master_admin

Η Homo Digitalis, δημοσίευσε σήμερα 22/04, τη μελέτη της με θέμα «COVID-19 & Ψηφιακά Δικαιώματα στην Ελλάδα».

Σε αυτή την πρωτοφανή παγκόσμια συγκυρία, τόσο οι δημόσιοι όσο και οι ιδιωτικοί φορείς λαμβάνουν μέτρα προκειμένου να περιοριστούν οι επιπτώσεις του COVID-19. Ωστόσο ορισμένα από αυτά, εγείρουν σοβαρά ζητήματα δυσανάλογου περιορισμού των ανθρωπίνων δικαιωμάτων.

Η τεχνολογία μπορεί και πρέπει να διαδραματίσει σημαντικό ρόλο κατά τη διάρκεια αυτής της προσπάθειας για την αντιμετώπιση της κρίσης. Ωστόσο, η αύξηση των εξουσιών κρατικής ψηφιακής εποπτείας απειλεί την ιδιωτική ζωή και τις δημοκρατικές αξίες και αρχές. Μάλιστα, όταν οι εν λόγω εξουσίες συνοδεύονται από την έλλειψη
διαύγειας, η εμπιστοσύνη προς τις δημόσιες αρχές, δικαιολογημένα, κλονίζεται. Κρίνεται λοιπόν επιβεβλημένο τα μέτρα που θεσπίζονται για την αντιμετώπιση της πανδημίας να είναι νόμιμα, αναγκαία και ανάλογα προς τον επιδιωκόμενο σκοπό που επιζητούν να αντιμετωπίσουν.

Η Homo Digitalis τοποθετείται στη εν λόγω μελέτη, επί σημαντικών θεμάτων που ανακύπτουν – ή δύνανται να ανακύψουν- κατά τη χρήση της τεχνολογίας προς το σκοπό αυτό στη χώρα μας και ειδικότερα εξετάζει:

-Την ανάπτυξη και χρήση εφαρμογών ιχνηλάτησης επαφών,

-Τη χρήση Drones από τις Αρχές Επιβολής του Νόμου στην Ελλάδα,

-Tα εθνικά μέτρα στο πλαίσιο της πρόληψης και αντιμετώπισης του COVID-19, όπως τη σύσταση εθνικού μητρώου ασθενών COVID-19 και την αποστολή μηνυμάτων SMS στο 13033 προς λήψη βεβαίωσης μετακίνησης , καθώς και

-Ζητήματα σχετικά με Ψευδείς Ειδήσεις την περίοδο της πανδημίας και τις επιπτώσεις αυτών στην ελευθερία της έκφρασης & της πληροφόρησης.

Η γλώσσα που χρησιμοποιείται είναι απλή και περιγραφική συνοδευόμενη από παραδείγματα και πλούσια απεικόνιση, προκειμένου το περιεχόμενο να γίνεται κατανοητό από όλους.

Η έρευνα και εκπόνηση της μελέτης αυτής έγινε απολύτως με εθελοντική εργασία, χωρίς καμία χρηματοδότηση από ιδιωτικούς ή δημόσιους φορείς. Εάν θέλεις να στηρίξεις το μελλοντικό έργο της Homo Digitalis και να μας βοηθήσεις να συνεχίσουμε τις δράσεις μας, μπορείς να το κάνεις εδώ.

To κείμενο της Μελέτης  «COVID-19 & Ψηφιακά Δικαιώματα στην Ελλάδα» βρίσκεται διαθέσιμο εδώ.

Στις 6 Απριλίου 27 οργανώσεις δικαιωμάτων του ανθρώπου από όλο τον πλανήτη όπως οι Access Now και Privacy International, συμπεριλαμβανομένης της Homo Digitalis, υπέγραψαν κοινή επιστολή προς το Γενικό Γραμματέα του ΟΟΣΑ.

Η επιστολή είναι μία πρωτοβουλία της EPIC -Public Voice Fund και σχετίζεται με τα ζητήματα που ανακύπτουν για την προστασία των δικαιωμάτων του ανθρώπου στο πλαίσιο των μέτρων αντιμετώπισης του COVID-19.

Την επιστολή συνυπογράφουν 41 διακεκριμένοι ακαδημαϊκοί και επιστήμονες από όλο τον κόσμο.

Μπορείτε να δείτε το πλήρες κείμενο της επιστολής εδώ.

Γράφει ο Ιωάννης Κροντήρης*

Όσο η κρίση του κορωνοϊού (SARS-Cov-2) μεγαλώνει, τόσο πληθαίνουν οι φωνές από κυβερνήσεις αλλά και μη κυβερνητικούς οργανισμούς που προτείνουν την επιστράτευση τεχνολογικών μέσων για την ανίχνευση της εξάπλωσης του ιού. Ειδικά η ιδέα να χρησιμοποιήσουμε εφαρμογές στα κινητά τηλέφωνα των πολιτών οι οποίες θα ανιχνεύουν τις κοινωνικές επαφές που κάθε χρήστης της εφαρμογής έχει στην καθημερινή του ζωή (Contact Tracing apps ή αλλιώς και Proximity Tracing) βρίσκεται στο επίκεντρο των συζητήσεων όλο και περισσότερο τις τελευταίες εβδομάδες.

Ανεξάρτητα από το κατά πόσο χρήσιμες μπορεί να είναι αυτές οι εφαρμογές στην αντιμετώπιση της πανδημίας, θα πρέπει να κρατήσουμε στο προσκήνιο ένα βασικό στοιχείο: υπάρχει στη διάθεσή μας μια συλλογή από πολλά τεχνολογικά εργαλεία που μας επιτρέπουν να αναπτύξουμε αυτές τις εφαρμογές χωρίς κανέναν συμβιβασμό στην προστασία των προσωπικών δεδομένων, αρκεί βέβαια να τα λάβουμε υπόψη μας από την αρχή («προστασία δεδομένων ήδη από τον σχεδιασμό»).

Εξ όσων γνωρίζουμε, με τα ως τώρα δεδομένα, ο νέος κορωνοϊός μπορεί να είναι μεταδοτικός από απόσταση περίπου ενός μέτρου. Ο στόχος, λοιπόν, αυτών των εφαρμογών είναι να στείλουν ειδοποίηση στο κινητό κάποιου και να τον ενημερώσουν ότι ένα από τα άτομα που συνάντησε στο πρόσφατο παρελθόν (και πιθανώς να μη το γνωρίζει προσωπικά) είναι ασθενής που έχει δαγνωσθεί ως φορέας του SARS-Cov-2, ώστε να λάβει τα απαραίτητα μέτρα (να κάνει το τεστ, να μπει σε καραντίνα).

Η ταχύτητα με την οποία μπορούμε να ανιχνεύσουμε τις επαφές που κάποιος είχε στο πρόσφατο παρελθόν και να τους ειδοποιήσουμε μπορεί να αποτελέσει κλειδί στο να σπάσουμε την αλυσίδα εξάπλωσης του ιού όσο γίνεται συντομότερα και, εν τέλει, να εμποδίσουμε αποτελεσματικά την εξάπλωσή του. Ωστόσο, πρέπει να πούμε εδώ ότι δεν είναι ακόμα ξεκάθαρο αν και κατά πόσο οι εφαρμογές ανίχνευσης επαφών μπορούν να μειώσουν όντως τον ρυθμό μετάδοσης του ιού και υπάρχουν ακόμα πολλά αναπάντητα ερωτήματα τα οποία οι επιδημιολόγοι εξετάζουν.

Εξάλλου, υπάρχουν πληθυσμιακές ομάδες της κοινωνίας μας που δεν χρησιμοποιούν smartphones και επομένως ούτε θα έχουν τη δυνατότητα να χρησιμοποιήσουν την εφαρμογή αλλά και ούτε να περιληφθούν στα σημεία επαφής που θα εντοπίζει η εν λόγω εφαρμογή.

Τεχνικά, η ανάπτυξη εφαρμογών ανίχνευσης επαφών μπορεί να γίνει εγκαθιστώντας μια εφαρμογή στα κινητά τηλέφωνα σε μαζική κλίμακα. Η εφαρμογή γνωρίζοντας την ακριβή τοποθεσία του κάθε χρήστη και επικοινωνώντας με τα κινητά που βρίσκονται σε κοντινή απόσταση μπορεί να κρατάει ακριβές ιστορικό όλων των επαφών μεταξύ των ανθρώπων.

Η λειτουργία αυτή, συμπεριλαμβανομένης της ανταλλαγής πληροφορίας μπορεί να επιτευχθεί χρησιμοποιώντας διάφορες τεχνολογίες, όπως για παράδειγμα Bluetooth, WiFi, NFC, GPS tracking, οι οποίες προσφέρουν μεγαλύτερη ακρίβεια στη συλλογή δεδομένων θέσης σε σύγκριση με την πληροφορία που μπορούμε να συλλέξουμε μέσω των δικτύων κινητής τηλεφωνίας.

Τέτοιες εφαρμογές εγείρουν αμέσως το ζήτημα της προστασίας προσωπικών δεδομένων, καθότι σχετίζονται με τη συλλογή:

-της τοποθεσίας και κατ’ επέκταση της διαδρομής,

-των επαφών των πολιτών, και

-των ιατρικών δεδομένων.

Το ερώτημα που μας απασχολεί σε αυτό το άρθρο είναι:  Χρειάζεται να θυσιάσουμε τις αρχές της προστασίας των προσωπικών δεδομένων με την αιτιολογία ότι ζούμε σε εποχή κρίσης και απαιτούνται δραστικά μέτρα;

Η συζήτηση αυτή είναι έντονη στην Ευρώπη. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (European Data Protection Supervisor-EDPS) αναφέρθηκε στην ανάγκη μιας κοινής πανευρωπαϊκής προσπάθειας και τόνισε ότι καινούργιες τεχνικές λύσεις για την αντιμετώπιση του κορωνοϊού  θα πρέπει να αναπτύσσονται με τέτοιον τρόπο ώστε να διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και προστασίας δεδομένων ήδη από την αρχή («προστασία δεδομένων ήδη από τον σχεδιασμό»).

Προς αυτή την κατεύθυνση, πολύ πρόσφατα δημιουργήθηκε η ευρωπαϊκή κίνηση PEPP-PT αποτελούμενη από περισσότερους από 130 επιστήμονες και ειδικούς από οκτώ ευρωπαϊκές χώρες. Ο στόχος τους είναι να βοηθήσουν εθνικές προσπάθειες να δημιουργήσουν τέτοιου είδους εφαρμογές με τρόπο που να είναι απολύτως συμβατός με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), θέτοντας κοινές αρχές και στάνταρντ.

Τεχνολογικά υπάρχουν ήδη μηχανισμοί και τρόποι τους οποίους μπορούμε να χρησιμοποιήσουμε για να αναπτύξουμε τέτοιες εφαρμογές χωρίς “εκπτώσεις” στην ιδιωτικότητα των πολιτών, και χωρίς καθυστερήσεις. Συγκεκριμένα, είναι τεχνικά δυνατόν αυτές οι εφαρμογές να πετύχουν τον σκοπό τους χωρίς να συλλέγουν περιττά προσωπικά δεδομένα όπως τοποθεσία, διαδρομές, επαφές ή χαρακτηριστικά που ταυτοποιούν τους κατόχους των κινητών τηλεφώνων.

Τι τεχνικές προϋποθέσεις θα έπρεπε λοιπόν να ικανοποιεί ιδανικά μια εφαρμογή, αν θέλουμε να είμαστε βέβαιοι ότι, παράλληλα, σέβεται και προστατεύει την ιδιωτικότητα των πολιτών; Τρία σημαντικά σημεία είναι τα ακόλουθα:

-Το σύστημα πρέπει να συλλέγει μόνο αυτά τα δεδομένα που είναι απαραίτητα για να επιτευχθεί ο σκοπός της εφαρμογής και όχι δεδομένα όπως για παράδειγμα η τοποθεσία των ατόμων, τα οποία δεν σχετίζονται άμεσα με τον σκοπό. Όντως, η πληροφορία που μας ενδιαφέρει εδώ είναι οι επαφές των ατόμων, και όχι το που βρίσκονται,

-Το σύστημα πρέπει να συλλέγει δεδομένα τα οποία να μην συνδέονται άμεσα ή έμμεσα με την ταυτότητα των εμπλεκομένων ατόμων, ούτε να επιτρέπουν τη δημιουργία προφίλ κινήσεων και επαφών,

-Τα δεδομένα που συλλέγονται για κάθε άτομο θα πρέπει να διατηρούνται για το ελάχιστο δυνατό χρονικό διάστημα που απαιτείται και μετά να διαγράφονται.

Μια πιο αναλυτική λίστα δημοσίευσε πρόσφατα το Chaos Computer Club, εξετάζοντας τις τεχνικές και κοινωνικές προϋποθέσεις σε μεγαλύτερο βάθος και εστιάζοντας, μεταξύ άλλων, στην αποκεντρωμένη επεξεργασία των προσωπικών δεδομένων, την χρήση ανοικτού κώδικα, και την ανωνυμοποίηση των δεδομένων.

Μια ευρωπαϊκή προσπάθεια από μια ομάδα επιφανών ερευνητών με το όνομα DP-3T δημοσίευσε πρόσφατα τον σχεδιασμό μιας τεχνικής λύσης η οποία αποτελεί παράδειγμα του πώς μπορούμε να παρακολουθήσουμε την εξάπλωση του ιού μέσω κινητών τηλεφώνων χωρίς να συλλέγουμε ευαίσθητα δεδομένα και χωρίς να παρακολουθούμε τις κινήσεις των πολιτών.

Η λύση τους αξίζει ιδιαίτερης αναφοράς γιατί στηρίζεται σε μια κατανεμημένη αρχιτεκτονική. Παρόλο που υπάρχει ένας κεντρικός server, αυτός δεν παίζε κανένα ρόλο στη συλλογή και επεξεργασία ευαίσθητης πληροφορίας. Αυτό συμβαίνει μόνο στα κινητά τηλέφωνα των χρηστών.

Η βασική ιδέα είναι απλή: δεν έχει σημασία σε ποια τοποθεσία κάποιος ήρθε σε επαφή με κάποιον ασθενή COVID-19, οπότε δεν χρειάζεται εξ αρχής να αποθηκεύουμε την τοποθεσία. Το μόνο που έχει σημασία να ξέρουμε είναι αν δυο άνθρωποι ήρθαν τόσο κοντά ο ένας στον άλλον ώστε να υπάρχει κίνδυνος μετάδοσης του ιού.

Αυτό, μπορούμε να το καθορίσουμε με την χρήση του Bluetooth ώστε να γνωρίζουμε ποιες άλλες συσκευές κινητών τηλεφώνων βρίσκονται στη γύρω περιοχή και για πόση ώρα. Πιο συγκεκριμένα, η εφαρμογή στο κινητό τηλέφωνο δημιουργεί ένα προσωρινό ψευδώνυμο, το οποίο αλλάζει κατά συχνά χρονικά διαστήματα το οποίο μεταδίδεται μέσω του κινητού τηλεφώνου στις άλλες συσκευές που βρίσκονται στη γύρω περιοχή.

Όταν κάποιο άλλο κινητό τηλέφωνο, που επίσης έχει αυτήν την εφαρμογή, πλησιάσει αρκετά, τότε τα δυο κινητά τηλέφωνα είναι σε ακτίνα αρκετή να “ακούσουν” το ένα το προσωρινό ψευδώνυμο του άλλου και να το αποθηκεύουν στη μνήμη τους (δηλαδή τοπικά στο τηλέφωνο) σε κρυπτογραφημένη μορφή. ‘Ετσι, κάθε συσκευή κρατάει (θυμάται) όλα τα ψευδώνυμα που έχει συναντήσει στο παρελθόν. Μέχρι εδώ καμία πληροφορία δεν στέλνεται σε κάποιο κεντρικό Server.

Εάν τώρα κάποιος από τους χρήστες της εφαρμογής διαγνωστεί θετικός στον SARS-Cov-2, ο γιατρός ζητάει από τον ασθενή να στείλει -με τη σύμφωνη γνώμη του- σε έναν κεντρικό server τη λίστα με τα ψευδώνυμα που έχει παράγει το κινητό του φορέα του ιού στο παρελθόν.

Ο server διανέμει αυτή τη λίστα στα κινητά τηλέφωνα των υπολοίπων χρηστών, καθένα από τα οποία συγκρίνει τη λίστα που έλαβε με τη λίστα που έχει αποθηκευμένη στη μνήμη του, για να διαπιστώσει εάν έχει συναντήσει κάποιο από αυτά τα ψευδώνυμα στο παρελθόν. Αν βρεθεί τέτοια περίπτωση, τότε η εφαρμογή παράγει μια ειδοποίηση στον χρήστη για να τον ενημερώσει και να του δώσει οδηγίες τι να κάνει και με ποιόν να επικοινωνήσει.

Όλο το παραπάνω στάδιο εκτελείται και πάλι με κρυπτογραφημένη επικοινωνία και χωρίς να αποκαλύπτεται η ταυτότητα όσων συμμετέχουν. Βλέπουμε, λοιπόν, ότι οι αρχές προστασίας προσωπικών δεδομένων δεν εμποδίζουν τη συλλογή και χρήση δεδομένων για οποιαδήποτε εφαρμογή, ακόμα και για την αντιμετώπιση κρίσεων όπως μια πανδημία.

Το ερώτημα είναι, πώς μπορούμε να το κάνουμε αυτό σωστά και με σεβασμό στην ιδιωτικότητα των πολιτών. Για αυτό τον σκοπό, εδώ και δεκαετίες, έχουν αναπτυχθεί από κρυπτογράφους και άλλους ερευνητές εργαλεία και μέθοδοι που μας επιτρέπουν να επιτυγχάνουμε αυτόν τον στόχο. Ενδεχομένως αυτή η πανδημία να σταθεί αφορμή ώστε να αναδειχτούν ευρύτερα οι δυνατότητες αυτών των εργαλείων.

Αλλά, ίσως είναι ακόμα πιο σημαντικό να συνειδητοποιήσουμε, ότι τεχνικές λύσεις για την αντιμετώπιση του κορωνοϊού μπορούν να είναι αποτελεσματικές μόνο αν υιοθετηθούν σε μεγάλη κλίμακα από τους πολίτες. Και κάτι τέτοιο μπορεί να συμβεί μόνο αν τέτοιες λύσεις σέβονται την ιδιωτικότητα και μπορούν να εμπνεύσουν την εμπιστοσύνη των πολιτών. Για να χτιστεί αυτή η εμπιστοσύνη δεν αρκούν υποσχέσεις κυβερνήσεων και οργανισμών ότι θα σεβαστούν τα προσωπικά δεδομένα που συλλέγουν. Χρειάζονται και τεχνικές λύσεις που δίνουν τις αντίστοιχες εγγυήσεις με τρόπο που δεν μπορεί να αμφισβητηθεί.

* Ο Ιωάννης Κροντήρης είναι απόφοιτος του τμήματος Μηχανικών Η/Υ του Πολυτεχνείου Κρήτης και κατέχει διδακτορικό τίτλο στην Πληροφορική απο το Πανεπιστήμιο του Mannheim της Γερμανίας. Απο το 2014 εργάζεται ως ερευνητής σε θέματα τεχνολογιών προστασίας της ιδιωτικότητας στο ερευνητικό κέντρο της Huawei στο Μόναχο.

Τη Δευτέρα 30/03/2020, η Homo Digitalis απέστειλε ανοιχτή επιστολή στη Γενική Γραμματεία Πολιτικής Προστασίας (ΓΓΠΠ)­ για την Πολιτική Προστασίας Προσωπικών Δεδομένων της σχετικά με την αποστολή μηνυμάτων SMS στο 13033 προς λήψη βεβαίωσης μετακίνησης.

Με αυτή την επιστολή, η Homo Digitalis παραθέτει σχόλια και προτάσεις επί της Πολιτικής Προστασίας που η ΓΓΠΠ έχει αναρτήσει στην ιστοσελίδα της, επιδιώκοντας την αναθεώρηση και βελτίωση του κειμένου της, προκειμένου να τηρούνται οι υποχρεώσεις του υπεύθυνου επεξεργασίας και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων στον μέγιστο βαθμό, σύμφωνα με τις κείμενες διατάξεις της εθνικής και ευρωπαϊκής νομοθεσίας.

Δυστυχώς, μέχρι την ημέρα δημοσίευσης του άρθρου αυτού, οι προτεινόμενες αλλαγές δεν έχουν υιοθετηθεί από τη ΓΓΠΠ.

Μπορείτε να δείτε το πλήρες κείμενο της Ανοιχτής Επιστολής μας και τις προτάσεις μας εδώ.

Στις 2 Απριλίου περισσότερες από 100 οργανώσεις δικαιωμάτων του ανθρώπου από όλο τον πλανήτη όπως οι Access Now, Amnesty International, Human Rights Watch, Privacy International, European Digital Rights (EDRi), συμπεριλαμβανομένης της Homo Digitalis, υπέγραψαν κοινές θέσεις αναφορικά με τα ζητήματα που ανακύπτουν για την προστασία των δικαιωμάτων του ανθρώπου στο πλαίσιο των μέτρων αντιμετώπισης του COVID-19.

Μπορείτε να δείτε το πλήρες κείμενο των θέσεων εδώ.