Nyilvános adatokat tagadhat meg a LinkedIn egy startuptól
A számítógépes csalásról és visszaélésről szóló amerikai törvény egyfajta olvasata miatt megvonhatja egy vállalat a hozzáférést egy másik cégtől, akár a publikus adatok elérésével kapcsolatban is. A Microsoft-LinkedIn ezúttal a hiQ startup tevékenységét szeretné megszüntetni, de volt már hasonló precedens.
Egymásnak feszült a webes adatok begyűjtésével foglalkozó hiQ és a LinkedIn annak kapcsán, hogy mennyire szabályos a weben publikusan elérhető információk "beszkennelése". A két cég vitájának kimenetele eldöntheti az Egyesült Államokban felmerült kérdést, hogy a számítógépes csalásról szóló törvény alkalmas-e ezeknek az eszközöknek a korlátozására - írja az Ars Technica.
A hiQ kifejezetten azzal foglalkozik, hogy a cégek megbízásaiból figyeli a munkavállalók által a LinkedInen nyilvános közölt adatokat, és ez alapján von le következtetést, ki készül elhagyni az állását vagy kit érdemes felvenni. A LinkedIn figyelmeztette a céget a tevékenység megszüntetésére kötelező levélben, hogy az adatbeolvasás megsérti az 1986-os számítógépes csalásról és visszaélésről szóló törvényt (CFAA), amely kimondja, hogy a számítógépes "hackelés" bűncselekmény. A hiQ válaszlépésként kérte Észak-Kalifornia bíróságát, állapítsa meg a tevékenységéről, hogy az nem ütközik a törvénybe - mivel az adatgyűjtése megszüntetése természetesen a startup megszűnését is jelentette volna.
Az eset pedig nem egyedülálló, több másik startup számára is a nyilvános adatok beolvasása, rendezése és információvá alakítása jelenti a működés alapját. Tavaly a Power.com közösségi hálózatokat egy felületen megjelenítő oldalt üzemeltető Power Ventures sem volt hajlandó abbahagyni a Facebook szervereinek elérését a felszólító levél ellenére sem. Ebben az esetben a cég privát üzenetekhez kért hozzáférést a felhasználóktól, majd felkérő levelet küldött az ismerőseiknek, hogy ők is kezdjék el használni a szolgáltatást. A startup ebben az esetben arra hivatkozott, hogy a felhasználóktól megkapta az engedélyt, és nem kellett azt a Facebooktól kérnie.
"A Power felhasználói vitathatatlanul engedélyt adtak arra, hogy a Facebook számítógépeit használják az üzenetek terjesztésére. De a Facebook kifejezetten visszavonta ezt az engedélyt, amikor felszólító levelet küldött a tevékenység megszüntetésére. A Power tudta, hogy a továbbiakban nincs engedélye a Facebook számítógépeinek eléréséhez, mégis folytatta a tevékenységet." - írja a bírósági határozat.
Ebben az esetben viszont a hiQ-nak nem is kellett hozzáférést kérnie a LinkedIn profilok tulajdonosaitól, mivel csak a publikus adatokat gyűjtött be. Az Ars Technica által megkérdezett Cornell Law School egyik professzora szerint a Power Ventures esete mégis precedens értékű lehet a hiQ kapcsán is, amelyben a cégnek küldött tevékenység megszüntetésére kötelező levél elég ahhoz, hogy érvénybe léptesse a CFAA törvényt.
Részlet a hiQ vitatott "Keeper" szolgáltatásából
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A CFAA törvény értelmezése már harminc éve problémát okoz a jogászoknak, amely azt tartalmazza, hogy "a számítógépek engedély nélküli elérése vagy az engedélyezett hozzáférést meghaladó elérés" bűncselekménynek számít. Ennek egyik olvasata az is lehet, hogy a vállalat egy levélben megtagadja a hozzáférés jogosultságát, akkor onnantól kezdve nem engedélyezett a tartalom elérése. Ezt az olvasatot Észak-Kalifornia bírósága elfogadta Power Ventures ügyében, és ez jelent precedenst a hasonló ügyek esetében. Ezúttal pedig a LinkedIn ugyanezt az értelmezést szeretné elfogadtatni a bíróságon a hiQ-val kapcsolatban.
Egy másik szakértő, a George Washington University jogászprofesszora szerint viszont problematikus, ha az interneten nyilvánosan közzétett információkról valaki azt mondja, hogy azokhoz nem lehet hozzáférni. Példaként azt hozta fel, hogy akár a CNN is küldhetne felszólító levelet a konkurens hírügynökségek riportereinek, amelyben megtiltja a hozzáférésüket, így onnantól "szövetségi bűntényt követnének el egy nyilvános weboldal meglátogatásával". A szakértő véleménye szerint azoknak az oldalaknak, amelyek limitálni szeretnék a hozzáférést, valamilyen technikai korlátot kellene állítaniuk, például jelszavas belépés formájában - a jelenlegi értelmezés viszont túl nagy szabadságot ad a weboldalaknak a szubjektív döntésekre, a bíróságnak pedig jobban kellene védeniük a kisvállalatok és a információkat figyelő csoportok érdekeit.
Egyelőre azonban még nem született végső döntés a Power Ventures ügyében sem, mivel a cég felkérte a Legfelsőbb Bíróságot a vizsgálatra, de még nem kaptak választ, hogy foglalkoznak-e az esettel. Így a precedens jelenleg csak Kaliforniára és a nyugati államokra terjed ki. A precedens érvényesítése viszont azért is valószínű a hiQ és a LinkedIn esetében, mivel azt éppen Kalifornia szövetségi bírósága tárgyalja.