Bezpieczeństwo danych w czasach koronawirusa

392

Na świecie zapanował boom związany z tworzeniem aplikacji użytecznych w czasach pandemii COVID-19. Powstające programy są różnorodne, ale łączy je idea pomocy w identyfikacji i zwalczaniu rozprzestrzeniania się choroby. Temat jednak stał się kontrowersyjny: jak daleko możemy się posunąć w zbieraniu i przechowywaniu informacji o użytkowniku, kto będzie odpowiedzialny za ich bezpieczeństwo, kiedy powinny zostać usunięte? Przyjrzyjmy się najnowszym doniesieniom ze świata developerów.

TraceTogether to pierwsza aplikacja do śledzenia koronawirusa stworzona 20 marca w Singapurze. Wykorzystuje ona Bluetooth, aby identyfikować w okolicy osoby chore. Obecnie wykorzystuję ją około 1,1 mln użytkowników, czyli mniej więcej 1/5 populacji kraju, a rząd Singapuru upublicznił protokół i założenia aplikacji

Do sklepu Google Play trafiła aplikacja ProteGo Safe stworzona przez GovTech Polska oraz Ministerstwo Cyfryzacji jako open source. Jej twórcy zapewniają, że jest całkowicie bezpieczna, jednakże faktem jest, że gromadzi ona informacje o użytkowniku (który wypełnia ankiety dotyczące swojego stanu zdrowia), a także wykorzystuje Bluetooth (moduł ten ma pojawić się za kilka dni, tak samo jak wersja iOS). Klarowana jest intencja twórców, szczególnie w czasie, gdy należy ograniczać kontakt z innymi osobami, ale wprowadzone rozwiązanie może budzić kontrowersje. Jakub Lipiński, współtwórca ProteGo, w wywiadzie przyznał, że program może uratować kraj przed zamknięciem.

Bliźniacza aplikacja powstająca we Francji napotkała krytykę ze strony organów zajmujących się ochroną danych i bezpieczeństwem. Francuskie władza postawiły na zdecydowaną walkę z wirusem, gdyż jest jednym z krajów najbardziej dotkniętych pandemią. Jedna z funkcjonalności aplikacji została zablokowana przez standardy bezpieczeństwa Apple. Mowa o migracji danych zapisanych na urządzeniu za pomocą Bluetooth. Władze francuskie zdecydowały się nawet zaapelować do technologicznego giganta o zdjęcie tych obostrzeń w swoim kraju. Cédric O, minister cyfryzacji we Francji, podkreślił, że miałoby to na celu opracowanie rozwiązania, które będzie ściśle powiązane z francuskim systemem opieki zdrowotnej. Eksperci zauważają jednak, że w ostatecznym rozrachunku taka zmiana byłaby wprowadzeniem do systemu luki, którą osoby niepowołane mogłyby wykorzystać do czynów zabronionych.

Pierwsze prace nad aplikacją uruchomiono też w Wielkiej Brytanii na zlecenie National Health Service – również wykorzystując centralną bazę danych. Zwróciło to uwagę Europejskiej Rady Ochrony Danych, która postuluje, aby należycie wziąć pod uwagę problem ochrony danych użytkowników i potrzebę wypracowania wspólnych regulacji. Jest to kwestia, z którą europejska legislacja jeszcze nie miała okazji się zmierzyć. Dodatkowo w grę wchodzi czas – długotrwałe testy aplikacji mogą nie być możliwe.

Wytyczne płynące z organów Unii Europejskiej są następujące: aplikacja tego typu gromadząc dane ma robić to na telefonie użytkownika. Wynika to z prawa UE dotyczącego ochrony prywatnych danych, które to regulacje są jednymi z najbardziej restrykcyjnych na świecie. W przypadku przetrzymywania informacji na zewnętrznych serwerach obowiązkowe powinno być szyfrowanie i ochrona kont użytkowników za pomocą systemu logowania.

Z tego względu Apple rozpoczęło współpracę z Google przy tworzeniu wytycznych i podstaw dla aplikacji walczących z COVID-19. Powinna ona opierać się na sygnałach Bluetooth wykorzystywanych w bliskim zasięgu, lokalnej bazie danych i anonimowych identyfikatorach urządzeń w pobliżu, a także składować dane na urządzeniu użytkownika – tu właśnie zaczyna się spór z władzami, które wolałyby przechowywać je na serwerach centralnych.

Wojciech Wiewiórkowski, Europejski Inspektor Ochrony Danych, przyznał na początku kwietnia, że państwa Unii Europejskiej powinny w tej materii przygotować wspólne rozwiązanie. Zaznaczył również, że jest świadom, iż obecnie poszczególne państwa pracują nad własnymi aplikacjami, które różnią się funkcjonalnością i poziomem troski o dane osobowe. Wiewiórkowski dodał, że taka aplikacja powinna jednocześnie kierować się wytycznymi sugerowanymi przez WHO.

W zależności od rozwoju pandemii sposób wykorzystania tego typu narzędzi może być różny. Popuszczając wodze fantazji można sobie nawet wyobrazić świat, w którym korzystanie z określonych usług publicznych może być uzależnione od wyniku, który pokazuje nasza aplikacja, a ich dostawcy mogą zostać uprawnieni do kontroli. W Australii podniesiono głosy, iż zbierane dane mogą trafić do gigantów technologicznych w ramach umów – przed instalacją owego oprogramowania bardzo ważne będzie wręcz zapoznanie się z regulaminem. Przedstawiciel rządu Australii zapewnił natomiast, że informacje, które przekaże użytkownik nie trafią do organów policyjnych. O zbieraniu danych wypowiedział się również Mark Zuckerberg z Facebooka, którego zdaniem platformy social mediów mogą stanowić bardzo ważne ogniwo w zbieraniu danych dotyczących osób zarażonych i ich trackingu: weryfikacji z kim mieli styczność i kto mógł się potencjalnie zarazić.

Trwający obecnie misz-masz praktyk i podejść do takiej aplikacji jest jednym z powodów, iż podejmowane działania nie są zbyt efektywne, a podjęte decyzje rodzą szereg pytań i wątpliwości. Pojawiają się również głosy w dyskusji sugerujące, że omawiane programy często przesyłają błędne dane – w tym alarmują o fałszywych zarażeniach – oraz mogą prowadzić do stygmatyzacji. W interesie nas wszystkich – i naszego prawa do prywatności – jest, aby powstające aplikacje, które mają za zadanie ochronę zdrowia i życia, chroniły również nas w cyberprzestrzeni.

Źródło:

  • telecoms.com
  • euractiv.com
  • gov.pl
  • qz.com
  • wyborcza.pl
  • The Guardian