό υπολογιστή του χρήστη και υπό τον έλεγχο του χρήστη αυτού. Τα δεδοµένα δεν ελέγχονται από εξωτερική εταιρεία. Ο χρήστης ερωτάται εάν οι πληροφορίες θα πρέπει να ενσωµατωθούν στη βάση δεδοµένων του διαχειριστή κωδικών πρόσβασης. Ο εν λόγω διαχειριστής συµπληρώνει τον κωδικό πρόσβασης, αλλά δεν τον αποστέλλει ακόµη, εξασφαλίζοντας, κατ αυτόν τον τρόπο, τη συγκατάθεση του χρήστη. Από την άποψη της ασφάλειας, είναι απαραίτητο να ληφθούν επαρκή µέτρα, προκειµένου να διασφαλισθεί ότι η αποθήκευση είναι ασφαλής απέναντι σε επιθέσεις. 2.Χρήση ενός εξυπηρετητή µεσολάβησης Αντί να χρησιµοποιείται ένας διαχειριστής κωδικών πρόσβασης σε έναν πράκτορα χρήστη (user-agent), δηλαδή το λογισµικό πλοήγησης ιαδικτύου, είναι δυνατόν να ενσωµατωθεί η ίδια λειτουργία σε έναν εξυπηρετητή µεσολάβησης στο ιαδίκτυο. Η εν λόγω λειτουργία είναι παρόµοια µε αυτήν των περισσότερο γνωστών µεσολαβητών "ανωνυµίας" (anonymising proxies). Ένας εξυπηρετητής µεσολάβησης ενδέχεται να προσφέρει υπηρεσίες σε πολλούς χρήστες για το λόγο αυτό, είναι απαραίτητο να καταχωρεί τους κωδικούς πρόσβασης ανά χρήστη και ανά ιστοχώρο-στόχο του καθενός. -- 3

4 Οι χρήστες είναι απαραίτητο να αισθάνονται εµπιστοσύνη όσον αφορά τη διαδικασία της καταχώρισης η εµπιστοσύνη αυτή εκδηλώνεται άµεσα, καθώς η απόφαση του χρήστη να χρησιµοποιήσει ένα συγκεκριµένο µεσολαβητή (proxy) είναι συνειδητή [δεν υπάρχει µια εξ ορισµού υπηρεσία (default service)]. Ο χρήστης πρέπει να συνδεθεί µε το µεσολαβητή εάν επιθυµεί να χρησιµοποιεί του κωδικούς πρόσβασής του. Από τη στιγµή που έχει συνδεθεί, ο χρήστης απολαµβάνει τα ίδια οφέλη από το µεσολαβητή, όπως από τον ενσωµατωµένο διαχειριστή κωδικών πρόσβασης. Το πλεονέκτηµα του µεσολαβητή είναι ότι παρέχεται δυνατότητα πρόσβασης σε αυτόν από διαφορετικούς προσωπικούς ηλεκτρονικούς υπολογιστές και/ή άλλες συσκευές. Οι εν λόγω µεσολαβητές δεν θα πρέπει σε καµία περίπτωση να αποκαλύπτουν σε τρίτους πληροφορίες για τους χρήστες χωρίς τη συγκατάθεσή τους. Σε αντίθετη περίπτωση, θα χάσουν την εµπιστοσύνη των πελατών τους και κατ επέκταση το λόγο ύπαρξής τους. Συνήθως υπάρχει σύµβαση µεταξύ του παροχέα µεσολαβητή (proxy provider) και του πελάτη. Το κόστος των υπηρεσιών θα καλύπτεται, κατά πάσα πιθανότητα, από άλλες πηγές εκτός των διαφηµίσεων, πιθανόν σε συνδυασµό µε τις υπηρεσίες που παρέχονται από έναν ISP. 3. Υπηρεσίες ελέγχου ταυτότητας στο ιαδίκτυο µε ειδικά πρωτόκολλα Καµία από τις προαναφερθείσες λύσεις δεν απαιτεί αλλαγές στον ιστοχώρο του παροχέα υπηρεσιών. Μια άλλη δυνατότητα είναι η διεξαγωγή του ελέγχου ταυτότητας µέσω της χρήσης ενός ειδικού πρωτοκόλλου ελέγχου ταυτότητας. Η βασική αρχιτεκτονική των εν λόγω πρωτοκόλλων είναι η ίδια. Υπάρχουν τρία µέρη: ο τελικός χρήστης, ο παροχέας υπηρεσιών και ο παροχέας υπηρεσιών ελέγχου ταυτότητας. Προτού εξυπηρετηθεί ο τελικός χρήστης από τον παροχέα υπηρεσιών, εξακριβώνεται η ταυτότητά του από τον παροχέα υπηρεσιών ελέγχου ταυτότητας. Ο παροχέας υπηρεσιών έχει εµπιστοσύνη στον παροχέα υπηρεσιών ελέγχου ταυτότητας και αποδέχεται τη σύνδεση του χρήστη. Η αρχιτεκτονική της.net Passport χρησιµοποιεί έναν ενιαίο διακοµιστή επαλήθευσης, τον οποίο διαχειρίζεται η Microsoft. Η υπηρεσία Passport περιλαµβάνει ορισµένες πληροφορίες που αφορούν την αναγνώριση και τον έλεγχο της ταυτότητας, καθώς επίσης και πληροφορίες σχετικά µε το προφίλ του χρήστη. Στο µέλλον, αναµένεται ότι θα γίνεται ολοένα και µεγαλύτερος διαχωρισµός µεταξύ αυτών των δύο δεσµών πληροφοριών. Ένας χρήστης που συνδέεται µε την Passport έχει ένα µοναδικό αναγνωριστικό ταυτότητας (identifier), το PUID. Εάν ο χρήστης επιθυµεί να συνδεθεί µε έναν παροχέα υπηρεσιών, καθοδηγεί τον εξυπηρετητή της Passport, ώστε να παράσχει το PUID σε µια µορφή που θα είναι αναγνώσιµη από τον παροχέα υπηρεσιών, καθώς η παρούσα µορφή του είναι συµµετρικά κρυπτογραφηµένη. Η υπηρεσία Liberty Alliance εφαρµόζει ένα ενοποιηµένο µοντέλο. Ο χρήστης έχει τη δυνατότητα να χρησιµοποιήσει έναν ενοποιηµένο λογαριασµό σε δύο παροχείς υπηρεσιών. Από τη στιγµή που ένας λογαριασµός είναι ενοποιηµένος, ο ένας παροχέας υπηρεσιών αποδέχεται την εισαγωγή του άλλου παροχέα υπηρεσιών ο άλλος παροχέας υπηρεσιών ενεργεί ως υπηρεσία ελέγχου ταυτότητας. Η οµάδα εργασίας γνωρίζει την επέκταση των υπηρεσιών ελέγχου ταυτότητας στο ιαδίκτυο και, για το λόγο αυτό, έλαβε, πριν από µερικούς µήνες, την απόφαση να εξετάσει τις συνέπειες της λειτουργίας των εν λόγω συστηµάτων για την προστασία των δεδοµένων 3. Έχοντας επίγνωση της σπουδαιότητας της ύπαρξης αξιόπιστων 3 Βλέπε το έγγραφο εργασίας WP 60 µε τίτλο "Αρχικές παρατηρήσεις της οµάδας εργασίας του άρθρου 29 σχετικά µε τις υπηρεσίες διακρίβωσης ταυτότητας on-line", το οποίο εκδόθηκε στις 2 Ιουλίου

5 µηχανισµών ελέγχου ταυτότητας για την εγγύηση της ασφάλειας και ιδιαίτερα της αρτιότητας ορισµένων ηλεκτρονικών συναλλαγών, ιδίως αυτών που αφορούν ηλεκτρονικές πληρωµές, η οµάδα εργασίας επιθυµεί να υπογραµµίσει ότι η ανάπτυξη των εν λόγω υπηρεσιών είναι απαραίτητο να συνοδεύεται από το σεβασµό των αρχών της προστασίας των δεδοµένων, όπως ορίζονται στην κοινοτική οδηγία περί προστασίας των δεδοµένων 4 και στους εθνικούς νόµους που θεσπίστηκαν κατ εφαρµογήν της εν λόγω οδηγίας. 2. ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ 1: MICROSOFT.NET PASSPORT Η υπηρεσία.net Passport αποτελεί σήµερα µια σηµαντική πρωτοβουλία στον τοµέα αυτόν. Κατά συνέπεια, η οµάδα εργασίας έθεσε ως πρώτη της προτεραιότητα την εκπόνηση µιας αρχικής µελέτης του εν λόγω συστήµατος την άνοιξη του Μετά την ολοκλήρωση της πρώτης ανάλυσης, η οµάδα εργασίας κατέληξε στο συµπέρασµα ότι, παρά το γεγονός ότι η Microsoft είχε λάβει ορισµένα µέτρα προκειµένου να διασκεδάσει τις ανησυχίες σχετικά µε την προστασία των δεδοµένων, αρκετά στοιχεία του συστήµατος της.net Passport δηµιουργούσαν ερωτήµατα νοµικής φύσεως και, για το λόγο αυτό, απαιτούσαν περαιτέρω εξέταση. Κατά τους µήνες που ακολούθησαν, η οµάδα εργασίας διεξήγαγε διάλογο µε τη Microsoft, προκειµένου να κατανοήσει καλύτερα τον τρόπο λειτουργίας του συστήµατος, να συζητήσει τα διάφορα επίµαχα θέµατα και, ιδίως, να διαπιστώσει εάν εφαρµόζονται ορθά οι ευρωπαϊκές αρχές προστασίας των δεδοµένων και, όπου είναι απαραίτητο, να προσδιορίσει τα στοιχεία του συστήµατος που απαιτούν αλλαγές. Ως αποτέλεσµα αυτού του πολύ ανοικτού και εποικοδοµητικού διαλόγου, η Microsoft δεσµεύθηκε να προβεί σε τροποποιήσεις του συστήµατος επιφέροντας βελτιώσεις από την άποψη της προστασίας των δεδοµένων. Η δέσµευση της Microsoft να εφαρµόσει όλα τα µέτρα που αποτέλεσαν αντικείµενο συζήτησης µε την οµάδα εργασίας, έχει καταγραφεί σε διάφορες επιστολές προς τον πρόεδρο της οµάδας εργασίας, καθηγητή Rodotà 6, καθώς και σε χρονοδιάγραµµα όπου ορίζονται τα χρονικά περιθώρια κάθε ενέργειας. Οι διαφορές στις περιόδους εφαρµογής δικαιολογούνται από τη διαφορετική φύση των ενεργειών. Ορισµένα από τα συµφωνηθέντα µέτρα, όπως η αναθεώρηση του κειµένου της δήλωσης ιδιωτικού απορρήτου της.net Passport και η παροχή επιπρόσθετων πληροφοριών στις σελίδες εγγραφής, είναι απλά και µπορούν να εφαρµοσθούν γρήγορα. Άλλα µέτρα, όπως η νέα ροή πληροφοριών που θα περιγραφεί παρακάτω, συνεπάγονται σε µεγάλο βαθµό την εκ νέου κωδικοποίηση της υπηρεσίας.net Passport και κατ επέκταση απαιτούν περισσότερο χρόνο προκειµένου να τεθούν σε εφαρµογή. Η οµάδα εργασίας έχει λάβει υπό σηµείωση το χρονοδιάγραµµα που παρουσίασε η Microsoft για την αντιµετώπιση των ζητηµάτων που επεσήµανε η οµάδα. Το χρονοδιάγραµµα περιλαµβάνει τρεις κατηγορίες: την πρώτη κατηγορία (0-4 µήνες), τη δεύτερη κατηγορία (4-8 µήνες) και την τρίτη κατηγορία (8-18 µήνες). Μετά από κάθε µέτρο αναφέρεται σε παρένθεση το αντίστοιχο χρονικό περιθώριο. Ορισµένα από τα 4 Επίσηµη εφηµερίδα αριθ. L 281 της 23/11/1995, σ. 31, η οποία διατίθεται στον ιστοχώρο: 5 Βλέπε το έγγραφο εργασίας WP 60 µε τίτλο "Αρχικές παρατηρήσεις της οµάδας εργασίας του άρθρου 29 σχετικά µε τις υπηρεσίες διακρίβωσης ταυτότητας on-line", το οποίο εκδόθηκε στις 2 Ιουλίου Επιστολές που συντάχθηκαν στις 19 Σεπτεµβρίου και 25 Νοεµβρίου

6 µέτρα που αποτέλεσαν αντικείµενο της συζήτησης έχουν ήδη εφαρµοσθεί και, ως εκ τούτου, αναφέρονται στο παρόν κείµενο ως εφαρµοζόµενη πρακτική Σύντοµη περιγραφή του συστήµατος Microsoft.NET Passport Η NET Passport είναι µια υπηρεσία ελέγχου ταυτότητας για ολόκληρο το ιαδίκτυο, η οποία παρέχει τη δυνατότητα µοναδικής εισόδου σε πολλούς συµµετέχοντες ιστοχώρους, προκειµένου να βοηθήσει τους χρήστες να εξοικονοµήσουν χρόνο και να αποφύγουν επαναλαµβανόµενες καταχωρίσεις στοιχείων όταν επισκέπτονται το ιαδίκτυο. εν πρόκειται για µια υπηρεσία εξουσιοδότησης ή αναγνώρισης, αλλά για µια υπηρεσία ελέγχου ταυτότητας, η οποία έχει ως στόχο το µοναδικό και ασφαλή έλεγχο της ταυτότητας του χρήστη επαληθεύοντας τα αποδεικτικά που παρουσιάζονται 7. Η υπηρεσία δηµιουργήθηκε το 1999 και µετονοµάσθηκε σε.net Passport το καλοκαίρι του Επί του παρόντος, ο αριθµός των λογαριασµών σε ολόκληρο τον κόσµο υπερβαίνει τα 250 εκατοµµύρια (ένας χρήστης µπορεί να διατηρεί πολλούς λογαριασµούς, πράγµα που είναι βέβαιο εάν διαθέτει πολλούς λογαριασµούς Hotmail). Οι λογαριασµοί που διατηρούν πολίτες της ΕΕ υπερβαίνουν τα 40 εκατοµµύρια. Υπάρχουν διάφοροι τρόποι για τη δηµιουργία ενός λογαριασµού στη.net Passport: - µε εγγραφή στη διεύθυνση - µε εγγραφή σε ένα συµµετέχοντα ιστοχώρο - µε εγγραφή σε λογαριασµό ηλεκτρονικού ταχυδροµείου στην υπηρεσία Hotmail Οι χρήστες εγγράφονται σε ποσοστό περίπου 87% µέσω ενός συµµετέχοντος ιστοχώρου ή µέσω της υπηρεσίας Hotmail και όχι απευθείας µέσω της εταιρίας Microsoft. Περίπου 120 εκατοµµύρια λογαριασµοί ανήκουν σε κατόχους λογαριασµών της υπηρεσίας Hotmail και, επίσης, σηµαντικός αριθµός χρηστών εγγράφεται µέσω του Window Messenger. Η Hotmail είναι µια υπηρεσία ηλεκτρονικού ταχυδροµείου που χρησιµοποιείται σε παγκόσµια κλίµακα και τελεί υπό την αποκλειστική διαχείριση της Microsoft Corporation ή άλλων εταιρειών που ελέγχει η Microsoft. Απαιτούνται τρεις προκαθορισµένες οµάδες στοιχείων: 1. Στοιχειώδεις πληροφορίες: όνοµα χρήστη (διεύθυνση ηλεκτρονικού ταχυδροµείου) και κωδικός πρόσβασης. 2. ιαπιστευτήρια: µυστική ερώτηση και απάντηση, αριθµός τηλεφώνου και προσωπικός αριθµός αναγνώρισης (pin), κλειδί ασφαλείας και τρεις πρόσθετες ερωτήσεις και απαντήσεις. Οι πληροφορίες αυτές είναι απαραίτητες στις περιπτώσεις που οι χρήστες έχουν ξεχάσει τον κωδικό πρόσβασής τους. Αυτές οι πληροφορίες δεν αποτελούν µέρος του προφίλ και δεν κοινοποιούνται σε άλλους ιστοχώρους. 3. Συνολικές πληροφορίες που µπορούν να αποθηκευθούν στο προφίλ: οι προαναφερθείσες πληροφορίες και επιπλέον όνοµα, επώνυµο, ζώνη ώρας, φύλο, ηµεροµηνία γέννησης, επάγγελµα και δυνατότητα πρόσβασης. Οι συµµετέχοντες ιστοχώροι µπορούν να αποφασίζουν να συλλέγουν τις πληροφορίες απευθείας από τους χρήστες και να επεξεργάζονται περαιτέρω πρόσθετες πληροφορίες. Επί του παρόντος, 69 εξωτερικοί ιστοχώροι (που δεν σχετίζονται µε την εταιρεία Microsoft) συµµετέχουν στη.net Passport, 22 από τους οποίους είναι ιστοχώροι του ΕΟΧ. 7 Θα πρέπει κανείς να έχει υπόψη ότι, εκτός από την οδηγία περί προστασίας των δεδοµένων, η παροχή των εν λόγω υπηρεσιών ενδέχεται, επίσης, να υπόκειται και σε άλλες οδηγίες, όπως οι οδηγίες για το ηλεκτρονικό εµπόριο ή την ηλεκτρονική υπογραφή. -- 6

7 Νοµικά ζητήµατα και το αποτέλεσµα του διαλόγου µε τη Microsoft Στο έγγραφο που εξέδωσε τον Ιούλιο του 2002, η οµάδα εργασίας προσδιόρισε µια σειρά από ζητήµατα που απαιτούσαν περαιτέρω εξέταση. Στις παραγράφους που ακολουθούν, θα εστιάσουµε την προσοχή µας σε κάθε ένα από τα ζητήµατα αυτά, καθώς και στο αποτέλεσµα του διαλόγου µε τη Microsoft για κάθε ένα από τα επίµαχα θέµατα. Σε γενικές γραµµές, είναι σηµαντικό να σηµειωθεί ότι, εκτός από τα ειδικά µέτρα που θα παρουσιαστούν στις επόµενες παραγράφους, η Microsoft αποφάσισε να επιφέρει τροποποιήσεις στη ροή πληροφοριών της.net Passport. Στην ουσία, θα γίνει επανακωδικοποίηση της υπηρεσίας, ώστε να υπάρξει σαφής διαχωρισµός της δηµιουργίας ενός λογαριασµού στη.net Passport από την αποθήκευση προσωπικών δεδοµένων στο προφίλ της Passport. Αυτή η νέα ροή πληροφοριών, όπως θα διευκρινισθεί λεπτοµερέστερα κατά την ανάπτυξη των ζητηµάτων αναλογικότητας, αναµένεται ότι θα συµβάλει προς την κατεύθυνση της δίκαιης συλλογής και επεξεργασίας των προσωπικών δεδοµένων. Η οµάδα εργασίας σηµειώνει αυτό το γεγονός µε ικανοποίηση Οι πληροφορίες που δίδονται στα πρόσωπα στα οποία αναφέρονται τα δεδοµένα κατά τη στιγµή της συλλογής, της περαιτέρω επεξεργασίας των δεδοµένων ή της διαβίβασής τους σε τρίτους που είναι πιθανόν να εδρεύουν σε τρίτες χώρες Όταν η οµάδα εργασίας ξεκίνησε να µελετά τη λειτουργία της υπηρεσίας.net Passport, το πρώτο πρόβληµα που αντιµετώπισε ήταν η έλλειψη σαφών και ξεκάθαρων πληροφοριών σχετικά µε το σύστηµα. Ορισµένες από τις υπάρχουσες πληροφορίες αναφορικά µε το σύστηµα ήταν ασαφείς, δεν παρείχαν ενηµέρωση όσον αφορά τα κύρια ζητήµατα προστασίας των δεδοµένων (ταυτότητα του ελεγκτή, σκοπός της επεξεργασίας, δικαιώµατα του προσώπου στο οποίο αναφέρονται τα δεδοµένα, αποδέκτες των δεδοµένων, τι απαιτείται προκειµένου να υπάρξει δίκαιη επεξεργασία) και ορισµένες φορές περιλάµβαναν αντιφατικές δηλώσεις. ύο ζητήµατα που προβληµάτισαν ιδιαίτερα την οµάδα εργασίας ήταν η έλλειψη επαρκούς πληροφόρησης σχετικά µε τη µεταφορά προσωπικών δεδοµένων σε µια τρίτη χώρα, καθώς και σχετικά µε τη σύνδεση των υπηρεσιών Hotmail και Passport. Στο µεταξύ, η Microsoft δεσµεύθηκε να λάβει τα ακόλουθα µέτρα, προκειµένου να άρει τους προβληµατισµούς που εξέφρασε η οµάδα εργασίας αναφορικά µε τα ακόλουθα ζητήµατα: - η Microsoft θα παράσχει, σύµφωνα µε τη σύσταση 2/ της οµάδας εργασίας του άρθρου 29, ένα ενηµερωτικό µήνυµα που θα περιλαµβάνει τις πληροφορίες που απαιτούνται βάσει του άρθρου 10 της οδηγίας κατά τρόπο ιδιαιτέρως προσιτό και φιλικό προς το χρήστη. Ένας σύνδεσµος για το εν λόγω ενηµερωτικό µήνυµα θα εµφανίζεται στην οθόνη των χρηστών που έχουν δηλώσει ότι διαµένουν στην Ευρωπαϊκή Ένωση ακριβώς σε εκείνο το σηµείο της σελίδας εγγραφής όπου προσδιορίζουν τη χώρα διαµονής. Οι χρήστες που θα επιλέγουν το σύνδεσµο θα βλέπουν το µήνυµα σε 8 Σύσταση 2/2001 σχετικά µε ορισµένες ελάχιστες απαιτήσεις όσον αφορά τη συλλογή µέσω του διαδικτύου δεδοµένων προσωπικού χαρακτήρα στα πλαίσια της Ευρωπαϊκής Ένωσης, εκδοθείσα στις 17 Μαΐου 2001, WP

8 παράθυρο που θα εµφανίζεται στο πλαϊνό µέρος της οθόνης τους. Αυτή η λειτουργία θα είναι διαθέσιµη έως τον Απρίλιο του 2003 το αργότερο. - Οι χρήστες θα ενηµερώνονται σχετικά µε τη χώρα στην οποία βρίσκεται ο συµµετέχων ιστοχώρος στον οποίο εισέρχονται (8-18 µήνες), και, µέσω του ενηµερωτικού µηνύµατος, θα έχουν πρόσβαση σε ένα σύνδεσµο µε τη σελίδα της Ευρωπαϊκής Επιτροπής όπου θα υπάρχει κατάλογος όλων των χωρών των οποίων οι νόµοι περί προστασίας των δεδοµένων έχουν κριθεί επαρκείς σύµφωνα µε τα πρότυπα της ΕΕ (4-8 µήνες). - η Microsoft θα ενηµερώνει, µέσω σχετικού µηνύµατος, τους χρήστες της ΕΕ αναφορικά µε τη χρονική περίοδο φύλαξης των δεδοµένων του µητρώου, η οποία, επί του παρόντος, δεν υπερβαίνει τις 90 ηµέρες (0-4 µήνες). - Οι χρήστες θα λαµβάνουν, ήδη από το αρχικό στάδιο της διαδικασίας, σαφείς πληροφορίες σχετικά µε το πώς ακριβώς µπορούν να ανοίξουν ένα λογαριασµό στη.net Passport χωρίς να χρησιµοποιήσουν την πραγµατική τους διεύθυνση ηλεκτρονικού ταχυδροµείου, µια λειτουργία που η οµάδα εργασίας συνέστησε να προβλέπεται σε διάφορες περιπτώσεις. Παράλληλα, θα παρέχονται συστάσεις στους χρήστες όσον αφορά τους περιορισµούς που ισχύουν για λογαριασµούς που έχουν ανοιχθεί µε ψευδώνυµο, έτσι ώστε οι χρήστες να διαθέτουν ολοκληρωµένες πληροφορίες προκειµένου να λάβουν την απόφασή τους (8-18 µήνες). - η Microsoft δεσµεύθηκε να ενηµερώσει όλες τις γλωσσικές εκδόσεις της δήλωσης ιδιωτικού απορρήτου της.net Passport ταυτόχρονα, εκτός εάν τοπικές παράµετροι απαιτούν την άµεση τροποποίηση µιας συγκεκριµένης γλωσσικής έκδοσης. Σε αυτές τις περιπτώσεις, που αναµένεται να είναι πολύ σπάνιες, η Microsoft θα συµπεριλάβει µια δήλωση στις υπόλοιπες γλωσσικές εκδόσεις της δήλωσης ιδιωτικού απορρήτου µε την ένδειξη ότι και αυτές θα ενηµερωθούν σύντοµα (0-4 µήνες). - η Microsoft δεσµεύθηκε να προβεί σε µια σειρά από ενέργειες σχετικά µε τις πληροφορίες που δίδονται στους χρήστες της Hotmail, προκειµένου να διασφαλισθεί ότι, όταν οι χρήστες εγγράφονται στη Hotmail, πληροφορούνται ότι αυτόµατα αποκτούν ένα λογαριασµό στην Passport (εφαρµοζόµενη πρακτική) ότι όταν οι χρήστες εγγράφονται στη Hotmail, πληροφορούνται ακόµη ότι πρέπει να δηµιουργήσουν ένα λογαριασµό Passport προκειµένου να έχουν πρόσβαση στη Hotmail, και ότι δεν είναι δυνατόν να κλείσουν το λογαριασµό τους στην Passport χωρίς να κλείσουν, επίσης, το λογαριασµό τους στη Hotmail (0-4 µήνες) Η αξία και η ποιότητα της συγκατάθεσης των προσώπων στα οποία αναφέρονται τα δεδοµένα για τις λειτουργίες αυτές. Μετά την αρχική ανάλυση του συστήµατος, η οµάδα εργασίας είχε ορισµένα ερωτήµατα σχετικά µε την εγκυρότητα και την ποιότητα της συγκατάθεσης ως απαιτούµενη προϋπόθεση για την επεξεργασία των δεδοµένων, σύµφωνα µε το άρθρο 2 (η) της οδηγίας 9. Με άλλα λόγια, δεν είχε πεισθεί ότι η συγκατάθεση που έδιναν οι χρήστες βασιζόταν σε επαρκείς πληροφορίες, δινόταν µε ελεύθερη βούληση και ήταν ρητή, ιδιαίτερα όσον αφορούσε εκείνους τους χρήστες που εγγράφονταν µέσω της Hotmail, ή σε ό,τι αφορούσε, επίσης, τη διαβίβαση των προσωπικών δεδοµένων σε συµµετέχοντες ιστοχώρους. Όπως διευκρινίσθηκε προηγουµένως, η Microsoft δεσµεύθηκε να εφαρµόσει µια δέσµη µέτρων πληροφόρησης που στοχεύουν στην ικανοποιητική ενηµέρωση των χρηστών. 9 Ως συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδοµένα νοείται κάθε δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρει επιγνώσει, µε την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδοµένα δέχεται να αποτελέσουν αντικείµενο επεξεργασίας τα δεδοµένα προσωπικού χαρακτήρα που το αφορούν. -- 8

9 Επιπροσθέτως, όσον αφορά τη δυνατότητα των χρηστών να αποφασίσουν εάν θα παράσχουν ή όχι προσωπικές πληροφορίες στην Passport, η νέα ροή πληροφοριών θα επιτρέψει στους χρήστες να δίδουν πληροφορίες προσωπικού χαρακτήρα σε ένα συµµετέχοντα ιστοχώρο χωρίς οι πληροφορίες αυτές να αποθηκεύονται στο προφίλ τους στην Passport. Θα δώσει, επίσης, τη δυνατότητα στους χρήστες να ανοίγουν ένα λογαριασµό στην Passport µε ψευδώνυµο χωρίς να είναι απαραίτητη η συλλογή επιπρόσθετων πληροφοριών προσωπικού χαρακτήρα (8-18 µήνες). Όσον αφορά τους χρήστες της Hotmail, πέρα από τη βελτίωση της πληροφόρησης, λαµβάνονται µέτρα, ώστε να καταστεί σαφές στους χρήστες το γεγονός ότι, όταν εγγράφονται για να αποκτήσουν ένα λογαριασµό στη Hotmail, τα προσωπικά τους δεδοµένα χρησιµοποιούνται προκειµένου να τους αποστέλλονται διαφηµιστικά µηνύµατα (0-4 µήνες). Αυτό θα φαίνεται ξεκάθαρα µέσα από τη σελίδα εγγραφής της Hotmail καθώς οι χρήστες θα επιλέγουν να λαµβάνουν διαφηµιστικά µηνύµατα της Hotmail όταν θα δηλώνουν ότι συµφωνούν µε τους όρους της εν λόγω υπηρεσίας. Όπως για κάθε συµµετέχοντα ιστοχώρο, οι χρήστες που θα εγγράφονται για ένα λογαριασµό.net Passport στον ιστοχώρο της Hotmail, θα έχουν την επιλογή να παράσχουν πληροφορίες προσωπικού χαρακτήρα µόνον στη Hotmail και να µην αποθηκεύονται οι πληροφορίες αυτές στο προφίλ τους στη.net Passport (8-18 µήνες). Η οµάδα εργασίας συζήτησε, επίσης, µε τη Microsoft τη δυνατότητα να επιλέγουν οι χρήστες της Hotmail να µην συµπεριλαµβάνονται σε καταλόγους που χρησιµοποιούνται για την αποστολή διαφηµίσεων. Η Microsoft εξήγησε ότι οι χρήστες που διαθέτουν ένα λογαριασµό στη Hotmail µπορούν να επιλέξουν να µην λαµβάνουν δωρεάν διαφηµίσεις, αλλά αυτό θα σήµαινε κλείσιµο του λογαριασµού τους στην εν λόγω υπηρεσία. εν είναι δυνατόν να διατηρούν οι χρήστες ένα δωρεάν λογαριασµό χωρίς να λαµβάνουν τέτοιου είδους διαφηµιστικά µηνύµατα, διότι οι διαφηµίσεις αυτές δηµιουργούν τα έσοδα που καθιστούν δυνατή τη δωρεάν παροχή λογαριασµού από τη Hotmail. Η οµάδα εργασίας εξακολουθεί να θεωρεί ότι η πρακτική αυτή δεν είναι σύµφωνη µε την ευρωπαϊκή νοµοθεσία και θα συνεχίσει την εξέταση του ζητήµατος αυτού στο µέλλον. Ωστόσο, κρίνει ότι το εν λόγω ζήτηµα συσχετίζεται µε ένα συγκεκριµένο θέµα, δηλαδή την πρακτική διαφόρων εταιρειών να συνδέουν την παροχή µιας υπηρεσίας µε την υποχρέωση από την πλευρά του χρήστη να αποδέχεται τη χρησιµοποίηση των δεδοµένων που τον αφορούν για λόγους εµπορίας χωρίς δυνατότητα άρνησης. Αυτό το ζήτηµα, το οποίο διαφέρει από εκείνο των υπηρεσιών ελέγχου ταυτότητας στο ιαδίκτυο, το οποίο αποτελεί το θέµα του παρόντος εγγράφου εργασίας, θα εξετασθεί αναλυτικότερα στο µέλλον. Όσον αφορά τη συγκατάθεση που δίνουν οι χρήστες στους συµµετέχοντες ιστοχώρους, η νέα ροή εγγραφής θα δίνει στους χρήστες ένα λογαριασµό στην Passport που θα περιλαµβάνει µόνον το όνοµα του χρήστη και έναν κωδικό πρόσβασης διαχωρίζοντας τη δηµιουργία του λογαριασµού Passport από την απόφαση κοινοποίησης των προσωπικών δεδοµένων σε συµµετέχοντες ιστοχώρους ή την αποθήκευση των δεδοµένων αυτών στο προφίλ (8-18 µήνες). Οι χρήστες θα πληροφορούνται ότι έχουν τη δυνατότητα να εγγραφούν για την απόκτηση λογαριασµού Passport στον ιστοχώρο της Passport, δίνοντας µόνον το όνοµα χρήστη και τον κωδικό πρόσβασης. Θα πληροφορούνται ακόµη ότι εάν εγγραφούν µέσω ενός συµµετέχοντος ιστοχώρου, ενδέχεται να είναι υποχρεωτική η παροχή περαιτέρω πληροφοριών για λόγους που έχουν σχέση µε τις δραστηριότητες του εν λόγω ιστοχώρου (οι πληροφορίες πρόκειται να συµπεριληφθούν στο ενηµερωτικό µήνυµα σε 4-8 µήνες). Προβλέπεται, επίσης, µια νέα λειτουργία που θα δίνει τη δυνατότητα στους χρήστες να αποφασίζουν ανάλογα µε τον ιστοχώρο εάν επιθυµούν να κοινοποιούνται τα προσωπικά τους δεδοµένα ή όχι. Το προφίλ του χρήστη -- 9

10 θα επαναδιαµορφωθεί, προκειµένου να επιτραπεί στους χρήστες να επιλέγουν τα πεδία που θέλουν να συµπληρώσουν, αφήνοντας άλλα πεδία κενά (8-18 µήνες). Η νέα ροή πληροφοριών θα δώσει, επίσης, τη δυνατότητα στους χρήστες, κάθε φορά που εγγράφονται σε έναν συµµετέχοντα ιστοχώρο, να αναθεωρούν τις πληροφορίες που αφορούν το προφίλ τους, να τις τροποποιούν, να αποφασίζουν εάν θα φυλάξουν ή όχι τις τροποποιήσεις αυτές στο προφίλ της Passport και να καθορίζουν ποιες πληροφορίες θα αποστέλλουν στον ιστοχώρο (8-18 µήνες) Η αναλογικότητα και η ποιότητα των δεδοµένων που συλλέγονται και φυλάσσονται από τη.net Passport και διαβιβάζονται σε θυγατρικούς ιστοχώρους. Η οµάδα εργασίας προβληµατίστηκε σχετικά µε τον όγκο των δεδοµένων που συλλέγονται µέσω της Passport, ιδίως των δεδοµένων που αφορούν το προφίλ, καθώς επίσης και σχετικά µε το γεγονός ότι από τη στιγµή που το πρόσωπο στο οποίο αναφέρονται τα δεδοµένα δηµιουργήσει ένα λογαριασµό.net Passport, εάν έχει επιλέξει το σχετικό πλαίσιο, τα συµπεριληφθέντα προσωπικά δεδοµένα του διαβιβάζονται σε όλους τους συνεργαζόµενους ιστοχώρους τους οποίους επισκέπτεται και στους οποίους εγγράφεται, ανεξάρτητα από το εάν τα δεδοµένα αυτά είναι απαραίτητα για τους ιστοχώρους αυτούς. Κατά την περίοδο που διεξαγόταν η πρώτη µελέτη του συστήµατος, δεν προβλεπόταν η δυνατότητα έγκρισης από την πλευρά του χρήστη της διαβίβασης ενός µέρους των δεδοµένων. Όλες οι πληροφορίες που αφορούσαν το προφίλ του αντιµετωπίζονταν ως ένα αδιάσπαστο σύνολο. Η νέα ροή πληροφοριών που πρόκειται να εφαρµοσθεί από τη Microsoft θα διαχωρίζει µε σαφήνεια τη δηµιουργία ενός λογαριασµού στη.net Passport από την απόφαση του χρήστη να κοινοποιήσει πληροφορίες προσωπικού χαρακτήρα στο συνεργαζόµενο ιστοχώρο και πιθανόν στη.net Passport. Οι χρήστες θα έχουν τη δυνατότητα να επιλέξουν την αποθήκευση ή µη των πληροφοριών που επιλέγουν να κοινοποιήσουν σε έναν ιστοχώρο εγγραφής στο προφίλ τους στη.net Passport. Όταν ένας χρήστης που έχει αποθηκεύσει πληροφορίες στο προφίλ του στη.net Passport επισκέπτεται άλλους συνεργαζόµενους ιστοχώρους, θα έχει τη δυνατότητα, ανάλογα µε το πεδίο, να τροποποιεί ή να διαγράφει τις πληροφορίες αυτές, προτού τις κοινοποιήσει στο συµµετέχοντα ιστοχώρο. Ο χρήστης θα έχει, επίσης, την επιλογή να προβεί στην αποθήκευση των εν λόγω τροποποιήσεων και διαγραφών στο προφίλ του στη.net Passport (8-18 µήνες). Οι αλλαγές αυτές, καθώς και το γεγονός ότι ο χρήστης θα έχει, σε ορισµένες περιπτώσεις, τη δυνατότητα να µην χρησιµοποιήσει την πραγµατική του διεύθυνση ηλεκτρονικού ταχυδροµείου, θα δώσουν λύσεις στα προβλήµατα που εντόπισε η οµάδα εργασίας. Ωστόσο, η οµάδα θα ήθελε να συνεχίσει να παρακολουθεί το ζήτηµα αυτό, λαµβάνοντας ιδίως υπόψη το ρόλο της Microsoft ως ελεγκτή προσωπικών δεδοµένων και άλλων πολύτιµων πληροφοριών που δίδονται από τους χρήστες Οι κανόνες προστασίας των δεδοµένων που εφαρµόζονται από τους ιστοχώρους που συνεργάζονται µε τη.net Passport. Η οµάδα εργασίας εξέφρασε και έναν άλλο προβληµατισµό που αφορούσε το ασαφές επίπεδο προστασίας που παρείχαν οι συµµετέχοντες ιστοχώροι

11 Κατά τις συζητήσεις που διεξήγαγε µε την οµάδα εργασίας, η Microsoft διευκρίνισε ότι δεν ελέγχει τις πρακτικές προστασίας των δεδοµένων που εφαρµόζουν οι συνεργαζόµενοι µε αυτήν ιστοχώροι, αλλά ότι, µέσω των συµβάσεων που συνάπτει µε τους ιστοχώρους αυτούς, εξασφαλίζει την παροχή ορισµένων µορφών προστασίας, επιβάλλοντάς τους, για παράδειγµα, την υποχρέωση να διαθέτουν σηµαντική και ευπρόσιτη πολιτική προστασίας της ιδιωτικής ζωής η οποία θα συνάδει µε τις πρακτικές του κλάδου, τη λήψη επαρκών µέτρων ασφαλείας, τη συµµόρφωση µε την ισχύουσα νοµοθεσία και τη µη χρήση των δεδοµένων για σκοπούς άλλους εκτός της παροχής συγκεκριµένων υπηρεσιών χωρίς τη συγκατάθεση του χρήστη. Η Microsoft δεσµεύθηκε να λάβει µια σειρά από επιπρόσθετα µέτρα: - Να αναθεωρήσει τη δήλωση ιδιωτικού απορρήτου, ώστε να δηλώνεται σαφώς ότι η Microsoft δεν ελέγχει τις πρακτικές προστασίας των δεδοµένων των συνεργαζόµενων ιστοχώρων (0-4 µήνες). - Η Microsoft θα ενθαρρύνει τους συνεργαζόµενους ιστοχώρους να συµµετέχουν στην TRUSTe, την BBBOnLine ή παρόµοιες υπηρεσίες (0-4 µήνες). - Οι συµµετέχοντες ιστοχώροι θα έχουν τη δυνατότητα, τόσο στη σελίδα όπου συλλέγονται οι πληροφορίες προσωπικού χαρακτήρα όσο και, περισσότερο αναλυτικά, µέσω ενός συνδέσµου από τη σελίδα αυτή, να ενηµερώνουν τους χρήστες σχετικά µε τους σκοπούς για τους οποίους θα χρησιµοποιήσουν τα δεδοµένα, τους αποδέκτες τους, καθώς και το χρονικό διάστηµα για το οποίο θα φυλάσσουν τα δεδοµένα αυτά (8-18 µήνες). Η οµάδα εργασίας συνιστά στη Microsoft να ενηµερώσει τους συνεργαζόµενους ιστοχώρους όσο το δυνατόν γρηγορότερα όσον αφορά τη σύστασή της σχετικά µε ορισµένες ελάχιστες απαιτήσεις όσον αφορά τη συλλογή µέσω του ιαδικτύου δεδοµένων προσωπικού χαρακτήρα στα πλαίσια της Ευρωπαϊκής Ένωσης. 10. Σε κάθε περίπτωση θα πρέπει να διευκρινισθεί ότι, εκτός από το ρόλο που διαδραµατίζει η Microsoft στο πλαίσιο του συστήµατος.net Passport, όλοι οι συµµετέχοντες ιστοχώροι θα πρέπει να θεωρούνται ως ελεγκτές δεδοµένων όσον αφορά τις δικές τους διαδικασίες επεξεργασίας. Κατά συνέπεια, υποχρεούνται και οι ίδιοι να συµµορφώνονται µε τη νοµοθεσία για την προστασία της ιδιωτικής ζωής Η αναγκαιότητα και οι συνθήκες χρήσης ενός µοναδικού αναγνωριστικού ταυτότητας. Από τη στιγµή που ξεκίνησε την ανάλυση του συστήµατος Passport, η οµάδα εργασίας προβληµατίστηκε σχετικά µε τη χρήση από τη. NET Passport ενός µοναδικού αναγνωριστικού του PUID για κάθε χρήστη. Το µοναδικό αναγνωριστικό (PUID) της Passport δηµιουργείται κατά την εγγραφή και διατηρείται έως τη στιγµή της κατάργησης του λογαριασµού. Έχει µήκος 64 bits και αποτελείται από δύο µέρη: 16 bits για τον προσδιορισµό του κέντρου δεδοµένων από το οποίο δηµιουργήθηκε και 48 bits για τον προσδιορισµό του συγκεκριµένου λογαριασµού. Η κύρια απαίτηση για τη δηµιουργία του PUID είναι ότι αυτό πρέπει να είναι µοναδικό. Το PUID δεν βασίζεται σε πληροφορίες που παρέχονται από τον κάτοχο 10 Σύσταση 2/2001 σχετικά µε ορισµένες ελάχιστες απαιτήσεις όσον αφορά τη συλλογή µέσω του διαδικτύου δεδοµένων προσωπικού χαρακτήρα στα πλαίσια της Ευρωπαϊκής Ένωσης, εκδοθείσα στις 17 Μαΐου 2001, WP

12 του λογαριασµού. Καµία πληροφορία σχετικά µε τον κάτοχο του λογαριασµού δεν µπορεί να αντληθεί από το PUID. Το PUID χρησιµοποιείται κυρίως ως δείκτης σε δεδοµένα που αφορούν σε συγκεκριµένους ιστοχώρους. Το ίδιο το PUID δεν επιτρέπει την είσοδο ούτε την πρόσβαση στις πληροφορίες του προφίλ ενός χρήστη. Μόνο ένα σωστά διαρθρωµένο δελτίο ελέγχου ταυτότητας (το οποίο περιλαµβάνει το PUID), κρυπτογραφηµένο στο κλειδί που εκχωρείται στον συµµετέχοντα ιστοχώρο, µπορεί να χρησιµοποιηθεί ως αδειοδοτικό σύνδεσης. Οποιοσδήποτε χρήστης µπορεί να διαθέτει ένα ή περισσότερα PUID, καθώς κάθε λογαριασµός Passport διαθέτει ένα PUID, οι δε χρήστες µπορούν να διατηρούν περισσότερους του ενός λογαριασµούς Passport. Οι προβληµατισµοί της οµάδας εργασίας είχαν αρχικά σχέση µε το γεγονός ότι η χρήση του PUID θα έδινε τη δυνατότητα στους συνεργαζόµενους ιστοχώρους να ανταλλάξουν πληροφορίες σχετικά µε τους χρήστες της.net Passport και να σχηµατίσουν το προφίλ των χρηστών. Σύµφωνα µε τους όρους των συµβάσεων µεταξύ της εταιρείας Microsoft και των συνεργαζόµενων ιστοχώρων, απαγορεύεται η πώληση µητρώων PUID σε τρίτους, καθώς και η διασύνδεση των ιστοχώρων χωρίς τη συναίνεση του χρήστη και επιβάλλονται αυστηροί περιορισµοί όσον αφορά τη χρήση του PUID. Ωστόσο, ελλοχεύει πάντοτε τέτοιου είδους κίνδυνος όταν οι τεχνικές δυνατότητες το επιτρέπουν. Ένα άλλο ζήτηµα που έθιξε η οµάδα εργασίας αφορούσε τη δυνατότητα πρόσβασης των χρηστών στο δικό τους PUID. Όσον αφορά το δεύτερο σηµείο, η Microsoft δεσµεύθηκε να επιτρέψει στους χρήστες να έχουν πρόσβαση στο δικό τους PUID κατόπιν σχετικού αιτήµατος (8-18 µήνες). Η οµάδα εργασίας θα ήθελε να επιστήσει την προσοχή στην υπερβολική καθυστέρηση που παρατηρείται όσον αφορά τη δυνατότητα άσκησης του δικαιώµατος πρόσβασης στο PUID. Ακόµη και εάν δεν είναι δυνατή η πρόσβαση on-line, θα πρέπει να τίθενται άλλα µέσα στη διάθεση των χρηστών, προκειµένου αυτοί να µπορούν να κάνουν χρήση του δικαιώµατός τους από τώρα. ιεξήχθησαν εκτενείς συζητήσεις µεταξύ της Microsoft και των µελών της ειδικής οµάδας για το ιαδίκτυο σχετικά µε το εάν είναι απαραίτητη αυτή καθεαυτή η χρήση ενός µοναδικού αναγνωριστικού. Η Microsoft κατανοεί τις ανησυχίες της οµάδας εργασίας και συµφώνησε να συνεχίσει να εξετάζει εναλλακτικές αρχιτεκτονικές ελέγχου ταυτότητας για τη.net Passport. Συµφωνήθηκε µε τη Microsoft ότι η συζήτηση για το εν λόγω ζήτηµα θα συνεχίσει στο µέλλον, προκειµένου να διαπιστωθεί εάν είναι δυνατόν να βρεθεί ικανοποιητική εναλλακτική λύση Η άσκηση των δικαιωµάτων των προσώπων στα οποία αναφέρονται τα δεδοµένα. Η οµάδα εργασίας προβληµατίσθηκε σχετικά µε τα υφιστάµενα προβλήµατα όσον αφορά τα δικαιώµατα των προσώπων στα οποία αναφέρονται τα δεδοµένα και ιδιαίτερα των προβληµάτων που ανακύπτουν όταν κάποιος επιχειρεί να διαγραφεί από την Passport. Κατά τις επαφές της µε την οµάδα εργασίας, η Microsoft αναγνώρισε ότι παρατηρήθηκαν ορισµένα προβλήµατα στο παρελθόν και συµφώνησε να εφαρµόσει διάφορα µέτρα προκειµένου να διευκολύνει την άσκηση των δικαιωµάτων των χρηστών

13 - Να παράσχει στο ενηµερωτικό µήνυµα µια εµφανή και ευανάγνωστη σύνοψη των πληροφοριών που απαιτούνται βάσει του άρθρου 10 της οδηγίας, καθώς και πληροφορίες σχετικά µε τα δικαιώµατα των προσώπων στα οποία αναφέρονται τα δεδοµένα (το αργότερο τον Απρίλιο του 2003). - Να πληροφορεί τους χρήστες στο πλαίσιο της δήλωσης ιδιωτικού απορρήτου και της αρχικής ενηµέρωσης ότι θα πρέπει να απευθύνουν τα ερωτήµατα και τα αιτήµατά τους στην ηλεκτρονική διεύθυνση passpriv@microsoft.com (εφαρµοζόµενη πρακτική και 0-4 µήνες). - Να αποκρίνεται σε ερωτήµατα και αιτήµατα των χρηστών της Passport στη γλώσσα του πελάτη, µε την προϋπόθεση ότι είναι µια από τις γλώσσες στις οποίες διατίθεται η Passport (0-4 µήνες). Από το Σεπτέµβριο του 2002 οι χρήστες έχουν τη δυνατότητα να κλείσουν το λογαριασµό τους στη.net Passport εύκολα, πηγαίνοντας στην passport.net και επιλέγοντας το σύνδεσµο Member Services. Ο χρήστης λαµβάνει οδηγίες σχετικά µε τη διαδικασία που πρέπει να ακολουθήσει προκειµένου να κλείσει το συγκεκριµένο λογαριασµό του στην Passport. Για τους λογαριασµούς που χρησιµοποιήθηκαν στην passport.net, η διαδικασία έχει αυτοµατοποιηθεί πλήρως. Στην οθόνη του χρήστη εµφανίζεται µια σελίδα όπου περιγράφονται οι συνέπειες από το κλείσιµο του λογαριασµού και υπάρχει ένα κουµπί που ο χρήστης µπορεί να επιλέξει προκειµένου να κλείσει τον εν λόγω λογαριασµό. Όσον αφορά τους λογαριασµούς που ανοίχθηκαν στη Hotmail, η διαδικασία είναι εν πολλοίς παρόµοια: ο χρήστης αρχικά κατευθύνεται προς τον ιστοχώρο της Hotmail, όπου εµφανίζεται η σελίδα για το κλείσιµο Οι κίνδυνοι ασφαλείας που ενέχουν οι εν λόγω λειτουργίες Η οµάδα εργασίας εξέτασε, επίσης, τους πιθανούς κινδύνους ασφαλείας του συστήµατος, ιδιαίτερα εκείνους που έχουν σχέση µε τη συγκέντρωση δεδοµένων σε δύο µεγάλες βάσεις δεδοµένων. Οι προβληµατισµοί αυτοί οφείλονταν, επίσης, στο γεγονός ότι η Microsoft αποτελεί κατεξοχήν στόχο των πειρατών του κυβερνοχώρου. Η οµάδα εργασίας έλαβε υπό σηµείωση το γεγονός ότι η Microsoft εφάρµοσε ένα πρόγραµµα ασφάλειας των πληροφοριών (Information Security Program) κατόπιν της εντολής συγκατάθεσης (Consent Order) που εξέδωσε η οµοσπονδιακή επιτροπή εµπορίου (Federal Trade Commission) το Οι κυριότερες απαιτήσεις είναι: - Να προβλεφθεί η κατάλληλη διοικητική, τεχνική και φυσική προστασία, συµπεριλαµβανοµένης µιας αναθεωρηµένης πολιτικής ασφαλείας µε βάση το ISO Οι πρότυπες διαδικασίες λειτουργίας για κάθε κύρια οµάδα θα τροποποιηθούν όπως κρίνεται απαραίτητο προκειµένου να εξασφαλισθεί η συµµόρφωση µε το πρόγραµµα ασφάλειας των πληροφοριών (Information Security Program). Οι εν λόγω διαδικασίες ενηµερώνονται όταν οι τεχνολογικές και επιχειρηµατικές εξελίξεις το επιβάλουν. - Ορισµός ενός υπαλλήλου ή υπαλλήλων που θα συντονίζουν και θα είναι υπεύθυνοι για το πρόγραµµα ασφάλειας των πληροφοριών (Information Security Program). Οι άµεσα ενδιαφερόµενοι µεταξύ όλων των εµπλεκόµενων οµάδων θα συνδράµουν στη δηµιουργία και την εφαρµογή των πρότυπων διαδικασιών λειτουργίας για την εκτέλεση του προγράµµατος ασφάλειας των πληροφοριών (ISP). Επί του παρόντος εξελίσσεται η τυποποίηση και τεκµηρίωση διαφόρων προγραµµάτων παράλληλα µε την εφαρµογή του αναθεωρηµένου προγράµµατος ασφάλειας των πληροφοριών. Τα εν λόγω προγράµµατα περιλαµβάνουν: -- 13

14 - Κατάρτιση όσον αφορά θέµατα ασφαλείας για τις διάφορες λειτουργίες και οµάδες ανάπτυξης εφαρµογών. - Αντιµετώπιση συµβάντων και διαδικασίες κλιµάκωσης - ηµιουργία µιας οµάδας επίβλεψης ασφαλείας Συµπεράσµατα Η οµάδα εργασίας εκφράζει την ικανοποίησή της για τα σηµαντικά µέτρα που έλαβε και πρόκειται να λάβει η Microsoft στους επόµενους µήνες, προκειµένου να εξασφαλίσει τη συµµόρφωση του συστήµατος.net Passport µε την ευρωπαϊκή οδηγία περί προστασίας των δεδοµένων. Είναι αυτονόητο ότι η οµάδα εργασίας θα παρακολουθεί στενά την εξέλιξη του συστήµατος κατά τους επόµενους µήνες, προκειµένου να διαπιστώσει κατά πόσο θα τεθούν σε εφαρµογή τα µέτρα που ανακοίνωσε η Microsoft. Επιπροσθέτως, η οµάδα εργασίας λαµβάνει υπό σηµείωση τους προβληµατισµούς τους οποίους εξέφρασαν, επίσης, µη κυβερνητικές οργανώσεις, σχετικά µε την εγκατάσταση ενός κεντρικού συστήµατος φύλαξης προσωπικών δεδοµένων. Η οµάδα εργασίας θα συνεχίσει να παρακολουθεί το ζήτηµα και σε ό,τι αφορά τα χαρακτηριστικά ασφαλείας. Η υπηρεσία.net Passport είναι υπό εξέλιξη και είναι πιθανόν η αρχιτεκτονική της να διαφοροποιηθεί στο µέλλον. Λόγω του γεγονότος αυτού και της ανάγκης για συνεχή παρακολούθηση αρκετών από τα προαναφερθέντα ζητήµατα, και ιδιαίτερα του θέµατος του PUID, η οµάδα εργασίας θα εξακολουθήσει να ελέγχει την ανάπτυξη του συστήµατος και τη µελλοντική του εξέλιξη, σε διάλογο µε τη Microsoft όταν αυτό κρίνεται απαραίτητο. Η Microsoft συµφώνησε να αναφέρει στην οµάδα εργασίας τις ενέργειες στις οποίες προβαίνει όσον αφορά το σύστηµα.net Passport. 3. ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ 2: Η ΥΠΗΡΕΣΙΑ LIBERTY ALLIANCE PROJECT 3.1. Σύντοµη περιγραφή του συστήµατος Η υπηρεσία Liberty Alliance δηµιουργήθηκε τον εκέµβριο του 2001 και είναι ένας όµιλος που έχει συσταθεί βάσει συµβάσεως και ο οποίος σήµερα αποτελείται από περισσότερες από 100 εταιρείες, µη κερδοσκοπικούς οργανισµούς και κυβερνήσεις σε όλο τον κόσµο. Η υπηρεσία Liberty Alliance δεν συνιστά νοµικό πρόσωπο, αλλά ένα ειδικό σχέδιο στο οποίο συµµετέχουν διάφορες εταιρείες σύµφωνα µε τους όρους που προβλέπονται σε µια συµφωνία. Στόχος της υπηρεσίας Liberty Alliance είναι η καθιέρωση ανοικτών προτύπων για κοινή ταυτότητα στο ιαδίκτυο µέσα από ανοικτές τεχνικές προδιαγραφές. Βασικό χαρακτηριστικό του συστήµατος είναι η απλοποιηµένη διαδικασία απόκτησης κοινής ταυτότητας στο ιαδίκτυο κατά την εγγραφή (πρόκειται για ένα σύστηµα ενοποίησης των πολλαπλών λογαριασµών δεδοµένου χρήστη). Η µία και µόνη εγγραφή είναι η δυνατότητα του καταναλωτή να πιστοποιήσει την ταυτότητά του µόλις συνδεθεί µε τον παροχέα ταυτότητας (Identity Provider) και αργότερα να επισκέπτεται διάφορους παροχείς υπηρεσιών εντός ενός χώρου εµπιστοσύνης (Trust Domain) χωρίς να είναι απαραίτητο να προβεί ξανά σε πιστοποίηση ταυτότητας. Το σύστηµα λειτουργεί εντός χώρων ή κύκλων εµπιστοσύνης. Πρόκειται για µια "οµοσπονδία" παροχέων υπηρεσιών και παροχέων ταυτότητας που έχουν επιχειρησιακές σχέσεις µε βάση την αρχιτεκτονική της Liberty Alliance. Οι εν λόγω παροχείς έχουν συνάψει επιχειρησιακές συµφωνίες και οι κύριοι φορείς (Principals) µπορούν να διεξαγάγουν µαζί τους επιχειρηµατικές συναλλαγές σε ένα ασφαλές και, καθώς φαίνεται, αδιατάρακτο περιβάλλον

15 Οι προδιαγραφές της υπηρεσίας Liberty Alliance βρίσκονται ακόµη σε ένα πολύ πρώιµο στάδιο ανάπτυξης και προς το παρόν δεν έχουν εφαρµοστεί σχεδόν καθόλου 11. Αναµένεται ότι στο µέλλον οι τεχνολογικές εταιρείες θα εφαρµόζουν τις εν λόγω προδιαγραφές για τη δηµιουργία τεχνολογιών συµβατών µε τη Liberty Ανάλυση της παρούσας κατάστασης - Το πρωτόκολλο στη σηµερινή του µορφή πληροί τις απαιτήσεις της οδηγίας. Η οµάδα εργασίας θα ήθελε να υπογραµµίσει το γεγονός ότι η Liberty Alliance φέρει την ευθύνη ανάπτυξης του σχεδίου από τεχνική άποψη. Θα πρέπει να διασφαλίσει ότι οι προδιαγραφές και το πρωτόκολλο είναι σύµφωνα µε τις διατάξεις της οδηγίας. Θα πρέπει, επίσης, να σηµειωθεί ότι κάθε συµµετέχουσα εταιρεία που δραστηριοποιείται σε έναν ιστοχώρο της Liberty είναι ελεγκτής δεδοµένων και, κατά συνέπεια, υποχρεούται και αυτή να σέβεται την υφιστάµενη νοµοθεσία σχετικά µε την προστασία των δεδοµένων. - Το πρωτόκολλο της Liberty Alliance είναι ουδέτερο από την άποψη της προστασίας των δεδοµένων. Επιτρέπει τη συµµόρφωση µε την οδηγία, αλλά σίγουρα δεν την απαιτεί και δεν λαµβάνονται µέτρα για την επιβολή της. Η οµάδα εργασίας προτρέπει τη Liberty Alliance να αναπτύξει συστάσεις και κατευθυντήριες γραµµές που θα παράσχουν κίνητρα στις εταιρείες να χρησιµοποιούν τις προδιαγραφές κατά τρόπο που θα συνάδει ή ακόµη θα ενισχύει την προστασία του ιδιωτικού χώρου. Το σύστηµα θα ήταν, επίσης, δυνατόν να συµπεριλάβει συγκεκριµένα χαρακτηριστικά που θα έχουν σχέση µε τις συγκεκριµένες διατάξεις της ευρωπαϊκής νοµοθεσίας στον εν λόγω τοµέα. Αυτό θα ήταν ιδιαίτερα σηµαντικό όσον αφορά τους παροχείς ταυτότητας οι οποίοι θα έχουν στην κατοχή τους έναν τεράστιο όγκο πληροφοριών για τους χρήστες. - Η οµάδα εργασίας σηµείωσε ότι πολλές εταιρείες που συνεργάζονται µε τη Liberty Alliance έχουν την έδρα τους στην Αµερική και αναµένεται ότι η εφαρµογή προδιαγραφών θα οδηγήσει κατ ουσίαν στη µεταφορά πολλών προσωπικών δεδοµένών από την Ευρώπη στις ΗΠΑ. Η οµάδα εργασίας προτρέπει τις αµερικανικές εταιρείες που συµµετέχουν στη Liberty Alliance να παράσχουν εγγυήσεις για ένα ικανοποιητικό επίπεδο προστασίας των προσωπικών δεδοµένων που θα τους διαβιβάζονται. - εδοµένης της πολύ περιορισµένης ανάπτυξης της Liberty Alliance και του γεγονότος ότι δεν χρησιµοποιείται ακόµη στην πράξη, είναι δύσκολο επί του παρόντος να προβλέψει κανείς επακριβώς τις συνέπειες από τη χρήση ενός συστήµατος ταυτοτήτων κατά ζεύγη (pair-wise identities). Η οµάδα εργασίας θα ήθελε, ωστόσο, να υπογραµµίσει ότι το σύστηµα των κατά ζεύγη ταυτοτήτων έχει το πλεονέκτηµα ότι, κατ αυτόν τον τρόπο, αποτρέπεται η δηµιουργία ενός µοναδικού αναγνωριστικού για το χρήστη. Εντούτοις, είναι απαραίτητο να συνεχισθεί η εξέταση του ζητήµατος αυτού από την άποψη της προστασίας των δεδοµένων, ιδίως όσον αφορά την τεχνική δυνατότητα των ιστοχώρων να µοιράζονται προσωπικά δεδοµένα του χρήστη χωρίς τη συγκατάθεσή του. Παρά το γεγονός ότι το σύστηµα των ταυτοτήτων κατά ζεύγη φαίνεται να είναι περισσότερο ευέλικτο από το σύστηµα που χρησιµοποιεί ένα µοναδικό αναγνωριστικό, παραµένει ανησυχητικό το γεγονός ότι δίνεται η τεχνική δυνατότητα στους συνεργαζόµενους ιστοχώρους να µοιράζονται τα εν λόγω ζεύγη. 11 Η Sun One είναι συµβατή µε τη Liberty

16 3.3. Ορισµένοι προβληµατισµοί όσον αφορά τα πιθανά ζητήµατα που θα προκύψουν στο µέλλον Επί του παρόντος, οι προδιαγραφές της Liberty Alliance συνιστούν απλώς ένα πιλοτικό µοντέλο το οποίο δεν έχει παρά µόνον ελάχιστα εφαρµοσθεί στην πράξη και είναι βέβαιο ότι θα υποστεί πολλές τροποποιήσεις στο µέλλον. Για το λόγο αυτό, η οµάδα εργασίας θα συνεχίσει να παρακολουθεί την ανάπτυξη της εν λόγω υπηρεσίας, προκειµένου να διασφαλίσει ότι λαµβάνονται υπόψη οι απαιτήσεις της οδηγίας. Όσον αφορά αυτό το θέµα, θα πρέπει να εξετασθεί, για παράδειγµα, η χρήση των cookies, η δυνατότητα των χρηστών να ανανεώνουν ενεργά το σήµα αναγνώρισης (handle) 12, η αυτόµατη ενοποίηση 13, ο ρόλος των παροχέων ταυτότητας 14, η έννοια και η λειτουργία των "κύκλων εµπιστοσύνης" και οι συµβάσεις που θα υπογράφονται µεταξύ των εταιρειών που χρησιµοποιούν µια κοινή ταυτότητα. Η οµάδα εργασίας καλεί τη Liberty Alliance να εξετάσει τους προβληµατισµούς που διατύπωσε η οµάδα κατά τη µελέτη περίπτωσης 1, καθώς και να λαµβάνει υπόψη τα συµπεράσµατα των συζητήσεων µε τη Microsoft όταν εξετάζει παρόµοια ζητήµατα που έχουν σχέση µε το θέµα των προδιαγραφών. Ειδικότερα όσον αφορά τα αδιαφανή σήµατα αναγνώρισης και τις ταυτότητες κατά ζεύγη, η Liberty Alliance θα πρέπει να λάβει υπόψη όλους τους προβληµατισµούς που εξέφρασε η οµάδα εργασίας σχετικά µε το ζήτηµα του PUID. 4. ΑΝΤΙΠΑΡΑΒΟΛΗ ΤΩΝ ΥΦΙΣΤΑΜΕΝΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΛΕΓΧΟΥ ΤΑΥΤΟΤΗΤΑΣ ΣΤΟ ΙΑ ΙΚΤΥΟ ιαχειριστής κωδικών πρόσβασης Mozilla εν υπάρχει τρίτος που να λειτουργεί ως παροχέας ταυτότητας Πρόσβαση µόνον µέσω του Έλεγχος ταυτότητας από το µεσολαβητή (Proxy) Ο τρίτος που λειτουργεί ως παροχέας ταυτότητας επιλέγεται από τον τελικό χρήστη Πρόσβαση µέσω διαύλων που Microsoft Passport Η Microsoft είναι ο τρίτος που λειτουργεί ως παροχέας ταυτότητας Πιθανή πρόσβαση µέσω διαφορετικών Liberty Alliance Ο τρίτος που λειτουργεί ως παροχέας ταυτότητας επιλέγεται από τον παροχέα υπηρεσιών (αµοιβαίες συµβάσεις) Πιθανή πρόσβαση µέσω διαφορετικών 12 Το αδιαφανές σήµα αναγνώρισης (opaque handle) είναι το µέσο που χρησιµοποιείται για τη σύνδεση πολλαπλών τοπικών λογαριασµών που ανήκουν σε ένα χώρο εµπιστοσύνης (Τrust Domain). Αναγνωρίζεται από δύο οποιουσδήποτε παροχείς που λειτουργούν εντός του χώρου εµπιστοσύνης. Ένα σήµα αναγνώρισης είναι µια τυχαία πολύπλοκη ακολουθία χαρακτήρων, την οποία κάθε παροχέας συσχετίζει µε το δικό του αρχείο πληροφοριών για το χρήστη. 13 Η υπηρεσία Liberty Alliance χρησιµοποιεί την ενοποίηση των λογαριασµών προκειµένου να δίνει τη δυνατότητα στους χρήστες να συνδέουν ή να κλείνουν λογαριασµούς. Η αυτόµατη ενοποίηση είναι δυνατόν να εγείρει συγκεκριµένα ερωτήµατα. 14 Μια µονάδα συµβατή µε τη Liberty, η οποία δηµιουργεί, διατηρεί και διαχειρίζεται πληροφορίες σχετικές µε την ταυτότητα των χρηστών για λογαριασµό των κύριων συµβαλλόµενων µερών και παρέχει εκ µέρους τους υπηρεσίες ελέγχου ταυτότητας σε άλλους παροχείς υπηρεσιών που ανήκουν σε έναν κύκλο εµπιστοσύνης

17 προσωπικού ηλεκτρονικού υπολογιστή Επί του παρόντος διαθέσιµος και ευρέως χρησιµοποιούµενος Ταυτότητα χρήστη και κωδικός πρόσβασης ανά ιστοχώρο Η αναγνώριση του χρήστη γίνεται µε την ταυτότητα χρήστη και τον κωδικό πρόσβασης εν απαιτείται σύµβαση παρέχονται από τον παροχέα υπηρεσιών ελέγχου ταυτότητας Περιορισµένη διαθεσιµότητα Ταυτότητα χρήστη και κωδικός πρόσβασης ανά ιστοχώρο Η αναγνώριση του χρήστη γίνεται µε την ταυτότητα χρήστη και τον κωδικό πρόσβασης Σύµβαση µεταξύ του τελικού χρήστη και του παροχέα - Το πρωτόκολλο ελέγχου ταυτότητας απαιτεί από τον παροχέα του µεσολαβητή (proxy provider) να γνωρίζει ποιοι ιστοχώροι στους οποίους διενεργείται έλεγχος ταυτότητας έχουν δεχθεί επισκέψεις (αποθήκευση του συνδυασµού UID/κωδικού πρόσβασης ανά ιστοχώρο) Χρησιµοποιώντας διαφορετικές ταυτότητες χρήστη, ο τελικός χρήστης είναι δυνατόν να αποτρέψει την ανταλλαγή δεδοµένων από τους παροχείς υπηρεσιών Χρησιµοποιώντας διαφορετικές ταυτότητες χρήστη, ο τελικός χρήστης είναι δυνατόν να αποτρέψει την ανταλλαγή δεδοµένων από τους παροχείς υπηρεσιών συσκευών, οι οποίες επί του παρόντος είναι κυρίως όµοιες µε τους προσωπικούς ηλεκτρονικούς υπολογιστές Επί του παρόντος διαθέσιµη και χρησιµοποιούµενη από όλες τις υπηρεσίες της Microsoft Ενιαία ταυτότητα χρήστη και κωδικός πρόσβασης Ένα µοναδικό αναγνωριστικό για τον χρήστη (PUID) Σύµβαση µεταξύ της Microsoft και του παροχέα υπηρεσιών Η Microsoft χρησιµοποιεί ένα µοναδικό PUID ανά χρήστη Το µοναδικό PUID αναγνωρίζει το χρήστη. Σύµφωνα µε τους όρους της σύµβασης, οι παροχείς υπηρεσιών δεν επιτρέπεται να συνδυάζουν τα δεδοµένα που διαθέτουν συσκευών, συµπεριλαµβανοµένων των κινητών τηλεφώνων. Αρχικά στάδια εφαρµογής. Κωδικός πρόσβασης και ταυτότητα χρήστη ανά ιστοχώρο ιαφορετικά σήµατα αναγνώρισης ανά ζεύγος ιστοχώρων Σύµβαση µε κάθε ιστοχώρο εντός ενός κύκλου εµπιστοσύνης Ένα µοναδικό σήµα αναγνώρισης για κάθε χρήστη σε κάθε ενοποιηµένο ζεύγος ιστοχώρων. Ο παροχέας ελέγχου ταυτότητας είναι απαραίτητο να γνωρίζει µόνον τους ιστοχώρους όπου χρησιµοποιείται κοινή ταυτότητα. Τα δεδοµένα των χρηστών είναι δυνατόν να συνδυασθούν µόνον ανά ζεύγος ιστοχώρων. Οι ιστοχώροι καθορίζουν τις δικές τους αµοιβαίες συµβάσεις. Ο παροχέας Τόσο ο παροχέας Ο παροχέας Οι παροχείς -- 17

18 υπηρεσιών είναι ο µόνος ελεγκτής δεδοµένων εν γίνεται µεταφορά δεδοµένων µεταξύ των ελεγκτών Ο χρήστης ελέγχει όλη την επικοινωνία Το πρωτόκολλο ελέγχου ταυτότητας δεν απαιτεί cookies υπηρεσιών όσο και ο παροχέας µεσολαβητή (proxy provider) είναι ελεγκτές δεδοµένων Πληροφορίες που αφορούν τον έλεγχο της ταυτότητας διαβιβάζονται µεταξύ των ελεγκτών Είναι απαραίτητη η συγκατάθεση του χρήστη Το πρωτόκολλο ελέγχου ταυτότητας δεν απαιτεί cookies υπηρεσιών που επεξεργάζεται τα αιτήµατα για έλεγχο ταυτότητας και η Microsoft είναι οι ελεγκτές δεδοµένων Ο έλεγχος της ταυτότητας και, σε ορισµένες περιπτώσεις, οι πληροφορίες που αφορούν το προφίλ διαβιβάζονται µεταξύ των ελεγκτών Είναι απαραίτητη η συγκατάθεση του χρήστη (απαιτείται από την εφαρµογή και τις συµβάσεις της MS) Η σηµερινή εφαρµογή χρησιµοποιεί cookies υπηρεσιών που ανήκουν σε έναν κύκλο εµπιστοσύνης καθίστανται ελεγκτές δεδοµένων τη χρονική στιγµή που οι χρήστες επισκέπτονται τους ιστοχώρους τους. Οι πληροφορίες που αφορούν τον έλεγχο της ταυτότητας διαβιβάζονται µεταξύ των ελεγκτών Υπό κανονικές συνθήκες, η συγκατάθεση του χρήστη ζητείται δύο φορές ανά "ενοποίηση", αλλά είναι δυνατή και η αυτόµατη "ενοποίηση" Η σηµερινή εφαρµογή χρησιµοποιεί cookies 5. ΣΥΜΠΕΡΑΣΜΑΤΑ Η οµάδα εργασίας θα ήθελε να υπογραµµίσει ότι τα συµπεράσµατα της µελέτης των δύο περιπτώσεων ισχύουν γενικά για τα παρεµφερή θέµατα που έχουν σχέση µε όλα τα συστήµατα ελέγχου ταυτότητας. Οι δύο περιπτώσεις επελέγησαν λαµβάνοντας υπόψη τη σηµερινή εξέλιξη της αγοράς των υπηρεσιών ελέγχου ταυτότητας στο ιαδίκτυο, αλλά όλες οι παρόµοιες υπηρεσίες θα πρέπει να λαµβάνουν υπόψη τους προβληµατισµούς αυτούς όσον αφορά την προστασία των δεδοµένων. Τα συµπεράσµατα είναι δυνατόν να συνοψισθούν ως εξής: - Τόσο αυτοί που σχεδιάζουν όσο και αυτοί που εφαρµόζουν στην πράξη συστήµατα ελέγχου ταυτότητας στο ιαδίκτυο (παροχείς υπηρεσιών ελέγχου ταυτότητας) φέρουν ευθύνη, αν και σε διαφορετικά επίπεδα, για τα χαρακτηριστικά που έχουν σχέση µε την προστασία των δεδοµένων. Οι ιστοχώροι που χρησιµοποιούν τέτοιου είδους σχήµατα (παροχείς υπηρεσιών) έχουν, επίσης, το δικό τους µερίδιο ευθύνης για τη διαδικασία. Συνιστάται στα διαφορετικά µέρη να συνάπτουν απολύτως ξεκάθαρες συµφωνίες µεταξύ τους, στις οποίες οι υποχρεώσεις κάθε µέρους πρέπει να δηλώνονται µε σαφήνεια. - Θα πρέπει να καταβληθεί κάθε δυνατή προσπάθεια ώστε να επιτρέπεται η ανώνυµη χρήση ή η χρήση µε ψευδώνυµο των συστηµάτων ελέγχου ταυτότητας στο ιαδίκτυο. Στις περιπτώσεις όπου κάτι τέτοιο θα παρεµπόδιζε την απόλυτα εύρυθµη λειτουργία του συστήµατος, θα πρέπει να βρεθεί µια δοµή που να απαιτεί τις λιγότερες δυνατές -- 18

19 πληροφορίες και µόνον για τον έλεγχο της ταυτότητας του χρήστη και η οποία θα παραχωρεί στο χρήστη πλήρη έλεγχο των αποφάσεων σχετικά µε πρόσθετες πληροφορίες (όπως τα δεδοµένα που αφορούν το προφίλ του χρήστη). Είναι απαραίτητο να προβλέπεται αυτή η δυνατότητα επιλογής τόσο στο επίπεδο του παροχέα υπηρεσιών ελέγχου ταυτότητας όσο και στο επίπεδο των παροχέων υπηρεσιών (των ιστοχώρων που χρησιµοποιούν το σύστηµα). - Είναι εξαιρετικά σηµαντικό να παρέχονται επαρκείς πληροφορίες προς τους χρήστες αναφορικά µε τις επιπτώσεις του συστήµατος για την προστασία των δεδοµένων (ταυτότητα του ελεγκτή, σκοποί, συλλεχθέντα δεδοµένα, αποδέκτες κτλ). Αυτές οι πληροφορίες θα πρέπει να δίδονται κατά τρόπο εύκολα προσβάσιµο και φιλικό προς το χρήστη, κατά προτίµηση µέσω του εντύπου συλλογής ή µέσω ενός ενηµερωτικού µηνύµατος που θα εµφανίζεται αυτόµατα στην οθόνη του χρήστη και σε όλες τις γλώσσες στις οποίες παρέχονται οι υπηρεσίες. - Όταν τα προσωπικά δεδοµένα πρόκειται να µεταφερθούν σε τρίτες χώρες, οι παροχείς υπηρεσιών ελέγχου ταυτότητας θα πρέπει να συνεργάζονται µε εκείνους τους παροχείς υπηρεσιών που λαµβάνουν όλα τα απαραίτητα µέτρα για την εξασφάλιση επαρκούς προστασίας 15 ή που παρέχουν επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδοµένων των χρηστών του συστήµατος, βάσει συµβάσεων ή µέσω δεσµευτικών εταιρικών κανόνων. Αυτή πρέπει να είναι η γενική αρχή. Εάν σε ιδιαίτερες περιπτώσεις απαιτείται η συγκατάθεση του χρήστη ως απαραίτητη προϋπόθεση για τη µεταφορά, θα πρέπει να δίδονται στους χρήστες επαρκείς πληροφορίες και δυνατότητες επιλογής. Οι χρήστες θα πρέπει να έχουν την επιλογή να δώσουν τη συγκατάθεσή τους ή όχι για τη µεταφορά για κάθε περίπτωση ξεχωριστά. - Η χρήση αναγνωριστικών, οποιαδήποτε µορφή και αν έχουν, συνεπάγεται κινδύνους για την προστασία των δεδοµένων. Πρέπει να εξετάζονται αναλυτικά όλες οι πιθανές εναλλακτικές λύσεις. Εάν τα αναγνωριστικά των χρηστών κρίνονται απολύτως απαραίτητα, θα πρέπει να εξετασθεί η παροχή της δυνατότητας στο χρήστη να ανανεώνει το αναγνωριστικό. - Αναγνωρίζεται η αξία της εφαρµογής µιας αρχιτεκτονικής λογισµικού που να ελαχιστοποιεί τη συγκέντρωση προσωπικών δεδοµένων των χρηστών του ιαδικτύου και ενθαρρύνεται η χρήση µιας τέτοιας αρχιτεκτονικής ως µέσου ενίσχυσης της ανθεκτικότητας του συστήµατος ελέγχου ταυτότητας απέναντι σε λάθη και αποφυγής της δηµιουργίας βάσεων δεδοµένων υψηλής προστιθέµενης αξίας οι οποίες θα ανήκουν και θα τελούν υπό τη διαχείριση µιας και µόνο εταιρείας ή ενός µικρού συνόλου εταιρειών και οργανισµών. - Οι χρήστες θα πρέπει να µπορούν να χρησιµοποιούν χωρίς δυσκολία τα µέσα που τους παρέχονται προκειµένου να ασκούν τα δικαιώµατά τους (συµπεριλαµβανοµένου του δικαιώµατος τη µη επιλογής) και να διαγράφουν όλα τα στοιχεία τους εάν αποφασίσουν να σταµατήσουν να χρησιµοποιούν ένα σύστηµα ελέγχου ταυτότητας στο ιαδίκτυο. Θα πρέπει, επίσης, να ενηµερώνονται επαρκώς σχετικά µε τη διαδικασία που θα πρέπει να ακολουθήσουν εάν έχουν απορίες ή καταγγελίες. - Σε αυτό το πλαίσιο, η ασφάλεια είναι ζήτηµα θεµελιώδους σηµασίας. Θα πρέπει να ληφθούν τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την αντιµετώπιση των κινδύνων που ελλοχεύουν. Λόγω της συνεχούς εξέλιξης τόσο της υπηρεσίας.net Passport όσο και της υπηρεσίας Liberty Alliance και των άλλων συναφών υπηρεσιών ελέγχου ταυτότητας, η οµάδα 15 Αυτό είναι δυνατόν, για παράδειγµα, στις Ηνωµένες Πολιτείες όσον αφορά εκείνες τις εταιρείες που κρίνονται ότι είναι ασφαλείς αποδέκτες, οι οποίοι θα πρέπει να ενθαρρύνονται να συµµετάσχουν στο εν λόγω σχήµα. Αυτό ισχύει προφανώς για τις περιπτώσεις κατά τις οποίες η εταιρεία που εδρεύει στην τρίτη χώρα δεν εµπίπτει στο πεδίο εφαρµογής της οδηγίας

20 εργασίας θα συνεχίσει να παρακολουθεί τις µελλοντικές εξελίξεις στον εν λόγω τοµέα, ιδιαίτερα προκειµένου να εξασφαλίσει ότι οι δεσµεύσεις στις οποίες προέβη η Microsoft θα τηρηθούν εντός του προτεινόµενου χρονοδιαγράµµατος, όπως παρουσιάστηκε στο κεφάλαιο 2 του παρόντος εγγράφου. Βρυξέλλες, 29 Ιανουαρίου 2003 Για την οµάδα εργασίας Ο Πρόεδρος Stefano RODOTA -- 20