Technologią w epidemię. Co może pójść nie tak?

Artykuł
09.04.2020
20 min. czytania
Tekst
Image

Ministerstwo Cyfryzacji zapowiada kolejną aplikację do walki z pandemią koronawirusa. Powstająca w błyskawicznym tempie aplikacja ProteGO ma pomóc w kontrolowaniu rozprzestrzeniania się choroby po tym, jak wrócimy do (w miarę) normalnego życia – szkół, pracy i spacerów po parkach. Narzędzie ma opierać się na sieci powiązań między urządzeniami, więc natychmiast pojawiły się pytania o prywatność, bezpieczeństwo, zgodność z prawem i skuteczność. Czy czeka nas zarządzanie społeczeństwem w tzw. modelu chińskim? Czy takie narzędzie może realnie pomóc w walce z pandemią? Co z ochroną prywatności? Czy dane będą bezpieczne? A co, jeśli kolejne narzędzie, wprowadzone jako dobrowolne, zmieni status na obowiązkowe, tak jak zrobiono z aplikacją „Kwarantanna domowa”? Na te pytania próbujemy odpowiedzieć w naszej analizie.

Aplikacja ProteGO ma wykorzystywać technologię Bluetooth do budowania swoistej sieci połączeń pomiędzy użytkownikami telefonów komórkowych. Aplikacja będzie w sposób automatyczny szacować ryzyko zarażenia dla każdego użytkownika na podstawie jego osobistej historii spotkanych urządzeń i zweryfikowanych medycznie przypadków zarażenia koronawirusem z tej sieci społecznej. I przypisywać mu status: zielony („droga wolna”) albo czerwony („kwarantanna!”). 

Polska nie jest ani pierwszym, ani z pewnością ostatnim krajem, który pracuje nad takim rozwiązaniem. Czy można je wdrożyć w sposób bezpieczny dla ludzi i ich prywatności, a zarazem skuteczny? Po czym poznamy, że było warto? I co może pójść nie tak?

1. Czy zmierzamy w kierunku tzw. modelu chińskiego? 

Zachęcając do korzystania z aplikacji w komunikacie opublikowanym na swojej stronie, Ministerstwo Cyfryzacji odwołuje się do poczucia odpowiedzialności społecznej i solidarności. „Aby ten system zadziałał, potrzeba kilku czynników. Po pierwsze – możliwie największej grupy użytkowników. Po drugie – społecznej solidarności i odpowiedzialności. Im więcej osób będzie z niej korzystało, tym więcej osób – w razie ewentualnego ryzyka – będzie świadoma zagrożenia, podejmie odpowiednie kroki, np. zastosuje kwarantannę” – mówi minister cyfryzacji Marek Zagórski. I dalej: „Chcielibyśmy, aby docelowo z aplikacji korzystali wszyscy użytkownicy smartfonów w Polsce. Zdajemy sobie sprawę, że aby tak się stało, potrzeba czasu i zaufania”. 

Minister przedstawia optymistyczny scenariusz, w którym społeczeństwo dobrowolnie angażuje się w walkę z chorobą. Ale jest też drugi, zły scenariusz, w którym aplikacja, wprowadzana jako dobrowolne narzędzie dla odpowiedzialnych obywateli, z czasem po prostu staje się obowiązkowa. Albo w wyniku presji społecznej (jeśli „zielony” status użytkownika aplikacji stanie się przepustką do normalnego, codziennego funkcjonowania), albo w wyniku pospiesznie przyjętych zmian w prawie (dokładnie tak się stało się w przypadku aplikacji „Kwarantanna domowa”). Z powodów, które wyjaśniliśmy w apelu dotyczącym aplikacji „Kwarantanna domowa”, nie wspieramy tego scenariusza: uważamy, że współpracę znaczącej części obywateli skuteczniej osiąga się przez budowanie zaufania do narzędzia i odwoływanie się do ich poczucia odpowiedzialności, a nie poprzez przymus. Mimo to musimy się liczyć z tym, że władza publiczna albo praktyka społeczna pójdą inną drogą.

Taki scenariusz podpowiada też doświadczenie innych krajów, które w walce z pandemią przy pomocy m.in. technologicznych narzędzi są już parę kroków dalej. Pierwszym poligonem doświadczalnym w tej walce były oczywiście Chiny. Chiński system bardzo przypomina założenia ProteGO (choć autorzy polskiej aplikacji za inspirację obrali Singapur). Oparty na sztucznej inteligencji system analizuje lokalizację użytkowników i przydziela im odpowiednią klasyfikację ze względu na ryzyko zachorowania. Główna różnica polega na tym, że w Chinach od tego, jaki kolor pokazuje się w aplikacji, zależy, czy obywatel wejdzie do sklepu i skorzysta z komunikacji miejskiej. Jego status jest też wysyłany innym użytkownikom, a istotne informacje trafiają również na serwery chińskiej policji.

Ryzyko związane ze stosowaniem aplikacji szacujących ryzyko zachorowania można streścić słowami Billa Gatesa, który powiedział, że aby otworzyć granice między krajami, będziemy musieli wprowadzić swego rodzaju cyfrowy certyfikat potwierdzający nabycie odporności na koronawirusa. W istocie to jeszcze wyższy standard niż konieczność udowodnienia, że na swojej drodze w ciągu ostatnich dwóch tygodni nie spotkaliśmy nikogo chorego. Dopóki nie zbudujemy masowej odporności i nie pojawią się skuteczne testy ją potwierdzające, władzom zostaje weryfikowanie, czy podróżujący nie jest chory ani zagrożony chorobą.

2. Czy aplikacja jest nam potrzebna, czyli nasze pytania do epidemiologów

Oczekujemy jednoznacznej i pogłębionej odpowiedzi na pytanie, czy aplikacja taka jak ProteGO może realnie pomóc w walce z pandemią. To pytanie, na które powinni odpowiedzieć epidemiolodzy i współpracujący z nimi eksperci ze świata technologii, i to w oparciu o dane, które może zweryfikować opinia publiczna. Jeśli ten sens jest kwestionowany, bo np. skuteczność narzędzia opiera się na fałszywych założeniach (że wirus przenosi się przede wszystkim w kontakcie osobistym, a nie przez powierzchnie, których ludzie dotykają; że Polacy przeważnie noszą ze sobą telefon, a dodatkowo ten telefon pozwala na ciągłe działanie w tle aplikacji z funkcją Bluetooth etc.), eksperyment należy zakończyć. Od przekonujących odpowiedzi na te pytania zależy, czy – zgodnie z oczekiwania Ministerstwa Cyfryzacji – Polacy będą skłonni wykorzystywać aplikację.

3. Standardy ochrony danych, bezpieczeństwa i przejrzystości

Ze względu na zagrożenia, o których piszemy wyżej, uważamy, że aplikacje śledzące społeczne interakcje w czasie epidemii powinny spełniać najwyższe standardy ochrony prywatności i zabezpieczenia danych. Jednym ze źródeł tych standardów w Unii Europejskiej jest RODO, które wprowadza zasady minimalizacji danych, ograniczenia czasu ich przechowywania i ograniczenia celem. Jednak tym razem sama zgodność z RODO nie wystarczy. Aby zbudować społeczne zaufanie dla takich narzędzi „wysokiego ryzyka”, potrzebna też pełna przejrzystość, otwarty kod aplikacji i publiczna kontrola nad narzędziem. 

Antycypując zapotrzebowanie na narzędzia technologiczne do walki z epidemią, we wspólnym wystąpieniu ponad 70 ekspertów z różnych branż przypomnieliśmy zasady budowania narzędzi zgodnych z RODO i godnych społecznego zaufania. Z podobną inicjatywą wyszedł niemiecki kolektyw Chaos Computer Club, który od 30 lat konsekwentnie pokazuje, jak odpowiedzialnie i etycznie wykorzystywać cyfrowe technologie. Tym razem CCC sformułowało checklistę 10 kryteriów, które powinny spełniać aplikacje śledzące interakcje społeczne w ramach walki z epidemią. Na tej liście jest m.in. wymóg ochrony anonimowości użytkowników i konsekwentnego rozdzielenia danych o historii społecznych interakcji (w tym możliwości zarażenia się) od danych identyfikujących użytkowników (takich jak ich numery telefonów). 

W odpowiedzi na wyraźne zapotrzebowanie na „technologię w walce z pandemią” w marcu wystartowała paneuropejska inicjatywa pod nazwą „Pan-European Privacy-Preserving Proximity Tracing”, w którą zaangażowanych jest kilkanaście renomowanych instytutów badawczych i firm z doświadczeniem w projektowaniu rozwiązań technologicznych. Członkowie grupy, której skład jest otwarty i cały czas się powiększa, to ponad 130 naukowców i praktyków z 8 europejskich krajów, specjalizujących się nie tylko w tematyce bezpieczeństwa (w tym szyfrowania) i ochrony danych osobowych, ale też epidemiologii, psychologii, tworzenia aplikacji i skalowania systemów. Celem tej inicjatywy jest z jednej strony wspólne rozwijanie i promowanie najwyższych standardów projektowania aplikacji do walki z pandemią, a z drugiej – rozwijanie i skalowanie projektów, które te standardy implementują.

Dobrym pomysłem byłoby podpięcie prac nad wydaniem aplikacji ProteGO pod inicjatywę PEPP-PT i tym samym uspokojenie obywateli, że również w przypadku polskiego narzędzia będą zagwarantowane wysokie, europejskie standardy bezpieczeństwa, prywatności i przejrzystości. Wspólne europejskie narzędzie (a co najmniej wspólny europejski standard) może się okazać bardzo potrzebne w czasie, w którym będziemy wracać do normalności i ponownie otworzymy granice. Ze względu na dynamikę epidemii rozsądniej jest założyć, że z tym wyzwaniem ostatecznie będziemy musieli sobie poradzić solidarnie, jako Unia Europejska, a nie jako zamknięte państwa narodowe.

4. A co, gdyby aplikacja miała być obowiązkowa?

Liczymy na to, że tak się w ogóle nie stanie. Ale gdyby w przyszłości ProteGO miało stać się obowiązkowe, legalność narzędzia będzie zależała od tego, czy przejdzie ono konstytucyjny test niezbędności. Oznacza to, że rząd powinien ocenić, czy jest ono niezbędne w demokratycznym państwie prawa, a wyniki tej oceny poddać pod publiczną dyskusję. 

Na test niezbędności składa się ocena:

  • czy proponowane rozwiązanie (w tym przypadku aplikacja do śledzenia kontaktów społecznych) jest skuteczne (tj. czy rzeczywiście pomoże we wczesnym wykrywaniu i izolowaniu przynajmniej większości zakażonych osób);
  • czy tego samego efektu nie da się osiągnąć w mniej uciążliwy dla obywateli sposób (np. zbierając jeszcze mniej danych albo w ogóle nie korzystając z narzędzi technologicznych).

Przeprowadzając konstytucyjny test niezbędności, rząd musiałby odpowiedzieć na pytania, które zadaliśmy w drugim punkcie. Przy czym stawką byłoby wówczas nie tyle uzyskanie (bądź nie) społecznego zaufania, ile po prostu zgodność z ustawą zasadniczą.

Co więcej, jak na łamach DGP argumentuje dr Paweł Litwiński, na (ewentualnym!) etapie tworzenia przepisów prawa władza będzie też musiała przeprowadzić ocenę skutków dla ochrony danych osobowych. Wymaga tego art. 35 RODO, ponieważ w przypadku narzędzia takiego jak ProteGO mamy do czynienia z „profilowaniem obywateli i to w oparciu o szczególną kategorię danych osobowych, jaką są dane dotyczące zdrowia”.

Fragment analizy dr. Pawła Litwińskiego opublikowanej w Dzienniku Gazecie Prawnej:

Na podstawie zebranych danych algorytm będzie wskazywał osoby, co do których istnieje ryzyko zachorowania. Jak można przeczytać na stronach Ministerstwa Cyfryzacji, aplikacja będzie informowała nas o możliwym ryzyku na dwa sposoby, za pomocą statusu: status będzie czerwony, jeżeli użytkownik miał kontakt z osobą zakażoną, a zielony, jeżeli nie miał. Ta informacja ma być też przekazywana organom administracji sanitarnej, które na jej podstawie będą mogły skontaktować się z użytkownikami, co do których istnieje ryzyko zakażenia. Będzie to więc klasyczna postać automatycznego podejmowania decyzji na podstawie profilowania i to decyzji wywołujących wobec nas skutki prawne w postaci interwencji organów administracji sanitarnej. (…) 

Automatyczne podejmowanie decyzji na podstawie profilowania opartego o dane dotyczące zdrowia jest dopuszczalne albo wtedy, gdy osoba profilowana wyraża na to zgodę, albo gdy profilowanie wynika z odpowiedniego przepisu prawa (w Polsce musi to być przepis rangi co najmniej ustawy). Co więcej, muszą także istnieć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą (art. 22 ust. 4 RODO).

5. Ocena ProteGO: work in progress

Czy aplikacja ProteGO spełnia europejskie standardy projektowania bezpiecznej, przejrzystej i chroniącej prywatność technologii? W Fundacji Panoptykon nie mamy kompetencji, by samodzielnie zajrzeć w kod aplikacji i ustalić wszystkie istotne parametry. Dlatego polegamy na oficjalnych komunikatach i ustaleniach niezależnych programistów. Liczymy, że w toku tej dyskusji odpowiedzi na kluczowe pytania będą się krystalizować, a w momencie wydania aplikacji przez Ministerstwo Cyfryzacji będą już zupełnie jasne. 

W poniższej tabeli to, co wiemy na temat ProteGO, odnosimy wprost do promowanych przez nas 7 filarów zaufania i dodatkowych wymogów, które sformułował niemiecki Chaos Computer Club. Zastrzegamy jednak, że ta ocena może – i zapewne będzie – ewoluować w miarę postępów w pracach nad aplikacją. 

Zasady projektowania bezpiecznych i „zgodnych z RODO” narzędzi do walki z wirusem

Co ta zasada oznacza dla aplikacji ProteGO

Nasze ustalenia na temat aplikacji ProteGO

Minimalizacja i poprawność danych

Aplikacja powinna zbierać tylko dane, które są niezbędne do realizacji jej celu – w tym przypadku do tego, by ustalić, czy dana osoba (jednak nierozpoznana z imienia i nazwiska) przebywała przez określony czas w pobliżu osoby zarażonej wirusem, oraz do tego, by ją o tym fakcie skutecznie powiadomić.

Wykorzystywane powinny być tylko takie dane, które nie prowadzą do fałszywych alarmów.

Aplikacja działa w tle i skanuje otoczenie w poszukiwaniu innych telefonów (poprzez technologię Bluetooth), na których zainstalowana jest ta sama aplikacja, i zapisuje historię spotykanych urządzeń.

Nie zbiera innych danych, w szczególności danych o położeniu geograficznym (lokalizacji). Historia spotykanych urządzeń jest łączona jedynie z anonimowym identyfikatorem użytkownika (patrz niżej). Urządzenia również rozgłaszają się przy pomocy losowych identyfikatorów, niezwiązanych w żaden sposób z identyfikatorami sprzętowymi.

Podanie numeru telefonu przy instalowaniu aplikacji jest opcjonalne. Numer telefonu będzie wykorzystany tylko przez inspektorat sanitarny do skontaktowania się z użytkownikiem, który był narażony na kontakt z osobami chorymi. Opcja ta przydatna jest szczególnie np. dla osób starszych, które chcą mieć pewność, że otrzymają informację o potencjalnym zagrożeniu, bez konieczności ciągłego otwierania aplikacji.

Dane wykorzystywane wyłącznie do walki z pandemią

Zarówno aplikacja, jak i wszelkie dane przez nią zbierane lub generowane powinny być wykorzystane wyłącznie do walki z pandemią. W szczególności nie powinny być przekazywane innym służbom niż medyczne i sanitarne. Wykorzystanie ich w innym celu powinno być technicznie niemożliwe i prawnie zakazane.

Jedyną daną identyfikującą użytkownika jest numer telefonu, który ten podaje dobrowolnie na etapie instalowania aplikacji. Numer telefonu, jeśli zostanie udostępniony, ma być wykorzystywany przez inspektorat sanitarny wyłącznie do poinformowania jego właściciela o możliwości zarażenia i potrzebie odbycia kwarantanny.

W przypadku użytkowników niezagrożonych wirusem dwutygodniowa historia spotykanych urządzeń jest przechowywana wyłącznie na ich telefonach. Starsze wpisy są na bieżąco usuwane.

Dane są przetwarzane na serwerze przez służby sanitarne, tylko jeśli można je połączyć z udokumentowanym zarażeniem. W innym przypadku (np. jeśli zostały przesłane przez pomyłkę) mają być niezwłocznie z serwera usuwane.

Co do zasady dane przesyłane na serwer są też anonimowe (są to tylko pary losowo generowanych identyfikatorów), więc ich udostępnienie nie tworzy ryzyka naruszenia prywatności. Służy wyłącznie temu, by inspektorat sanitarny mógł (za pośrednictwem aplikacji) poinformować o zagrożeniu właścicieli urządzeń, do których w systemie zostały przypisane odpowiednie identyfikatory (wcześniej „sparowane” z identyfikatorem urządzenia osoby chorej).

Ryzyko deanonimizacji i naruszenia prywatności pojawia się natomiast w scenariuszu, w którym użytkownik dobrowolnie podał swój numer telefonu (o tym ryzyku piszemy poniżej).

Anonimizacja danych (anonimowe identyfikatory)

Identyfikatory śledzenia kontaktów przez technologię bezprzewodową (np. Bluetooth) nie mogą być powiązane z osobą i powinny się dynamicznie zmieniać. Z tego samego powodu nie wolno kojarzyć identyfikatorów z danymi telekomunikacyjnymi, takimi jak numer telefonu lub identyfikator urządzenia.

Do komunikacji między urządzeniami ProteGO będzie używać losowych identyfikatorów, generowanych na serwerze i zmienianych co godzinę.

Uwaga: taki losowy identyfikator będzie można połączyć z numerem telefonu użytkownika, jeśli użytkownik dobrowolnie poda numer telefonu na etapie instalowania aplikacji, a następnie prześle swoje dane na serwer (w wyniku incydentu). 

W tym scenariuszu GIS będzie mógł ustalić tożsamość użytkownika i tych jego kontaktów, które również podały swoje numery telefonów. To realne zagrożenie dla prywatności, którego użytkownicy powinni być świadomi w momencie podejmowania decyzji, czy podać swój numer telefonu. 

Na githubie trwa dyskusja programistów, jak zminimalizować to ryzyko – polecamy lekturę. 

Ograniczenie czasu przechowywania danych

Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do zrealizowania konkretnego celu, jakiemu mają służyć. 

Dane o napotkanych urządzeniach przechowywane są na telefonie użytkownika przez określony czas (w obecnej wersji oprogramowania są to dwa tygodnie, rozważany jest jednak okres 21 dni). 

To adekwatny czas do celu, jakiemu służy aplikacja (14 dni to okres, w jakim standardowo pojawiają się objawy zakażenia wirusem). Jest też zgodny ze standardem wypracowanym przez inicjatywę PEPP-PT. 

Dane przechowywane na urządzeniu obywatela

Co do zasady dane osobowe powinny być gromadzone i przetwarzane na urządzeniu użytkownika aplikacji. 

Przekazanie ich na zewnętrzny serwer powinno następować tylko w przypadku stwierdzonego incydentu zarażenia. 

Zasadniczo dane o napotkanych urządzeniach są przechowywane tylko na telefonach użytkowników. Do ich przesłania na serwer (najprawdopodobniej zarządzany przez CSIOZ) może dojść dopiero w razie wystąpienia incydentu (tj. kiedy u użytkownika aplikacji zostanie stwierdzone zarażenie). W takim przypadku pracownik służby zdrowia instruuje pacjenta, w jaki sposób wysłać dane z telefonu na serwer. Do przesłania danych nadal będzie jednak potrzebna wola i współpraca użytkownika (nie ma technicznej możliwości wymuszenia przez serwer pobrania danych).

Bezpieczeństwo i szyfrowanie

Dane osobowe powinny być szyfrowane, a korzystające z nich aplikacje powinny zachowywać najwyższe standardy bezpieczeństwa i być poddawane odpowiednim audytom. 

Dane są szyfrowane zarówno podczas transportu (HTTPS), jak i na urządzeniach użytkowników.

Każde 4KB danych zaszyfrowane jest protokołem AES-256 z wykorzystaniem trybu wiązania bloków zaszyfrowanych (cipher block chaining – CBC) i unikalnego wektora inicjującego (initialization vector – IV), które nie są ponownie wykorzystywane w ramach jednego pliku, a następnie opatrzone podpisem SHA-2 HMAC.

Otwartość kodu 

Cały kod źródłowy aplikacji i infrastruktury powinien być dostępny publicznie bez ograniczeń, żeby umożliwić niezależny audyt. 

Należy zapewnić powtarzalność budowania kodu, żeby umożliwić użytkownikom zweryfikowanie, czy aplikacja, którą zainstalowali, została oparta na sprawdzonym kodzie źródłowym. 

Aplikacja jest budowana przez społeczność open source pod kuratelą Ministerstwa Cyfryzacji (wydawcy aplikacji). Kod źródłowy jest dostępny pod adresem github.com/ProteGO-app

Komentarze i uwagi można wpisywać bezpośrednio pod nim. Ponieważ prace nadal trwają, nie wiemy, czy uwagi zgłaszane przez innych programistów będą zaakceptowane przez wydawcę narzędzia, czyli Ministerstwo Cyfryzacji. 

Przejrzystość algorytmów

Algorytm stosowany do analizy danych (w tym przypadku parametry brane pod uwagę przy określaniu ryzyka zakażenia w kontakcie społecznym) musi być jawny, z możliwością poddania niezależnemu audytowi.

Algorytm nie został jeszcze stworzony, a więc jego przejrzystość i możliwość poddania niezależnemu audytowi pozostają postulatem, który kierujemy do inspektoratu sanitarnego i Ministerstwa Cyfryzacji. 

Kontrola i informacja dla użytkownika

Aplikacja powinna regularnie przypominać użytkownikowi o tym, że działa i zbiera dane. Musi też pozwalać na łatwą tymczasową dezaktywację i trwałe usunięcie z urządzenia. 

Aplikacja powinna pozostać dobrowolna. W praktyce to oznacza, że obywatele, którzy nie zdecydują się na jej zainstalowanie, nie mogą doświadczać żadnych negatywnych konsekwencji. 

Nie wiemy jeszcze, jak zostanie rozwiązana komunikacja między aplikacją i użytkownikiem. Nie widzieliśmy też polityki prywatności ProteGO (najprawdopodobniej jest dopiero w opracowaniu).

Ministerstwo Cyfryzacji zapewnia, że aplikacja będzie dobrowolna. Na tym etapie nie możemy jednak przewidzieć ani presji społecznej, ani ryzyka uzależnienia dostępu do komercyjnych lub publicznych usług od „zielonego” statusu w aplikacji.

Opracowanie: Katarzyna Szymielewicz, Wojciech Klicki

Współpraca: Maria Wróblewska, Anna Obem

Ilustracja: Pixabay

Dzięki wsparciu osób prywatnych możemy szybko reagować na pojawiające się propozycje zagrażające wolności. Wpłać darowiznę na konto Fundacji Panoptykon i przekaż 1% podatku (KRS: 0000327613).

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.