STOPCOVID: Prieštaringai vertinamos programėlės kelionė

STOPCOVID: Prieštaringai vertinamos programėlės kelionėNė viena diena nepraeina be klausimo apie gyventojų „dekonfirenciją“, tiek Prancūzijoje, tiek ir kitur, siejant su viruso ir jį platinančių asmenų atsekimu.

Naujausi įvykiai mini užsikrėtusių žmonių stebėjimo failo sukūrimą, kurio duomenys pateikiami CNIL peržiūrėti.

Žiniasklaida taip pat pranešė apie GAFAM ir vyriausybės aklavietę siekiant įdiegti pačią doriausią „stopCovid“ programėlę.

Nors parlamentinės diskusijos dėl šios paraiškos šiuo metu sustabdytos, ar galime aiškiai suprasti tokio skaitmeninio stebėjimo problemas ir poveikį?

Ar tai nacionalinio suvereniteto klausimas, duomenų kontrolės klausimas ar, paprasčiau tariant, „paprasti“ techniniai pasirinkimai?

Šis klausimas svarbus, nes jis liečia ne tik Prancūziją, bet ir daugumą Europos šalių bei kitų valstybių, bandančių suvaldyti pandemiją.

Protokolai ir jų poveikis duomenų apdorojimui

PEPP-PT (privatumo išsaugojimo artumo sekimo) projektas iš pradžių buvo skirtas sudaryti sąlygas suderintai kurti programas Europoje, laikantis įstatymų.

Tikslas – informuoti asmenį, kad jis turėjo kontaktą su užsikrėtusiu asmeniu, remiantis jo išmaniojo telefono „Bluetooth“ technologija, nenustatant jo geografinės vietos.

Nors iš pradžių atrodė, kad PEPP-PT sulaukė palaikymo, keli šimtai mokslininkų nuo jo atsiribojo ir atvirame laiške pareiškė pritarią decentralizuotu požiūriu pagrįstam protokolui, pavyzdžiui, DP-3T (decentralizuotas privatumo išsaugojimas artumo sekimu), kad duomenys būtų saugomi vietoje: tai suteiktų geresnes garantijas duomenų saugumo srityje ir sumažintų trečiųjų šalių neteisėto duomenų pasisavinimo ar panaudojimo kitiems tikslams riziką.

Prisiminkime, kad duomenų saugojimas vietoje yra proporcingumo ir privatumo užtikrinimo projektuojant principas, taikomas ir kituose kontekstuose, pavyzdžiui, tvarkant biometrinius duomenis.

CNIL šiuo klausimu turi aiškią poziciją, kurią visų pirma galima rasti jos pranešime dėl biometrinių duomenų naudojimo išmaniuosiuose telefonuose arba darbo vietoje. 

„Google“ ir „Apple“ įdiegti įrankiai buvo sukurti (ypač) atsižvelgiant į šią vietinės saugyklos perspektyvą, rekomenduojamą DP-3T protokole, siekiant užkirsti kelią pernelyg įkyriam duomenų naudojimui iš naudotojų nešiojamųjų kompiuterių.

Problema kyla tada, kai Prancūzija (ir iš pradžių Vokietija, kuri vėliau persigalvojo) kuria programą, pagrįstą Roberto protokolu (skirta „ROBust“ ir privatumą išsaugančiam artumo sekimui), kuri negali veikti pagal „Apple“ ir „Google“ siūlomas funkcijas, nes joms keliami konkretūs „Bluetooth“ ir duomenų centralizavimo reikalavimai (išsamesnė informacija aiškiai paaiškinta čia).

Tai savaime nereiškia, kad Prancūzijos paraiška pažeidžia duomenų apsaugos principus: buvo pateiktos garantijos (ypač pseudonimų suteikimo srityje), o CNIL, nors ir pateikė tam tikrų pastabų, pateikė palankią nuomonę.

Tačiau jei Prancūzija imasi atsargumo priemonių, kiek daug kitų daugiau ar mažiau demokratinių šalių pasinaudotų „Apple“ ir „Google“ siūlomomis „à la carte“ funkcijomis, kad galėtų vykdyti daug įkyresnę savo gyventojų stebėseną?

Tai iš dalies paaiškina interneto gigantų nenorą ir dabartinę aklavietę.

Europos Vadovų Tarybos pirmininkaujanti valstybė narė įtraukė šį klausimą į gegužės 5 d. vyksiančio posėdžio, kurio metu ES telekomunikacijų ministrai bandys priimti bendrą požiūrį, darbotvarkę.

Teisinė sistema

Be šių techninių aspektų, kontaktinių duomenų tvarkymas naudojant tokio tipo programas kelia bendrų teisinių problemų: nuo pat pradžių patikslinkime, kad duomenys nėra anoniminiai, o pseudonimizuoti, todėl taikomas BDAR ir telekomunikacijų duomenų apsaugos principai.

Be savanoriško programėlės naudojimo pobūdžio, vyriausybė gali tvarkyti tokio tipo jautrius duomenis tik tuo atveju, jei jai tai leidžia konkretus teisinis pagrindas.

Be to, turi būti užtikrintas tvarkymo skaidrumas, duomenys turi būti apsaugoti, o jų ištrynimas turi būti suplanuotas laikantis griežtų terminų.

Ar tai būtų CNIL, EDPB (Europos „CNIL“ grupė), Europos duomenų apsaugos priežiūros pareigūnas (EDPP) balandžio 27 d. Senate vykusiame posėdyje ar Europos Taryba, priežiūros institucijos pabrėžia, kad jokia sistema negali visiškai išvengti pažeidžiamumų ir pakartotinio identifikavimo rizikos, nesvarbu, ar tai centralizuota, ar decentralizuota sistema.

Jie sutaria dėl atsargumo priemonių, kurių reikia imtis kuriant ir naudojant programas, tačiau pirmiausia pabrėžia šio tipo įrankių reikšmingumą, nurodydami riziką, kad ekstremalios situacijos užsitęs ir gyventojai pripras prie latentinio stebėjimo. 

Panašiai galime paminėti studentus, kurie šiandien, laikydami nuotolinį egzaminą, turi priprasti prie įprastų mokytojo rodomų jų terminalo ekrano kopijų ir kuriems galiausiai tokio tipo įsibrovimas kituose kontekstuose gali būti įprastas.

Todėl svarbiausia yra nevengti esminio klausimo apie priemonės būtinybę, jos poveikį ir proporcingumą, atsižvelgiant į pasekmes pagrindinėms asmenų teisėms.

Taip pat:

• Prancūzijoje:

Be nemažo skaičiaus praktiniai lapai, susiję su pandemijos valdymu mokslinių tyrimų, darbo santykių ir asmenų sekimo kontekste CNIL ką tik pradėjo viešos konsultacijos dėl nepilnamečių teisių skaitmeninėje aplinkoje. Tai galima padaryti iki 2020 m. birželio 1 d.

• Europa ir tarptautinės sritys:

Europos duomenų apsaugos valdyba (EDAV)) priėmė keletą dokumentų, kuriais siekiama padėti valdžios institucijoms ir įmonėms valdyti duomenis pandemijos metu: jame daugiausia dėmesio skirta duomenų tvarkymo medicininių tyrimų tikslais sąlygoms, tarptautiniam šių duomenų perdavimui ir sekimui bei lokalizavimui naudojant mobiliuosius terminalus.

Tarptautiniu lygmeniu visų institucijų dokumentai pateikiami Pasaulinės privatumo asamblėjos svetainėje.

BEUC (Europos vartotojų organizacija) Balandžio 21 d. pranešė apie bendrus veiksmus su daugiau nei 40 vartotojų teisių ir laisvių organizacijų dėl plačiai paplitusio reklamos technologijų pramonės vykdomo stebėjimo ir skaitmeninio sekimo.

Belgija Duomenų apsaugos institucija nustatė 50 000 eurų bauda už duomenų apsaugos pareigūno nepriklausomumo principo pažeidimą Todėl ginčų nagrinėjimo kolegija nusprendė, kad šios funkcijos sujungimas su rizikos, audito ir atitikties departamentų direktoriaus pareigomis yra interesų konfliktas.

Nyderlandai: Nyderlandų priežiūros institucija balandžio pabaigoje skyrė didžiausią baudą, kurios suma siekia 725 000 €, prieš įmonę, kuri tvarkė savo darbuotojų pirštų atspaudus be realaus pagrindo saugumo požiūriu.

Anne Christine Lacoste

Teisininkė, kurios specializacija – duomenų teisė, ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.

Pleisdama nuotolinį darbą, institucija taip pat atliko labai išsamų pagrindinių vaizdo konferencijų sistemų palyginimą duomenų apsaugos požiūriu. Internete prieinama tik olandiška versija, todėl pridedame neoficialų visą vertimą į anglų kalbą (dėka Christopherio Schmidto). Prie šio sąrašo taip pat reikėtų pridėti „Tixeo“ sprendimą, kurį CNIL mini savo rekomendacijose dėl vaizdo konferencijų ir sertifikavo ANSSI.