EN
Wszystkie sprawy B Google

Google Street View Wi-Spy

Samochody Google zbierały prywatne dane z sieci Wi-Fi

Explainer · 60s

Street View Wi-Spy — samochody Google nasłuchujące Wi-Fi

Animacja statyczna (SVG + CSS). Bez dźwięku. Bez narzędzi śledzących. Otwórz w pełnym oknie ↗

B01 — Google Street View Wi-Spy: Samochody Google zbierały prywatne dane z sieci Wi-Fi

Kategoria: Przechwytywanie komunikacji / masowy scraping / “pojedynczy inżynier” alibi Firma/firmy: Google (Alphabet) Lata: 2007–2010 (praktyka), maj 2010 (ujawnienie), 2011–2019 (postępowania) Status: Zakończone — liczne kary w wielu krajach; pozew zbiorowy rozliczony 2019 ID karty: B01

Metadane

PoleWartość
Kraj/region30+ krajów, w tym USA, Niemcy, UK, Francja, Korea Płd., Japonia, Kanada, Australia, Włochy, Hiszpania, Czechy, Korea
Rok ujawnienia14 maja 2010 (po audycie niemieckiego Bundesnetzagentur)
Lata trwania praktyki2007–2010 (ok. 3,5 roku)
Łączna kara~8–10 mln EUR + 7 mln USD ugoda 38 stanów + 13 mln USD ugoda pozwu zbiorowego = ~30 mln EUR/USD łącznie
WalutaEUR/USD
Podstawa prawnaWiretap Act (USA, 18 USC § 2511), ePrivacy Directive 2002/58/WE art. 5, Telemediengesetz (DE), prawa krajowe
Sygnalista/odkrywcaJohannes Caspar (Hamburg Commissioner for Data Protection), Bundesnetzagentur
Liczba poszkodowanychMiliony użytkowników niezabezpieczonych sieci Wi-Fi w 30+ krajach
Status (na dziś)Zakończone; dane rzekomo usunięte, ale bez niezależnej weryfikacji

W skrócie

W maju 2010 Google publicznie przyznał, że samochody programu Street View w latach 2007–2010 w ponad 30 krajach zbierały nie tylko panoramiczne zdjęcia ulic, ale także fragmenty ruchu sieciowego z niezabezpieczonych (otwartych) sieci Wi-Fi, obok których przejeżdżały. Dane obejmowały: fragmenty e-maili, hasła w nieszyfrowanych protokołach, adresy URL odwiedzanych stron, nazwy plików, fragmenty rozmów w komunikatorach, dane logowania do serwisów — w jednym raporcie UK ICO wymieniono logowania bankowe kilku obywateli. Łącznie zebrano setki gigabajtów danych z prywatnych komunikacji.

Sprawa wybuchła po audycie niemieckiego Bundesnetzagentur (regulatora telekomunikacji) w kwietniu–maju 2010, gdy Johannes Caspar — Hamburski Komisarz Ochrony Danych — wymusił na Google ujawnienie skali zbioru. Google najpierw zaprzeczał, potem publicznie przyznał 14 maja 2010, tłumacząc sprawę “pojedynczym inżynierem” (którego FTC później zidentyfikowała jako Mariusa Milnera) i “błędem w eksperymentalnym kodzie”, który rzekomo znalazł się w produkcyjnym oprogramowaniu przez pomyłkę. Tłumaczenie powszechnie odrzucono — Marius Milner był w środowisku cybersec znany jako autor NetStumbler, najpopularniejszej aplikacji do wardrivingu (jazdy po mieście w poszukiwaniu Wi-Fi). Google zatrudnił go dokładnie po to, żeby robił to, co robił, i potem udawał zdziwienie.

Postępowania toczyły się w dziesiątkach krajów. Łącznie ok. 30 mln EUR/USD kar i ugód. Największe: 7 mln USD ugoda 38 stanów USA (12 marca 2013), 13 mln USD ugoda pozwu zbiorowego Joffe v. Google (22 lipca 2019, w całości na cy pres), 900 000 EUR w Hiszpanii, 145 000 EUR w Niemczech. W Korei Południowej 10 sierpnia 2010 policja przeszukała biuro Google w Seulu, zajmując 79 dysków — pierwszy raz fizycznej interwencji organów ścigania w lokalne biuro Google. W USA FTC umorzyła sprawę bez kary (argumentując brak jurysdykcji nad Wiretap Act), FCC wymierzyła symboliczną karę 25 000 USD za odmowę współpracy z dochodzeniem.

Kluczowy precedens prawny: Joffe v. Google (9th Circuit, 2013) — panel: A. Wallace Tashima, Jay S. Bybee, William H. Stafford Jr.; opinię napisał Jay S. Bybee. Sąd orzekł, że otwarta sieć Wi-Fi NIE jest „publicznie dostępna” w rozumieniu Wiretap Act tylko dlatego, że jest technicznie niezaszyfrowana. To ukształtowało amerykańską jurysprudencję ochrony prywatności sieciowej na całą dekadę.

Oś czasu

  • 2007 — uruchomienie programu Street View w USA.
  • 2008 — start projektu Wi-Fi positioning — Google zaczyna używać anten Wi-Fi w samochodach Street View do mapowania pozycji routerów (do usług geolokalizacji). Według Google dane miały być ograniczone do SSID i MAC adres routerów.
  • 2008–2010 — samochody Street View w ponad 30 krajach. Równolegle: niezgodnie z oficjalną specyfikacją zbierają również payload data (zawartość pakietów) z otwartych sieci Wi-Fi.
  • Kwiecień 2010 — Bundesnetzagentur rozpoczyna audyt projektu Street View w kontekście projektów geoprzestrzennych.
  • 9 maja 2010 — Google formalnie odpowiada Bundesnetzagentur, zaprzeczając zbieraniu payload data.
  • 14 maja 2010 — po wewnętrznym audycie przeprowadzonym na żądanie Caspara Google publicznie przyznaje w blog post: “we have been collecting samples of payload data”. Alan Eustace (SVP Engineering): “to był błąd, to niezamierzone”.
  • Maj–czerwiec 2010 — eksplozja regulatorów. Śledztwa rozpoczynają: Niemcy, Francja, UK, Włochy, Hiszpania, Australia, Nowa Zelandia, Korea Płd., Czechy, Hongkong, Japonia, Kanada, USA (FCC, FTC).
  • Październik 2010 — UK ICO: “nie znaleziono istotnej szkody”, nie nakłada kary (później szeroko krytykowane).
  • Listopad 2010 — UK ICO wznawia dochodzenie po nowych dowodach.
  • Marzec 2011 — Francja (CNIL): kara 100 000 EUR.
  • Marzec 2011 — Hiszpania (AEPD): kara 900 000 EUR.
  • 10 sierpnia 2010Korea Południowa: policja przeszukuje biuro Google w Seulu, zajmując 79 dysków twardych. Pierwszy taki przypadek na świecie.
  • Kwiecień 2012 — FCC USA: kara 25 000 USD za odmowę współpracy (symboliczna); FTC umarza bez kary.
  • Czerwiec 2012 — raport FCC: praktyka Google “była przewlekła i celowa”.
  • 12 marca 2013ugoda 38 stanów USA: 7 000 000 USD + obowiązkowe programy szkoleniowe ochrony prywatności pracowników Google.
  • 22 kwietnia 2013 — Hamburg DPA (Johannes Caspar) nakłada karę 145 000 EUR.
  • 10 września 20139th Circuit Court of Appeals (panel: A. Wallace Tashima, Jay S. Bybee, William H. Stafford Jr.; opinię napisał Jay S. Bybee) w Joffe v. Google: Wiretap Act ma zastosowanie, otwarta sieć Wi-Fi nie jest publicznie dostępna w rozumieniu ustawy.
  • 2014 — UK ICO ostatecznie zamyka sprawę bez kary.
  • 22 lipca 2019Joffe v. Google: ugoda pozwu zbiorowego — 13 000 000 USD na cy pres (9 organizacji prywatności); klasa NIE otrzymała indywidualnych wypłat. Apelacja podtrzymana przez 9th Circuit w grudniu 2021.
  • 2023 — Google wznawia mapowanie Street View w Niemczech po 12-letniej przerwie.

Mechanizm

Jak to działało — architektura techniczna

Każdy samochód Google Street View miał na dachu:

  1. Panoramiczną kamerę (15 obiektywów) — oficjalny cel programu.
  2. Antenę Wi-Fi 802.11 — oficjalnie do Wi-Fi positioning (skanowania routerów Wi-Fi w celu mapowania ich pozycji dla usług geolokalizacji).
  3. System LIDAR — do pomiarów odległości i modelowania 3D.
  4. GPS wysokiej dokładności — do dokładnego oznaczania pozycji.

Wi-Fi positioning to legalny i powszechnie stosowany model — Apple, Microsoft, Skyhook, Mozilla itd. wszyscy mapują Wi-Fi w celu świadczenia usług geolokalizacji bez GPS. Standardowo rejestruje się tylko: SSID (nazwa sieci), MAC adres (adres sprzętowy routera), siła sygnału, lokalizację GPS obserwacji. To jest zgodne z prawem.

Co robił kod Mariusa Milnera (a nie powinien): oprócz powyższych metadanych, oprogramowanie przechwytywało fragmenty pakietów (payload) z otwartych sieci Wi-Fi. Samochód jechał — więc zbierane były tylko fragmenty, nie pełne sesje — ale wystarczająco, żeby zawierały:

  • Fragmenty nagłówków i treści e-maili (POP3, IMAP, SMTP bez TLS)
  • Hasła przesyłane w nieszyfrowanych protokołach (HTTP basic auth, FTP, telnet)
  • URL odwiedzanych stron (przed powszechnością HTTPS)
  • Nazwy plików w udostępnieniach SMB/CIFS
  • Fragmenty komunikacji IM (ICQ, MSN Messenger, starsze wersje XMPP bez TLS)
  • Logowania bankowe (w niektórych starszych systemach bez HTTPS, jak ujawnił UK ICO w 2014)

Dane były zapisywane na lokalne dyski twardych samochodów, a następnie replikowane na serwery Google.

Dlaczego Google “mógł nie wiedzieć” — sprawdzenie prawdopodobieństwa

Oficjalna linia Google: kod został napisany przez jednego inżyniera, Milnera, który “nie uzyskał zgody przełożonych”, a funkcja była “eksperymentalna”. FTC w raporcie z 2012 roku wyliczyło, dlaczego ta narracja nie trzyma się kupy:

  1. Kod działał w produkcji ponad 3 lata (2007–2010).
  2. Dane były aktywnie transferowane na serwery Google — setki gigabajtów.
  3. Funkcja była udokumentowana w wewnętrznej dokumentacji projektu, do której mieli dostęp inni inżynierowie.
  4. Każdy menedżer projektu, który przeglądał rozmiary danych generowane przez Street View, powinien zauważyć, że są znacznie większe niż sam Wi-Fi positioning metadata.
  5. Marius Milner był publicznie znanym autorem NetStumbler — w środowisku cybersec rozpoznawalnym specjalistą od skanowania Wi-Fi. Zatrudnienie go do projektu geolokalizacji i udawanie, że “nie podejrzewało się”, że zrobi to, co zrobił, jest niewiarygodne.

FTC: “The ‘rogue engineer’ story does not hold up.”

Odkrycie

Kim jest Johannes Caspar

Johannes Caspar (ur. 1962) — niemiecki prawnik, Komisarz Ochrony Danych Hamburga 2009–2021. Jeden z najważniejszych europejskich regulatorów ochrony prywatności ostatniej dekady. Przed sprawą Wi-Spy znany z konfrontacyjnego stylu wobec Big Tech. Po sprawie Street View Wi-Spy prowadził również śledztwa w sprawie rozpoznawania twarzy Facebooka (2012, wymusił zmiany w Europie), Google Analytics (2022, zakaz w Niemczech), Zoom (2021, nakaz zaprzestania używania w szkołach).

Jego cytat z sprawy Google: “Google ma problem z prawdą.” Odpowiedź Google: “Niemcy mają problem z postępem.” Ta publiczna wymiana zdefiniowała ton relacji niemieckich regulatorów z Doliną Krzemową na lata.

Jak doszło do ujawnienia

Bundesnetzagentur rozpoczął audyt w kwietniu 2010 jako część szerszego dochodzenia w sprawie projektów geoprzestrzennych — obawy dotyczyły zgodności z niemieckim prawem o geodanych (Geodatenzugangsgesetz). Podczas audytu techniczni specjaliści zauważyli, że samochody Google zbierają znacznie więcej danych niż deklarowane SSID/MAC — i poprosili Google o wyjaśnienie.

Google początkowo zaprzeczał. Caspar naciskał. 14 maja 2010 Google, po wewnętrznym audycie, publicznie przyznał — post na blogu Alana Eustace’a (SVP Engineering & Research): “It’s now clear that we have been mistakenly collecting samples of payload data.

Pierwsze publikacje

  • 14 maja 2010 — Alan Eustace, “Wi-Fi data collection: An update”, Google Official Blog (post już archiwalny)
  • 14 maja 2010 — pierwsze artykuły w Der Spiegel, Süddeutsche Zeitung
  • 15 maja 2010The New York Times (Kevin J. O’Brien), The Guardian
  • 17 maja 2010 — Kevin Poulsen, Wired, “Google Street View Cars Grabbed Locations of Cellphones, Wi-Fi”

Osoby kluczowe

Sygnaliści / odkrywcy

  • Johannes Caspar — opisany wyżej. Architekt ujawnienia sprawy.
  • Bundesnetzagentur — niemiecki regulator telekomunikacji (dziś: BNetzA).
  • Peter Schaar — federalny komisarz ochrony danych Niemcy (2003–2013). Wspierał Caspara na poziomie federalnym.

Dziennikarze śledczy

  • Kevin Poulsen (Wired) — pierwszy duży artykuł w anglojęzycznych mediach; dziennikarz-haker z przeszłością kryminalną (pierwsza osoba skazana w USA za hacking z elementem szpiegostwa, 1995).
  • Declan McCullagh (CNET) — szczegółowe techniczne analizy.
  • Kevin J. O’Brien (NYT) — pierwsze międzynarodowe materiały.

Inżynier i menedżerowie Google

  • Marius Milner — inżynier oprogramowania Google. Wcześniej znany jako autor NetStumbler (2001), popularnej aplikacji do skanowania Wi-Fi. Po sprawie Wi-Spy pozostał w Google jeszcze przez kilka lat, później opuścił firmę. FTC w 2012 wymieniło go z imienia i nazwiska — rzadki zabieg dla inżyniera firmy prywatnej.
  • Alan Eustace — SVP Engineering & Research Google. Autor bloga ogłaszającego skandal. Opuścił Google w 2014 (by zostać najwyżej skaczącym spadochroniarzem w historii — spadł z balonu z wysokości 41 km w 2014).

Regulatorzy

  • FCC, FTC — agencje federalne USA.
  • CNIL (Francja), AEPD (Hiszpania), ICO (UK), Garante Privacy (Włochy), KCC (Korea), Ministry of Internal Affairs (Japonia).
  • Johannes Caspar ponownie (Niemcy).

Prawnicy

  • Benjamin Joffe — główny powód w pozwie zbiorowym Joffe v. Google (ND California).
  • Sędzia Jay S. Bybee (9th Circuit) — autor opinii w przełomowym wyroku z 10 września 2013 (panel: A. Wallace Tashima, Jay S. Bybee, William H. Stafford Jr.).

Reakcja firmy

Google

Etap 1: zaprzeczanie (początek maja 2010). Przed publicznym ogłoszeniem Google w komunikatach dla niemieckich regulatorów twierdzi, że zbiera tylko metadane Wi-Fi. Po wewnętrznym audycie okazuje się, że to nieprawda.

Etap 2: przyznanie się + obwinienie inżyniera (14 maja 2010). Alan Eustace na blogu: “It’s now clear that we have been mistakenly collecting samples of payload data from open (i.e., non-password-protected) WiFi networks, even though we never used that data in any Google products.”

Etap 3: obrona “pojedynczego inżyniera” (2010–2012). Cała retoryka Google koncentruje się na tym, że był to “błąd jednego inżyniera eksperymentalnego”. FTC w raporcie 2012 to odrzuca.

Etap 4: opłaty (2011–2019). Łącznie ok. 30 mln USD w karach i ugodach — dla Google firma wartej setki miliardów dolarów to koszt nominalny.

Działania naprawcze:

  • Zawieszenie projektu Wi-Fi collection w samochodach Street View (maj 2010).
  • Zgoda na audyt zewnętrzny danych i ich usunięcie (z nadzorem regulatorów w niektórych krajach).
  • Wprowadzenie obowiązkowych szkoleń prywatności dla wszystkich inżynierów (w ramach ugody 38 stanów USA).
  • 10-letnia przerwa w mapowaniu Street View w Niemczech (wymuszona przez Bundesnetzagentur i lokalne prawa Bundeslandów).

Pytania bez odpowiedzi:

  • Ile dokładnie danych zebrano? Google ujawnił setki gigabajtów, ale nie podał dokładnej skali.
  • Gdzie te dane były przechowywane i czy nie trafiły do amerykańskich służb wywiadowczych?
  • Dlaczego Milner nie został zwolniony, tylko zostawiony na stanowisku przez kolejne lata?

Postępowanie prawne

Jurysdykcje

Śledztwa w: USA (FCC, FTC, 38 stanów), Niemcy, Francja, Wielka Brytania, Włochy, Hiszpania, Australia, Nowa Zelandia, Korea Płd., Japonia, Kanada, Czechy, Hongkong, Belgia, Holandia, Irlandia, Szwajcaria, Dania.

Podstawa prawna

  • Wiretap Act (USA, 18 USC § 2511) — zakaz przechwytywania komunikacji elektronicznej. Wyjątek: komunikacja “readily accessible to the general public”. Kluczowe pytanie sądu: czy ruch Wi-Fi w otwartej sieci jest publicznie dostępny tylko dlatego, że nie ma hasła? 9th Circuit: nie.
  • ePrivacy Directive 2002/58/WE art. 5 (UE) — poufność komunikacji elektronicznej.
  • Dyrektywa 95/46/WE (przed RODO) — przetwarzanie danych osobowych.
  • Telemediengesetz § 13 (DE) — obowiązki informacyjne usługodawców.
  • BDSG (Bundesdatenschutzgesetz) — niemieckie prawo ochrony danych przed BDSG 2018.

Kluczowe etapy

DataEtap
Kwiecień 2010Bundesnetzagentur rozpoczyna audyt
14 maja 2010Google przyznaje się
Maj 2010Kaskada śledztw w 30+ krajach
10 sierpnia 2010Policja KR przeszukuje biuro Google w Seulu
Marzec 2011Pierwsze kary (FR, ES)
12 marca 2013Ugoda 38 stanów USA: 7 mln USD
22 kwietnia 2013Hamburg DPA: 145 000 EUR
10 września 2013Wyrok 9th Circuit w Joffe v. Google (opinia: Bybee)
22 lipca 2019Ugoda pozwu zbiorowego 13 mln USD (cy pres)

Orzecznictwo powiązane

  • Joffe v. Google (9th Circuit, 2013) — kluczowy precedens. Sąd: otwarta sieć Wi-Fi nie jest “readily accessible to the general public” w rozumieniu Wiretap Act, tylko dlatego, że jest technicznie niezaszyfrowana.
  • Gubala v. Time Warner Cable (7th Circuit, 2016) — rozwinięcie podejścia do odpowiedzialności za wyciek danych.
  • Sprawa rozpoznawania twarzy Facebooka (2012, Niemcy) — następna duża sprawa Caspara, wykorzystująca precedens Wi-Spy.

Kary i ugody

DataOrganKwotaJurysdykcjaPodstawa
Marzec 2011CNIL100 000 EURFrancjaLoi Informatique et Libertés
Marzec 2011AEPD900 000 EURHiszpaniaLOPD
Kwiecień 2012FCC25 000 USDUSA federalneOdmowa współpracy
Kwiecień 2012FTC0USA federalneUmorzone
12 marca 201338 stanów USA7 000 000 USDUSA stanowePrawo konsumenckie
22 kwietnia 2013Hamburg DPA145 000 EURNiemcyBDSG
2014UK ICO0UK„Brak istotnej szkody”
22 lipca 2019Joffe v. Google13 000 000 USD (cy pres)USA federalneWiretap Act

Łącznie: ~30 mln EUR/USD + dziesiątki milionów w kosztach zgodności i audytów.

Precedensy i implikacje

Dla prawa USA

  • Joffe v. Google (2013) — precedens: otwarta sieć Wi-Fi nie jest publicznie dostępna w sensie Wiretap Act. To ukształtowało na dekadę amerykańską jurysprudencję w sprawach o sniffing Wi-Fi, przechwycenie sesji, packet capture.
  • FCC 25 000 USD za odmowę współpracy — mała kwota, ale precedens, że odmawianie regulatorowi dokumentów jest osobnym wykroczeniem.

Dla prawa UE

  • Pierwszy wielki test ePrivacy Directive art. 5 wobec globalnej firmy tech.
  • Impuls do wzmocnienia uprawnień krajowych DPA — Caspar i Schaar lobbowali za tym, co trafiło do RODO 2018.
  • Precedens dla niemieckiego podejścia “technical prüfung” — regulatorzy mogą prowadzić audyty techniczne firm Big Tech.

Dla innych jurysdykcji

  • Korea Południowa — pierwszy raz policja fizycznie weszła do biura Google. Precedens dla późniejszych interwencji (np. w Indiach 2021).
  • Australia, Kanada — impulsy do reformy prawa o prywatności.

Dla praktyki Big Tech

  • “Alibi pojedynczego inżyniera” jest odtąd domyślnie niewiarygodne. Regulatorzy oczekują dowodów procesu i nadzoru.
  • Obowiązkowe szkolenia prywatności dla wszystkich inżynierów stały się standardem.
  • Audyty zewnętrzne po skandalach — Google wprowadził Privacy Working Group po sprawie.
  • Street View został zreformowany — dodano rozmazywanie twarzy, tablic rejestracyjnych, możliwość żądania zamazania domu.

Pozwy zbiorowe

SprawaSądStanWartośćPoszkodowani
Joffe v. Google Inc.N.D. Cal. / 9th Cir.Ugoda 22.07.2019; apelacja podtrzymana 9th Cir. XII.202113 000 000 USD (cy pres, 9 organizacji prywatności; klasa bez wypłat indywidualnych)Użytkownicy otwartych Wi-Fi USA

Wnioski dla obywateli

Co to dla mnie znaczy?

Sprawa Wi-Spy pokazuje, że Big Tech fizycznie przemieszcza się po twojej okolicy i pasywnie zbiera wszystko, co dało się zebrać, dopóki ktoś nie zauważy. Jeśli twoja sieć domowa była niezabezpieczona w latach 2007–2010 i samochód Street View przejechał obok twojego domu, fragmenty twoich e-maili i haseł mogły trafić na serwery Google. Dziś praktyka Wi-Spy została zatrzymana, ale ekosystem wardrivingu (zbierania metadanych Wi-Fi w czasie rzeczywistym) trwa — robią to Apple, Microsoft, Skyhook, Mozilla oraz tysiące aplikacji na smartfonach.

Jak się chronić?

  1. Zawsze szyfruj swoją sieć domową — WPA3 (najnowszy) lub minimum WPA2. Nigdy “Open”. WEP jest praktycznie bezużyteczny (łamany w minutach).
  2. Używaj silnych haseł do Wi-Fi — długie, losowe, najlepiej przez generator haseł w menedżerze (Bitwarden, KeePassXC). Nie używaj nazwy ulicy, daty urodzenia, nazwy psa.
  3. Wyłącz WPS (Wi-Fi Protected Setup) — prawie każdy router ma tę opcję w interfejsie administracyjnym. WPS jest podatny na ataki brute-force (Reaver, Pixie Dust).
  4. Ukryj SSID w domu — to nie zapobiega atakom, ale redukuje profil widoczności.
  5. W publicznych Wi-Fi (kawiarnie, lotniska, hotele) zawsze używaj VPN. Nie loguj się do banku, poczty, nie wpisuj haseł poza VPN.
  6. Rozważ tethering mobilny zamiast otwartych Wi-Fi w podróży.
  7. Zmieniaj hasło Wi-Fi co 6–12 miesięcy, szczególnie po wizytach gości/pracowników serwisu.

Jakie mam prawa?

W UE (RODO + ePrivacy):

  • Art. 5 ePrivacy — prawo do poufności komunikacji elektronicznej.
  • RODO art. 15 — prawo dostępu: możesz spytać Google, czy mają jakiekolwiek dane związane z twoim adresem IP, MAC routera, nazwą SSID twojej sieci.
  • Prawo do zamazania domu w Street View — funkcja dostępna w Google Maps → Street View → “Zgłoś problem” → “Zamaż mój dom”.
  • RODO art. 82 — odszkodowanie za szkodę.

W USA:

  • Wiretap Act 18 USC § 2511 — prawo powoda cywilnego.
  • Stanowe prawa prywatności (Kalifornia CIPA, Illinois itp.).

Gdzie się zgłosić?

  • Polska: UODO, uodo.gov.pl
  • Niemcy: krajowy DPA (Hamburg, Bawaria, Berlin itp.)
  • Francja: CNIL
  • Incidents of wardriving: można zgłaszać do krajowego CERTu (w Polsce: CERT Polska)

Uwaga dla mediatorów, prawników, przedsiębiorców

Jeśli prowadzisz kancelarię, fundację lub firmę i klienci/pracownicy korzystają z firmowego Wi-Fi:

  • Upewnij się, że masz WPA3/WPA2 z silnym hasłem zmienianym regularnie.
  • Segregacja sieci: osobny Wi-Fi dla gości, osobny dla pracowników, osobny dla IoT (drukarki, kamery).
  • Jeśli prowadzisz mediacje — upewnij się, że w pomieszczeniu nie ma otwartej sieci Wi-Fi z dostępem do ruchu klientów.
  • Dla art. 32 RODO (bezpieczeństwo przetwarzania) — otwarta sieć firmowa jest prima facie naruszeniem.

Ciekawostki

  • Marius Milner — “rogue engineer” był w środowisku cybersec znany jako autor NetStumbler (2001), jednej z najpopularniejszych aplikacji do wardrivingu (jazdy samochodem po mieście w celu skanowania Wi-Fi). Google zatrudnił go, żeby pracował nad projektem Wi-Fi positioning — a potem udawał zaskoczenie, że napisał kod zbierający więcej niż deklarowano. FTC otwarcie: “The ‘rogue engineer’ story does not hold up.”
  • Alan Eustace, SVP Google i autor bloga ujawniającego sprawę, w 2014 opuścił Google i został najwyżej skaczącym spadochroniarzem w historii — spadł z balonu stratosferycznego z wysokości 41,419 metra (24 października 2014). Rekord pobity.
  • Korea Południowa, 10 sierpnia 2010 — pierwsze na świecie policyjne przeszukanie biura Google w lokalnym oddziale (Seul). Policja zajęła 79 dysków twardych.
  • FCC 25 000 USD za odmowę współpracy — Google został ukarany nie za zbieranie danych, tylko za odmawianie przekazania dokumentów FCC w trakcie śledztwa. Kwota śmiesznie mała, ale sygnalizowała regulatorowi: “nie pomogę wam w dochodzeniu”. To kosztowało później przy kalkulacji kar w innych krajach.
  • UK ICO w 2010 umorzył sprawę argumentując “brak istotnej szkody”. Po trzech latach krytyki i nowych dowodach (m.in. danych logowania bankowego) wznowił, ale ostatecznie i tak nie nałożył kary. W dokumencie ICO z 2014 pojawia się zdanie: “the data included banking login credentials of a small number of UK residents” — ale mimo tego nie było kary.
  • Niemcy zablokowały mapowanie Street View w 2011. Przez 12 lat większość niemieckich miast była w Google Street View na poziomie 2010. Dopiero 2023 Google wznowił mapowanie. Dla użytkowników Google Maps w Niemczech: widok ulic z 2010 roku to zjawisko powszechne.
  • Wi-Fi positioning bez naruszeń to dziś ogromny biznes — Apple prowadzi takie samo mapowanie przez iPhone’y użytkowników (metadane wysyłane z lokalnymi zgodami). Google przestał to robić własnymi samochodami, zlecając to z kolei własnym użytkownikom Androida przez usługi lokalizacyjne.
  • “Samochody z kamerą” w Europie Środkowo-Wschodniej: Street View w Polsce wszedł z 2–3-letnim opóźnieniem względem Europy Zachodniej. Pierwsze mapowanie Polski zaczęło się 2013, już po reformie polityki Wi-Fi.
  • Apple i Microsoft robili to samo — analogiczne narzędzia zbierania Wi-Fi metadata przez dekadę. Apple zostało skrytykowane w 2011 za iPhone tracker (Alasdair Allan, Pete Warden) — pokazujący, że iPhone pasywnie zbierał Wi-Fi i komórkowe lokalizacje, przechowując je na lokalnym urządzeniu. Microsoft podobnie. Różnica: nikt płacąc z płacowo-produkcyjnym kodem nie zapisywał payload — Google był wyjątkiem.
  • Google usunął dane “rzekomo” — we wszystkich krajach Google deklarował usunięcie wszystkich zebranych payload data po sprawach sądowych. Niezależnej weryfikacji nigdy nie było. W Niemczech Caspar otrzymał “poświadczenie” Google, ale nie mógł samodzielnie zweryfikować.
  • Pierwszy publiczny atak “wardriving” na szeroką skalę miał miejsce w 2001 w San Francisco, gdy Peter Shipley i Matt Peterson przez tydzień skanowali Bay Area. Milner to środowisko dobrze znał.

Źródła

  1. Alan Eustace, “Wi-Fi data collection: An update”, Google Official Blog, 14 maja 2010. URL: https://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html (dostęp: 2026-04-17)

  2. Kevin J. O’Brien, “Google Admits It Collected Data, But Minimizes Effect”, The New York Times, 15 maja 2010.

  3. Kevin Poulsen, “Google Street View Cars Grabbed Locations of Cellphones, Wi-Fi”, Wired, 17 maja 2010. URL: https://www.wired.com/2010/05/googlewifi/ (dostęp: 2026-04-17)

  4. Federal Communications Commission, “In the Matter of Google Inc.: Notice of Apparent Liability for Forfeiture”, DA 12-592, 13 kwietnia 2012. URL: https://docs.fcc.gov/public/attachments/DA-12-592A1.pdf (dostęp: 2026-04-17)

  5. Federal Trade Commission, “Closing letter: Google Inc.”, 27 października 2010. URL: https://www.ftc.gov/legal-library/browse/cases-proceedings/closing-letters/google-inc-closing-letter (dostęp: 2026-04-17)

  6. Hamburger Beauftragte für Datenschutz, liczne komunikaty 2010–2013. URL: https://datenschutz-hamburg.de (dostęp: 2026-04-17)

  7. Joffe v. Google, Inc., 729 F.3d 1262 (9th Cir. 2013). Panel: A. Wallace Tashima, Jay S. Bybee, William H. Stafford Jr.; opinia: Bybee. URL oficjalny PDF: https://cdn.ca9.uscourts.gov/datastore/general/2013/09/11/11-17483_opinion.pdf ; URL alternatywny: https://caselaw.findlaw.com/court/us-9th-circuit/1643949.html (dostęp: 2026-04-17)

  8. UK Information Commissioner’s Office, “Findings on Google Street View cars”, listopad 2010; listopad 2014 (follow-up).

  9. CNIL, komunikat prasowy 21 marca 2011. URL: https://www.cnil.fr/

  10. AEPD (Agencia Española de Protección de Datos), komunikat 2011.

  11. Korea Communications Commission, raport z 2011 dotyczący wyników przeszukania biur Google. Por. Jurist, “South Korea police announce Google violated privacy laws by collecting private data” (relacja z przeszukania biura w Seulu 10 sierpnia 2010 i zajęcia 79 dysków): https://www.jurist.org/news/2011/01/south-korea-police-announce-google-violated-privacy-laws-by-collecting-private-data/ (dostęp: 2026-04-17)

  12. Benjamin Joffe et al. v. Google Inc., Class Action Complaint, N.D. Cal. 2010 — dokumenty sądowe przez PACER. CNN, “Google to pay $13 million in Street View privacy settlement” (22 lipca 2019) — szczegóły ugody 13 mln USD na cy pres dla 9 organizacji prywatności, klasa bez wypłat indywidualnych; apelacja podtrzymana 9th Circuit w grudniu 2021.

  13. Adam Tanner, “What Google’s Wi-Spy Scandal Reveals”, Forbes, maj 2010.

  14. Declan McCullagh, “Google’s Wi-Fi data collection: What you need to know”, CNET, maj 2010.

  15. Peter Schaar, oficjalne oświadczenia niemieckiego federalnego Komisarza Ochrony Danych, 2010–2011.

Ostatnia aktualizacja: 2026-04-17 Karta w bazie: B01_street_view_wifi.md

Powiązane sprawy

Sprawy dzielące firmę, mechanizm, precedens prawny lub jurysdykcję.