Odpowiadamy na pytania o aplikację „Kwarantanna domowa”

19 marca rząd udostępnił aplikację „Kwarantanna domowa”. Narzędzie ma z jednej strony za zadanie odciążyć służby w weryfikowaniu, czy osoby, które powinny przebywać na kwarantannie, stosują się do ograniczeń. Z drugiej strony – jak wyjaśnia Ministerstwo Cyfryzacji – ma ułatwić obywatelom i obywatelkom odbywanie kwarantanny.

Po opublikowaniu aplikacji, którą w nadchodzących dniach będą instalować dziesiątki tysięcy osób objętych kwarantanną, zaczęły do nas docierać pytania o to, czy zaproponowane przez rząd narzędzie jest bezpieczne z punktu widzenia ochrony naszych danych. Stawiają je osoby, które nie chcą bojkotować państwa w jego wysiłkach na rzecz walki z epidemią, ale są zaniepokojone tym, że aplikacja zbiera dokładne dane o ich lokalizacji i dane biometryczne. W jakich celach te dane mogą być w przyszłości wykorzystane przez państwo? Czy zasilą bazy danych służb? A może posłużą do trenowania polskich algorytmów do rozpoznawania twarzy?

[AKTUALIZACJA: od 1 kwietnia instalowanie aplikacji jest obowiązkowe]

Podjęliśmy wyzwanie ustalenia odpowiedzi na nurtujące naszych czytelników i czytelniczki pytania. W tym celu nie tylko uważnie przeczytaliśmy regulamin aplikacji i zweryfikowaliśmy jej uprawnienia (w sklepie Google Play). Zebraliśmy też doświadczenia kilku osób, które skorzystały z aplikacji podczas kwarantanny domowej. Wreszcie – skonfrontowaliśmy nasze wątpliwości z ekspertami z Ministerstwa Cyfryzacji.

Oto, co udało się nam ustalić.

Jakie dane o użytkowniku zbiera aplikacja? Czy nie zbiera ich za dużo?

Według regulaminu aplikacja zbiera: ID obywatela – techniczny identyfikator, imię, nazwisko, numer telefonu, deklarowany adres pobytu, zdjęcie, lokalizację obywatela, datę końca kwarantanny.

Image

Image

Image

Jednak po kliknięciu opcji Uprawnienia w sklepie Google Play okazuje się, że aplikacja ma szersze uprawnienia, np.:

• widzi, z jaką siecią Wi-Fi się łączysz;
• odczytuje zawartość pamięci Twojego urządzenia i może modyfikować lub kasować jego zawartość;
• odczytuje identyfikator urządzenia i informacje o połączeniu;
• ma dostęp do aparatu i mikrofonu, może więc nagrywać dźwięk i wideo;
• odczytuje lokalizację na bazie danych z sieci komórkowej i GPS;
• ma też kontrolę nad latarką.

Po zainstalowaniu aplikacji okazuje się, że sprawdza też, jakie inne aplikacje są zainstalowane na telefonie i czy nie ma wśród nich takiej, która oszukuje lokalizację.

O tych funkcjach nie ma informacji w regulaminie aplikacji. Zapytaliśmy o nie Ministerstwo Cyfryzacji. Oto odpowiedź:

Aplikacja korzysta z dostępu do lokalizacji na podstawie GPS, sieci komórkowej i Wi-Fi. Nie rejestruje (nie odnotowuje), z jakiej sieci korzysta Obywatel. Zgodę na dostęp do lokalizacji Obywatel wyraża, akceptując systemowe powiadomienie. Powiadomienie pojawia się w momencie pierwszego uruchomienia aplikacji. (…) Podczas wykonywania pierwszego zadania widoczne jest pytanie o zgodę na dostęp do zdjęć, multimediów i plików na urządzeniu. Wykorzystywany jest on do zapisania wykonanego zdjęcia i odczytania tego zdjęcia w celu przesłania do automatycznej weryfikacji.

Ministerstwo poinformowało nas, że aplikacja nie korzysta z pozostałych funkcji (latarki czy nagrywania dźwięku). Gdyby np. chciała uruchomić mikrofon, osoba korzystająca z aktualnego systemu Android albo iOS otrzymałaby analogiczne powiadomienie jak w przypadku dostępu do zdjęć, multimediów i plików na urządzeniu. Nic takiego się nie dzieje, nie mamy zatem powodów, by wątpić w zapewnienia Ministerstwa.

Udało nam się potwierdzić, że aplikacja nie sprawdza lokalizacji użytkowników przez cały czas, a jedynie podczas uruchamiania i wykonywania przez użytkownika zadania. Ministerstwo zapewnia też, że aplikacja korzysta z aparatu wyłącznie po to, by robić zdjęcia. Nie nagrywa krótkich filmików, czego obawiali się eksperci komentujący zabezpieczenia aplikacji przed typowymi próbami oszustw ze strony użytkowników.

Co o tym wszystkim sądzimy? Uważamy, że zakres zbieranych przez aplikację danych jest adekwatny do jej celu, a więc zweryfikowania, czy użytkownik nie narusza zasad kwarantanny domowej. Z jednym zastrzeżeniem: przesyłanie zdjęć twarzy na serwery Ministerstwa Cyfryzacji nie jest niezbędne, ponieważ analiza zgodności twarzy i weryfikacja metadanych zdjęcia (czasu wykonania i geolokacji) mogłaby się też odbywać lokalnie, na urządzeniu użytkownika.

Rozwiązanie zastosowane w aplikacji „Kwarantanna domowa” oznacza, że (mniej lub bardziej twarzowe) zdjęcia osób wraz ze szczegółami widocznymi w tle, które niekoniecznie chciałyby pokazywać, trafiają na serwery, skąd mogą trafiać dalej w bliżej nieokreślonym celu i być przetwarzane na różne sposoby. Zamiast wysyłać zdjęcia na serwery Ministerstwa lepiej z punktu widzenia prywatności byłoby wykonywać analizę zgodności twarzy na urządzeniu. Taki algorytm (np. FisherFace) mógłby tworzyć lokalny model cech biometrycznych. Suma kontrolna takiego wzoru mogłaby być przechowywana na serwerze, by weryfikować, czy wzór się nie zmienił w czasie. W przypadku nadejścia żądania weryfikacji lokacji oraz twarzy sprawdzane byłoby tylko to, czy lokalny wzorzec się nie zmienił, a następnie – również lokalnie – następowałoby porównanie twarzy z wzorcem. Dodatkowym zabezpieczeniem byłoby wzbogacenie algorytmu o mechanizm atestacji zdalny pomiar stanu zdrowia urządzenia i tego, czy użytkownik czegoś nie kombinuje – komentuje Mateusz Chrobok, entuzjasta biometrii behawioralnej, wiceprezes do spraw biometrii behawioralnej w Buguroo.

Ministerstwo Cyfryzacji wybrało jednak rozwiązanie scentralizowane. Uzasadnia swój wybór w następujący sposób:

Zdjęcia weryfikowane są po stronie serwera. O wiele łatwiej oszukać pojedyncze urządzenie (czyli telefon) niż zabezpieczony serwer. Tym samym weryfikacja po stronie serwera jest bezpieczniejsza dla Obywatela. Należy pamiętać, że nie każdy Obywatel ma zabezpieczony telefon, choćby w podstawowym stopniu.

Zgoda, bezpieczeństwo danych jest w tej dyskusji istotnym argumentem.

Jak długo mają być przechowywane dane i czy jest to uzasadnione?

Zgodnie z par. 14 regulaminu Minister Cyfryzacji będzie przechowywać dane osobowe użytkowników aplikacji przez 6 lat, czyli okres przedawnienia roszczeń według Kodeksu cywilnego, liczony od momentu dezaktywacji aplikacji. Przechowywanie danych przez czas przedawnienia roszczeń to rutynowa praktyka, która sprawdza się w relacjach komercyjnych i przy przetwarzaniu zwykłych danych. Jednak aplikacja „Kwarantanna domowa” nie jest zwykłą usługą. To administracyjne narzędzie kontroli, zbierające wrażliwe dane na dużą skalę.

Z jednej strony (w punkcie 10 regulaminu) Ministerstwo Cyfryzacji zastrzega, że cała odpowiedzialność za poprawne działanie aplikacji (m.in. jej aktualizowanie) i utrzymanie dostępu do sieci telekomunikacyjnej spoczywa na użytkownikach. Z drugiej strony uspokaja na swojej stronie, że jeśli raport nie dotrze na czas, jest to tylko sygnał dla policji, że powinna wybrać się na miejsce odbywania kwarantanny i sprawdzić, czy osoba jest w domu. A więc o nałożeniu ewentualnej kary finansowej zdecyduje nie brak raportu z aplikacji, ale niezależne ustalenia dokonane przez policję.

Naszym zdaniem Ministerstwo Cyfryzacji na swoich serwerach powinno przechowywać raporty (zdjęcia) tylko tak długo, jak to konieczne do sprawdzenia, czy konkretna osoba przestrzegała zasad kwarantanny. Argument „z dochodzenia roszczeń” zupełnie nas w tym kontekście nie przekonuje. Przesłane przez obywateli zdjęcia i dane o lokalizacji powinny być usuwane natychmiast po ich prawidłowym zweryfikowaniu (tzn. ustaleniu, że objęta kwarantanną osoba przebywa pod swoim adresem).

W odpowiedzi na nasze wątpliwości Ministerstwo Cyfryzacji doprecyzowało:

Nie tworzymy bazy zdjęć jako ustrukturyzowanego zbioru do przeszukiwania po identyfikatorze obywatela, np. PESEL. Składujemy je w celach określonych w regulaminie. Zdjęcia będą usuwane zaraz po odbyciu kwarantanny.

Z tej odpowiedzi wnioskujemy, że przez okres 6 lat będą przechowywane jedynie podstawowe dane, podawane przez użytkowników i użytkowniczki przy instalowaniu aplikacji, ale już nie raporty przez nich przesyłane. Do takiego zakresu nie mamy zastrzeżeń.

Czy dane o lokalizacji i zdjęcia tysięcy ludzi mogą zostać wykorzystane do innego celu, np. trenowania algorytmów rozpoznawania twarzy?

Z regulaminu aplikacji (par. 9) dowiadujemy się, że dostęp do danych mają następujące podmioty:

1. Komenda Główna Policji,
2. Wojewódzkie Komendy Policji,
3. wojewodowie,
4. Centralny Ośrodek Informatyki,
5. Take Task SA,
6. Centrum Systemów Informacyjnych Ochrony Zdrowia.

Zgodnie z par. 9 ust. 9 regulaminu dane obywateli przez te wszystkie podmioty mogą być przetwarzane tylko ze względu na ważny interes publiczny, tj. zaistniałą sytuacją kryzysową związaną z rozprzestrzenianiem się wirusa SARS-CoV-2. A konkretnie w celu wsparcia Służb w monitoringu realizacji kwarantanny osób, co do których istnieje podejrzenie, że mogą być roznosicielami choroby zakaźnej COVID-19. To dość jasno określony cel, niepozostawiający wiele miejsca na interpretację. Dodatkowo Ministerstwo Cyfryzacji zastrzega sobie prawo do retencji danych użytkowników aplikacji przez okres 6 lat, żeby zabezpieczyć interes prawny Skarbu Państwa związany z potencjalnymi roszczeniami użytkowników.

Czy to nas uspokaja? Nie do końca. O ile takie podmioty jak Centralny Ośrodek Informatyki czy Take Task SA rzeczywiście będą związane wspomnianym wyżej celem epidemiologicznym, o tyle ze służbami specjalnymi (o których w ogóle nie ma mowy w regulaminie aplikacji) może być inaczej. W Polsce, gdy tylko wchodzi w grę bezpieczeństwo państwa, kończy się zasięg regulaminów, ustaw i rozporządzeń chroniących prawa obywateli. Służby specjalne (ABW, AW, CBA, SKW i SWW) nie są objęte żadnymi przepisami dotyczącymi ochrony danych osobowych. W praktyce oznacza to, że mogą pozyskiwać od innych organów państwa wszystkie informacje, jakie uznają za przydatne do realizacji swoich zadań.

Image

Być może dmuchamy na zimne, ale staranność watchdoga każe nam to zastrzeżenie opisać. Jeśli okazałoby się, że dane o lokalizacji i zdjęcia przesyłane przez osoby odbywające kwarantannę domową są przechowywane dłużej przez którąkolwiek z uprawnionych instytucji, nie będzie można wykluczyć, że zostaną przechwycone przez służby do innych celów. Na przykład do trenowania algorytmów służących do rozpoznawania twarzy. Ten niepokój jest uzasadniony: trenowanie algorytmów twarzami użytkowników bez ich wiedzy i zgody ma długą i udokumentowaną historię – od Captchy przez FaceApp.

Czy aplikacja jest dobrowolna?

Ministerstwo Cyfryzacji podtrzymuje, że korzystanie z narzędzia jest i pozostanie dobrowolne. Tę wersję potwierdzają relacje osób, z którymi nawiązaliśmy kontakt: nikt nie wywierał na nie presji, żeby zainstalowały aplikację. Obserwujemy rozwój sytuacji pod tym kątem. Naszym zdaniem warunkiem legalności tego narzędzia jest utrzymanie możliwości wyboru. Obywatele nie powinni być zmuszani do zbierania i przesyłania swoich danych osobowych, jeśli istnieją alternatywne rozwiązania. Takim rozwiązaniem nadal pozostaje – i jak najdłużej powinno pozostać – wyrywkowe kontrolowanie tego, czy kwarantanna jest przestrzegana, przez policję lub sanepid (kontrola telefoniczna).

AKTUALIZACJA: od 1 kwietnia 2020 r. instalowanie aplikacji jest obowiązkowe dla osób odbywających kwarantannę domową. Podstawa prawna: art. 7e ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374, z późn. zm.).

Dlaczego policja nadal odwiedza osoby korzystające z aplikacji?

Aplikacja jest przedstawiana jako narzędzie alternatywne do policyjnych kontroli. Tak długo, jak długo raporty z aplikacji potwierdzają, że zasady kwarantanny nie zostały naruszone, policja nie powinna niepokoić jej użytkowników. Doświadczenia osób, do których udało nam się dotrzeć, tej zależności jednak nie potwierdzają. Mimo tego, że kilka razy dziennie wysyłają swoje zdjęcia i nie ruszają się z mieszkania, policja nadal ich odwiedza. Zdarzyło się też, że zadzwonił sanepid. Dlaczego? W naszej ocenie takie nakładające się środki nadzorcze są nieproporcjonalne.

Siostra, u której mieszkam, jest przedszkolanką i ona rzeczywiście przeżywa te codzienne odwiedziny policji. I jeszcze się boi, że jak się sąsiedzi zorientują, że ma lokatora w kwarantannie, to jej nawet do sklepu nie wpuszczą – obawia się Karolina, która odbywa kwarantannę w małej miejscowości pod Poznaniem. Zainstalowałam aplikację, bo byłam ciekawa, jak działa produkt zaproponowany przez Ministerstwo. Myślałam też, że odciążę policjantów z obowiązku przyjeżdżania do mnie. Już sprawdziłam, jak działa, policjanci mówią, że i tak muszą przyjeżdżać, to nie będę narażać prywatności i ryzykować, że ktoś je wykorzysta.

Wreszcie pojawia się wątpliwość: co z osobami, które nie mają smartfona albo których sprzęt nie spełnia wymogów technicznych (iOS w wersji min. 13.2, Android min. 6.0, usługi Google Play – niedostępne w smartfonach Huawei)? One muszą liczyć się z wizytami funkcjonariuszy.

Ministerstwo Cyfryzacji, skonfrontowane z tymi pytaniami, uspokaja, że potrzebna jest jeszcze chwila na to, by system zaczął w pełni działać. Rząd podtrzymuje, że jego celem jest odciążenie funkcjonariuszy, a jednocześnie zaoszczędzenie obywatelom, którzy wolą korzystać z aplikacji, policyjnych wizyt.

Komendy sukcesywnie otrzymują informacje o korzystających z aplikacji. Tym samym policja przestaje odwiedzać pierwszych Obywateli korzystających z aplikacji. Policjanci będą również przekazywali Obywatelom informację o aplikacji. Szacujemy, że to kwestia kilku dni, by informacja skutecznie dotarła do wszystkich zainteresowanych.

Na marginesie: czy obywatele powinni mieć prawo samodzielnie weryfikować, jak działa aplikacja „Kwarantanna domowa”?

Naszym zdaniem tak – powinni mieć takie prawo. Koalicja European Digital Rights, do której należy Fundacja Panoptykon, wydała w ubiegłym tygodniu oświadczenie, w którym podkreśla, że kontrola społeczna wszystkich środków technicznych wykorzystywanych w walce z koronawirusem jest bardzo potrzebna. Na niej buduje się zaufanie do państwa: do tego, że naprawdę działa ono w naszym najlepszym interesie i niczego nie ukrywa.

W przypadku aplikacji taka społeczna kontrola jest możliwa pod warunkiem wykorzystania otwartego oprogramowania. Tymczasem wygląda na to, że „Kwarantanna domowa” jest przepisaną na szybko (co w tych okolicznościach jest zrozumiałe) aplikacją Taketask, w cywilu służącą do zarządzania sklepami (np. kontrolowania ekspozycji towaru). Czy możemy oczekiwać od firmy, że udostępni swój kod, na którym na co dzień zarabia, dla dobra publicznego? W tej sytuacji to oczekiwanie jest jak najbardziej zasadne. 

Jeśli jesteś sceptyczny/-a co do skuteczności apki, bo dostrzegasz tysiąc banalnych sposobów na jej oszukanie, nie odpowiemy na Twoje wątpliwości. Zapraszamy natomiast do dyskusji na forum Niebezpiecznik.pl.

[AKTUALIZACJA 9.04.2020] W związku z licznymi telefonami z pytaniami, co robić, jeśli aplikacja nie działa, skończyliście kwarantannę, a wciąż przychodzą zadania, etc., zachęcamy do odwiedzania strony Ministerstwa Cyfryzacji, które opublikowało Pytania i odpowiedzi o aplikację „Kwarantanna domowa”. Pod tym adresem znajdziecie tez informację, jak złożyć oświadczenie, jeśli z przyczyn technicznych nie możecie zainstalować aplikacji. My niestety możemy tylko przytaknąć Waszej frustracji.]