Пандемія COVID-19 стала одним із найсерйозніших викликів ХХІ століття: кількість інфікованих вже перевалила за мільйон, вірус може поширюватися без видимих симптомів, а створення ефективної вакцини може затягнутися на місяці. Втім, саме COVID-19 стала першою пандемією цифрової ери – саме зараз для протидії хворобі можна масово використовувати новітні інструменти діджиталізації: смартфони, а також дані, які генеруються внаслідок їх використання.
Наприклад, більшість популярних додатків збирають інформацію про наше місцерозташування через GPS-дані, WiFi-точки та використання Bluetooth – і ми самі надаємо їм на це дозвіл, підтверджуючи згоду на використання чергової функції з нашого смартфону, наприклад, щоб поставити геолокацію у черговому пості в соцмережі.
Або ж мобільні оператори можуть відстежувати переміщення абонентів через комунікаційні вежі, які забезпечують мобільний зв’язок. І хоча такі дані переважно зберігають самі компанії та використовують їх для маркетингу, держава може отримати до них доступ.
Зазвичай такий доступ можна отримати для розслідування злочинів чи протидії терористичній діяльності – і, як правило, за рішенням суду.
В умовах протидії пандемії уряди держав згадали про можливість використовувати цифрові надбання для власної користі та введення превентивних заходів, а також згадали і про технологічних гігантів та величезні масиви даних, якими вони володіють.
Чи може насправді трекінг хворих допомогти у боротьбі з поширенням вірусу – окреме питання, проте нас хвилює інший аспект: як бути з правом на приватність у трикутнику держава-техкомпанії-людина на тлі коронавірусу?
Право на приватність: стандарти, принципи, обмеження
Міжнародне право чітко визнає право на повагу до приватного життя людини як одне з її фундаментальних прав. Це право гарантоване статтею 8 Європейської конвенції про права людини та статтею 17 Міжнародного пакту про громадянські та політичні права.
За загальним правилом, воно може обмежуватися лише у випадку, коли це передбачено законом, слугує захисту легітимної мети (однією з яких є захист громадського здоров’я) та необхідно у демократичному суспільстві.
З практики Європейського суду прав людини (рішення у справах Uzun v Germany та Ben-Faiza v France) теж можна зробити висновок, що трекінг переміщень особи зі сторони держави – це втручання у її приватність, – однак це може бути виправдано, лише якщо можливість трекінгу передбачена законодавством та необхідна для досягнення суспільно важливої мети.
Така мета, як протидія пандемії COVID-19, безумовно підпадає під мету захисту громадського здоров’я. Втім, інші критерії для обмежень прав людини також мають бути дотриманими: насамперед, обмеження приватності має бути встановлене законодавством та не спиратися на невизначені дискреційні повноваження правоохоронних чи виконавчих органів.
Також важливо звернути увагу на стандарти щодо дотримання прав людини (і зокрема приватності) технологічними компаніями, які не є суб’єктами міжнародного права і не повинні прямо дотримуватися цих стандартів.
У пунктах 11-12 Керівних принципів ООН щодо бізнесу та прав людини йдеться про те, що компанії повинні уникати порушень прав людини, гарантованих Міжнародними пактами (що, як йшлося вище, включає і право на приватність) і повинні усувати несприятливий вплив своєї діяльності на такі права.
Крім того, Рада Європи у своїй рекомендації щодо ролей та відповідальності Інтернет-посередників CM/Rec(2018)2 наголосила на необхідності посередників отримувати згоду на агрегування даних, а також на тому, що технології для цифрового трекінгу особи не мають порушувати право на приватність та відповідати стандартам у сфері приватності при передачі даних третім особам.
Тому технологічні компанії також мають докладати усіх зусиль для дотримання у своїй роботі права на приватність. І якою б не була спокуса таких компаній віддати всі зібрані дані про користувачів державі та спокуса держави змусити техкомпанії вказати їм на всі соціальні контакти хворих (на благо протидії пандемії!), це не буде правомірним.
Що вже роблять у світі?
Деякі держави активно додавали до свого арсеналу можливості застосування технологій для стеження за громадянами протягом останніх декад: відомими є система соціальних кредитів у Китаї, контртерористичні заходи (переважно щодо палестинців) у Ізраїлі, а також системи відеоспостереження з функцією розпізнавання облич, у тому ж таки Китаї, та на вулицях Москви.
Зрозуміло, що боротьба з коронавірусом також відкрила можливості для застосування подібних технологій під гаслом безпеки. Для ефективної протидії хворобі варто розуміти, з ким контактували її носії та у яких публічних місцях вони перебували – а покладатися на слова хворих, які хочуть «захистити» своїх знайомих від обмежувальних заходів, часом ненадійно.
Втім, різні держави обрали різні підходи для трекінгу контактів своїх громадян.
Сінґапур, який, судячи зі статистики, чи не найкраще справляється з обмеженням поширення вірусу, використовує додаток TraceTogether, який використовує Bluetooth для відслідковування близькості користувачів до хворих на коронавірус. Місцевий МОЗ стверджує, що дані, які збираються додатком, є зашифрованими та аналізуватимуться лише самим міністерством.
Китай продовжив використовувати та вдосконалювати свої технології для трекінгу, які вже давно викликали сумніви з точки зору дотримання прав людини, зокрема, дрони і додаток Alipay Health Code, встановлений у понад 90% населення окремих провінцій, який класифікував людей за різними групами ризику та передавав дані до поліції.
Гонконг усім особам, які прибувають на територію міста, надягає браслети та прив’язує їх до мобільного додатку, за допомогою якого відслідковує дотримання режиму ізоляції хворими; штраф за недотримання правил може досягати 600 доларів або шестимісячного ув’язнення.
Ізраїль у межах надзвичайного стану поширив дію своїх контртерористичних правил з трекінгу мобільних даних про локацію на тих, у кого було діагностовано коронавірус або ж є підозра на його наявність, а також тих, хто перебував у тісному контакті з цими людьми; рішення про розкриття таких даних приймається без рішення суду через звернення місцевого МОЗ до поліції та розвідки.
Іран використовує додаток AC19, який встановило кілька мільйонів користувачів – і який, на думку фахівців, займається винятково збором даних про переміщення громадян і жодним чином не використовується для досягнення заявленої мети боротьби з COVID-19, який додаток начебто визначає лише з відповіді користувача на кілька питань.
Південна Корея на основі даних створила мапу, на якій позначені місця, у яких перебували пацієнти з підтвердженим тестом на COVID-19, та надсилає повідомлення користувачам, які могли перебувати поруч з такими місцями.
Якщо звернутися до практик європейських країн, то свій додаток розробила Польща. Його встановлення є обов’язковим, додаток відслідковує місце перебування хворих і тих, хто підлягає карантину, та вимагає зробити селфі протягом 20 хвилин з отримання пуш-повідомлення для підтвердження свого місця розташування. Це мало б запобігати візитам поліції для перевірки перебування осіб вдома – втім, візити поліції продовжується. Крім того, дані з цього додатку зберігатимуться 6 років.
Тестувати подібний додаток починає Норвегія, яка збиратиме дані про переміщення осіб, а у разі виявлення вірусу розсилатиме сповіщення усім користувачам, що перебували на відстані менше ніж 2 метри від хворого понад 15 хвилин – задля запобігання поширенню COVID-19.
Про розробку та впровадження власних додатків думають Німеччина, Канада та Ірландія. Також лунають заклики до розроблення додатку на рівні Європейського Союзу, з урахуванням вимог законодавства ЄС про захист персональних даних та GDPR.
Більшість країн світу поки що не вводять обов’язкового трекінгу хворих на коронавірус – окрім держав, відомих своїм нехтуванням окремими правами людини. Здебільшого дані отримані за допомогою додатків, зберігатимуться лише на час карантину.
Але існують обґрунтовані побоювання щодо того, що такий збір чутливих даних про людей може стати черговим кроком до масового стеження. Тому важливо, аби держави використовували отримані дані суворо пропорційно до мети їхньої обробки та видаляли їх одразу після того, як мета обробки досягнута.
Зокрема, правозахисники наголошують, що використання цифрових технологій для відстеження та моніторингу окремих громадян і населення має здійснюватися у чіткій відповідності до стандартів прав людини та включати елементи підзвітності й запобіжники проти зловживань.
Технологічні гіганти та коронавірус
Багато даних про себе ми віддаємо фактично як плату за користування безкоштовними соціальними мережами та сервісами. Саме тому технологічні компанії вже давно стали саме тими суб’єктами, які знають про нас майже все. Тож дані, які вони збирають про користувачів, також можуть бути корисними для розуміння того, як корелюється поширення хвороби та окремі карантинні заходи.
У зв’язку з цим, Electronic Frontier Foundation нагадує, що поширення агрегованих даних техкомпаніями буде пропорційним лише при отриманні згоди на це від користувачів, а також за умов максимальної анонімізації та деперсоналізації – для того, щоб за кількома критеріями не можна було легко віднайти конкретну людину.
Google почав публікувати звіти з мобільності спільнот, метою яких є дослідження того як змінилася поведінка користувачів його сервісів після введення обмежувальних заходів для протидії поширення коронавірусу.
Дані генеруються з пристроїв тих користувачів, які увімкнули функцію «Location History», вимкнену за замовчуванням, та вказують на мобільність у шести категоріях місць: рітейл та відпочинок, продуктові магазини та аптеки, парки, зупинки транспорту, місця роботи, місця проживання.
Facebook у межах власної ініціативи «Data for Good» також оприлюднив для дослідників так звані мапи з попередження захворюваності. На цих мапах можна відстежувати тренди переміщень населення в межах країни, щоб спрогнозувати майбутні спалахи вірусу в тій чи іншій частині світу.
Apple створив додаток для тестування на COVID-19 та стверджує, що не збирає отримані дані, а аналізує лише загальні дані про використання додатку.
10 квітня 2020 року Google та Apple оголосили про створення спільної технології відстежування контактів для протидії COVID-19, яка спочатку базуватиметься на застосуванні додатку, а потім буде вмонтована у операційні системи смартфонів. Такі системи також діятимуть за допомогою Bluetooth та контактів між смартфонами та, як стверджують представники компаній, будуть добровільними для використання.
При виявленні у когось з користувачів коронавірусу, буде можливість завантажити інформацію про це в базу даних, яка автоматично надсилатиме сповіщення користувачам, що перебували в зоні ризику. Компанії також опублікували технічну документацію до рішень, які вони пропонують.
Поки що технологічні компанії досить відповідально ставляться до збереження персональних даних власних користувачів. У світлі їх критики за витоки даних протягом останніх років, це – позитивний тренд.
Втім, навіть ці пропозиції від техкомпаній критикують, зокрема, оскільки залишається можливість для «тролів» звітувати про інфікування вірусом, якого не буде діагностовано у людини. Тому для максимального захисту приватності Google, Apple та іншим варто прислухатися до критики зі сторони розробників та громадянського суспільства та усунути такі недоліки.
А як з цим всім порається Україна?
У 2020 рік Україна увійшла на хвилі діджиталізації, яка не оминула і боротьбу з коронавірусом. 7 квітня Мінцифри презентували «Дій вдома» – додаток для моніторингу дотримання режиму обсервації та самоізоляції, досить схожий на польський аналог.
Додаток розроблявся для добровільного моніторингу за згодою особи, однак в описі додатку на Google Play Market стверджується, що «застосунок в обов’язковому порядку встановлюється у смартфони осіб, які можуть бути потенційними носіями вірусу COVID-19 та яких зареєстровано у медзакладах як тих, що потребують самоізоляції або обсервації».
У політиці конфіденційності додатку вказано, що метою обробки даних є забезпечення здійснення адміністративних та медико-санітарних заходів, що застосовуються для запобігання поширенню особливо небезпечних інфекційних хвороб (карантину) та забезпечення екстреної комунікації користувача з Міністерством охорони здоров’я України у разі виникнення такої потреби.
Станом на 9 квітня зазначалося, що дані можуть передаватися МВС, Національній поліції та Центру громадського здоров’я – а також іншим органам; втім, вже на 13 квітня можливість передавати дані існує винятково до Національної поліції та МВС.
З публічної комунікації органів влади випливає, що такого порядку не розроблено, чим ставиться під сумнів можливість використання даних, зібраних за допомогою додатку, для будь-яких цілей, окрім статистичних.
Для того, аби частково вирішити цю проблему, 13 квітня 2020 року було прийнято Проект Закону про внесення змін до Закону України «Про захист населення від інфекційних хвороб» щодо запобігання поширенню коронавірусної хвороби (COVID-19), перехідними положеннями якого було дозволено обробку персональних даних без згоди особи (зокрема і даних про здоров’я особи) за умови використання таких даних виключно з метою здійснення протиепідемічних заходів та в порядку і межах, визначених рішенням про встановлення карантину.
Протягом 30 днів після закінчення карантину такі дані мають бути знеособленими, а у разі неможливості цього – знищені. Це дозволяє органам влади обробку чутливих даних без згоди на це суб’єкта персональних даних, але не вирішує питань щодо обов’язковості використання «Дій вдома» та не встановлює порядку передачі зібраних даних між органами влади.
Крім того, використання даних з метою здійснення протиепідемічних заходів, як видається, не надає можливості використовувати цю інформацію для притягнення до відповідальності.
Окрім «Дій вдома» 9 квітня 2020 року Віце-прем’єр-міністр України – міністр цифрової трансформації Михайло Федоров на своїй сторінці у Facebook опублікував мапу, що «демонструє недотримання правил самоізоляції людьми, які повернулися з-за кордону, з країн, де вирує коронавірус».
Мапу створили на основі аналізу big data, наданих мобільними операторами про понад півмільйона громадян, що повернулися до України після введення карантину, і показує кількість порушників у містах України. Як стверджує міністр, сет даних не має персоналізованої інформації, а користуються ним МОЗ та РНБО для планування заходів з захисту здоров’я.
І ці дії, насправді, теж викликають питання. Попри те, що дані начебто були передані в агрегованому та деперсоналізованому вигляді, ані чинний Закон України «Про захист персональних даних», ані умови використання сервісів мобільних операторів Vodafone та Lifecell, ані кодекс поведінки з персональними даними Київстару не передбачають можливості передачі таких даних третім особам, включно з державними органами, для подібних цілей.
10 квітня у медіа також з’явилася новина про те, що уряд виділив Службі безпеки України 49,9 мільйонів гривень з резервного фонду бюджету для закупівлі системи Verint NowForce «для здійснення заходів спрямованих на запобігання поширенню гострої респіраторної хвороби Сovid-19, спричиненої коронавірусом SARS-CoV-2, на території України». Один з продуктів, який пропонує компанія – це застосування геолокації для відстежування контактів хворих та інфікованих.
Тож використання даних для відстежування та контролю за COVID-19 в Україні є достатньо сумнівними з точки зору національного права та міжнародних стандартів у сфері захисту персональних даних.
Таке використання сірих зон не суттєво загрожує праву на приватність зараз, але це чергове свідчення відсутності культури захисту персональних даних в Україні, та певною мірою підриває довіру як до операторів мобільного зв’язку, так і органів державної влади.
То які висновки?
Пандемія COVID-19 стала одним з найсуттєвіших викликів праву на приватність у ХХІ столітті. Ризик зловживання використанням даних про переміщення людей та трекінгом є як ніколи високим. Деякі країни та державні утворення, як Китай, Ізраїль та Гонконг, обмежують права своїх громадян і явно виходять за межі трискладового тесту обмеження їхніх прав.
Інші йдуть більш ліберальними шляхами, як і більшість технологічних компаній, що мають чи не найбільше даних про всі наші рухи і подихи. Заперечувати позитиви, які використання масивів трекінгових даних може принести для вивчення шляхів поширення хвороби, важко. Пам’ятаймо: ми не можемо дозволити, щоб пандемія COVID-19 стала виправданням для вихолощення права людини на приватність. Слідкуймо. Разом.
Автор: Максим Дворовий,
юрист Лабораторії цифрової безпеки