Personvernnemndas avgjørelse av 14. september 2006 (Jon Bing, Gro Hillestad Thune, Leikny Øgrim, Siv Bergit Pedersen, Jostein Halgunset, Hanne I Bjurstrøm, Tom Bolstad)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage fra en privatperson på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven med forskrift.
Saken gjelder hvorvidt Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon er personvernstridig.
2 Saksgang
Datatilsynet mottok en klage fra privatperson datert 20.10.2005. Klagen rettet seg mot Microsoft Windows XP operativsystem, herunder operativsystemets automatiske oppgraderingsfunksjon.
Den 1.11.2005 fattet Datatilsynet vedtak om at forholdet ikke er i strid med personopplysningsloven med forskrift. Klager svarte i brev av 18.11.2005 at klager ikke aksepterte tilsynets avgjørelse og ba om en ny vurdering. Datatilsynet skrev i brev av 25.1.2006 at man anså saken som avsluttet idet det ikke hadde fremkommet nye opplysninger i saken.
Klager fastholdt sin påstand og krevde i brev av 13.2.2006 at saken ble sendt til overordnet organ. Tilsynet gjennomgikk saken med klager pr telefon den 28.2.2006 og klager opprettholdt sitt krav om overprøving.
Personvernnemnda mottok saken fra Datatilsynet den 27.4.2006. Klager ble orientert om dette i brev fra nemnda samme dag.
Klager tilskrev Personvernnemnda den 30.4.2006 og opplyste faktum ytterligere for nemnda.
Personvernnemnda kontaktet universitetslektor Gisle Hannemyr ved Institutt for informatikk ved universitetet i Oslo for en nærmere redegjørelse for hvorvidt opplysninger som kan knyttes til enkeltpersoner behandles i forbindelse med bruk av funksjonen for automatisk oppgradering i Microsofts operativsystem Windows XP. Gisle Hannemyr sendte Personvernnemnda en rapport 8.9.2006.
3 Faktum
Klager har kjøpt en bærbar mikromaskin med Microsoft Windows XP operativsystem. Ved installering av maskinen blir bruker spurt om det er ønskelig med automatisk oppgradering. Alternativene er ”ja” eller ”nei”. Dersom man svarer ”ja” får man automatisk oppgradert programmer installert på sin maskin. Dersom man svarer ”nei” skjer dette ikke, og man må skaffe seg oppgraderinger for eksempel ved selv å koble seg opp mot Microsofts nettsted, eller ved å kjøpe de oppgraderte programmene på en kompaktplate.
4 Anførslene
Klager anfører at tilbudet om automatisk oppgradering på programmer fra Microsoft er i strid med personopplysningsloven.
Klager oppfatter de automatiske rutinene som personvernstridig fordi de er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers maskin og gis mulighet til å opplaste andre data til klagers maskin.
Klager anfører at programmet åpner for innsyn i klagers maskin og de filer denne måtte inneholde. Klager mener at Microsoft dermed får tilgang til følsomme data på klagers maskin.
Klager opplyser i brev av 13.10.2005 at når vedkommende prøver å ta i bruk maskinen, dukker det opp et installasjonsprogram som spør om klager ønsker automatisk oppgradering. Alternativene er ”ja” eller ”nei”. Dersom man svarer ”ja”, vil programrutiner for automatisk oppgradering bli installert. Dersom man svarer ”nei” vil i følge klager ikke installasjonen gå videre.
I brev av 30.4.2006 opplyser klager at operativsystemet Windows XP allerede var installert da klager kjøpte maskinen. Klager skriver nå at vedkommende ikke vet hva installatøren svarte ”ja” på under installasjonen. Programpakken Microsoft Works fulgte med på kjøpet, men klager fikk beskjed på skjermen om at den måtte aktiveres ved henvendelse over telefon eller Internettet. Klager ble gjort oppmerksom på at det ville ta lang tid over telefon, og klager ønsket ikke at Microsoft skulle få tilgang til maskinen via Internettet. Klager returnerte derfor Microsoft Works til selgeren.
5 Datatilsynets vurdering
Datatilsynet mener at ordningen ikke strider mot personopplysningsloven med forskrift.
Tilsynet påpeker at automatisk oppgradering skal sikre at installert programmer ikke inneholder sikkerhetshull, og at de på andre måter er oppdaterte. Dersom en bruker aksepterer automatisk oppgradering, vil Microsoft gis tilgang til maskinen for å lese hvilke programmer med hvilke versjoner som er installert, samt påse at programmene er oppdatert. Teknisk sett vil aksept i prinsippet åpne for at Microsoft kan lese personlige filer, og til å installere programmer på. Dette vil ikke være formålet med behandlingen. Konsekvensen er imidlertid at personopplysningsloven får anvendelse, jf personopplysningsloven § 2, 1. ledd nr 2.
Personopplysningsloven § 8 stiller vilkår for å behandle personopplysninger. Behandlingsgrunnlaget vil være samtykke. Samtykke skal være frivillig, uttrykkelig og informert erklæring fra den registrerte om at vedkommende godtar behandlingen av opplysninger om en selv, jf personopplysningsloven § 2, 1. ledd nr 7.
Aktivisering av Microsofts automatiske oppgraderingsfunksjon krever brukers aksept. Dette skjer ved at man krysser av i ”ja”-feltet. Alternativt kan man krysse av i ”nei”-feltet eller be om oppgradering via kompaktplater. Microsoft har opplyst til Datatilsynet at bruker gis utførlig informasjon om automatisk oppgradering under programmets installasjonsprosedyre.
6 Personvernnemndas merknader
I Gisle Hannemyrs rapport fremgår det at Windows Update (Automatiske Oppdateringer) er en funksjon som inngår i operativsystemet Windows XP. Den har som oppgave å sørge for løpende vedlikehold av operativsystemet og en del nøkkelprogrammer etter at disse er installert hos sluttbruker. Begrunnelsen for den automatikken som ligger implisitt i systemene, er den logistikkmessige og kostnadsmessige utfordringen det er å drive løpende vedlikehold av programvare i en stor brukerpopulasjon der svært mange verken har de nødvendige datakunnskaper eller den påkrevde oppmerksomhet til selv å ivareta dette.
I følge Microsoft Update privacy statement blir følgende informasjon overført til Microsoft i forbindelse med automatiske oppdateringer:
- Computer make and modell
- Version information for the operating system, browser, and any other Microsoft software for which updates might be available
- Plug and Play ID numbers and hardware devices
- Region and language setting
- Globally Unique Identifier (GUID)
- Product ID and Product Key
- BIOS name, revision number and revision date
- IP-address
I tillegg til den informasjonen som Microsoft selv oppgir, overføres en såkalt “cookie” bestående av en kryptert blokk med data på 1409 byte.
IP-adressen kan benyttes til personidentifikasjon, men for privatpersoner med dynamisk IP-adresse forutsetter dette tilgang til loggene fra vedkommendes Internet Service Provider (ISP). Disse loggene er ikke tilgjengelig for utenforstående og i Norge utleveres disse kun til politiet. Microsoft Norge har dermed ingen mulighet til å koble IP-adressen til en person via vedkommendes ISP.
Hannemyr skriver at en ”cookie” kan i prinsippet inneholde hva som helst. Det er imidlertid en helt normal teknisk løsning å benytte en ”cookie" for å realisere en sesjon i Windows automatiske oppdateringer. Forekomsten av en ”cookie” og en kryptert blokk er derfor ingen indikasjon på at det overføres personopplysninger.
Videre fremholder Hannemyr at det er mulig å tenke seg at GUID, Product Key og IP-adresse (for de som er knyttet til nettet via en statisk IP-adresse) benyttes som en unik nøkkel som ved oppslag i et register der den samme nøkkelen er knyttet direkte eller indirekte til personidentifikasjon. Dette er imidlertid et svært teoretisk scenario og Microsoft Norge har forsikret at denne typen krysskobling mellom databaser ikke skjer.
Hannemyr konkluderer derfor med at opplysninger som kan knyttes til enkeltpersoner ikke behandles direkte, og det er ingen grunn til å anta at de behandles indirekte, i forbindelse med bruk av funksjonen automatiske oppdateringer.
Personvernnemnda kan således konkludere med at det ikke behandles personopplysninger i forbindelse med bruk av funksjonen automatiske oppdateringer, og at hele saken derfor faller utenfor personopplysningsloven.
Nemnda skal nevne at det i brev fra klager hevdes at dersom man ikke godtar automatiske oppdateringer ved første gangs installasjon, vil installasjonen ikke gå videre. Dette kan forklares med at ved første gangs bruk blir sluttbruker presentert for en EULA (End User License Agreement). Hele avtalen må godtas før maskinen blir tilgjengelig for bruk. Likeledes må det tas stilling til om selve Windows Update funksjonen skal aktiveres. Brukeren har da valget mellom ulike nivåer av tjenesten eller å ikke aktivere tjenesten. Det er derfor korrekt at dersom man ikke aksepterer avtalen (EULA) vil installasjonen ikke gå videre, men det er ikke nødvendig å aktivere automatiske oppdateringer for å ta systemet i bruk.
Videre skal nemnda også kort kommentere klagers anførsel om at operativsystemet Windows XP allerede var installert da klager kjøpte maskinen. Dersom man kjøper en datamaskin med Windows XP preinstallert av leverandøren, antas det at det er tale om en såkalt OEM-versjon (Original Equipment Manufacturer). Dette er en versjon som selges sammen med en bestemt datamaskin, og er ferdig installert på maskinen når den leveres sluttbruker. Likevel vil sluttbruker ved første gangs bruk bli presentert for en EULA. Likeledes vil sluttbruker kunne velge å ikke aktivere tjenesten automatiske oppdateringer. Brukeren har med andre ord full kontroll over funksjonen automatisk oppdatering, både ved første gangs bruk og når som helst senere.
7 Vedtak
Klagen tas ikke til følge.
Oslo, 14. september 2006
Jon Bing
Leder