Uvod

Razvojem informacijsko-komunikacijskih tehnologija dolazi do sve većih izazova u zaštiti privatnosti njenih korisnika. Implementacijski napori stručnjaka za privatnost kreću se u smjeru istovremenog olakšavanja svakodnevnog rada korisnicima ICT usluga, posebno Web orijentiranih, te pružanja zadovoljavajuće zaštite njihove privatnosti.

Danas većina ozbiljnih Web sjedišta sadrži barem izjavu o zaštiti privatnosti, koja objašnjava korisniku na koji se način i u koju svrhu prikupljaju njegovi osobni podaci. Većinom su takve izjave pisane jezikom nerazumljivim korisniku i nije ih uvijek jednostavno pronaći, pa ih korisnici rijetko čitaju, tako da većina nije svjesna uzimanja njihovih osobnih podataka.

Ovaj rad analizira mogućnosti i potrebe implementacije privatnosti za Web sjedišta primjenom tehnologije P3P. Za provođenje analize i utvrđivanje postotka Web sjedišta kataloga www.hr koji podržavaju P3P korištena su nekomercijalna pomagala P3P validator i APPEL evaluator. U tu je svrhu implementirana aplikacija za automatiziranu analizu privatnosti u programskom jeziku Java.

Privatnost i protokol P3P

Pod pojmom privatnosti podrazumijeva se pravo osobe da kontrolira dostupnost osobnih podataka, odnosno mogućnost osobe da u društvu funkcionira anonimno. Svaka osoba bi trebala imati mogućnost odabira kojim podacima dozvoliti da budu dostupni drugoj strani, a kojima ne. Sigurnost i privatnost često se poistovjećuju, no postoje bitne razlike. Sigurnost podrazumijeva držanje informacija sigurnim, korištenjem npr. šifriranja ili vatrozida. Ta dva pojma međusobno su isprepletena, odnosno sigurnost u određenoj mjeri može jamčiti privatnost, dok se u nekim slučajevima može kositi s načelima privatnosti.

Pojam koji se često povezuje s privatnošću je pojam svijesti, odnosno informiranosti. Korisnik mora biti svjestan da se njegovi podaci prikupljaju te informiran o kojim podacima je riječ i u koju svrhu se koriste. Istraživanje iz 2001. godine [1] pokazalo je kako gotovo 65% korisnika odustaje od pregledavanja pojedinih Web stranica zbog straha od narušavanja privatnosti. Osjetljivost korisnika na njihovu privatnost se ne smije zanemariti. Sve više postaje dobra praksa vlasnika Web sjedišta osigurati korisniku prikladnu razinu privatnosti i uvjeriti ga da mu je ona zajamčena. Prvenstvo u zaštiti privatnosti na Webu preuzeo je protokol P3P.

P3P (Platform for Privacy Preferences Project) je protokol razvijen od strane konzorcija W3C [2], u trenutnoj inačici 1.1, koji omogućava korisniku Web sjedišta automatiziranje prihvaćanja ili odbijanja zahtjeva za informacijom o njemu, koja je definirana postavkama u korisnikovom Web pregledniku. Ukoliko neko Web sjedište zatraži informaciju koju korisnik ne želi povjeriti, zahtjev će biti odbijen.


Analiza privatnosti za Web sjedišta

Analiza implementacije privatnosti izvedena je na skupu od 19.245 Web sjedišta kataloga www.hr [3], prema podacima iz lipnja 2006. godine. Sama analiza je obuhvaćala postupak P3P validacije te APPEL evaluaciju Web sjedišta koja podržavaju protokol P3P.

P3P validacija je provjera podržava li Web sjedište protokol P3P. U tu je svrhu u programskom jeziku Java implementirana aplikacija koja koristi nekomercijalni P3P validator [4]. Aplikacija iz baze dohvaća URL ciljnog Web sjedišta, spaja se na P3P validator te izvršava validaciju u tri, specifikacijom definirana, koraka. Rezultati se zatim pohranjuju, a postupak ponavlja dok se ne ispitaju sva Web sjedišta iz ciljne baze URL-ova.

APPEL (A P3P Preference Exchange Language) je odvojena W3C-specifikacija dizajnirana kao standardni jezik za prikaz postavki o privatnosti zadanih od strane korisnika. Postavke se pišu u obliku niza pravila, podijeljenih u 16 kategorija. Uloga APPEL-evaluacije je istražiti kakvi podaci se prikupljaju od korisnika. Implementirana aplikacija za evaluaciju koristi dostupan APPEL evaluator [5], kojem pri izvršavanju prosljeđuje potrebne podatke u XML-ovskom zapisu.


Provedba analize Web sjedišta kataloga www.hr

Provedena P3P validacija rezultirala je s 517 Web sjedišta, odnosno njih 2.7% iz kataloga www.hr, koja imaju implementiran protokol P3P, odnosno sadrže sve informacije o postavkama o privatnosti u strojno-čitljivom obliku. Rezultati pokazuju kako skroman postotak hrvatskih Web sjedišta iz kataloga uopće brine o privatnosti svojih korisnika na ovaj standardizirani način.

Drugi korak analize, APPEL evaluacija, provedena je samo za Web sjedišta koja podržavaju protokol P3P, njih 517. Prema dobivenim rezultatima, praktički sva ispitana Web sjedišta ispunjavaju 9 APPEL pravila, poput prikupljanja podataka o računalu korisnika, informacija o kontaktu i narudžbama korisnika te drugih postavki. Gotovo dvije trećine Web sjedišta ispunjavaju i preostalih 6 APPEL pravila o npr. prikupljanju financijskih, političkih i zdravstvenih informacija, no niti jedno Web sjedište ne uzima podatke o samoj lokaciji korisnika.


Zaključak

Treba naglasiti kako sama implementacija privatnosti u Web sjedišta ne rješava sve probleme vezane uz privatnost [6]. Jedan od glavnih problema su državni zakoni koji ne podržavaju i ne štite ovakve tehnologije te ih proizvođač nema nikakvu obavezu implementirati. Ako implementacija i postoji, nitko ne jamči da će se tvrtka toga pridržati. Doduše, u takvom slučaju povrede privatnosti postoji pravna podloga za sudsku tužbu, no tada je već kasno jer je povreda privatnosti učinjena.


Reference: