Wobec niewystarczającej skuteczności tradycyjnych metod walki z Koronawirusem, rządy niektórych państw sięgają po środki niekonwencjonalne. W czasach zarazy próbie poddawane są przez to mechanizmy demokracji. O wielu tego typu działaniach opinia publiczna dowiaduje się z opóźnieniem z przecieków i doniesień prasowych. Najskuteczniejszym mechanizmem kontroli okazują się w takiej sytuacji niezależne i niezawisłe sądy. Ważne rozstrzygnięcie ograniczające dostęp rządu do danych telekomunikacyjnych wydał ostatnio izraelski Sąd Najwyższy.
Izrael, Austria, Chiny, Polska, … Kto jeszcze?
W połowie marca Rząd Izraela, z pominięciem Knesetu, izraelskiego parlamentu, upoważnił tajną wewnętrzną policję Shin Bet do wykorzystania narzędzi używanych do śledzenia telefonów osób podejrzanych o działalność terrorystyczną w celu sprawdzania dokąd przemieszczały się osoby, u których stwierdzono zakażenie wirusem SARS-CoV-2. Policja miała przekazywać te dane do Ministerstwa Zdrowia, które wykorzystywało je w celu namierzenia i powiadomienia osób naruszających zasady kwarantanny, lub mających kontakt z nosicielem wirusa. Dla gromadzenia danych nie był wymagany nakaz sądu, co stanowi demokratyczny standard przy działaniach operacyjnych obejmujących monitoring telefoniczny. Dodatkowo dane te mogły być przechowywane przez nieokreślony czas, do momentu uchylenia zarządzenia wprowadzającego nowe uprawnienia[1].
Na tym nie koniec. W zanadrzu rząd Izraela ma jeszcze złośliwe oprogramowanie do inwigilacji opracowywane we współpracy z kontrowersyjną firmą NSO Group, odpowiedzialną m.in. za dostarczanie rządom programu szpiegującego Pegasus[2]. Do klientów NSO Group zalicza się m.in. Polskę[3]. Izrael nie jest jedynym krajem, w którym w walce z epidemią sięga się po dane operatorów telekomunikacyjnych.
Największe przedsiębiorstwo telekomunikacyjne Austrii, firma A1, z nieskrywaną dumą przyznało się do tworzenia profili przemieszczania się wszystkich użytkowników telefonów na terenie kraju oraz do przekazywania tych danych rządowi. Mają one pomóc austriackiemu sztabowi kryzysowemu w ocenie stopnia rozprzestrzeniania się choroby Covid-19. Co ciekawe, według doniesień prasowych, dane te A1 przetwarza i udostępnia z własnej inicjatywy. Specjaliści od ochrony danych osobowych podkreślają jednak, że na gruncie RODO operator nie ma podstawy prawnej do przetwarzania danych w takim celu[4].
Władze w Pekinie ogłosiły „narodową wojnę” z wirusem. Na zlecenie Partii giganci telekomunikacyjni opracowali i udostępnili specjalne aplikacje na telefon, które gromadzą dane na temat przemieszczania się użytkownika nawet do miesiąca wstecz. W oparciu o ich analizę, w powiązaniu z analogicznymi danymi o innych osobach, każdemu użytkownikowi aplikacji przydzielany jest specjalny kolorowy kod (zielony, żółty lub niebieski), informujący o stopniu prawdopodobieństwa kontaktu z osobą zarażoną. Teoretycznie używanie aplikacji nie jest obowiązkowe, ale w praktyce w niektórych miastach wylegitymowanie się „bezpiecznym” kolorem jest warunkiem np. do skorzystania z autobusów publicznych lub taksówek[5].
Przymiarki do pozyskiwania od operatorów komórkowych danych lokalizacyjnych prowadzone są także przez rząd brytyjski[6], a nawet przez Komisję Europejską[7]. Prace nad specjalnym narzędziem umożliwiającym tworzenie aplikacji monitorujących przemieszczanie się użytkowników prowadzone są także wspólnie przez Google i Apple[8]. Szereg państw, takich jak Singapur, Chiny, czy Korea Południowa namawia do korzystania z rządowych aplikacji śledzących przemieszczanie się oraz ostrzegających w razie ryzyka kontaktu z osobą zarażoną.
W Polsce także prowadzone są prace nad takimi aplikacjami porównującymi schematy przemieszczania się użytkowników pod kątem ew. kontaktu z osobami zarażonymi[9]. Widać wyraźnie, że nasz Rząd bacznie obserwuje „nowatorskie” rozwiązania przyjmowane w innych krajach. Wzorem chińskich regulacji uzależniających możliwość wstępu do środków komunikacji publicznej od posiadania odpowiedniego kodu kolorowego w „dobrowolnej” aplikacji śledzącej, Ministerstwo Rozwoju rozważa wprowadzenie ułatwień przy wejściu do sklepów dla osób korzystających z, równie nieobowiązkowej, rządowej aplikacji ProteGo Safe[10].
Przepisy polskich Tarcz Antykryzysowych także przewidują obowiązek operatorów telekomunikacyjnych do przekazywania Ministrowi Cyfryzacji danych o lokalizacji, obejmujących okres ostatnich 14 dni, telekomunikacyjnego urządzenia użytkownika końcowego chorego na chorobę zakaźną COVID-19 lub objętego kwarantanną a także zanonimizowanych danych o lokalizacji wszystkich abonentów[11]. Zdaniem Rządu, pozyskiwane w ten sposób dane lokalizacyjne mają uzupełnić dane gromadzone w specjalnej aplikacji telefonicznej, której używanie przez osoby poddane kwarantannie jest obowiązkowe[12]. Przepisy weszły w życie 18 kwietnia, jako część tzw. Tarczy 2.0, jednak sankcjonują one jedynie działania prowadzone już wcześniej. Co najmniej od 24 marca 2020 r., dane lokalizacyjne pozyskiwane są od operatorów na podstawie wiążących poleceń wydawanych przez Premiera[13]. Obecnie takie polecenia może wydawać również Minister Zdrowia[14]. Początkowo projekt Tarczy 2.0 przewidywał także obowiązek przekazywania bliżej nieokreślonych „innych danych”, jednak pod wpływem ostrej krytyki medialnej, propozycja ostatecznie została wycofana[15].
To zresztą nie jedyny przypadek lekkomyślnego obchodzenia się polskiego rządu z danymi osobowymi swoich obywateli. Wystarczy wspomnieć o przekazaniu rejestru danych PESEL Poczcie Polskiej S.A., na potrzeby organizacji głosowania korespondencyjnego, w oparciu o przepisy ustawy, która nie została jeszcze uchwalona[16].
Czy nasze dane są bezpieczne?
Klucz do bezpieczeństwa danych pozyskiwanych przez rządy od operatorów telekomunikacyjnych, ma stanowić ich anonimizacja. To jednak bardzo pojemne słowo, a nie wszystkie wykorzystywane metody są uznawane za całkowicie bezpieczne. Szczególne możliwości re-identyfikacji osób w oparciu o zanonimizowane dane powstają w sytuacji, kiedy dane te zostaną połączone z innymi danymi gromadzonymi przez rządy.
Austriacka A1 zapewnia, że dane przekazywane rządowi są anonimizowane na bieżąco. Co 24 godziny do każdego numeru telefonu przypisywany jest losowo generowany numer identyfikacyjny. Mechanizm ten ma uniemożliwić nie tylko identyfikację abonentów, ale też dłuższą obserwację pojedynczych anonimowych użytkowników. Kolejnym zabezpieczeniem jest ograniczenie liczby numerów telefonów, które mogą być monitorowane równocześnie. Za jednym razem możliwe jest śledzenie przemieszczania się nie więcej niż 20 użytkowników. Zdaniem rzecznika prasowego A1 metoda ta jest zgodna z wymaganiami wynikającymi z RODO. To jednak poddawane jest w wątpliwość przez fachowców. Również austriacka opozycja krytykuje fakt, że rząd, bez bezpośredniej podstawy prawnej, śledzi swoich obywateli[17].
Należy mieć na uwadze, że całkowita anonimizacja danych jest w praktyce niezwykle trudna. Niektóre powszechnie stosowane metody, takie jak tzw. k-anonymity, są uważane za niewystarczające[18]. Zgodnie z wytycznymi Grupy Roboczej Artykułu 29: „usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia, aby zidentyfikowanie osoby, której dane dotyczą, nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji, które to środki również zależą od kontekstu i celów przetwarzania, do jakich przeznaczone są zanonimizowane dane”[19]. Zapewnienia rzeczników prasowych operatorów telekomunikacyjnych i rządów nie dają żadnej gwarancji, że standardy te są dochowywane.
Sąd Najwyższy Izraela wstrzymuje bezprawne działania rządu
Miesiąc po wydaniu przez Premiera Benjamina Netanjahu zgody na wykorzystywanie kontrowersyjnego programu szpiegującego, jego stosowanie zostało wstrzymane przez komisję parlamentarną nadzorującą działanie służb specjalnych. Powód: obawy o zagrożenie dla prywatności. Efektem wykorzystania oprogramowania antyterrorystycznego miało być było zidentyfikowanie 203 osób, które złamały zasady kwarantanny. Zdaniem przedstawiciela Knesetu korzyści z jego stosowania nie przeważają zagrożeń dla prywatności obywateli[20].
Wątpliwości Knesetu okazały się słuszne, bowiem w niedzielę, 26 kwietnia, Sąd Najwyższy Izraela tymczasowo zakazał wykorzystywania tego narzędzia w celu śledzenia osób zarażonych wirusem COVID-19. Panel trzech sędziów, pod przewodnictwem Prezesa Esthera Hayuta uznał, że w obecnej postaci program śledzący stanowi poważne naruszenie konstytucyjnego prawa do prywatności.
Sąd postawił rządowi ultimatum[21]. Jeżeli oprogramowanie ma nadal być wykorzystywane po 30 kwietnia, niezbędne jest zainicjowanie prawidłowej procedury legislacyjnej oraz uchwalenie w ciągu kilku tygodni ustawy regulującej zasady jego wykorzystywania. W szczególności nowe prawo musi określać szczegółowe wytyczne dla stosowania oprogramowania oraz przewidywać kiedy to nadzwyczajne uprawnienie wygaśnie. Za niedopuszczalne uznane zostało ponadto śledzenie w ten sposób dziennikarzy, bez ich zgody, co mogłoby narazić na ujawnienie ich źródeł informacji[22].
Sąd Najwyższy wyraził także obawy, że przyzwolenie na wykorzystywanie przez rząd potężnych narzędzi inwigilacyjnych w celu śledzenia zwyczajnych obywateli stanowi „śliski grunt”, stwarzając ryzyko, że tego typu działania staną się normą[23].
Monitorowanie tylko za zgodą użytkownika. Konieczny powrót do „demokratycznych” standardów
Decyzja izraelskiego Sądu Najwyższego powinna służyć jako ostrzeżenie dla innych rządów. Nawet tak poważne zagrożenie jak epidemia wirusa SARS-CoV-2, nie może usprawiedliwiać naruszania prywatności ich obywateli, bez ich wiedzy, zgody oraz kontroli parlamentarnej. Orzeczenie to służyć powinno także jako inspiracja dla sądów w innych krajach, orzekających o dopuszczalności podobnych ograniczeń praw i wolności konstytucyjnych. W nadchodzących miesiącach należy spodziewać się wysypu tego typu spraw.
[1] In Dead of Night, Israel Approves Harsher Coronavirus Tracking Methods Than Gov’t Stated, 17.03.2020, https://www.haaretz.com/israel-news/.premium-cellphone-tracking-authorized-by-israel-to-be-used-for-enforcing-quarantine-orders-1.8681979
[2] Controversial Spyware Vendor NSO Group Is Helping The Israeli Government Spy On Its Own Citizens, 3.04.2020, https://www.techdirt.com/articles/20200402/14261944226/controversial-spyware-vendor-nso-group-is-helping-israeli-government-spy-own-citizens.shtml
[3] System Pegasus w Polsce? Polityk PiS: Uczciwi obywatele mogą być spokojni, 4.09.2020, https://technologia.dziennik.pl/internet/artykuly/606274,cba-pegasus-inwigilacja-aktywny-polska.html
[4] Mobilfunker A1 liefert Bewegungsströme von Handynutzern an Regierung, 17.03.2020, https://www.derstandard.at/story/2000115828957/mobilfunker-a1-liefert-bewegungsstroeme-von-handynutzern-der-regierung
[5] In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags, 1.03.2020, https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html
[6] Privacy activists fear the UK might spy on its own citizens to tackle COVID-19. Here’s what we know, 26.03.2020, https://www.businessinsider.com/explainer-coronavirus-uk-phone-tracking-2020-3?IR=T
[7] Pandemia koronawirusa. KE chce danych z telefonów komórkowych mieszkańców UE, 26.02.2020, https://forsal.pl/artykuly/1464168,pandemia-koronawirusa-ke-chce-danych-z-telefonow-komorkowych-mieszkancow-ue.html
[8] Apple and Google accelerate coronavirus contact tracing apps plan, 24.04.2020, https://www.bbc.com/news/technology-52415593.
[9] POLCOVID-19 pomoże stworzyć koronawirusową mapę Polski, 14.04.2020, https://www.umed.wroc.pl/content/polcovid-19-pomoze-stworzyc-koronawirusowa-mape-polski
[10] Albo zainstalujesz rządową aplikację ProteGO Safe albo nie wejdziesz do sklepu,29.04.2020,
[11] Art. 11f ust. 1 Ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U.2020.374 ze zm.).
[12] Nadciąga „epidemiczny Wielki Brat”. Chodzi o dane z naszych telefonów komórkowych, 5.04.2020, https://technologia.dziennik.pl/internet/artykuly/6477347,koronawirus-covid-19-inwigilacja-rzad-telefon-komorkowy-dane-operatorzy-telefoniczni-siec-orange-plus-t-mobile-play.html
[13] Współpracujcie. Ale i tak was skontrolujemy: telekomy przekazują rządowi dane o lokalizacji chorych, 14.04.2020, https://panoptykon.org/pandemia-lokalizacja
[14] Art. 11 ust. 2 i 3 Ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U.2020.374 ze zm.).
[15] Twój operator GSM przekaże rządowi informacje o tym gdzie jesteś i “inne dane na Twój temat”, 6.04.2020, https://niebezpiecznik.pl/post/twoj-operator-gsm-przekaze-rzadowi-informacje-o-tym-gdzie-jestes-i-inne-dane-na-twoj-temat/.
[16] Poczta dostała bazę PESEL. Eksperci Fundacji Panoptykon: To było nielegalne, 28.04.2020, https://oko.press/poczta-baza-pesel-nie-wystarczy/
[17] Mobilfunker A1 liefert Bewegungsströme von Handynutzern an Regierung, https://www.derstandard.at/story/2000115828957/mobilfunker-a1-liefert-bewegungsstroeme-von-handynutzern-der-regierung
[18] C. Lambrinoudakis, A. Gabillon (red.), Risks and Security of Internet and Systems. 10th International Conference, CRiSIS 2015 Mytilene, Lesbos Island, Greece, 20-22 czerwca 2015, Springer, 38.
[19] Opinia 05/2014 w sprawie technik anonimizacji, 10.04.2014 r., s. 10, https://archiwum.giodo.gov.pl/pl/file/6338
[20] Coronavirus: Israel halts police phone tracking over privacy concerns , 23.04.2020, https://www.bbc.com/news/technology-52395886
[21] High Court: Shin Bet surveillance of virus carriers must be enshrined in law, 26.04.2020, https://www.timesofisrael.com/high-court-shin-bet-surveillance-of-virus-carriers-must-be-enshrined-in-law/
[22] Israel’s High Court Blocks Country’s Hastily-Erected Domestic Coronavirus Surveillance Program, 27.04.2020, https://www.techdirt.com/articles/20200426/21232444381/israels-high-court-blocks-countrys-hastily-erected-domestic-coronavirus-surveillance-program.shtml
[23] Israel barred from COVID-19 phone tracking without new legislation, 26.04.2020, https://www.engadget.com/israel-court-orders-law-for-covid-19-phone-tracking-225848133.html?guccounter=1&guce_referrer=aHR0cHM6Ly9uZXdzdm9pY2UuY29tL2kvNDQ1NjgyMQ&guce_referrer_sig=AQAAAN1u5ldlhTY9PYFER86Z7wHgsWvD3Ix4hqUgyON7U-bKuHzazLjeD94cS1XfGLr9RCXgm78Q7GyACwwbl1dU2_2muDdY42qbcjf2XINsg-ModEq-As89n0yERu8_erX6NsLQdjgoqU6TCOxsqh-kmLNPS35LHbxEiRWi1RzUn3XV