ProteGO Safe: instalować czy nie?

Rządowa aplikacja do monitorowania kontaktów społecznych ProteGO Safe wciąż wzbudza skrajne emocje. Kampania reklamowa, w której Ministerstwo Cyfryzacji zachęca do jej instalowania, zderza się ze sceptycyzmem internautów zalewających profil Ministerstwa na Facebooku komentarzami w stylu „niczego, co rządowe, instalować nie będę”. Czy ta nieufność jest uzasadniona? Instalować czy nie instalować ProteGO Safe? Czy aplikacja została zaprojektowana w sposób zgodny z RODO i budzący społeczne zaufanie? Z tego tekstu dowiecie się, czy ProteGO Safe stanowi zagrożenie dla Waszych danych osobowych (ale to nie jedyne pytanie, które powinniście sobie zadać przed instalacją).

Czy ProteGO Safe jest bezpieczna?

Kiedy w kwietniu po raz pierwszy usłyszeliśmy o planach uruchomienia rządowej aplikacji do monitorowania kontaktów, byliśmy – delikatnie mówiąc – sceptyczni. Nie tylko my: na GitHubie przetoczyła się gorąca dyskusja programistów, którzy zarzucali projektowi niedostateczną przejrzystość.

Zaatakowane z różnych stron Ministerstwo Cyfryzacji zrobiło coś nietypowego w polskim życiu publicznym: podjęło merytoryczny dialog. Weszło w dyskusję (można ją przeczytać na GitHubie) z programistami krytykującymi przyjęte w poprzednich wersjach aplikacji rozwiązania, powołało zespół ekspercki ds. ProteGO Safe, wreszcie – przygotowało (i opublikowało) wyczerpującą politykę prywatności, analizę ryzyka dla ochrony danych osobowych, odpowiedzi na najczęściej zadawane pytania oraz raport z audytu bezpieczeństwa. Do tego aplikacja wykorzystuje protokół Exposure Notification (można zapoznać się z jego kodem), co oznacza, że niezależnie od rządu jest też sprawdzana przez jego dostawców – Google i Apple.

Obecnie aplikacja wydaje się bezpieczna i zgodna z zasadami dobrego projektowania tego typu rozwiązań, czyli uwzględnia sformułowane przez nas w kwietniu 7 filarów zaufania:

• nie monitoruje lokalizacji i nie zbiera żadnych zbędnych danych – jest to zgodne z zasadą minimalizacji danych. Mówiąc kolokwialnie, aplikacja nie śledzi użytkowników (nawet moduł Google Analytics jest ograniczony do zbierania danych statystycznych);
• zapewnia szyfrowanie przesyłanych komunikatów (kluczy), nie naraża użytkowników na wyciek danych (a więc gwarantuje bezpieczeństwo danych) ani na ryzyko zidentyfikowania w związku z korzystaniem z tej usługi (zapewnia anonimowość);
• w modelu rozproszonym, który został tu przyjęty, dane osobowe są przetwarzane tylko na urządzeniu użytkownika, a państwo nie ma do nich dostępu, a więc nie jest też w stanie wykorzystać ich w celach innych niż wspieranie obywateli w zarządzaniu ryzykiem epidemiologicznym (zasada ograniczenia celem).

Wygląda zatem na to, że obawy o wykorzystanie przez rząd pozyskanych danych niezgodnie z pierwotnym celem są nieuzasadnione. Można się zastanawiać, co z danymi użytkowniczek i użytkowników zrobią Google i Apple, na których protokole bazuje polska aplikacja. Jeśli to właśnie powstrzymuje Was przed instalacją, warto zdać sobie sprawę, że obie te firmy – z ProteGO Safe czy bez niej – wiedzą o swoich użytkownikach naprawdę dużo (chyba że należycie do wąskiego grona osób, które mają na tyle wiedzy i samozaparcia, żeby ochronić się przed śledzeniem przez dostawców systemu operacyjnego telefonu).

Obecność dwóch amerykańskich gigantów martwi nas jednak z innego powodu: dostarczając protokół umożliwiający contact tracing, Google i Apple weszły w rolę dostawców usług publicznych (więcej na ten temat w podcaście Panoptykon 4.0: Nadchodzi wielki wyrównywacz).

Innymi słowy: naszym zdaniem ryba (ProteGO Safe) jest świeża, ale patelnia, na której ją smażą (protokół Google/Apple), może zawierać pierwiastki rakotwórcze. Czy w niebezpiecznych ilościach? Nie bardziej niż w przypadku naczyń, na których „gotujecie” na co dzień (smartfony z Androidem i iOS).

Czy aplikacja pomoże w walce z pandemią?

Na to kluczowe pytanie nie znamy odpowiedzi. Badacze spierają się, ile osób musi ją zainstalować, żeby była skuteczna – a minister cyfryzacji Marek Zagórski mówi wprost o tym, że to eksperyment, którego skuteczność w skali globalnej nie jest przesądzona.

Jednego jesteśmy pewni: sama aplikacja nie zwalczy pandemii. Nie uchroni Cię przed zarażeniem, ale jeśli to Ty zarażasz, może (przynajmniej do pewnego stopnia) uchronić Twoje otoczenie. Może też pomóc państwu w wyłapywaniu ognisk choroby i w mądrzejszym wprowadzaniu ograniczeń.

Aplikacja może jednak wręcz zaszkodzić, jeśli dając Wam fałszywe poczucie bezpieczeństwa, sprawi, że zapomnicie o innych środkach ostrożności: higienie, utrzymywaniu dystansu społecznego, unikaniu dużych skupisk ludzi. W tym kontekście po cienkiej linii stąpa Ministerstwo Cyfryzacji w kampanii reklamowej, w której sugeruje, że ProteGO Safe ochroni Was przed wirusem. Możemy stwierdzić z całą pewnością – to tak nie działa.

Domyślnie sceptyczni

„Pewnie, że ściągnęłam. Nie dlatego, że jakoś szczególnie boję się zakażenia. Ale po prostu jeżeli rząd mówi, że to może pomóc, że jest bezpieczna, że długo nad nią pracowano, by chroniła nasze dane, to dlaczego nie miałabym jej mieć” – powiedziała Sylwii Czubkowskiej kelnerka zapytana w berlińskiej kawiarni o niemiecką aplikację do monitorowania kontaktów. W Polsce reakcje zaczynają się zazwyczaj od „w życiu!”. Na Facebooku Ministerstwa Cyfryzacji dominują obawy przed inwigilacją i profilaktycznym wysyłaniem na restrykcyjną kwarantannę tych użytkowników, którzy dostali ostrzeżenie o możliwości spotkania osoby zarażonej koronawirusem.

Niestety o powodzeniu eksperymentu decyduje nie jego dobre przygotowanie pod kątem prywatności (to warunek wstępny – naszym zdaniem spełniony), ale to, czy aplikacja będzie pomocna i nie spowoduje dotkliwych skutków ubocznych. Kluczem do powodzenia przedsięwzięcia jest też duża liczba użytkowników i użytkowniczek – jednak to, czy na aplikację znajdzie się dość chętnych, dopiero się okaże.

Anna Obem

Współpraca: Wojciech Klicki, Maria Wróblewska

Wesprzyj nas w walce o ochronę prywatności! Wpłać darowiznę na konto Fundacji Panoptykon.