Michał Boni: Monitoring czy inwigilacja?

Pandemia wypełniła obecnie całe nasze życie. Począwszy od czasu spędzanego w domu w skali, do której nie jesteśmy przyzwyczajeni, po zamrożenie życia gospodarczego w większości jego przejawów. Dopóki nie ma szczepionki, ani leku COVID-19 jest i będzie jeszcze długo groźny – pisze Michał Boni, minister administracji i cyfryzacji w rządzie PO-PSL.

Ale od kilku tygodni szuka się coraz intensywniej możliwości powrotu do względnie normalnego funkcjonowania gospodarki. Bo groźba wielkiego kryzysu gospodarczego, kto wie czy nie głębszego niż tzw. Wielki Kryzys z przełomu lat 20 i 30. XX wieku jest niestety realna.

Ta decyzja nie może być podyktowana względami tylko ekonomicznymi, musi zależeć głównie od kondycji zdrowotnej społeczeństw i zagrożenia stwarzanego przez wirusa.

Są cztery warunki istotne dla „odmrażania” gospodarki. Po pierwsze: więcej testów, żeby mieć wiedzę o skali rozprzestrzeniania się wirusa. Po drugie: utrzymanie dystansu społecznego (w tym noszenie masek w miejscach publicznych), bo to jak do tej pory ocaliło życie setek tysięcy osób, choć przecież nie jest możliwe w każdych warunkach pracy. Po trzecie: badanie już uzyskanej odporności na wirusa – stąd taka potrzeba przyspieszenia prac nad wiarygodnym sprawdzaniem obecności przeciwciał (choć, jak twierdzi WHO, nie gwarantuje to, że wirusem nie można zakazić się ponownie – wszyscy wykluczają wprowadzenie tzw. paszportów odporności. Po czwarte wreszcie: wykorzystanie nowych technologii do monitorowania kontaktów społecznych – jeśli jestem chory, to sygnał z mojego telefonu ostrzega innych; jeśli miałem kontakt z kimś chorym, to ja dostanę sygnał o tym kontakcie i będę wyczulony na swoje objawy. To niesłychanie ważne dla zdrowotnego bezpieczeństwa, pomoże to również chronić grupy szczególnego ryzyka, które dalej będą wymagały separacji i opieki.

Ale to ostatnie rozwiązanie (według ekspertów wszystkie one powinny funkcjonować razem) możemy nazwać albo monitoringiem, albo inwigilacją.

Skąd ta różnica ?

Czas pandemii, to czas wyjątkowy, a w wielu krajach, to czas stanu wyjątkowego (wprowadzony prawnie w przeszło 130 krajach). Rządy państw lubią dostawać więcej władzy do ręki. Jeśli teraz, podczas zarazy, dostaną nadzwyczajne uprawnienia – mogą chcieć je utrzymać na długo (np. rządzenie dekretami, bez udziału parlamentu, do czego prawo uzyskał Viktor Orban na Węgrzech). Więc jeżeli te możliwości monitorowania kontaktów ludzi podczas pandemii COVID-19 miałyby być w rękach rządów, bez żadnej kontroli i reguł, to będzie to prosta ścieżka do inwigilacji i do trwałych społeczeństw nadzoru.

Jak się obronić i stworzyć warunki dla bezpiecznego z punktu widzenia praw obywatelskich monitorowania kontaktów oraz rozprzestrzeniania się wirusa?

Jest to potrzebne w walce z zarazą. W wielu krajach ok 70-75 proc. społeczeństw akceptuje to bez zmrużenia oka, w trosce o bezpieczeństwo zdrowotne, co mocno m.in  podkreśla psycholog społeczny z Harvardu, prof. Leslie John. Troska o życie i zdrowie jest w tej specjalnej sytuacji ważniejsza. Jeśli sądzą tak ludzie – to w porządku. Jeżeli natomiast politycy budują fałszywą alternatywę: albo zdrowie i aplikacje monitorujące/inwigilujące, albo groźba choroby oraz upadek gospodarki, jak mówił kanclerz Austrii Sebastian Kurz, to gubią istotę problemu.

Nie chodzi bowiem o to czy, ale jak!

Chiny zastosowały skutecznie takie rozwiązania, ale wedle schematu totalitarnej inwigilacji. Korea Południowa wprowadziła prawo mające działać czasowo, które monitoring umożliwiło, a wykorzystanie algorytmów radykalnie przyspieszyło przetwarzanie danych z 24 godzin do 10 minut – dalej jednak są to dane pojedynczych, identyfikowanych osób. Izrael początkowo wprowadził aplikacje monitorujące bez przestrzegania reguł prywatności, ale w drugiej połowie kwietnia uznano tam, że zaufanie społeczne jest ważniejsze – i aplikację wycofano.

W Unii Europejskiej powstał we współpracy z krajami swoisty przewodnik (eHealth Network) mówiący o tym, jak podchodzić do poszukiwania i wdrażania tych narzędzi. Rekomendacja jest jasna: powinno być jedno europejskie rozwiązanie albo przynajmniej rozwiązania, które powinny być oparte na identycznych, zharmonizowanych regułach.

Na razie jednak mamy osobne rozwiązania we Francji – StopCovid, w Norwegii – SmitteStop, w będącej już jedną nogą poza UE Wielkiej Brytanii (tu się podkreśla konieczność zbierania danych w centralny sposób), a także w Polsce: ProteGO. Polskie rozwiązanie promowane jest coraz bardziej przy wychodzeniu z restrykcji. Będą go używać właściciele galerii – choć nie jest w pełni bezpieczne, jeśli chodzi o ochronę danych, a ponadto niejasna jest kwestia, kto magazynuje dane i co się z nimi może dziać później. Inna droga pojawia się we Włoszech – aplikacja Immuni, czy w Niemczech.

Reguły wskazane w Unii są jasne

Konieczna jest dobrowolność użytkowników w przystępowaniu do takich aplikacji, bo to się musi dziać poprzez aplikację. Proste śledzenie telefonu nic by nie dało (tym bardziej, że wszyscy chcą uniknąć dostępu władz do geolokacji, umiejscowienia geograficznego osób monitorowanych). Jest tu pewien problem, bo część analityków twierdzi, że efektywność jest możliwa wówczas, gdy w programie będzie uczestniczyło ok. 60 proc. populacji.

Wszyscy muszą mieć też pewność, że dane są anonimizowane, choć zarazem powinna istnieć gwarancja efektywności takich programów, mimo anonimizacji (tu pojawiają się znaki zapytania).

Potrzebna jest jasna deklaracja, że są to rozwiązania funkcjonujące czasowo oraz że dane zebrane mogą być składowane tylko w okresie pandemii. Jeżeli byłoby inaczej, to wywoła to falę już nie monitoringu, lecz inwigilacji – w imię bezpieczeństwa zdrowotnego, ale de facto z niekontrolowanym przepływem naszych danych osobowych.

Musi istnieć gwarancja bezpieczeństwa aplikacji – to nie jest tak, że każdy może sobie stworzyć aplikację z podobnymi funkcjami, ale z brakiem gwarancji dla ochrony danych przed wyciekiem lub ich kradzieżą.

Konieczne są też odniesienia do prawnych reguł ochrony danych osobowych w Unii Europejskiej (RODO) – co oznacza proporcjonalność rozwiązań w stosunku do celu (tyle określonych danych można zebrać, ile jest naprawdę potrzebne). Konsekwencją tego jest oczywistość społecznej oraz instytucjonalnej (EDPS z jego szefem Wojciechem Wiewiórowskim) kontroli zbierania i wykorzystywania tych danych.

Ale to nie wszystko, jeśli chcemy, by monitorowanie nie stało się inwigilacją – i to na trwałe.

Jest jeszcze kluczowa sprawa, z pozoru wyglądająca tylko na techniczną. Paradoksalnie w sporze o aplikacje monitorujące odwracają się w ostatnich tygodniach role. Rządy w wielu krajach naciskają, by uzyskać szybkie rozwiązania i – często – jak najwięcej danych, nie patrząc na prawa obywatelskie. A tymczasem główne firmy technologiczne, zjednoczone wyjątkowo: Google i Apple – mówią silniej, niż zwykle o ochronie prywatności.

Dlatego przygotowały one testowane obecnie, ale już niedługo gotowe do wejścia w życie rozwiązanie dla naszych smartfonów, które przez użycie sygnałów z narzędzia bluetooth (wysyłanych co 15 minut) pozwolą zbierać informacje monitorujące oraz stworzą zdecentralizowane kolekcje (bez wielkich państwowych czy firmowych baz danych). Informacje zostaną zachowane w naszych telefonach. Wygląda na to, że będą też szyfrowane. Potrzebna do monitoringu i ostrzegania ludzi, by budować dystans społeczny – wiedza o zakażeniu, czy kontaktach osób zakażonych będzie praktycznie dostępna i użyteczna. Ale wiedzy inwigilacyjnej władze publiczne nie dostaną.

W Niemczech upowszechniło się w ostatnich tygodniach zastosowanie aplikacji PEPP-PT, stworzonej  przez  europejskie konsorcjum, gdzie początkowo zapowiadano stworzenie zdecentralizowanego modelu zbierania i przechowywania danych (więc bezpieczniejszego) – ale gdzieś ta możliwość się rozpłynęła. Wielu uczonych europejskich odwróciło się więc od tej aplikacji i nawet rząd niemiecki powiedział, że trzeba szukać bezpieczniejszego rozwiązania  – a droga do jego stworzenia jest jeszcze  daleka.

Ale na dzisiaj jest jasne, że Niemcy, Włochy, Austria, Szwajcaria chcą oprzeć rozwiązania na standardach wypracowywanych przez Google’a i Apple’a – uniknąć groźby identyfikowania położenia osób oraz  centralnej, państwowej bazy danych, i zagrożenia, iż zasada anonimizacji nie będzie działać. Do pokonania jest jeszcze jeden problem techniczny – interoperacyjność systemów pomiędzy krajami, pomiędzy granicami, bo bez rozumienia się systemów aplikacyjnych efekt będzie ograniczony (a myślimy o czasie, gdy monitorowanie może wspierać europejskie poruszanie się pomiędzy państwami).

Co więc zostaje? Czy nie lepiej przygotować się do zastosowania propozycji Google i Apple,  czy szukać własnych, nowych odkryć w każdym kraju osobno?

Może po prostu – jasno mówić, że aplikacje monitorujące rozsiewanie się wirusa oraz kontakty ludzi są niezbędne dla powolnego ożywiania gospodarki, także na całym rynku europejskim. Ale tylko pod warunkiem, że będą to aplikacje monitorujące – a nie inwigilujące. Rządy podczas pandemii muszą to nie tylko usłyszeć, lecz przede wszystkim reguł tych przestrzegać. Dopiero wtedy powstaną zręby zaufania, skądinąd kluczowego dla stosowania tych rozwiązań.

Mogą Ci się również spodobać

e-sąd dla przedsiębiorców – wyrok ma być w 21 dni

Rozpoczęły się testy pierwszego w Polsce elektronicznego sądu polubownego Ultima Ratio. Premierę sądu dla ...

Motorola dołączyła do wyścigu na telefony ze składanym ekranem

Amerykańska marka, która znajduje się pod chińskimi skrzydłami (Lenovo), wypuściła na rynek aparat Razr. ...

Gwiazda Youtube`a skazana. Za „żart”

Znany hiszpański Youtuber ReSet postanowił zrobić prank – złośliwy dowcip bezdomnemu. Za 20 euro ...

Google karze aktywistów strajkowych

Dwie aktywistki, pracownice Google’a twierdzą, że zostały zdegradowane, a następnie przyjęte, ale już na ...

Zaczęły się wyprzedaże na Steamie. Jakie gry można taniej kupić?

Letnia wyprzedaż na Steamie to okazja dla fanów gier. Potrwa do 9 lipca. Przeceny ...

Polacy znów idą na zakupowy rekord. Jaką część tortu zgarnie internet?

Sezon zakupów świątecznych zapowiada się znacznie lepiej niż rok temu – wskazują wstępne dane ...