Nowe technologie i prawa człowieka

Nowy raport: ​Prywatność naruszona. Brak przejrzystości działania niemieckich aplikacji do śledzenia kontaktów

Jak pokazuje nowy raport, w którym zbadano niewłaściwe zarządzanie lokalnymi aplikacjami do śledzenia kontaktów, dla niemieckich decydentów reputacja była ważniejsza, niż ochrona danych osobowych i utrzymanie przejrzystości strategii walki z pandemią.

prez LibertiesEU

W 2020 r. większość europejskich rządów postanowiła opracować aplikację mobilną do śledzenia kontaktów zakażenia w kraju, która miała spowolnić rozprzestrzenianie się COVID-19. Podczas gdy w niektórych krajach aplikacje te wywołały kontrowersje ze względu na brak przejrzystości lub słabe zabezpieczenia ochrony danych, opracowana przez Niemcy aplikacja Corona-Warn-App (CWA) od początku uznawana była za najlepsze rozwiązanie pod względem prywatności i przejrzystości.

Aplikacje do śledzenia zakażeń i kontaktów COVID-19 w UE: Przykład Niemiec, nowa analiza opublikowana przez Civil Liberties Union For Europe, berlińską organizację zajmującą się prawami człowieka i prawami cyfrowymi, pokazuje, w jaki sposób niemieckie władze odeszły od przyjaznego dla prywatności CWA i zaczęły promować bardziej inwazyjną aplikację mobilną (Luca), aby zadowolić opinię publiczną zaniepokojoną powolną reakcją na rozprzestrzenianie się wirusa COVID-19.

„Analiza dostarcza dowodów na to, w jaki sposób władze naruszyły transparentność działania i bezpieczeństwo danych osobowych, aby chronić własną reputację podczas pandemii. Wskazani urzędnicy mają obowiązek dokładnie poinformować opinię publiczną i wyjaśnić, dlaczego aplikacja Luca była gorszym rozwiązaniem pod względem ochrony danych osobowych i śledzenia zakażeń wirusem” – powiedział Christian Thönnes, konsultant ds. praw cyfrowych w Civil Liberties Union for Europe i autor nowego raportu.

„Prywatność jest prawem człowieka, którego, w czasach kryzysów takich jak pandemia, należy bronić bardziej niż kiedykolwiek. Wykorzystanie naszego prawa do prywatności jako kozła ofiarnego w celu poprawy własnego wizerunku politycznego i tworzenia pozorów posiadania wyższych kompetencji jest niebezpieczną drogą. Ten raport pokazuje, jak łatwo niemieccy politycy sięgnęli po populistyczne rozwiązanie zamiast skorzystać z alternatywnego i wspieranego przez ekspertów wyjścia.” – powiedziała Julia Reda, była posłanka do Parlamentu Europejskiego i koordynatorka projektów w Gesellschaft für Freiheitsrechte (GFF).

Okoliczności

CWA, opracowana przez Instytut Roberta Kocha na zlecenie niemieckiego Federalnego Ministerstwa Zdrowia, została wydana jako oficjalna niemiecka aplikacja do śledzenia zakażeń w czerwcu 2020 r. Zatwierdzona została po konsultacji na otwartej debacie publicznej z najbardziej wpływowymi ekspertami ds. technologii i prywatności, a także organizacjami obywatelskimi.

Podczas tworzenia nowej aplikacji wzięto pod uwagę obawy i opinie obywateli. Niemcy były głośno chwalone w międzynarodowej społeczności zajmującej się prawami człowieka i prawami cyfrowymi za przejrzysty i integracyjny proces tworzenia. CWA zostało ściągnięte przez 33,1 miliona użytkowników od momentu jego udostępnienia do użytku. W kampanii promocyjnej CWA, podobnie jak wszystkich innych aplikacji do śledzenia kontaktów covidowych w Europie, zostało prezentowane opinii publicznej jako ostateczne rozwiązanie do powstrzymania, a nawet potencjalnego pozbycia się problemu pandemii. Jednak rosnące wskaźniki zakażeń i śmiertelności zmieniły pozytywne nastawienie opinii publicznej do aplikacji, a kilku publicznych komentatorów wskazało, że głównym powodem nieskuteczności aplikacji CWA jest właśnie jej polityka prywatności. Zamiast wprowadzić ulepszenia i poprawki do funkcjonującej już aplikacji CWA, decydenci zdecydowali się na nowe rozwiązanie, aplikację Luca, w celu zminimalizowania szkód reputacji władz.

Opublikowany właśnie raport pokazuje, że ta aplikacja jest problematyczna pod kilkoma względami.

Przechowywanie danych osobowych bez odpowiednich zabezpieczeń: CWA, zgodnie z sugestią zewnętrznych ekspertów ds. bezpieczeństwa danych zaangażowanych w konsultacje, zostało opracowane tak, aby dane osobowe użytkowników aplikacji przechowywane były w sposób zdecentralizowany. Jednak aplikacja Luca nie zachowała już takich zabezpieczeń i wszystkie dane osobowe użytkowników, również dane wrażliwe, przechowywała na centralnych serwerach danych, które z założenia są bardziej podatne na naruszenia i niewłaściwe zarządzanie. Od momentu wypuszczenia aplikacji Luca zanotowano mnóstwo problemów technicznych i naruszeń bezpieczeństwa.

Brak transparentności: Przy pracach nad aplikacją Luca od początku zauważalny był brak transparentności działań. Już chociażby kod źródłowy aplikacji został ujawniony dopiero po uporczywych naciskach społeczności internetowej. Samo opublikowanie tej informacji było najeżone problemami: początkowo producent korzystał z wyjątkowo restrykcyjnej licencji, która ogólnie zabraniała duplikowania, udostępniania lub innego odtwarzania kodu w sieciach publicznych – praktycznie uniemożliwiając krytyczną analizę kodu. Ocena wpływu aplikacji na ochronę danych nie została nigdy opublikowana.

Wykorzystanie środków publicznych. Do kwietnia 2021 roku 13 z 16 krajów związkowych zakupiło licencje na nową aplikację za łączną kwotę ponad 20 milionów euro. Decyzja ta nie była poparta krytyczną analizą, ekspertyzą czy oceną skutków i nie wiadomo, na jakiej podstawie wybrano aplikację Luca.

Przeciążanie pracowników służby zdrowia. Pojawiają się także poważne wątpliwości dotyczące skuteczności aplikacji Luca. W CWA ostrzeżenia o prawdopodobnych kontaktach z COVID-19 były wydawane natychmiast po tym, jak użytkownik, który otrzymał pozytywny wynik, zamieszcza swój rezultat testu. W aplikacji Luca, to przeciążone służby zdrowia muszą najpierw opublikować ostrzeżenie. Ponadto dane wydają się mniej przydatne – kilka organów służby zdrowia zgłosiło, że niezbyt często z nich korzystało.

Bezczynność nadzorów kontroli. Wiosną 2021 r. większość krajów związkowych wyraźnie zmieniła swoje przepisy (nakazy kontroli infekcji), aby umożliwić korzystanie z systemu Luca zamiast prowadzonych ręcznych rejestrów danych kontaktowych. Jednak, gdy federalna agencja zdrowia, Instytut Roberta Kocha, wydała podobną, bardziej przyjazną dla prywatności funkcję powiadamiania w kwietniu 2021 r., lokalne organy regulacyjne zaniedbały stworzenie podstaw prawnych do uwzględnienia tej funkcji w istniejącej aplikacji CWA.

Pobierz pełny raport tutaj.

Odwiedź nasze Centrum informacji na temat aplikacji do śledzenia kontaktów covidowych.

Aby na bieżąco śledzić, jak Liberties pracuje nad aplikacjami do śledzenia kontaktów COVID-19 i innymi kwestiami związanymi z prywatnością, zapisz się do naszego newslettera.