Technologia w walce z koronawirusem – 7 filarów zaufania

Artykuł

Technologia może pomóc nam w walce z pandemią koronawirusa, ale wdrażanie w trybie przyspieszonym nowych rozwiązań technologicznych nie może stać się furtką do naruszeń praw i wolności obywateli. Monitorowanie społecznych kontaktów przy pomocy narzędzi technologicznych zadziała tylko przy dużym poparciu i dobrowolnej współpracy ze strony ludzi. Taka postawa wymaga wysokiego poziomu zaufania obywateli do narzędzia, które zostanie im zaproponowane przez państwo.

Wychodząc naprzeciw potrzebie chwili, przypominamy najważniejsze zasady projektowania narzędzi w sposób zgodny z RODO i budzący społeczne zaufanie:

1. Minimalizacja i poprawność danych

W celu przeciwdziałania pandemii można przetwarzać tylko te dane, które są niezbędne do realizacji celu założonego w ramach konkretnego narzędzia (np. jeśli celem jest zarejestrowanie społecznej interakcji, która stwarza ryzyko zarażenia, wystarczy zapisanie pary urządzeń, które się „spotkały”, bez ich rzeczywistej lokalizacji). Co więcej, dostęp do danych powinny mieć tylko osoby i instytucje, które ten cel realizują (np. nie ma potrzeby, by obywatel korzystający z aplikacji do śledzenia społecznych kontaktów wiedział, kto naraził go na zakażenie; taką informację powinny otrzymać tylko służby sanitarne).

Wykorzystywane powinny być tylko możliwie najbardziej prawidłowe dane o ludziach. Jest to szczególnie ważne w rozwiązaniach sprawdzających prawdopodobieństwo zarażenia na podstawie danych o lokalizacji: przetwarzanie niepotwierdzonych danych potęgowałoby chaos, bo użytkownicy otrzymywaliby fałszywe powiadomienia o możliwym zarażeniu.

2. Ograniczenie czasu przechowywania danych

Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do zrealizowania konkretnego celu, jakiemu mają służyć. Na przykład zapis kontaktów społecznych przemieszczającej się osoby jest potrzebny tylko przez okres, w jakim standardowo pojawiają się objawy zakażenia (do 14 dni), a dane biometryczne osoby objętej kwarantanną, przesłane w raporcie z aplikacji, tylko do momentu zweryfikowania, że raport był poprawny. W ustalaniu maksymalnych terminów powinni brać udział lekarze, epidemiolodzy i eksperci techniczni.

3. Dane przechowywane na urządzeniu obywatela

Narzędzia służące do zwalczania koronawirusa nie powinny prowadzić do tworzenia nowych baz danych, przechowywanych na serwerach administracji publicznej. Zasadą powinno być gromadzenie i przetwarzanie danych osobowych na urządzeniu osoby, której te dane dotyczą. Przekazanie danych na zewnętrzny serwer (np. zarządzany przez służby sanitarne) powinno następować tylko w ściśle określonych i uzasadnionych przypadkach (np. stwierdzonego incydentu zarażenia), a obywatel powinien być o tej konieczności uprzednio poinformowany.

4. Bezpieczeństwo, szyfrowanie i anonimizacja danych

Dane osobowe powinny być szyfrowane, anonimizowane (tam, gdzie to niemożliwe - pseudonimizowane), a korzystające z nich aplikacje powinny zachowywać najwyższe standardy bezpieczeństwa i być poddawane odpowiednim audytom. W ramach walki z epidemią grozi nam przetwarzanie danych milionów obywateli przez systemy, które powstają pod presją czasu. To sytuacja podwyższonego ryzyka również w kwestii cyberbezpieczeństwa: jakikolwiek wyciek będzie miał katastrofalne skutki dla społecznego zaufania do technologii wdrażanych przez państwo.

5. Czytelna informacja dla obywateli

Podstawą społecznego zaufania do narzędzi technologicznych służących walce z pandemią jest czytelna i zrozumiała informacja dla osób, których dane będą wykorzystywane. Obywatele powinni rozumieć zasady działania proponowanych im narzędzi, zakres zbieranych o nich danych oraz to, kto i w jaki sposób z tych danych skorzysta.

6. Otwartość kodu i przejrzystość algorytmów

Standardem dla narzędzi służących do walki z pandemią powinna być pełna otwartość kodu oraz algorytmów stosowanych do analizy danych (np. parametry brane pod uwagę przy określaniu ryzyka zakażenia w kontakcie społecznym muszą być jawne). Tylko taki standard umożliwi publiczną kontrolę nad narzędziami technologicznymi, a zarazem przełoży się na ich bezpieczeństwo. Otwartość kodu daje bowiem możliwość szybszego zidentyfikowania błędów i możliwych zagrożeń dla prywatności, co dodatkowo wzmacnia zaufanie do danej aplikacji.

7. Publiczna kontrola nad narzędziami

Każde narzędzie, z którego państwo zamierza skorzystać w walce z pandemią, powinno zostać wcześniej zweryfikowane pod kątem cyberbezpieczeństwa i standardów ochrony danych osobowych. W przypadku rozwiązań, których kod jest niedostępny do publicznej analizy, to państwo musi wykazać, że standardy bezpieczeństwa danych i ochrony prywatności są spełnione. W sytuacji, gdy takie  rozwiązanie ma być wykorzystywane do zbierania danych osobowych obywateli, organ administracji musi mieć też pełną kontrolę nad systemem.

Podpisz apel

Wciąż można dopisać się do apelu, wysyłając maila o tytule: 7 filarów zaufania - popieram na adres: fundacja@panoptykon.org.

Lista sygnatariuszy będzie aktualizowana cyklicznie, raz na dobę. Podpisy pod apelem przetwarzamy za pośrednictwem e-maila i podajemy do publicznej wiadomości na stronie panoptykon.org. Zebrane w ten sposób dane (tytuł naukowy, imię, nazwisko, adres e-mail, afiliacja) przetwarzamy w celu zarejestrowania Twojego poparcia dla apelu na podstawie naszego prawnie uzasadnionego interesu. Podanie danych jest dobrowolne, ale – w zakresie imienia i nazwiska oraz adresu e-mail – konieczne do wyrażenia poparcia dla apelu.

Sygnatariusze apelu

Dominik Batorski, Uniwersytet Warszawski
Edwin Bendyk
Piotr Beńke
dr hab. Przemysław Biecek, Politechnika Warszawska
Robert Bigos
Grzegorz Borowski, Infoshare
Maciej Broniarz, Centrum Nauk Sądowych UW
Maciek Budzich, Mediafun
Dominika Bychawska-Siniarska, Helińska Fundacja Praw Człowieka
Jakub Chabik, Politechnika Gdańska
Łukasz Chmielniak
Mateusz Chrobok
Szymon Ciupa, smartcity-expert.eu
dr Aleksandra Gliszczyńska-Grabias, INP PAN
Krzysztof Głomb, Miasta w Internecie
dr hab. Agnieszka Grzelak, ALK
Adam Haertle, ZaufanaTrzeciaStrona
Natalia Hatalska, infuture.institute
dr inż. Wacław Iszkowski
Krzysztof Izdebski, Fundacja ePaństwo
Łukasz Jachowicz, Internet Society Poland
prof. Dariusz Jemielniak, MINDS, Akademia Leona Koźmińskiego
Tomasz Karwatka, Divante
dr Maciej Kawecki, Instytut Polska Przyszłości im. Stanisława Lema
Wojciech Klicki, Fundacja Panoptykon
Michał Kluska
Filip Kłębczyk, Prezes Polskiej Grupy Użytkowników Linuxa
Rafał Kłoczko, CD Projekt Red
Piotr Konieczny, Niebezpiecznik
dr Michał Kosiński, Stanford University
Nikodem Krajewski
Artur Krawczyk, Stowarzyszenie „Miasta w Internecie”
Robert Kroplewski, Law Office
Eliza Kruczkowska
Artur Kurasiński
Jakub Lipiński, przedsiębiorca
dr Paweł Litwiński, Instytut Prawa Nowych Technologii i Ochrony Danych Osobowych Uczelni Łazarskiego
Artur Marek Maciąg, Inicjatywa Kultury Bezpieczeństwa
Daniel Macyszyn, Fundacja ePaństwo
Mirosław Maj, Fundacja Bezpieczna Cyberprzestrzeń
Lidka Makowska, Kongres Ruchów Miejskich Gdańsk
Marcin Maruta
dr Arwid Mednis, Wydział Prawa i Administracji Uniwersytetu Warszawskiego
Łukasz Mikuła
Natalia Mileszyk, Fundacja Centrum Cyfrowe
Michal Olczak
Igor Ostrowski
dr hab. Marcin Paprzycki, IEEE Computer Society
Bartosz Paszcza, Klub Jagielloński
dr hab. Aleksandra Przegalińska, Akademia Leona Koźmińskiego
dr Agnieszka Pugacewicz, DELab UW
Małgorzata Ratajska-Grandin, OVHcloud
prof. Wojciech Sadurski, University of Sydney
dr Marlena Sakowska Baryła, Stowarzyszenie Praktyków Ochrony Danych
Wojciech Sańko, Koduj dla Polski
Wiktor Schmidt, Netguru
Aneta Sieradzka, Sieradzka & Partners Kancelaria Prawna
Andrzej Skworz, Press
dr Anna Sledzińska-Simon, WPAiE Uniwersytetu Wrocławskiego
prof. Arkadiusz Sobczyk, Uniwersytet Jagielloński
dr hab. Dariusz Szostek
dr Sebastian Szymański
Katarzyna Szymielewicz, Fundacja Panoptykon
dr hab. Katarzyna Śledziewska, DELab, Wydział Nauk Ekonomicznych Uniwersytetu Warszawskiego
Kamil Śliwowski, Centralny Dom Technologii
dr Alek Tarkowski, Fundacja Centrum Cyfrowe
dr Krzysztof Wygoda, Wydział Prawa, Administracji i Ekonomii, Uniwersytet Wrocławski
prof. Mirosław Wyrzykowski
Arkadiusz Złotnicki, Stowarzyszenie „Miasta w Internecie”
Jan Zygmuntowski, Instrat

/dalsze podpisy w kolejności wpływania/

Antoni Napieralski, Uniwersität Wien
Tomasz Zieliński, informatykzakladowy.pl
Maria Magierska, European University Institute
Filip Konopczyński, Fundacja Kaleckiego
Tomasz Borys
Daniel Ślęzak
Damian Klimas, Wydział Prawa, Administracji i Ekonomii, Uniwersytet Wrocławski
dr hab. Wojciech Filipkowski
Agnieszka Rapcewicz
Jacek Grzeszak, Polski Instytut Ekonomiczny
Barbara Sowa
Krzysztof Pietruszewski, Konin. Mam Prawo Wiedzieć
Marek Śledzik, NOVA Komputery
Michał Tabor, Ekspert PIIT, Obseratorium.biz
Magdalena Doliwa-Górska
Zofia Kondracka
Jakub Smulewicz
Marta Trzcionka
dr Dominik Lubasz, Lubasz i Wspólnicy
Michał Duszczyński
Albert Lewandowski
Aleksandra Kulińska, infuture.institute
Kuba Piwowar, Uniwersytet SWPS
dr hab. Renata Włoch, Instytut Socjologii UW, DELab UW
Filip Pazderski, Instytut Spraw Publicznych
Ewa Stęplewska - latarniczka projektu Polska Cyfrowa Równych Szans
Igor Mróz
Małgorzata Fraser, dziennikarka i publicystka
r.pr. Tomasz Palak, tomaszpalak.pl
Jacek Belof
mgr inż. Artur Bać, EBASoft
Grzegorz Szymczyk, Kancelaria Radcy Prawnego Grzegorz Szymczyk
dr Helena Chmielewska-Szlajfer, Akademia Leona Koźmińskiego
adw. Jacek Stefaniuk
Maciej Mandelt, Stowarzyszenie Nomada
Jan Stradowski, Człowiek 2.0
Tomasz Onyszko, CTO, Predica
Patrycja Żarska-Cynk, Safety2gether
Adam Mizerski
Igor Pierściński
Barnaba Mądrecki, pozycjoner, Poznań
Dawid Suder, Katedra Informatyki AGH
dr inż. Łukasz Faber, Akademia Górniczo-Hutnicza
Witold Rakoczy, Polskie Towarzystwo Informatyczne
dr Damian Karwala, Stowarzyszenie Praktyków Ochrony Danych
adw. Ewelina Gębała

Wiesława Lipińska
Adam Aleksander Klimowski
Witold Chomiczewski, Lubasz i Wspólnicy
dr inż. Marek Brudka
Łukasz Bieńkowski
Andrzej Filipowicz
Zbigniew Kupisz-Andrzejewski, CISA, CRISC
Liubov Gorobiuk
Krzysztof Rutecki, Encedo
Artur Markiewicz, cyberkurs.online
Paweł Smater
Paweł Wołoszyn
Mikołaj Domanowski
Jarosław Potiuk, Polidea
r.pr. Marcin Kozłowski
dr Paweł Mirecki
Jakub Schimmelpfennig, Fundacja Tikkunology
r. pr. Magdalena Witkowska, przewodnicząca Komisji Praw Człowieka KIRP w imieniu Komisji
r. pr. Mirosław Wróblewski, Biuro RPO, Komisja Praw Człowieka KIRP
Iwona Burzej-Biel
r. pr. Maciej Jankowski
Rafał Siudak
Michał Strzelecki
Antonina Zofia Karczewska

Tomasz Skraskowski, Tometchy.com
Rafał Lorent
dr Andrzej Klimczuk
Mateusz Knyć, Stowarzyszenie Praktyków Ochrony Danych
dr inż. Kajetan Wojsyk, Centrum Systemów Informacyjnych Ochrony Zdrowia
Maciej Gruszczyński, Ariergarda sp. z o.o.
Ada Florentyna Pawlak, Towarzystwo Etyki i Filozofii Techniki
Maciej Jędrzejczyk
Sławomir Kosieliński, Fundacja Instytut Mikromakro
Michał Boni, Uniwersytet SWPS
Piotr Michalak
Ryszard Garbacz
Michał Starczewski
Adam Jurkiewicz, Superbelfrzy RP
Tomasz Borkowski
Henryk Szymański
prof. dr hab. Mariusz Jagielski, Uniwersytet Śląski w Katowicach
dr hab. Mariusz Krzysztofek
Agnieszka Kubicka-Dzieduszycka
Przemysław Florjanowicz-Błachut, prawnik
dr hab. Agnieszka Bieńczyk-Missala, Uniwersytet Warszawski
Justyna Zając
Dagmara Księżyk
dr Jakub Możaryn, Politechnika Warszawska
Wojciech Flakiewicz
Marcin Lenarczyk
dr Aleksandra Binicewicz
Ignacy Święcicki, Polski Instytut Ekonomiczny
Tomasz Malinowski, programista
Wiktoria Tomzik
Monika Adamczyk
Piotr Rutkowski, Instytut Mikromakro
Maciej Lewkowicz
Tomasz Hajduk
Aleksandra Kardaś
Michał Zemełka
Krzysztof Dobosz, Katedra Informatyki Stosowanej, Uniwersytet Mikołaja Kopernika
Rafał Staszek vel Staszewski, Akademia Leona Koźmińskiego
Maciej Garmulewicz
dr Bartosz Walter
Tomasz Kulisiewicz, Ośrodek Studiów nad Cyfrowym Państwem
Jarosław Rafa
Grzegorz Tanecki, Inspektor Ochrony Danych
Roman Nuckowski
Grzegorz Ojrzanowski
Błażej Marciniak
Sylwia Jarmusz-Sokołowska, Uniwersytet Łódzki, fundacja Obszar Wspólny
Ewa Siedlecka
Aneta Rut
Zbigniew Lisiecki, ISOC
Mariola Wiatrowska
Damian Grodziński
dr Dominika Kaczorowska-Spychalska, Centrum Mikser Inteligentnych Technologii Uniwersytetu Łódzkiego
r.pr. Agnieszka Oleszczuk-Sowa
r. pr. Paweł Bronisław Ludwiczak
Miłosz Kłosowicz
Tomasz Janowski, Stowarzyszenie Funkcja Miasto
Magdalena Włodarczyk
Dariusz Parzych, Politechnika Warszawska
Jan Kowalik
Marcin Kordas
Łukasz Bieliński
dr Radosław Szymanek
Robert Ząbkiewicz, Motorola Solutions
Szymon Mikitiuk
Krzysztof Kinda
mgr inż. Dorota Kawalec
Michał Kadlof, Centrum Nowych Technologii
adw. Marcin Maciejak
Draginja Nadażdin

Wesprzyj nas w walce o wolność! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż 1% podatku (KRS: 0000327613).

Komentarze

Parafrazując: "my phone is my castle". Obowiązkowa instalacja aplikacji i to z założenia szpiegującej, nad którą właściciel urządzenia nie ma kontroli, na prywatnym urządzeniu, to przekroczenie granicy totalitaryzmu, które nie powinno mieć miejsca nawet w czasach epidemii. Wolności, w tym prawa własności i prawa do prywatności należy szczególnie bronić wtedy gdy pojawia się pokusa do ich łamania ze względu na "nadzwyczajne" okoliczności, bo szybkie przehandlowanie praw za ułudę bezpieczeństwa źle się kończy.

Popieram. Całym sobą. Dodatkowo - kupuję aparat telefoniczny bez Androida oraz bez iOS. Czysty Linux. I niech sobie władza próbuje.... nakłonić mnie do używania czegoś innego.

Potem patrzymy w statystyki. Korea, Japonia, Singapur, Tajwan, czemu tam koronawirus jest pod kontrolą? Co oni mogą robić takiego czego my nie robimy? Potem przeczytajcie powyższy artykuł. Oni mają po prostu inne priorytety. Po co zwalczać pandemie? Najważniejsze dane osobowe!

@Developer

Jak się pandemia skończy, to dopiero wtedy będzie wiadomo dokładnie jakie kroki podjęły wspomniane przez Ciebie państwa azjatyckie i czy zbieranie tylu danych istotnie polepszyło sytuację czy nie - to raz.

Dwa - nieudolność polskiego rządu w prawie wszystkim co robi, brak jakiejkolwiek niezależnej kontroli nad polską policją i polskimi służbami specjalnymi oraz autorytarne zapędy (wykazane wielokrotnie w ich działaniach i wdrażanych przepisach prawnych) ministrów Z. Ziobry i M. Kamińskiego powodują, że obecnej władzy ufać nie można. Niestety.

> kupuję aparat telefoniczny bez Androida oraz bez iOS. Czysty Linux

to są takie telefony? działają? można prosić o jakieś linki?

ponieważ przeoczono punkt dotyczący przymusowego używania aplikacji "Android" oraz aplikacji "iOS" bez których nie potrafi działać wyżej opisana aplikacja. Co z tego, że państwo przestanie mnie śledzić skoro każe mi używać aplikacji "iOS" lub "Android", gdzie śledzenia nie da się wyłączyć?

+1

Podpisałem ! Moim zdaniem większość z tych punktów jest wymagana przez obecne prawo i władze muszą się i tak do nich stosować, także bez tego listu. Nowy i ciekawy jest pkt.3 . Pkt.6 jest i zawsze będzie powodem ustawicznej walki, bo państwo musi korzystać z usług firm prywatnych, a one zawsze będą naciskały w przeciwnym kierunku. Jeśli udałoby się przeforsować zasadę, wg. której instytucje społeczne, jak administracja państwowa stosują tylko open source - byłoby super.

popieram jak najbardziej; nasze tekturowe państwo wraca do wypróbowanych w poprzedniej epoce rozwiązań, niestety obywatele są bardziej bierni a technologia oferuje lepsze rozwiązania...

O ile państwo formalnie nie może nikogo zmusić do używania aplikacji, bez zapewnienia na koszt państwa aparatu i karty sim, to może to zrobić (i robi!) wymuszając:
1. Bezprawne oświadczenia o braku posiadania odpowiednieego aparatu i numeru w sieci komórkowej (pod groźbą odpowiedzialności za fałszywe zeznania!)
2. Wymuszając to rękami samych użytkowników - np sugerując firmom, instytucjom ,że aplikacja "jest wskazana" jako swego rodzaju przepustka bezpieczęństwa przy wejsciach do różnych miejsc. Czyli tak jak to zrobiły Chiny - bez weryfikacji "zielonego" kodu z aplikacji w praktyce obywatel jest ubezwłasnowolniony bo nie ma dostępu do wielu miejsc.

@Miklo

Masz rację co do utrudniania, ale zmusić państwo do nabycia telefonu i karty na własny koszt jak najbardziej może.

Nie możesz się usprawiedliwiać brakiem pieniędzy i nie mieć maseczki.
Nie możesz się usprawiedliwiać brakiem pieniędzy na fotografa i nie kupić zdjęcia do dowodu osobistego (obowiązkowego).
Nie możesz się usprawiedliwiać brakiem pieniędzy na ciuchy i chodzić bez ubrań (to wybryk nieobyczajny).
Nie możesz się usprawiedliwiać brakiem pieniędzy na bilet i nie przyjechać na wezwanie sądu na drugim końcu Polski (zwrócą, ale po czasie).
Etc. etc.

nawet w czasie epidemii państwo nie może śledzić obywatela bez jego wiedzy i zgody .

@wiesław
> nawet w czasie epidemii państwo nie może śledzić obywatela bez jego wiedzy i zgody .
Tak byśmy chcieli, ale prawo mówi inaczej.
Z pretensjami do rządzących.

Dodaj komentarz