Predstoji nam ozbiljna borba za privatnost

Foto: Pixabay

Intervju sa Andrejem Petrovskim i Danilom Krivokapićem iz SHARE fondacije, za podcast “Dan posle”

Razgovarao: Aleksandar Gubaš

Dan posle - Andrej Petrovski i Danilo Krivokapić o digitalnom nadzoru (AUDIO)

Šta se tačno desilo u slučaju “curenja” pristupnih podataka za Informacioni sistem COVID-19? Kako je taj problem uopšte nastao, i koji su podaci bili dostupni?

Danilo Krivokapić: Desilo se to da su šifra i korisničko ime koji se koriste za pristup ovom sistemu bili javno dostupni na sajtu jedne zdravstvene ustanove. Do stranice na kojoj su se nalazili ti podaci se nije moglo doći preko samog sajta, ali jeste preko Gugla, pretraživanjem određenih ključnih reči. To znači da je ta stranica bila indeksirana na Guglu, i svako ko ima osnovna znanja Gugl pretraživanja je unosom ovih ključnih reči mogao do iste da dođe. 

E sad, šta je Informacioni sistem COVID-19? Dakle, to je softver koji je uspostavila Vlada, gde je “Batut” glavni rukovalac, a RFZO obrađivač i tu se skupljaju apsolutno svi podaci koji su neophodni u borbi protiv pandemije. Skupljaju se podaci o tome ko je zaražen, ko testiran, ko je u karantinu, ko je u samoizolaciji, ko je u bolnici a ko je ozdravio, ko je preminuo -- ali, i svi oni podaci o licima koja su možda zaražena, jer su bila u kontaktu sa nekom osobom koja jeste. 

Dakle, jako puno osoba je u ovom sistemu, i svi njihovi podaci -- od osnovnih kontakt podataka, preko ličnih podataka, do zdravstvenih i epidemioloških podataka -- se nalaze u ovoj bazi. U tu bazu se svakodnevno unose podaci od strane zdravstvenih ustanova, i oni se centralno obrađuju. Krizni štab odatle izvlači podatke koje čita svakog dana u 15 časova, a ove podatke mogu da koriste i drugi državni organi, poput policije, vojske, Kancelarije za informacione tehnogije, i tako dalje.

Znači SHARE fondacija je “guglanjem” naišla na rupu u sistemu, i skrenula je pažnju na to. Šta se onda desilo?

DK: Moram da kažem da je reakcija bila jako brza. Bio je Veliki petak, dakle neradan dan -- ali, za manje od sat vremena ovi linkovi više nisu bili aktivni, i njima se nije moglo pristupiti. Međutim, ovo je svakako jedan veliki incident. Ne samo da je neko mogao da vidi podatke sadržane u ovom sistemu, neko je mogao i da unese pogrešne. Dakle, bilo je prostora da se unesu pogrešni podaci u jednu bazu, na osnovu koje se na dnevnom nivou donosi toliko odluka. U slučaju da je i bilo nekog krivičnog dela, odnosno neovlašćenog pristupa, tu bi trebalo da se uključe odeljenje MUP-a za visokotehnološki kriminal i nadležno tužilaštvo.

Kako se druge zemlje odnose prema podacima ove vrste?

AP: Prakse su različite. Mi ovde pričamo o incidentu, što znači da to nije bilo nešto što je strateški, odnosno namerno objavljeno. Ipak, ovo ukazuje na jedan pristup koji možda nije dovoljno ozbiljan kad su ovakvi podaci u pitanju. Što se tiče regiona, imamo različite primere i softverska rešenja. Crna Gora je, recimo, objavila listu svih ljudi koji su u propisanoj samoizolaciji -- odnosno, koje je država naterala da budu u samoizolaciji usled putovanja. Međutim, takođe su imali situaciju gde su “procureli” svi koji su oboleli od korone na teritoriji Podgorice… Ono što zapravo hoću da kažem je da Srbija, naravno, nije jedina zemlja koja u ovim vanrednim okolnostima ima problem sa upravljanjem ovakvim podacima. Međutim, ovaj incident ukazuje na nešto što je sistemski propust već godinama unazad, tako da nije kao da je ovo izolovan slučaj. Nije da se nešto ovako dešava prvi put -- što znači da mi generalno, kao društvo i kao sistem, treba malo ozbiljnije da pristupimo tome kako upravljamo podacima naših građana.

Koji su se još primeri ugrožavanja elektronske privatnosti desili od početka vanrednog stanja?

DK: Prvo su se na konferencijama za štampu iznosile pune dijagnoze lica koja su preminula. To su lica koja su se mogla identifikovati -- određene opštine su objavljivale inicijale i adresu prvih zaraženih, i tako ih ugrožavale. Mediji su ulazili u bolnice i snimali zaražena lica, bez ikakve anonimizacije. Tako da to je bilo ono što je prvobitno bilo na udaru. Ono što je nas dodatno zabrinulo je bila izjava predsednika da se prate italijanski telefoni, kao neko sredstvo za suzbijanje pandemije, te da je naša vlast našla i druge načine da prati građane, čak i ako oni ostave telefone kod kuće. 

Nas to brine iz prostog razloga što ova država ima prilično jednostavan pravni okvir za postupanje u ovim situacijama, koji je na snazi i pored toga što je vanredno stanje. On kaže da se geolokaciji našeg mobilnog telefona sme pristupiti samo uz saglasnost ili odluku suda. Dakle, da bi nas neko pratio, sud o tome mora da donese odluku. Koje su to druge metode koje naša vlast koristi? Ne znamo, to nam niko nije saopštio -- iako u ovakvim situacijama pre svega mora postojati transparentnost. Da li su to “pametne” kamere, koje su najavljivane tokom prošle godine i koje su uveliko postavljene po Beogradu, ili nešto drugo -- teško je odgovoriti. 

Samo da se dotaknem tog slučaja kada su građanima stigle poruke sa MTS mreže... Kao neko ko se bavi zaštitom podataka o ličnosti, mislim da bi u određenim slučajevima bilo potpuno opravdano da se građanima centralizovano šalju poruke, ali u ovom konkretnom je sve urađeno pogrešno. Ja srećom takvu poruku nisam dobio, ali sam pričao sa više ljudi koji jesu. Oni su se već nalazili u jednoj dramatičnoj situaciji, gde se širi čitav niz informacija -- i onda su u toku noći, sa nepoznatog broja, dobili poruku da nas čeka “italijanski i španski scenario.” Dakle, zamislite -- vi ste u vašem domu, i imate određeni, da kažemo, osećaj privatnosti... Odjednom, na vaš telefon stiže jedna takva poruka. To je i te kako upadanje u vaš lični prostor, a da vi zapravo ni ne znate od koga ta poruka stiže.

Bio je problem i kad se predsednik pohvalio da lično telefonira pacijentima, koji se nalaze na Sajmu i drugde, da bi se raspitao za njihovo zdravlje. Postavlja se pitanje, otkuda njemu uopšte ti telefonski brojevi?

DK: Mi znamo odakle mu ti brojevi. To su kontakt podaci koji se nalaze u Informacionom sistemu COVID-19, o kome smo sada pričali. Dakle, znamo gde se ti telefoni nalaze, i opravdano je da država te brojeve ima. Prosto, mora se pratiti stanje pandemije, kako su zaraženi, i tako dalje... Sad, da li je na predsedniku da zove ljude, i sve ostalo -- to je već potpuno drugo pitanje. A i da budemo iskreni, ne znamo da li je on stvarno zvao ljude ili je to marketinški trik.

Postavimo se u situaciju jednog prosečnog građanina, koji je zabrinut za svoje zdravlje, i sumnja da se u komšiluku nalazi neko ko je zaražen. Taj građanin bi hteo da zna ko je to, i on smatra da nema ničeg lošeg u tome da to bude javno poznato. Šta njemu odgovoriti?

DK: To se vaga u svakom konkretnom slučaju. Evo, u slučaju koji ste vi naveli, građanina koji bi želeo da zna sve one koji su zaraženi možemo da poistovetimo sa građaninom koji bi želeo da zna šta svaki njegov komšija misli, za koga je glasao, da li je nešto loše uradio, da li je lagao, i tako dalje... Prava imaju svoje granice, a to je onaj trenutak kada ulazite u prava drugih. U ovoj situaciji, meni se čini, postoje mere koje ni na koji način ne ugrožavaju pravo na privatnost -- dakle, po meni, ova dva interesa uopšte nisu suprotstavljena. Postoje mere kojima se borimo protiv pandemije, i postoje prava građana da sačuvaju svoju privatnost i neke stvari koje ne žele da podele sa drugima. Određene informacije moraju da se dele -- naravno da zdravstvene ustanove i nadležni organi treba da imaju sve podatke o zaraženim licima, ali nikako ne smemo da dozvolimo da svaki građanin zna svačiju kliničku sliku.

Potreba za kontrolom pandemije je povezana sa traženjem tehničkih rešenja koja bi to omogućila. Kakva tehnička rešenja su trenutno u upotrebi, i koje su prednosti i rizici njihove primene?

AP: U Aziji imate različite primere. Tamo, recimo, postoje narukvice koje mere telesnu temperaturu u nekom dužem vremenskom periodu, i onda na taj način utvrđuju da li ste potencijalno bolesni ili ne. To su svakako ozbiljno intruzivni podaci -- da neko meri vašu temperaturu i pritisak da bi odlučio da li ste bolesni. U ovom trenutku postoje tri vrste softverskih rešenja o kojima možemo da pričamo. Prvi su ovi centralni sistemi kao što imamo u Srbiji, a verovatno i druge države imaju svaka svoj. Druga vrsta softvera su aplikacije koje vode evidenciju sa kime ste sve došli u kontakt. Na kraju, treća vrsta softvera će biti aplikacije koje ćemo posle otvaranja granica koristiti kako bismo dokazali da smo zdravi.

DK: Ono što je izuzetno bitno u ovom procesu je to da nam se obezbedi da držimo kontrolu nad svojim podacima. To znači da se ovi podaci čuvaju na vašem telefonu, a možete da ih podelite sa nadležnim ustanovama tek ako vi to želite -- kako biste im sutradan, ukoliko ste zaraženi, dostavili podatke ljudi sa kojima ste se sreli. Ono što je tu takođe bitno, to je da se poštuje načelo minimizacije -- da se prikuplja samo neophodni minimum podataka. Recimo, ove aplikacije nemaju nikakvu potrebu da prikupljaju vašu lokaciju, to je potpuno irelevantno -- one samo prikupljaju podatke ljudi sa kojima ste se sreli, a nebitno je gde se to desilo. Takođe, jako je bitno da kod bude otvoren, i da javnost može da vidi kako te aplikacije funkcionišu, i da li je to zaista onako kako su tvorci rekli.

Laički gledano, ako dobiješ narukvicu zato što si bio pozitivan, pa se onda prati tvoje kretanje...

AP: Ne -- svi dobijaju narukvice, a ne samo pozitivni. To je negde i razlika između Dalekog istoka sa jedne strane, i Evrope i Amerike sa druge. U suštini, masovni nadzor u Evropi nije nešto čemu države rado pribegavaju, zato što se on kosi sa standardima koji su tamo postavljeni kad je u pitanju, pre svega, zaštita privatnosti. To je donekle i vrednosno pitanje, razlika između masovnog i ciljanog nadzora. Jedna je stvar da vi, uz odluku suda i targetirano, nadzirete jednu osobu -- zato što je vam je ona lično zanimljiva, sa nekog krivičnopravnog ili drugog aspekta -- a drugo je da pratite celo društvo kamerama za prepoznavanje lica ili drugim biometrijskim sistemima za nadzor. Ovo drugo je potpuno drugačiji pristup, odnosno to je jako intruzivno, i upravo nije u skladu sa konceptom minimizacije prikupljanja podataka -- zato što u tom slučaju prikupljate praktično sve o svima.

DK: Samo da se nadovežem na te narukvice... Dakle, kada pomislimo na to da je neko obeležen narukvicama, odmah imamo neku lošu asocijaciju -- naravno, sa razlogom. Međutim, postoji mogućnost da će se narukvicama obeležavati samo one osobe koje su preležale virus, i koje imaju antitela u sebi -- da bi posle toga lakše mogla da se kreću. Čini se da će, za početak, prvi kontakti da se otvore prema onima koji su preležali ovu bolest. Oni će prvi dobiti tu slobodu, jer nisu rizik ni za koga. u tom slučaju imati narukvicu nije povreda prava na privatnost. Time zapravo ostvarujete jedno novo pravo, koje ostali nemaju, a to je pravo na slobodu kretanja. Iako nam ta priča o narukvicama na prvu loptu deluje katastrofalno, postoje situacije kada je ta mera, ja bih rekao, potpuno opravdana.

Dosta se pričalo o tome što se Srbija u pogledu bezbednosne tehnologije oslanja na Huavej. Koji su po vama rizici toga?

AP: Da li je konkretno u pitanju Huavej ili neko drugi, naročito kad pričamo o masovnom nadzoru, odnosno o pametnim kamerama -- razlike su praktično nijanse. Nezavisno od toga da li su oni to kupili od Huaveja ili neke američke kompanije, suština je da će država imati biometrijske podatke o građanima. Imaće podatke o tome gde je neko bio na osnovu pojavljivanja njegovog lica u javnom prostoru. U ovom slučaju, usled različitih okolnosti, to jeste kineska tehnologija, konkretno Huavej tehnologija -- koja se već uveliko implementira, bar kad je u pitanju ta terminalna oprema, dakle te kamere na ulicama.

Sa kojim merama pojačanog nadzora -- bilo iz zdravstvenih ili bezbednosnih razloga -- biste se vi saglasili, i gde bi trebalo povući crvene linije preko kojih se ne sme preći?

DK: Da bi neka tehnička mera mogla da se koristi u borbi protiv pandemije, prvo mora da se utvrdi da je ona neophodna, i proporcionalna. Dakle, prvo mora da se ustanovi da ne postoji neka druga, manje invazivna mera, kojom je moguće postići isti cilj. Drugo, bitno je da dokažemo da je ta mera zapravo efikasna u borbi protiv pandemije. Ako tehnologija ne ispunjava ta dva uslova, ne bi smela da se koristi. Primera radi, za sprečavanje pandemije ne možete da koristite metodu praćenja ljudi preko baznih stanica, kada one nisu precizne na metar-dva, i vi preko njih ne možete da znate da li se neko susreo sa nekim. To je, recimo, potpuno neefikasna mera. Za svaku meru po ovom principu mora da se utvrdi da je efikasna, i da nema manje invazivne mere , pa tek onda ulazimo u detalje -- to je neki pravni standard.

Od svih ovih elektronskih mera, za šta mislite da će posle kraja vanrednog stanja biti “deinstalirano”, a šta će biti zadržano ili možda “apgrejdovano”?

DK: Kad prestane vanredno stanje, i kad prestane policijski čas, vi njegove posledice po svoja prava ne osećate, kao da ih nema više. Međutim, jednom kada se uvedu mere masovnog nadzora, i ovoliko intruzivne mere praćenja građana, time se uspostavljaju neke “nove normale.” To znači da postoji potencijal da će ljudima ubuduće biti mnogo prihvatljivije da budu predmet nadzora, zato što su to jednom već bili -- i tada se postavlja pitanje u kakvom društvu želimo da živimo. Da li želimo da živimo u društvu u kome je privatnost najviše zaštićena, ili želimo da živimo u društvu u kome to ne spada u najviše vrednosti? To je pitanje prema kome se društva širom sveta potpuno drugačije odnose. Jedan odnos imate u Kini, gde je, prosto, javna bezbednost odnela pobedu nad privatnošću -- dok, s druge strane, Evropska unija, u neku ruku, trenutno predstavlja zlatni standard kada su u pitanju pravila o privatnosti. Tako da će to biti mnogo šira borba. 

Šta mi u Srbiji možemo da očekujemo po tom pitanju?

DK: Usudiću se da kažem da je na samom početku pandemije Kina izuzetno hvaljena kao partner... Da li će se zbog toga desiti neki zaokret u našoj politici? Ne znam -- ali kažem, mislim da nas čeka ozbiljna debata i borba na ovom polju.

Novu ekonomiju možete pratiti na mrežama:

Pročitajte još

pošaljite komentar

Nema komentara