Pozaeuropejskie aplikacje śledzące w walce z pandemią

Obecnie kilkadziesiąt państw na świecie używa aplikacji śledzących rozprzestrzenianie się SARS‑CoV-2. Różnią się one stosowaną technologią, funkcjami, zakresem dostępu do prywatnych danych użytkowników. W niektórych krajach ich używanie jest obowiązkowe, a w innych jedynie zalecane. Prekursorem były Chiny, które już w lutym wykorzystały zaawansowaną infrastrukturę usług cyfrowych (serwisy społecznościowe, systemy płatności) do wprowadzenia obowiązkowej aplikacji z kodem QR (Alipay Health Code). System zbiera szczegółowe dane o stanie zdrowia użytkowników i przy pomocy GPS śledzi ich przemieszczanie się. Na tej podstawie generuje odpowiedni kod, który uprawnia np. do wejścia do metra czy sklepu spożywczego lub nakazuje odbycie kwarantanny. Obowiązkową – ale wyłącznie dla osób objętych kwarantanną – aplikację używającą GPS wprowadziła w kwietniu Korea Południowa. Wcześniej, począwszy od lutego, prywatne podmioty stworzyły kilka komercyjnych programów do śledzenia ognisk wirusa w tym kraju. Korzystają one z publicznie dostępnych danych. Z kolei Singapur jako pierwsze państwo na świecie wprowadził dobrowolnie instalowane rozwiązanie na bazie Bluetooth (standardzie komunikacji krótkiego zasięgu). Aplikacja TraceTogether wykorzystuje Bluetooth do rejestrowania styczności z innymi urządzeniami, informując użytkowników o tym, że przebywali w bliskim sąsiedztwie osoby z podejrzeniem zakażenia. Na niej wzorowały się później m.in. australijskie COVIDSafe czy polskie ProteGO Safe.

Rozwój aplikacji śledzących w UE. Państwa członkowskie UE rozpoczęły niezależne prace nad aplikacjami w drugiej połowie marca, częściowo czerpiąc z rozwiązań pozaeuropejskich. Na poziomie ponadnarodowym pierwszą skoordynowaną inicjatywą poprzedzającą reakcję unijnych instytucji było PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing). Ośrodki badawcze oraz firmy z siedmiu państw UE (Austrii, Belgii, Danii, Francji, Hiszpanii, Niemiec, Włoch) i ze Szwajcarii opracowały kod aplikacji w technologii Bluetooth z centralnie zarządzanymi danymi. Część instytucji wycofała się jednak ze współpracy w atmosferze konfliktu o transparentność przechowywania danych w ramach prowadzonych wspólnie badań i rozpoczęła prace nad nową, zdecentralizowaną propozycją. W podobnym okresie Ministerstwo Cyfryzacji w Polsce stworzyło aplikację ProteGO Safe. Zakładała ona transparentność (ministerstwo po jej wprowadzeniu udostępniło publicznie kod źródłowy), ale dane użytkowników były administrowane centralnie, co mogło nie w pełni je zabezpieczać.

Pracę nad europejskimi rozwiązaniami spowolniło ogłoszenie przez amerykańskie spółki Apple i Google wspólnej inicjatywy stworzenia interfejsu programowania aplikacji – API (zasad komunikowania się aplikacji między sobą) pod nazwą Exposure Notification, wspierającego aplikacje śledzące COVID-19. Ponieważ firmy te łącznie kontrolują ok. 99% globalnego rynku aplikacji na smartfony, nieautoryzowane przez nie aplikacje (niedostosowane do proponowanego API) będą miały utrudniony dostęp do odbiorców. Firmy przedstawiły inicjatywę jako wsparcie dla rządów mające na celu przede wszystkim ochronę prywatności użytkowników. Exposure Notification ma zabezpieczać wrażliwe dane lokalnie na telefonie użytkownika. Informacje o stanie jego zdrowia i ewentualnym kontakcie z osobą zakażoną mogą być przekazane instytucjom państwowym wyłącznie po uzyskaniu jego zgody. Spółki zastrzegły też, że dane nie mogą być wykorzystywane w innych celach niż ochrona zdrowia. Wkrótce po ogłoszeniu planu Apple i Google niektóre państwa, m.in. Niemcy, Włochy i Polska, zdecydowały, że będą dostosowywać opracowane już aplikacje do nowego API. Francja natomiast wyłamała się ze współpracy z gigantami cyfrowymi, ponieważ chciała wdrożyć rozwiązanie oparte na centralnej (rządowej) administracji danymi.

Zastrzeżenia i wytyczne unijnych instytucji wobec aplikacji śledzących

Unijne instytucje odpowiedzialne za ochronę danych szybko dostrzegły zasadność rozbudowy aplikacji śledzących na poziomie UE jako środka wspomagającego znoszenie ograniczeń w przemieszczaniu się między państwami. Stawiają jednak określone warunki. Na początku kwietnia Europejski Inspektor Ochrony Danych Osobowych (EIODO) wezwał do opracowania ogólnoeuropejskiego podejścia do aplikacji śledzących na gruncie obowiązujących przepisów (m.in. RODO). Podobne stanowisko przyjął Parlament Europejski w rezolucji z 17 kwietnia. Również w kwietniu Komisja Europejska (KE) we współpracy z siecią eHealth łączącą krajowe organy ochrony zdrowia opublikowała wytyczne dla państw członkowskich dotyczące projektowania i wdrażania aplikacji monitorujących kontakty społeczne. Zarekomendowała, by użycie aplikacji było dobrowolne, a ich funkcjonalność – zatwierdzona przez krajowe organy ochrony zdrowia. Pod kątem prywatności KE zaleciła szyfrowanie danych użytkowników oraz dezaktywację aplikacji w momencie ustania zagrożenia pandemią. Uznała przewagę Bluetooth nad geolokalizacją zarówno pod kątem precyzji, jak i mniejszego ryzyka nadużyć gromadzonych danych. Europejska Rada Ochrony Danych jeszcze w kwietniu opracowała swoje wytyczne dotyczące szczegółów użycia danych osobowych przez aplikacje, podkreślając konieczność ochrony praw podstawowych.

W maju KE przedstawiła pakiet wytycznych i zaleceń dla państw co do stopniowego znoszenia ograniczeń w podróżowaniu. Wymieniła w nim stosowanie aplikacji do ustalania kontaktów jako środek wspomagający wznowienie przemieszczania się na terytorium Unii. Zaznaczyła, że warunkiem koniecznym jest stworzenie takich rozwiązań technicznych, które umożliwią współpracę różnym krajowym rozwiązaniom przy podróżach obywateli wewnątrz UE. Jednocześnie podkreśliła, że stosowanie aplikacji ma być dobrowolne. Nie można np. uzależnić prawa do wejścia na pokład samolotu od posiadania przez pasażera aplikacji.

Szanse i zagrożenia wynikające ze stosowania aplikacji śledzących w UE

Paneuropejski system powiadamiania użytkowników o kontakcie z osobą zarażoną może być pomocny w przywróceniu funkcjonowania strefy Schengen i normalizacji sytuacji gospodarczej w warunkach pandemii COVID-19. Jeżeli działałby efektywnie, uzupełniłby pracę służb epidemiologicznych, zapewniając przyspieszone ostrzeganie i izolowanie potencjalnie zarażonych.

Wykorzystanie aplikacji śledzących niesie jednak zagrożenia. Prywatne dane o stanie zdrowia, zwłaszcza jeśli są gromadzone w jednym miejscu, mogą stanowić cel ataków hakerskich. Zdaniem ekspertów w dziedzinie technologii przynajmniej 60% obywateli musi aktywnie używać aplikacji (poza instalacją konieczne jest udzielenie zgody na przetwarzanie danych), żeby śledzenie spełniło funkcję uzupełniającą względem pozostałych działań zapobiegawczych. Monitoring nie może być pełny, ponieważ – w zależności od kraju – odsetek osób posiadających smartfony waha się od 50% do 80%.

Perspektywy

Skoordynowane aplikacje śledzące kontakty będą miały ograniczone zastosowanie na terenie UE. Wynika to m.in. z rygorystycznego prawa przetwarzania i ochrony danych osobowych, zwłaszcza na tle państw takich jak Chiny czy Korea Południowa, gdzie władze wykorzystują nowe technologie do inwigilacji społeczeństw.

Warunkiem wykorzystania aplikacji pozostanie poszanowanie dla zasad dobrowolności i transparentności. Ich skuteczność będzie w dużej mierze zależała od stopnia zaufania społecznego do proponowanych rozwiązań, które przełoży się na odsetek użytkowników.

Istotnym aspektem wdrażania europejskich aplikacji śledzących jest wzrost znaczenia Apple i Google, które praktycznie zmonopolizowały europejskie prace nad technologicznymi rozwiązaniami tych narzędzi. Ich zaangażowanie może stanowić wstęp do negocjacji postanowień nowego aktu prawnego o usługach cyfrowych. Jest to kluczowa nowelizacja dyrektywy o handlu cyfrowym (e-commerce), która ma m.in. zmierzyć się, poprzez odpowiednie regulacje, z dominacją kilku platform internetowych na jednolitym rynku cyfrowym. Amerykańskie firmy będą zabiegać o to, żeby nowe przepisy nie przełożyły się na gwałtowny spadek ich zysków.