- . Najlepiej by było, gdyby za obsługę aplikacji odpowiadała niezależna, godna zaufania instytucja. Ale i ona nie powinna mieć wglądu do danych, ani przesyłać ich na amerykańskie serwery - mówi Jean-Christophe Bonis, ekspert ds. sztucznej inteligencji, robotyki i biotechnologii.
To nie rząd czy aplikacja uchronią nas przed COVID-19. Ludzie muszą zachowywać się odpowiedzialnie.
Coraz więcej państw wykorzystuje aplikacje na smartfony do wspomagania walki z koronawirusem. Eksperci zajmujący się prywatnością uważają, że stanowią one zagrożenie dla wolności obywatelskich.
I mają rację. W zdecydowanej większości przypadków rządy tworzą narzędzia politycznej kontroli nad obywatelami, a nie rozwiązania do skutecznej walki z COVID-19.
W Polsce od początku kwietnia obowiązkowe jest używanie aplikacji Kwarantanna Domowa przez osoby, które miały bądź mogły mieć kontakt z chorymi. Nie cieszy się ona dobrą sławą – ma ocenę 1,4 na platformie Google Play.
Pomysł stworzenia aplikacji jest dobry, bo pozwala odciążyć służby porządkowe. Tyle że jakość tego narzędzia pozostawia wiele do życzenia. Spore wątpliwości budzi decyzja o umieszczaniu danych z aplikacji w chmurze obliczeniowej amerykańskiej firmy. Rozumiem, że większość krajów europejskich nie zadbało o przygotowanie własnej, bezpiecznej przestrzeni chmurowej i dlatego musi teraz korzystać z usług pozaeuropejskich firm. To spowodowało, że dostęp do dobrej jakości usług jest niewielki: mamy amerykański Microsoft, Amazon, Google oraz francuski OVH. Ten ostatni nie jest najlepszym wyborem, ale zapewnia dużo wyższy poziom prywatności niż amerykańscy usługodawcy. Wszystko przez ustawę Patriot Act z 2001 r., zgodnie z którą dostawcy usług elektronicznych w USA muszą zostawiać możliwość dostępu do przetwarzanych danych przez tamtejsze służby. Polski rząd, wysyłając tam dane obywateli, może tylko mieć nadzieje, że nikt ich nie przegląda.
Aplikacja Kwarantanna Domowa kosztowała 2,5 mln zł. To przeróbka aplikacji należącej do jednej z sondażowni. Znajdują się w niej zbędne elementy, np. wtyczki do Facebooka.
To niepoważne. Każdy programista wie, że im więcej śmieci w kodzie, tym większe zagrożenie, że hakerzy mogą je wykorzystać do złamania zabezpieczeń. Co do kwoty za tę aplikację, to oczywiście stawki w sektorze IT bywają wysokie. Ale pół miliona euro za niedopracowaną przeróbkę istniejącego narzędzia, to sporo.
Kilka dni temu rząd opublikował też nieobowiązkową aplikację ProteGO. Umożliwia ona wykonanie samokontroli stanu zdrowia. W domyśle jednak ma działać jak singapurskie TraceTogethter. Czyli jeśli u któregoś z użytkowników zostanie wykryty COVID-19, to dowiedzą się o tym użytkownicy, którzy mogli mieć z nim styczność.
To słuszna idea. Tylko w formie proponowanej przez rządy większości państw będziemy mieli do czynienia z bardzo nieefektywnym narzędziem. Zaczynając od kwestii technicznych – wykorzystanie modułu Bluetooth do monitorowania użytkowników nie ma sensu, bo jest nieprecyzyjne. Posługując się przykładem – wystarczy, żeby ktoś spacerował przy moście, a po tym moście jechał samochód z osobą, u której później został wykryty koronawirus. Spacerowicz dostanie monit, że mógł mieć kontakt z zarażonym. Lepszym rozwiązaniem, pomimo nieco większej możliwości naruszenia prywatności, byłoby wykorzystanie modułu GPS. Ponadto sporym problemem może być używanie aplikacji na telefonach z iOS. Urządzenia firmy Apple nie zezwalają bowiem, aby aplikacje stale używały w tle moduł Bluetooth, a amerykański gigant jest niechętny, by to umożliwić.
Nieliczne problemy techniczne to jeszcze nie powód, żeby rezygnować z możliwie przydatnego narzędzia.
Zatem przejdźmy do fundamentalnych problemów. Najnowsze brytyjskie i amerykańskie badania wskazują, że aby tego typu aplikacje były skuteczne, to powinno z nich korzystać co najmniej 70 proc. populacji. Inaczej to strata czasu i pieniędzy. Koronawirus okazał się dziesięciokrotnie bardziej zaraźliwy niż wszyscy na początku sądzili. Tymczasem spójrzmy na liczby. W Singapurze tylko 5 proc. mieszkańców pobrało TraceTogether. W Indiach, jej odpowiedniczkę – Aarogya Setu – pobrało 50 mln osób z 500 mln użytkowników smartfonów. I populacji 1,3 mld. W Europie zdecydowana większość społeczeństwa ma smartfony, więc teoretycznie baza potencjalnych użytkowników jest duża. Ale, na przykładzie Polski widzimy, że korzysta z nich tylko około 60 proc. obywateli, czyli niewiele ponad połowę.
Poza tym w Europie ludzie są jeszcze bardziej przeczuleni względem instalowania rządowych aplikacji w swoich telefonach.
I wcale im się nie dziwię. Żaden rząd nie powinien mieć dostępu do takich narzędzi inwigilacji. A biorąc pod uwagę reputację polskiego rządu – tym bardziej. Dlatego żadna aplikacja do walki z COVID-19 nie powinna być centralnie obsługiwana przez władze ani przez gigantów technologicznych. To tak, jak by dać dziecku bombę. Obywatele nie powinni otwierać tak szeroko drzwi i zapraszać do siebie rządu.
Pomysł dobry, ale niewykonalny?
Jak najbardziej wykonalny. Najlepiej by było, gdyby za obsługę aplikacji odpowiadała niezależna, godna zaufania instytucja. Ale i ona nie powinna mieć wglądu do danych, ani przesyłać ich na amerykańskie serwery. Tu z pomocą przychodzi technologia rejestrów rozproszonych – blockchain. Zapewnia ona szyfrowanie danych, uniemożliwia fałszerstwa i nie wymaga centralnego nadzorcy. Nie mam wątpliwości, że nawet Europejczycy chętnie sięgnęliby po takie narzędzie. I mogliby zaufać systemowi na tyle, żeby zgodzić się na automatyczne przesyłanie danych do rejestru. W aplikacjach rządowych zakłada się, że użytkownik wyrazi na to zgodę, gdy okaże się, że jest zarażony. To bez sensu! Moim zdaniem chęć sprawdzenia wyniku na koronawirusa powinna polegać wyłącznie na zeskanowaniu kodu QR poprzez aplikację. Wówczas wyłącznie test trafiałby do systemu.
Polski rząd zapewnia, że dane z ProteGO byłyby przechowywane wyłącznie na urządzeniach użytkowników.
To wprowadzanie w błąd. Przecież autoryzacji nowego użytkownika dokonuje operator aplikacji – rząd. I te dane trafiają na serwer za Atlantykiem. Jak najbardziej istnieje techniczna możliwość bieżącego monitorowania wszystkich danych przechodzących przez aplikację.
Pomocą przy monitorowaniu ludzi za pomocą aplikacji zainteresowały się Google oraz Apple. Chcą one umożliwić lokalizowanie użytkowników ich usług – to w zasadzie prawie wszyscy posiadacze smartfonów. Czy warto z nimi współpracować? Wszak amerykańskie firmy mogą mieć w tym jakiś ukryty biznes.
Dokładnie tak. Te firmy chcą udowodnić, że są jedynymi, które są w stanie zapewnić rządom odpowiednie narzędzia do monitorowania obywateli. Przestrzegam, że jeżeli dziś europejskie państwa przyjmą tę rzekomą pomoc, to mogą tego później żałować. Bo za chwilę będą miały problem z ukaraniem ich za praktyki monopolistyczne, naruszenie ochrony danych osobowych czy inne przewinienia. Nie wspominając o tym, jaką katastrofą byłoby powierzenie monitorowania stanu zdrowia obywateli gigantom. To prawdziwy koń trojański do digitalizacji danych o naszym zdrowiu. Jeśli o to nie zadbamy, zapomnijmy o jakiejkolwiek prywatności.
Czy zatem warto brnąć w pomysł aplikacji monitorujących kontakty?
Przy odpowiednich założeniach co do ochrony prywatności – jak najbardziej. Pamiętając, że takie narzędzie może być skuteczne wyłącznie wtedy, gdy używa go bardzo dużo osób i gdy rząd przeprowadza masowo testy na obecność koronawirusa. To dzięki takiemu połączeniu, a nie samej aplikacji, państwa azjatyckie były w stanie tak dobrze poradzić sobie z zagrożeniem.
A czy ludzie nie rozleniwiliby się, gdyby mieli aplikację mówiącą im, że są bezpieczni?
Jest takie zagrożenie. Zobaczą, że aplikacja pokaże im status „zielony” i nagle zaczną zapominać o noszeniu maseczek, myciu rąk i zachowywaniu odległości. Jednak to nie rząd czy aplikacja uchronią nas przed COVID-19 albo innym wirusem. To ludzie muszą włączyć myślenie i zachowywać się odpowiedzialnie.
