ОСТАННІЙ ПОДКАСТ
Підписуйся на найнауковішу розсилку!
І отримуй щотижневі новини науки і технологій

    Ми під'їдаємо крихти cookies за вами. Навіщо це нам?

    Читати

    Пардон за відволікалочку. Допоможи Куншт бути незалежним!

    Пардон за відволікалочку. Допоможи Куншт бути незалежним!

    Повідомлення успішно надіслано

    Для пошуку
    введіть назву запису
    Спалах — 13.08.20
    ТЕКСТ: Костянтин Ценцура
    Ілюстрації: Каталіна Маєвська
    Ми любимо тексти без помилок. Якщо ви все ж таки щось знайшли, виділіть фрагмент і натисніть
    Ctrl+Enter.
    Заради вашої безпеки

    Через пандемію нового коронавірусу у низці країн запровадили цифрові рішення для відстеження того, як СOVID-19 поширюється у суспільстві. До однієї із таких систем доклали руку навіть Google з Apple, а в Україні багато людей і не помітили відповідну функцію стеження у державному додатку «Дія». Розповідаємо, як працюють такі системи у різних країнах і чому вони викликали занепокоєння в експертів з цифрової безпеки.

     

    Матеріал підготовлено за підтримки Міжнародного Фонду «Відродження» та Європейського Союзу в рамках гуманітарної ініціативи «Людяність і взаємодопомога». Матеріал відображає позицію авторів і не обов’язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу»

    Завдяки пандемії СOVID-19 навіть ідейні анархісти чіткіше усвідомили роль держави як інструменту контролю та захисту суспільства у надзвичайних ситуаціях. Можливо, тому посилання на популярні творів Орвелла, Гакслі, Бредбері та інших антиутопістів стали неактуальними у 2020 році, коли мова зайшла про реальну загрозу здоров’ю та життю людей. 

     

    Окрім нових соціальних правил під час карантину, одним із втілень сучасної антиутопії стали так звані contact tracing apps (з англ./укр. додатки для відстеження контактів), за допомогою яких органи влади та правоохоронних систем різних країн можуть контролювати поширення вірусу SARS-CoV-2. 

     

    Загалом, такі додатки дозволяють стежити за місцеперебуванням користувача, у якого підтвердили або підозрюють зараження на коронавірус, і аналізувати коло інших користувачів, що перебувають у зоні ризику зараження. В еру смартфонів, мобільного інтернету та супутникової навігації реалізувати сontact tracing apps було нескладно –  варто лише попросити/змусити людей встановити відповідний додаток на свій ґаджет. 

     

    Так, саме добровільно-примусова основа встановлення цих додатків викликала питання у багатьох людей. Одна річ, коли ми самостійно даємо згоду на обробку даних про наше місцеперебування, користуючись, скажімо, Google або Apple Maps. Та зовсім інша справа, коли держава просить нашої згоди на це, аргументуючи «суспільною безпекою».

     

    Хто саме буде контролювати наші особисті дані? Наскільки вони будуть захищені? Які гарантії, що інформація про мене не потрапить до сторонніх осіб? Зрештою, як довго я маю ділитися власними даними і що буде з ними після закінчення епідемії? Це невелика частина питань, що виникли у людей, яких спіткала необхідність встановлення додатків для відстеження контаків протягом пандемії. 

     

    Оскільки у різних країнах існує різний підхід до обробки цифрової інформації та захисту персональних даних користувачів, принцип встановлення та функціонування таких додатків варіювався залежно від географії та рівня демократії у тій чи тій державі. 

     

    Розглянемо найпопулярніші приклади впровадження contact tracing apps та найцікавіші кейси, пов’язані з роботою додатків для стеження у різних країнах. 

     

    Хто перший?

     

    Іронічно, але країною, в якій розпочалася епідемія СOVID-19 і в якій вперше впровадили додаток для відстеження поширення вірусу, став Китай. Чому іронічно? Тому що останніми роками саме КНР була у центрі розмов про цифрову безпеку, приватність користувачів, захист персональних даних та зростаючу роль держави у контролі суспільства. Зокрема багато питань у правозахисників викликала система соціального рейтингу китайських громадян, а масове стеження всередині країни завдяки мільйонам вуличних вебкамер перетинає межу громадської безпеки та базових свобод людини. 

     

    Ймовірно, через це впровадження додатку для відстеження контактів у Китаї пройшло не так болісно, як у інших країнах: вже наприкінці лютого – на початку березня 2020 року з’явилися перші повідомлення про запуск китайської системи контролю карантину – Alipay Health Code.

     

    Розробником цього додатку став місцевий техногігант Alibaba Group (аналог Amazon у США). У додатку треба було реєструватись через популярний онлайн-гаманець Alipay, і система автоматично визначала статус нового користувача – зелений, жовтий чи червоний, – залежно від якого люди мали перебувати на самоізоляції вдома або отримували дозвіл на відвідування громадських місць. 

     

    Вперше використання Alipay Health Code запровадила влада мегаполіса Ханчжоу, зобов’язуючи жителів міста встановлювати додаток. Після цього цифрова система поширилась на інші регіони. У державному інформагентстві Xinhua зазначали, що партнером у розробці додатку виступили китайські правоохоронні органи, які мали доступ до всіх зібраних даних.2 Автори додатку заявляли, що аналізуючи big data, насамперед – масиви даних про місцеперебування людей, система визначала, у якій групі ризику перебуває конкретний користувач і формувала його персональний QR-код з відповідним кольором. 

     

    Відстежуючи геолокацію користувачів додатку, керівники проєкту разом з правоохоронцями могли прогнозувати спалахи поширення вірусу, а люди у різних громадських місцях мали показувати колір свого QR-коду як документа, що дозволяє їм там перебувати. Дехто повідомляв про неправильну роботу додатку, коли небезпечний червоний статус раптово змінювався на безпечний зелений, але загалом абсолютна більшість користувачів системи мала дозвіл на перебування у громадських місцях.

     

    Успіх додатку забезпечила популярність Alipay: користувачами онлайн-гаманця були майже мільярд китайських громадян, тому Alipay Health Code вдалося поширити щонайменше на десятки мільйонів людей. 

     

    Інші країни та перші проблеми

     

    Після запуску Alipay Health Code аналогічні системи, засновані на контролі даних про місцезнаходження користувачів, почали з’являтися у країнах Південної та Північної Америки, Європи, Близького Сходу та Азії. Зокрема, у березні 2020 року в Аргентині заявили про запуск додатку СoTrack3 на платформах Android та iOS, у Колумбії з’явився Coronapp,4 в Індонезії та Сінгапурі – TraceTogether,5 в Ізраїлі – The Shield.6 Про подібні додатки одними з перших також заявили у Південній Кореї, Великій Британії, Німеччині, Норвегії, США та інших країнах.  

     

    У більшості випадків програма для стеження використовувала дані геолокації користувачів за допомогою GPS та Bluetooth. У деяких місцях на кшталт Південної Кореї та Тайваню залучали і стільникову інформацію від мобільних операторів.

     

    У межах європейського законодавства із захисту персональних даних GDPR встановлення додатків було добровільним, та багато розробників детально описували функціонування своїх програм.7 До прикладу, у багатьох додатках в ЄС термін зберігання даних користувачів повинен був становити до 30 днів, а система мала забезпечувати анонімність людей. В інших країнах встановлення додатків було обов’язковим, та часто розробники не пояснювали принципи їхньої роботи і зберігання даних. Саме через це почали виникати питання до приватності особистої інформації та перші гучні скандали.

     

    До прикладу, вже 10 березня 2020 року в Google заявили про видалення іранського додатку для стеження із Play Store через підозри у тому, що влада використовує систему для збору інформації про своїх громадян, зокрема номери мобільних телефонів і дані про місцезнаходження у реальному часі.8 Дехто пов’язував іранський додаток для контролю пандемії AC19 із іншими подібними системами стеження від держави, хоча експерти з кібербезпеки підтвердили, що додаток не є «трояном» або будь-яким іншим шкідливим програмним забезпеченням для незаконного шпигунства.9  

     

    Пізніше виявилося, що розробником додатку є компанія Smart Land Strategy, яка пов’язана із підготовкою цифрових систем для іранського авторитарного режиму. Офіційною причиною видалення додатку із Play Store стали «хибні твердження розробників», згідно з якими програма може «виявити зараження на COVID-19». У Google заявили, що це неможливо зробити через додаток.

     

    Водночас згідно з новим дослідженням10 німецького аналітичного центру Merics, що спеціалізується на вивченні Китаю, різні системи цифрового стеження, зокрема додаток від Alibaba, становлять загрозу для персональних даних громадян. 

     

    «Такі технологічні рішення як QR-коди для охорони здоров’я виявилися лише частково функціональними або зручними. Компанії зловживають особистими даними для збору у власних комерційній інтересах. Місцеві кадри також зловживали особистими даними, щоб виявити інфікованих людей та зменшити кількість нових випадків», – заявили дослідники.

     

    За їхніми даними, витоки цієї інформації призвели до дискримінації та стигматизації деяких соціальних груп, наприклад, людей із районів з найбільшою кількістю заражених. Експерти також зафіксували низький рівень захисту персональних даних, що «викликало нові дебати щодо конфіденційності у Китаї, які стосуються балансу інтересів громадської безпеки та конфіденційності».

     

    Оскільки багато європейських країн створювали свої додатки на основі китайських систем, представники Merics попередили, що варто звернути увагу на «фрагментоване» законодавство КНР щодо захисту персональної інформації і впроваджувати лише деякі з рішень. Це попередження виявилося пророчим, оскільки вже з кінця весни й початку літа у багатьох країнах виникли суперечки щодо функціонування додатків, деякі з них навіть довелося видалити. 

     

    У Німеччині вирішили не застосовувати для створення свого додатку Загальноєвропейський протокол збереження конфіденційності PEPP-PT/PEPP, який розробили для захисту даних користувачів під час пандемії COVID-19. Через це німецький додаток Corona-Warn-App критикували за недостатній захист персональної інформації.11 Початково завдяки Bluetooth та GPS система мала повідомляти користувачів тоді, коли вони перебували на відстані менше ніж два метри протягом 15 хвилин з іншими користувачами, яких позначили як інфікованих. Однак у медіа неодноразово повідомляли12 про те, що додаток працює неправильно і не сповіщали людей про небезпечні контакти. Через це виникли питання до доцільності його використання та ризиків, пов’язаних з вразливістю персональної інформації людей в умовах пандемії. 

     

    Через ці самі причини влада Норвегії видалила свій додаток Smittestopp після того, як правозахисники розкритикували використання особистої інформації користувачів.13 У Великій Британії через можливе порушення статей GDPR14 владі загрожували позови до суду від людей, які використовували місцевий додаток для стеження. У неурядовій організації Human Rights Watch заявляли про випадки хибного виписування штрафів жителям Москви, які начебто порушували правила карантину.15 У цьому звинувачували неправильну роботу додатку «Социальный мониторинг», який запровадила московська мерія. 

     

    В Україні з середини квітня 2020 року влада заявила про запуск додатку для контролю самоізоляції «Дій вдома». Проте користувачі також повідомляли про неправильну роботу сервісу геолокації додатку, неможливість пройти верифікацію та інші проблеми.16 Що стосується персональних даних, згідно із законом №3320 від 13 квітня 2020 року, дані про людей, які потрапили на обов’язкову самоізоляцію, збираються і без додатку «Дій вдома».17 Це стосується інформації про стан здоров’я, місце госпіталізації, прізвища, ім’я та по батькові, дати народження, місця проживання, роботи/навчання тощо. Встановлення українського додатку стосувалось насамперед людей, які прибули з-за кордону під час карантину: завдяки йому вони могли пройти самоізоляцію вдома і не їхати до спеціального ізолятора. 

     

    Свою руку до відстеження пандемії доклали і найпопулярніші інтернет-корпорації: у Facebook заявляли про фільтрацію неправдивої інформації про СOVID-19, автоматичний аналіз геолокації користувачів для визначення «публічної поведінки» та ризиків, пов’язаних з розповсюдженням вірусу.18 Монополісти на приватні дані користувачів з Apple та Google взагалі виступили розробниками власної системи для стеження. І це також не сподобалось правозахисникам. 

     

    Тотальний контроль?

     

    Про створення своєї технології для сontact tracing app Google та Apple заявили на початку квітня 2020 року.19 Представники компаній анонсували систему, яка за допомогою Bluetooth мала би стежити за поширенням коронавірусу. Розробники гарантували збереження конфіденційності інформації користувачів та добровільну основу використання програм. Система від Google та Apple повинна була стати одним із перших централізованих рішень для багатьох країн, і її могли використовувати у додатках, схвалених Всесвітньою організацією охорони здоров’я.

     

    Багато експертів з цифрової безпеки боялися, що після розповсюдження такого програмного інтерфейсу, компанії будуть використовувати функції стеження вже у своїх операційних системах iOS та Android.20 До речі, саме на новий протокол від Google та Apple перейшли розробники німецького додатку Corona-Warn-App та влади багатьох інших країн ЄС. Як виявилося, протокол PEPP-PT/PEPP був занадто жорстким та складним, хоча відмова від нього викликала питання у багатьох користувачів.

     

    Окрім проблем з конфіденційністю, технологія від Google та Apple також мала потенційні недоліки у визначенні небезпечних контактів: до прикладу, у людних місцях Bluetooth може фіксувати зв’язок людей, котрі насправді просто перебувають у сусідніх кімнатах. Також важливим є аспект тривалості передачі сигналу: у регіонах з поганим зв’язком система може неправильно фіксувати час, який користувачі провели поряд з іншими інфікованими користувачами. Оскільки ключовим фактором зараження є саме час перебування у одному приміщенні з інфікованою людиною, ефективність такої системи також може бути низькою.

     

    Попри це, вже у кінці травня про запуск першого додатку на основі технології від Apple та Google заявили у Швейцарії,21 а понад 22 країни, зокрема США, зробили запит до компаній на використання їхнього API (Application Programming Interface, прикладний програмний інтерфейс – набір визначень підпрограм, протоколів взаємодії та засобів для створення програмного забезпечення). Станом на середину липня технологію від Google та Apple у своїх contact tracing apps використали вже 16 країн.22 Близько 20 держав також тестують або розробляють відповідні додатки. 

     

    Проблема із захистом персональних даних користувачів полягає у тому, скільки людей встановили додатки для стеження у різних країнах. Через те, що у багатьох місцях використання цих програм було добровільним, як-от в Україні, багато людей просто відмовились або навіть не знали про їхнє існування. За даними організації Privacy International, додатки у багатьох країнах не були поширеними.23 У більшості випадків їх використовували лише декілька відсотків населення, хоча країни були націлені на використання програм принаймні серед половини громадян. 

     

    У країнах з невисоким рівнем демократії та відсутністю законодавства щодо захисту персональної інформації ці додатки могли призводити до стигматизації певних груп населення та використання даних користувачів з метою стеження. «Взаємодія з громадами та їхніми лідерами повинна допомогти визначити потенційні проблеми відстеження контактів людей, враховуючи мову та грамотність, доступ до продуктів харчування та медичної допомоги для інших хвороб, освіту, інформацію, а також стигму та маргіналізацію. Особливу увагу слід приділити плануванню пошуку контактів для груп ризику та вразливих груп, враховуючи, але не обмежуючись ними, групи меншин, безпритульних осіб, робітників-мігрантів, біженців та інших», – йшлося у ґайді від ВООЗ.24

     

    Також варто зазначити, що у державах на кшталт Ірану чи Китаю це були далеко не перші спроби запровадити цифрові системи для контролю людей. 

     

    Враховуючи рівень доступу до особистої інформації, зокрема даних про місцезнаходження користувачів, у технологічних гігантів Google, Apple та Facebook навіть без нових додатків було багато можливостей та методів збору конфіденційних даних людей, які користуються їхніми платформами. 

     

    Скандали, пов’язані з використанням персональних даних користувачів у комерційних та політичних цілях,25 а також численні витоки інформації про сотні мільйонів людей26 довели, що будь-які компанії не можуть гарантувати належний захист вашої інформації. Чи стала пандемія СOVID-19 чимось новим у використанні технологій для стеження за людьми? Ні. Чи підтвердила вона, що наші дані є вразливим і варто самостійно стежити за їх використанням третіми особами, читати умови користування будь-якими сервісами, які ви встановлюєте на свої ґаджети і поширювати у мережі якомога менше конфіденційної інформації? Безумовно, так. 

     

    На жаль, ідеї Орвелла, Гакслі, Бредбері та інших знайшли застосування у нашому суспільстві задовго до коронавірусу та перших contact tracing apps. Просто багато хто цього не помітив. Cаме тому говорити про небезпеку подібних додатків для конфіденційності даних користувачів сьогодні треба лише у розрізі глобальної проблеми захисту персональної інформації. Це стосується як західних країн, де користувачі давно змирились з можливістю масових витоків інформації та крадіжки особистості,27 так і авторитарних держав на Близькому і Далекому Сході, де цифровий контроль над громадянами є однією з основних засад функціонування держави.  

     

    Матеріал підготовлено за підтримки Міжнародного Фонду «Відродження» та Європейського Союзу в рамках гуманітарної ініціативи «Людяність і взаємодопомога». Матеріал відображає позицію авторів і не обов’язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу.

    ТЕКСТ: Костянтин Ценцура
    Ілюстрації: Каталіна Маєвська
    Посилання
    Статті
    Медицина
    Невидимий ворог на нашій землі: чому варто зробити щеплення від правця

    За останні декілька місяців українці навчились остерігатись багатьох речей: ракет, мін, російської музики та ютубу, але ми все ще забуваємо про невидимого ворога у нашій землі. Неприємно познайомитись – Clostridium tetani, збудник правця.

    Промо
    Проєкт інтелект. Воєнний сезон. Епізод 5: NFT та Україна

    Чи можна написати «Проєкт інтелект» на гривні й продати за мільйони доларів як NFT?

    Людина
    Від батька до сина: що таке генеалогія і як досліджувати свій рід

    Що таке ДНК-генеалогія і як далеко кожний з нас може просунутися у вивченні свого роду?

    Наука
    Екологічно чиста отрута: уривок з книжки «Зоологічна екскурсія супермаркетом»

    Чому краще утриматися від «дикого» промислу морепродуктів, особливо у водоймах, де цвіте вода?

    Наука
    Передумови приходу диктаторів до влади: Італія, Німеччина, РФ

    Що стало передумовами приходу диктаторів до влади на прикладі фашистської Італії, нацистської Німеччини та путінської росії? Розповідає співавтор і ведучий каналу «Історія Без Міфів» Владлен Мараєв.

    Людина
    Як кожен з нас може подякувати військовим і допомогти їм з адаптацією

    Як змінюється світосприйняття військових і що ми можемо зробити, аби висловити їм вдячність і допомогти в адаптації до мирного життя?