Війна за персональні дані під час пандемії
Коронавірус спричинив останню битву держав проти технологічних компаній за найціннішу корисну копалину — персональні дані. Україна теж відправила на цю війну невеликий загін.
Жорсткі обмеження свободи слова в Камбоджі, Венесуелі, Таїланді, Туркменістані, Єгипті.
На Філіппінах поліція може розстрілювати порушників карантину, в Уганді і Кенії за це арештовують.
Термальні сканери на додачу до інших механізмів стеження в Китаї та розпізнавання облич на вулицях Росії виявляють порушників карантину.
Конституцію Польщі змінюють заради продовження терміну чинного президента і скасування виборів. Режими надзвичайного стану в Румунії, Мексиці, США, Японії.
Після такого мобільні додатки, що "зливають" персональні дані в Сінгапурі, Ізраїлі, Польщі чи Україні, – як укус комара.
Театр військових дій
У ці задушливі від COVID-19 дні обробка персональних даних людей, які захворіли або можуть захворіти, неминуча. Лікар мусить ідентифікувати свого пацієнта. Сусід повинен ідентифікувати свого хворого сусіда, щоб не тиснути йому руку.
Персональні дані – не тільки ім'я чи контактні дані, це IP-адреса, MAC-адреса, геолокація, тому так цікаво використовувати персональні дані для відстеження контактів (так званий contact tracing) хворих. Якщо ж іще мати геолокацію, можна притягувати до відповідальності порушників карантинного режиму.
Contact tracing – зброя проти вірусу
Відстеження контактів – це про ідентифікацію та управління хворими для запобігання зараженню. Contact tracing виникло в рамках боротьби ВООЗ з Еболою та MERS-CoV. Пацієнта ізолюють, розпитують, з ким він контактував, знаходять цих людей та перевіряють. Якщо симптомів протягом 21 дня нема – відпускають, якщо є – ізолюють, розпитують про контакти.
Якщо ж у світі 3,5 млрд людей використовують смартфони, можна навіть вдатися до їх відстеження через мобільні застосунки.
Перший додаток TraceTogether для стеження за зараженими за допомогою сигналу Bluetooth (без геолокації) запровадив Сінгапур. Населенню сподобалося. Записи про контакти з увімкненим Bluetooth зберігаються в телефоні протягом 21 дня. Як тільки людині діагностують коронавірус, МОЗ ідентифікує таку людину.
Індія розробила додаток CoWin-20. За допомогою Bluetooth та геолокації він звіряє дані пацієнтів з даними навколишніх людей. Додаток просить дозволу ввімкнути геолокацію. Розробники обіцяють шифрування і передавання даних лише у МОЗ.
Про такі додатки говорили у Росії, Великобританії та Німеччині. Уже запустили їх в Південній Кореї, Ізраїлі та Польщі. Компанії Google та Apple оголосили про розробку технології відстеження з використанням Bluetooth та запуску API, що дозволить використовувати офіційні додатки держав.
Як страхуються технологічні компанії
Апологети приватності почали скаржитися на порушення прав людини.
Юридичне онлайн-видання МІТ запропонувало при розробці таких технологій за основу обробки брати згоду за принципом opt-in. Принцип прозорості та зрозумілості privacy by design повинен втілюватися у кожній частині технології.
Люди повинні знати деталі обробки до обробки і мати змогу виправляти дані. Дані мусять бути в безпеці, повинні існувати заходи примусу за порушення принципів.
Своє слово сказала Рада Європи у рекомендаціях щодо впливу алгоритмічних систем на права людини. РЄ описала принципи, серед яких – і приватність.
Законодавство повинно бути прозорим, технологія мусить впроваджуватися після консультацій із суспільством та аналізу ризиків. Інфраструктура повинна бути децентралізованою і працювати за найкращими стандартами безпеки.
Механізм інформованої згоди та її відкликання повинен відігравати центральну роль поруч з контролем даних та налаштуванням конфіденційності.
Коли Google та Apple оголосили про співпрацю, то обіцяли берегти приватність.
Google проситиме згоду, ніякої геолокації, список контактів не покине телефону, а інформація про хворих не ідентифікуватиме користувача для Google чи Apple. Дані використовуватимуть лише медики для управління поширенням вірусу.
Apple за згодою користувача може збирати геолокацію, ідентифікатори будуть змінюватися кожні 15 хвилин, а їх обробка відбуватиметься лише на девайсі. Користувач сам обиратиме, чи поширювати інформацію про діагноз.[BANNER1]
Яку висоту взяла Україна
Держава все одно найактивніша в обробці даних. Якщо мати підстави, вона може отримувати дані і від технологічних компаній.
За GDPR (загальне положення про захист даних), будь-хто має право обробляти персональні дані для виконання важливих суспільних завдань. Без згоди людини обробка даних повинна чітко регламентуватися законодавством. Обробка мусить бути необхідною та пропорційною – мети можна досягти лише так і не інакше.
В Україні закон дозволяє медикам та НСЗУ (не МОЗ) обробляти дані людей про здоров'я без їх згоди. За законом, така обробка може відбуватися в інтересах національної безпеки, економічного добробуту та прав людини, а також на виконання повноважень, передбачених законом.
Чи мають право МОЗ та інші органи, які збирають дані про особу з однією метою, передавати персональні дані іншим державним органам, наприклад, поліції? Так. Стаття 14 закону дозволяє поширювати дані без згоди людей, але повинні бути чітка мета, визначена законом, і пропорційність мети та обробки даних.
Недавно Мінцифри запустило додаток для відстеження "Дій вдома", який просить згоду на обробку і передавання даних. З його допомогою держава може стежити за дотриманням карантину. Вийшов не класичний contact tracing, а інструмент для самоізоляції з можливістю поліції перевірити дотримання карантину.
Не вникаючи у різницю між згодою та інтересами нацбезпеки, Верховна Рада внесла зміни до закону про захист від інфекційних недуг. Вони дозволяють в умовах карантину обробляти персональні дані без згоди суб'єкта.
Йдеться про стан здоров'я, місця госпіталізації або самоізоляції, прізвище, ім'я, по батькові, дату народження, місце проживання, роботи чи навчання.
Хто оброблятиме дані – із закону незрозуміло, але точно з метою протидії поширенню коронавірусної хвороби та здійснення протиепідемічних заходів відповідно до рішень стосовно встановлення карантину.
Що це – ніхто не пояснив, тому постанова №211 – всьому голова. До речі, у неї 22 квітня внесли чергові зміни. Добре, що дані обіцяють обробляти лише протягом карантину та упродовж 30 днів після нього, а далі – вилучати чи знеособлювати.
Мотиви внесення таких змін незрозумілі. Додаток Мінцифри і так працює на законній підставі. За політикою цього відомства, воно обробляє дані на підставі прямої згоди (як і кому передає – інше питання).
Можливо, зміни були внесені заради оприлюднення на сайті МОЗ даних про заражених? Однак згадка в законі не допоможе, бо тут нема пропорційності. Можливо, для узаконення дій поліції? Проте за політикою "Дій вдома" людина і так на все згодна, навіть на передавання даних поліції та іншим органам.
Можна за прикладом Сноудена казати, що уряди зроблять тимчасові правила щодо надзвичайного стану постійними, щоб зламати опозицію, а можна сидіти і чекати, що буде далі. Якщо від технологічних компаній в обмін на згоду люди отримують якісні послуги, то чи можна розраховувати на те саме від держави?