Nawet jeśli nie jesteś zainfekowany koronawirusem, ani nie przebywasz na kwarantannie, informacje na Twój temat Minister Cyfryzacji będzie mógł pozyskać od Twojego operatora telefonii komórkowej. Oto nowe prawo, które ma wejść w życie z Tarczą Antykryzysową 2.0.

Tarcza Antykryzysowa 2.0

Kontynuujemy nasz cykl postów o nowej tarczy antykryzysowej. Pisaliśmy już o masowym (nie)otwieraniu przez Pocztę Polską przesyłek Polaków, a teraz pora pochylić się nad tym, co operatorzy będą musieli na nasz temat przekazać politykom. Przecieki prasowe mówią o:

Danych o lokalizacji telefonu z 14 ostatnich dni w przypadku osób zarażonych lub poddanych kwarantannie

Zanonimizowanych (nie wiadomo jak!) danych lokalizacyjnych wszystkich pozostałych Polaków

Rząd tym ruchem chce uzupełnić zbiór danych na temat lokalizacji i podróży obywateli. Już teraz posiada informacje o lokalizacji osób poddanych kwarantannie (tych, którzy zainstalowali rządową aplikację kwarantanna), ale chce do nich dodać “te same dane”, z tym, że z innego źródła. Powodem ma być to, że nie wszyscy instalują rządową aplikację kwarantanna, co doskonale rozumiemy, bo ta aplikacja ma wiele problemów. O ryzyku z tym związanym mówiliśmy w nagrywanym przez weekend podcaście Na Podsłuchu:

W tym samym odcinku wspominaliśmy, że model ze zbieraniem danych z telefonii funkcjonuje w Izraelu. Z jednej strony to dobrze — bo tak można wychwycić więcej potencjalnych transmisji wirusa, np. osób starszych, które choć mają smartfona, to nie będą w stanie skorzystać z aplikacji mobilnej, jakiejkolwiek. A z drugiej to źle, zwłaszcza jeśli taki dostęp zostanie po opanowaniu epidemii pozostawiony, bo

“wicie, rozumicie, może się przydać, a w dodatku tak można namierzać porywane dzieci! Chyba każdy z Was chciałby uratować dziecko, prawda?”

DGP przytacza uspokajającą (hehehehe) wypowiedź “rozmówcy z rządu”:

Dane będą zagregowane i odpowiednio zanonimizowane, dlatego nie ma tu obaw o jakąkolwiek inwigilację

Nie ma memu, którym moglibyśmy wyrazić nasze zdziwienie. Tym bardziej, że nie wiadomo co rząd rozumie przez “inne dane“. Domyślamy się, że może chodzić o np. model smartfona, aby mieć podstawę do wlepienia mandatu tym, którzy twierdzą, że nie mają smartfona, kiedy są zmuszani do instalacji obowiązkowej już aplikacji kwarantanna.

Na marginesie, GUS (a więc Państwo) już ma od operatorów wasze numery telefonów, adresy i PESELE, dzięki ustawie dotyczącej spisu rolnego — i nie ma znaczenia, że nie jesteście rolnikami.

Dylemat

Technologia niewątpliwie może pomóc w walce z koronawirusem. Także logi z BTS-ów operatorów. Ale trzeba ją stosować z głową, od początku pilnując pewnych wytycznych i wdrażając odpowiednie mechanizmy bezpieczeństwa.

Jak to robić senownie? Na to pytanie odpowiada apel Fundacji Panoptykon, którego sygnatariuszem jest Niebezpiecznik.

W przypadku zbierania danych od operatorów, konieczne jest naszym zdaniem jasne sprecyzowanie celu ich zbierania, ustalenie czasu przechowywania i ujawnienie “sposobu anonimizacji” oraz wszelkich innych algorytmów, które miałyby pracować na tych danych, a po ujawnieniu mogłyby zostać poddane publicznej dyskusji, ocenie i ewentualnemu ulepszeniu.

Chcesz pracować z nikomu nieznanej kryjówki. Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując spoza biura. Porady plus narzędzia w 1.5h. Kliknij tu aby zobaczyć nagranie naszego nasz webinaru! Chcesz pracować z nikomu nieznanej kryjówki. Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując spoza biura. Porady plus narzędzia w 1.5h. Kliknij tu aby zobaczyć nagranie naszego nasz webinaru!





Tak, da się to obejść i oszukać i w ogóle

Wiemy, że część z Was będzie w komentarzach podpowiadać sposoby na wymsknięcie się z sytemu, zachęcać do zostawiania telefonów w domu, itp. Tak, każdą technologię da się oszukać — pytanie, czy to powinno przekreślić jej stosowanie w całości? Celem przecież nie jest całkowita ochrona każdego Polaka, a lepsze zrozumienie transmisji koronawirusa, co może mieć wpływ na zdrowie innych osób niż tylko my sami.

Każdy powinien więc odpowiedzieć sobie na pytanie sam: czy w takiej sytuacji ważniejsza jest dla niego prywatność (którą pewnie w wielu kontekstach i tak juz stracił) czy pokazanie faka rządzącym.

W idealnym świecie i tak, logi każdego z Was powinny teraz pokazać, że siedzicie w domu. A ten adres znany jest i organom państwa i operatorowi od dawna — podobnie jak od dawna w prawie są odpowiednie przepisy, które pozwalają niezauważalnie dla Was, Was podsłuchiwać/inwigilować. Jeśli więc ktoś uważa, że “rząd się na niego uwziął”, to o ile nie nastąpiło to w ostatnim tygodniu i nie jest to Wasza fobia, to pewnie i tak jesteście juz podsłuchiwani/inwigilowani ;P

Pamiętajcie, że prawa do krytyki tego pomysłu nie ma nikt, kto na swoim smartfonie ma zainstalowaną aplikację Facebooka/WhatsAppa lub Messengera ;)

I na koniec dwie refleksje. A co z innymi danymi? Warto ustalić, jakie one będą. W naszej opinii wystarczające jest tylko przekazywanie lokalizacji i ciężko jest nam znaleźć argumenty za przekazywaniem innych danych. Oraz, jak już te dane zaczną spływać, to czy ktoś będzie w stanie w sposób poprawny i wystarczająco szybki przetworzyć?

Projekt odpowiednich przepisów znalazł się w rządowym projekcie ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (druk sejmowy nr 330). Istotny jest art. 68 tej ustawy, który w ustawie o przeciwdziałaniu COVID-19 wprowadza art. 11f.

Art. 11f. 1. W związku z przeciwdziałaniem COVID-19, podczas stanu zagrożenia epidemicznego, stanu epidemii albo stanu klęski żywiołowej, operator w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2019 r. poz. 2460 oraz z 2020 r. poz. 374) jest obowiązany do udostępniania ministrowi właściwemu do spraw informatyzacji danych o lokalizacji, obejmujących okres ostatnich 14 dni, telekomunikacyjnego urządzenia użytkownika końcowego chorego na chorobę zakaźną COVID-19 lub objętego kwarantanną, na żądanie oraz w sposób i w formie ustalonej przez ministra właściwego do spraw informatyzacji. 2. Operator w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne na żądanie ministra właściwego do spraw informatyzacji jest obowiązany do przekazania w sposób i w formie ustalonej przez tego ministra, w celu przeciwdziałania COVID-19, podczas stanu zagrożenia epidemicznego, stanu epidemii albo stanu klęski żywiołowej zanonimizowanych danych o lokalizacji urządzeń końcowych użytkowników końcowych. 3. Zgoda użytkownika końcowego na przetwarzanie i udostępnianie danych, o których mowa w ust. 1–2, nie jest wymagana.

Będziemy oczywiście śledzić losy projektu. Zapewne niebawem do niego wrócimy.

Przeczytaj także: