Prywatność w praktyce … i to nie tylko w sieci

Dyskusje o tożsamości w sieci często traktowane są przez użytkowników tegoż w sposób dosyć teoretyczny. Szybkość adaptacji w ramach serwisów rozwiązań takich jak OpenID czy CardSpace może wskazywać na to, że również twórcy serwisów poniekąd nie odczuwają tego problemu … ale ja nie o tym. Czasami okazuje się jednak, że problem ten ma wymiar bardzo praktyczny i to nawet nie w sieci a w tak zwanym życiu rzeczywistym.

Podczas tak zwanych świątecznych rozmów w gronie rodzinnym rozmawiałem z moim Tatą (pozdrowienia) o tym, jak to o mało co podpisał umowę na nowy telefon z operatorem GSM. O mało co dlatego, że jednym z elementów procedury było przekazanie operatorowi pełnego wyciągu z konta bankowego za okres ostatnich 3 miesięcy. Na pytanie “Po co?” skądinąd bardzo sensowne po stronie operatora raczej nie udało sie uzyskać sensownej odpowiedzi.

Ano właśnie … tylko po co właściwie im te informacje?

 

(cc) digitaura

Oczywiście zdaję sobię sprawę, że w ten sposób próbują przeprowadzić proces weryfikacji użytkownika pod kątem zdolności finansowej. Czy jednak potrzebują w tym celu informacji o tym w jakim sklepie robiłem zakupy i na jaką kwotę, lub jakie serwisy on-line opłacam ze swojego konta??? Nie. W zasadzie potrzebują tylko określenia przez Bank czy mój miesięczny bilans finansowy jest dodatni czy ujemny lub też czy według Banku posiadam zdolność kredytową do danej kwoty.

I tutaj dochodzimy do tego co nazywa się  claims based identity. Przekładając to na działanie w sieci, wystarczające w takim wypadku byłob gdyby osoba próbująca zakupić określoną usługę mogła przedstawić wystawiony przez Bank zestaw poświadczeń (claim) stwierdzający czy dana osoba posiada określoną zdolność kredytową lub dodatni bilans konta w ciągu określonego okresu czasu. Tylko tyle i aż tyle :). Technologicznie nie jest to wcale trudne …

Odnosząc jeszcze opisaną powyżej sytuacje do Laws of Identity to jest ona klasycznym przykładem naruszeniem drugiego z tych praw czyli “Minimal Disclosure for a Constrained Use”, które w uproszczonej i skróconej wersji brzmi:

The minimum information needed for the purpose at hand should be released, and only to those who need it. Details should be retained no longer than necesary.

W jeszcze większym skrócie, i w języku Słowian w takim przypadku operator GSM ma prawo od nas żądąć tylko minimalnego zakresu informacji wymaganej dla danej operacji. W tym wypadku żądana informacja napewno była nadmiarowa względem potrzeb a i gwarancji jej usunięcia (niszczarka??) nie mamy.

I to jest właśnie przykład sytuacji, w której niby teoretyczne rozważania o tożsamości \ prywatności i jej ochrony stają się jak najbardziej praktyczne.

 

Małe PS. Co do prywatności w sieci jeszcze i ochrony potencjalnie wrażliwych informacji to ostatnio mi się mała lampka zapaliła gdy usłyszałem o powstaniu portalu naszechoroby. Cóż, mam nadzieję że jego twórcy nie będą chcieli nigdy łączyć tych danych z innymi serwisami itp. I dobrze go zabezpieczyli.

Join the Conversation

8 Comments

  1. Podejrzewam, że jeszcze trochę czasu upłynie, zanim będziemy mieli możliwość otrzymania w prosty sposób odpowiednich poświadczeń od banku. Co do nadmiarowości danych to zgadzam się z tobą w 100%.
    Niestety operatorzy prześcigając się w promocjach, jakości obsługi klienta, etc. Szukają oni raczej sposobów na bardzo szybką weryfikację, bez ponoszenia dodatkowych kosztów. W wyniku czego proszą o wyciągi z ostatnich X miesięcy. Klienci nie korzystający z internetu otrzymują takie wyciągi pocztą, reszta może je w 10 minut wydrukować.

    Ludzie bardzo często nie zastanawiają się czy aby na pewno przekazane informacje są bezpieczne:( Można powiedzieć, że 90% osób jest zadowolona bo:
    – nie musi zdobywać zaświadczenia o zarobkach
    – nie musi przynosić dodatkowych papierków

  2. Ostatnio albo ja mam więcej szczęścia albo rozmaitym urzędom i firmom już przeszło. Ale kiedyś nagminne było rzucanie przez panie w okienkach tekstu “to ja jeszcze muszę skserować pana dowód”.
    Wiele razy pytałem po co, ale odpowiedzi innej niż “taką mamy procedurę” nigdy nie uzyskałem. W efekcie zacząłem odpowiadać, że się nie zgadzam. Różne rzeczy się wtedy działy, ale najczęściej okazywało się, że to w sumie żaden problem i sprawa była załatwiana pozytywnie.
    Pokutuje chyba w nas trochę
    (choć już coraz mniej!) podejście do urzędów, w którym:
    a) jaśnie urząd (operator GSM, ubezpieczyciel samochodu, bank itp.) udziela łaski wyświadczenia nam usługi, więc należy trwać w pokłonie i grzecznie potakiwać
    b) urząd i tak wie wszystko, więc niech ma o co prosi

  3. @Witek
    Ano .. masz racje … za bardzo się temu nie przyglądałem. Tym bardziej nie wróżę temu dobrej przyszłości … jeżeli faktycznie ktoś z tego będzie korzystał to prędzej czy później jakiś problem wyniknie.

    Pytia jaka czy co … 🙂

  4. @t.onyszko: a ja jestem się gotów założyć, że naszechoroby w ciągu mniej niż roku nawiążą współpracę z NK (choroby Twoich znajomych) albo portal zostanie zakupiony przez którąś z dużych korporacji farmaceutycznych:)

Leave a comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.