Введение
Правительства и корпорации все шире используют цифровые технологии для борьбы с распространением нового коронавируса Covid-19. В то время как одни видят в технологических решениях важное средство отслеживания контактов, обеспечения карантина и получения картины распространения вируса с выходом на адресное использование ресурсов здравоохранения, у других эти практики вызывают серьезные вопросы с точки зрения прав человека. Инициативы об отслеживании местоположения пользователей мобильных телефонов вызывают у Human Rights Watch особую обеспокоенность в силу того, что такие данные, как правило, содержат чувствительные с точки зрения приватности сведения о личности человека, его передвижениях, поведении, устойчивых связях и деятельности.
Расширение масштабов программ мобильного трекинга в рамках борьбы с Covid-19 может быть избыточным с научной точки зрения и чревато нарушениями прав человека, если это не будет сопровождаться эффективными гарантиями защиты неприкосновенности частной жизни. Многолетний опыт реализации чрезвычайных мер, таких как электронная слежка для борьбы с терроризмом, показывает, что они зачастую заходят слишком далеко, не обеспечивают искомых результатов и, будучи введенными, нередко остаются в силе и после исчезновения исходной причины введения.
В предлагаемых «вопросах и ответах» рассматриваются различные способы использования правительствами данных о местоположении пользователей мобильной связи в контексте пандемии Covid-19, связанные с этим проблемы прав человека, а также применимые стандарты. Приводятся характерные примеры, рекомендации и предложения по учету рисков для прав человека, создаваемых использованием данных о местоположении мобильных устройств.
Что понимается под данными о местоположении пользователей мобильной связи и как они используются в условиях пандемии Covid-19?
Каким образом данные о местоположении пользователей мобильной связи используются в условиях пандемии Covid-19?
Под «данными о местоположении пользователей мобильной связи (мобильный трекинг)» мы понимаем геолокацию и сигнал базовых станций, с которыми связываются мобильные телефоны и другие устройства. Правительства рассматривают такие данные как одну из ключевых составляющих мер по сдерживанию распространения Covid-19. Индивидуальный мобильный трекинг продвигается как надежный способ отслеживания передвижений носителей коронавируса и выявления лиц, с которыми они контактировали в контагиозный период. Эта технология также может использоваться для контроля соблюдения социальной дистанции и других карантинных мер. С другой стороны, анализ агрегированных данных о местоположении может помочь в оценке эффективности социального дистанцирования, в моделировании дальнейшего распространения инфекции и в выявлении потенциальных «точек риска». Можно привести следующие примеры использования правительством таких средств в условиях Covid-19:
- Отслеживание контактов. Данный метод направлен на выявление лиц, которые могли контактировать с носителем вируса, и блокирование его распространения с помощью оперативного установления круга лиц, которые близко общались с носителем (по нормам американских центров профилактики и борьбы с болезнями близким общением считается нахождение в пределах примерно двух метров от больного продолжительностью более 10 минут). Смысл в том, чтобы мотивировать таких людей к самоизоляции и прохождению тестирования и лечения. Поскольку коронавирус преимущественно передается воздушно-капельным путем при личном контакте, когда инфицированный человек кашляет, чихает или разговаривает, мобильный трекинг позиционируется как эффективный способ выявления круга потенциальных носителей.
- Обеспечение соблюдения карантина и социального дистанцирования. Правительства вводят карантин и другие ограничения на передвижения, включая полное или частичное закрытие предприятий, общественных мест и учреждений, самоизоляцию инфицированных и социальное дистанцирование. Для мониторинга соблюдения всех этих ограничений используются данные о местоположении пользователей мобильной связи, которые собираются, например, с помощью приложений, устанавливаемых в добровольном или принудительном порядке.
- Большие данные. На основании анализа больших массивов агрегированных данных корпорации и правительства также выстраивают модели перемещения и поведения населения и отслеживают их изменение. Такой анализ проводится с целью прогнозирования распространения вируса и оценки эффективности мер профилактики, таких как социальное дистанцирование, а также для определения приоритетных территориальных потребностей в тестировании и лечении.
-
Формирование географии точек риска. Данная методика также основана на анализе больших массивов данных, который в сочетании с данными о местоположении и передвижениях инфицированных людей позволяет выделить потенциальные территории риска, на которых могут объявляться предупреждения, вводиться карантин или проводиться дезинфекционные мероприятия.
Как работает мобильный трекинг?
Данные о местоположении пользователя мобильной связи могут быть получены различными способами, включая определение по базовым станциям, GPS-сигнал и Bluetooth-маячки.
- Определение местоположения по базовым станциям. Связь между пользователями и подключение к интернету осуществляется через базовые станции в центре каждой «соты». По мере движения владельца устройства оно связывается с разными базовыми станциями, и эта информация хранится у оператора сотовой связи (ОСС). По трем базовым станциям методом «триангуляции» можно довольно точно установить местоположение мобильного устройства. Правительства могут требовать от ОСС предоставлять такие сведения как по текущим, так и по прошлым передвижениям.
- GPS-сигнал. Встроенная в мобильный телефон функция геолокации по GPS-сигналу позволяет определить его местоположение с точностью от 1,5 до 3 метров. Эта функция используется множеством мобильных приложений (карты, соцсети, игры, шопинг, служебные программы), и журнал загрузок данных геолокации может оказаться доступным властям и компаниям, которые занимаются коммерциализацией данных. Среди последних есть как крупные, так и малоизвестные компании, собирающие данные о потенциальных потребителях и затем продающие их непосредственно или основанную на них аналитику на свободном рынке. На сегодняшний день появилось уже множество GPS-приложений для отслеживания контактов и соблюдения карантина. Помимо этого, обезличенные данные геолокации могут использоваться для моделирования потоков людей как в прошлом, так и в режиме реального времени.
-
Bluetooth-маячки. Bluetooth представляет собой технологию маломощной беспроводной связи на коротком расстоянии (в пределах около 10 метров), которая преимущественно используется для прямого соединения устройств друг с другом. Для целей отслеживания контактов предлагается использовать специальное приложение, которое по сигналу Bluetooth способно с относительно высокой точностью установить факт нахождения мобильного телефона рядом с другими устройствами. В силу этого данный метод можно проще всего охарактеризовать как трекинг контактов.
Применимые стандарты прав человека
Международные нормы о правах человека предусматривают, что даже когда государство в условиях чрезвычайного положения ограничивает права и свободы в интересах охраны здоровья населения, то такие ограничения должны быть законными, необходимыми и соразмерными. Чрезвычайное положение должно быть ограничено по времени, а любые ограничения прав человека должны учитывать непропорциональные последствия для отдельных категорий населения или маргинализованных групп.
Эти принципы применимы и к мерам реагирования на Covid-19 с использованием данных о местоположении пользователей мобильной связи. В ходе сбора и анализа таких данных может быть получена информация о личности, передвижениях и контактах пользователей, что чревато ущемлением права на неприкосновенность частной жизни. Статья 17 Международного пакта о гражданских и политических правах, основанная на статье 12 Всеобщей декларации прав человека гласит, что «никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции». Комитет по правам человека в своем замечании общего порядка по этой статье указывает, что вмешательство в право на личную жизнь «вообще не может иметь места за исключением случаев, предусмотренных законом (курсив – HRW.)». При этом ограничения должны быть соразмерными искомой цели и необходимыми с учетом остроты ситуации.
Human Rights Watch и еще свыше 100 неправительственных организаций недавно настоятельно призвали правительства уважать приватность и права человека при использовании цифровых технологий для сдерживания пандемии. По нашему общему мнению, при этом должны соблюдаться как минимум следующие условия:
- должны быть законными, необходимыми, соразмерными, прозрачными и оправданными с точки зрения законной цели в области охраны здоровья населения;
- должны быть ограничены по времени и действовать только на период, необходимый для борьбы с пандемией;
- должны быть ограничены по масштабам и приниматься исключительно в целях борьбы с пандемией;
- должны обеспечивать достаточный уровень защиты любых собираемых персональных данных;
- должны учитывать риски дискриминации и других нарушений прав человека в отношении маргинализованных групп населения;
- должны обеспечивать прозрачность любых договоренностей об обмене данными с другими государственными и частными акторами;
- должны включать гарантии недопущения неправомерной слежки и обеспечения доступа к эффективным средствам правовой защиты;
- должны включать механизмы свободного, активного и содержательного участия заинтересованных сторон.
Как правительства используют мобильный трекинг в борьбе с Covid-19?
Растущее использование правительствами данных о местоположении пользователей мобильной связи для борьбы с распространением Covid-19 объясняется вполне понятными соображениями охраны здоровья населения, поскольку любая вирусная инфекция – это прежде всего контакты между людьми. Базирующаяся в Лондоне организация Privacy International ведет мониторинг соответствующих практик правительств, технологических компаний и международных организаций. Ниже мы приводим некоторые примеры.
Отслеживание контактов по данным операторов сотовой связи (ОСС)
Власти могут получать доступ к данным ОСС. В Израиле правительство 17 марта предоставило службе контрразведки и внутренней безопасности «Шин-Бет» право запрашивать у ОСС и обрабатывать «технические данные», включая местоположение абонентов, без согласия последних с целью выявления круга лиц, которые контактировали с носителем вируса. В рамках этой программы министерство здравоохранения рассылает на соответствующие номера предупреждения о необходимости самоизоляции. Данное решение было принято кабинетом в обход парламента, и верховный суд впоследствии постановил, что правительство должно провести закон, «обеспечивающий соблюдение принципов защиты приватности», в противном случае программа должна быть прекращена. 23 марта министерство здравоохранения выпустило специальное приложение, которое устанавливается добровольно и предупреждает пользователя, если он контактировал с инфицированным человеком.
В Армении парламент 31 марта предоставил властям предельно широкие полномочия по слежке за гражданами, обязав ОСС предоставлять сведения по всем абонентам, включая номер и местоположение телефона, дату и время каждого звонка и СМС-сообщения. Власти могут использовать эту информацию для выявления подлежащих изоляции инфицированных лиц и самоизоляции близко контактировавших с ними, а также для мониторинга соблюдения карантинных мер.
В России премьер-министр 20 марта поручил Минкомсвязи разработать на основе данных ОСС общенациональную систему отслеживания лиц, контактировавших с коронавирусными больными. 1 апреля министерство отчиталось о выполнении. Оно запросило у региональных властей обезличенные списки мобильных номеров носителей коронавируса и людей, находящихся на самоизоляции после возвращения из-за рубежа или контактов с подтвержденными носителями.
В Эквадоре президент 16 марта своим чрезвычайным указом разрешил правительству использовать данные спутниковой и мобильной связи для мониторинга людей, у которых выявлен коронавирус, близко контактировавших с ними, а также тех, у кого имеются характерные симптомы или кто находится на обязательной самоизоляции после возвращения из-за рубежа.
Отслеживание контактов по Bluetooth-приложениям
В Сингапуре правительство 20 марта выпустило Bluetooth-приложение для отслеживания контактов TraceTogether. В случае заражения гражданин обязан по закону оказывать содействие министерству здравоохранения, аккуратно фиксируя свои передвижения и контакты с целью минимизировать риск распространения инфекции. Журналы данных хранятся на телефоне в зашифрованном виде с использованием «криптографически генерируемого временного сертификата». Если пользователь приложения является подтвержденным носителем Covid-19 и дает согласие министерству здравоохранения на выгрузку журнала данных, то власти могут декодировать временный сертификат и получить доступ к списку номеров из журнала.
Еврокомиссия 8 апреля приняла рекомендацию об общеевропейском подходе к использованию мобильных приложений, в том числе и для отслеживания контактов. Подход должен основываться на принципах защиты приватности и персональных данных, включая использование минимально возможного объема данных и такие гарантии, как агрегирование, шифрование и децентрализация. Предполагается также исходить из добровольности и предпочтительно использовать отслеживание через Bluetooth. В дальнейшем должны быть приняты нормативные положения о защите данных и приватности при использовании мобильных приложений. 17 апреля Европарламент поддержал эту рекомендацию, добавив требование полной прозрачности, с тем чтобы граждане могли убедиться в безопасности и приватности используемого в таких приложениях протокола. В настоящее время ряд государств ЕС, в том числе Франция, Германия и Нидерланды, находятся в процессе выбора приложений.
В Норвегии Национальный институт общественного здравоохранения 16 апреля выпустил добровольное автоматическое приложение, которое отслеживает передвижения пользователя и рекомендует ему карантин в случае контактов с подтвержденным носителем вируса. Если вирус обнаружится у самого пользователя, то приложение на основании данных о его контактах отправит СМС-сообщение о необходимости самоизолироваться всем людям, которые находились на расстоянии ближе двух метров от него в течение более 15 минут.
Мобильные приложения для отслеживания карантина и социального дистанцирования
В городах и провинциях Китая для определения людей, подлежащих помещению на карантин, и срока этого карантина власти используют приложение Health Code от частных разработчиков. Приложение присваивает каждому из примерно 700 млн пользователей один из трех цветовых кодов: зеленый разрешает беспрепятственное передвижение, желтый требует семидневного карантина, красный – карантин на две недели. Чтобы пройти в здание, сходить с магазин, воспользоваться общественным транспортом и передвигаться в пределах микрорайона необходимо предъявить на блокпосту QR-код для сканирования. Однако правила присвоения цветового кода засекречены, поэтому человек не знает, в связи с чем ему присвоен тот или иной код или почему он изменился. Приложение также собирает данные о местоположении пользователей, которые открыты для полиции. Пользователи жалуются на произвольность квалификации и трудности с ее обжалованием; некоторым приходится неопределенно долго оставаться дома даже после установленного приложением срока карантина.
В Турции министр здравоохранения 7 апреля заявил, что носители Covid-19 должны в обязательном порядке загружать приложение «Остаемся дома» в рамках проекта по отслеживанию самоизоляции в период пандемии. Приложение отслеживает передвижения людей, подлежащих самоизоляции: в случае выхода из дома им приходит СМС-предупреждение и поступает приказ оставаться дома из автоматического колл-центра. В рамках программы информация о лицах, игнорирующих предписание и продолжающих нарушать карантин, передается в правоохранительные органы, и к ним могут быть применены уголовные санкции вплоть до ареста на срок от двух месяцев до года по статье 195 УК. Human Rights Watch пока не проводила исследования того, насколько массово это приложение применяется на практике и насколько жестко власти следят за соблюдением указанных требований.
В Москве столичные власти запустили в апреле приложение, отслеживающее передвижения больных Covid-19, которые проходят лечение на дому. Его обязаны устанавливать все, кому предписан режим домашней изоляции. Приложение требует доступа ко всем звонкам, геолокации, камере, памяти, сетевым данным, сенсорам и другим данным, что в совокупности должно обеспечивать соблюдение самоизоляции на период контагиозности. Это приложение дополняет развернутую в Москве одну из крупнейших в мире систем уличных камер с функцией распознавания лиц, которая способна отслеживать нарушителей режима самоизоляции. 15 апреля в Москве и Московской области также была введены цифровые пропуска для разовых поездок как на общественном, так и на личном транспорте.
Анализ больших данных
В Евросоюзе восемь крупнейших ОСС согласились предоставлять Еврокомиссии обезличенные метаданные для моделирования и прогнозирования распространения Covid-19. Один из еврочиновников обещал, что данные будут использовать в агрегированном и обезличенном формате и что Комиссия ЕС удалит их после окончания пандемии, однако уполномоченный Еврокомиссии по вопросам защиты персональных данных не исключил, что эти меры могут стать постоянными.
В США компании мобильной рекламы, собирающие данные о местоположении пользователей мобильной связи и интернета для адресной рекламы, предоставляют, как сообщается, результаты их обработки центрам профилактики и борьбы с болезнями и некоторым штатовским и муниципальным властям. В условиях Covid-19 такие соглашения об обмене данными призваны помочь властям составить картину путей распространения вируса и корректировать реагирование органов здравоохранения. При этом такие договоренности в значительной степени остаются непубличными, в том числе в части порядка сбора, предоставления, обезличивания и анализа данных. Сообщалось также, что федеральное правительство работает над созданием общенациональной системы коронавирусного мониторинга для прогнозирования числа случаев заражения и госпитализации в масштабах всей страны. Остается неясным, в какой степени этот проект связан с обменом данными между индустрией мобильной рекламы и центрами профилактики и борьбы с болезнями.
В Южной Корее власти в дополнение к отслеживанию носителей вируса по мобильному трекингу, камерам наружного наблюдения и использованию информации об использовании банкоматов и банковских карт разработали на основе агрегированных данных публичную карту случаев заражения, которая позволяет гражданам проверить вероятность контактов. Эта карта была официально запущена 26 марта. Органы здравоохранения также рассылают пользователям мобильных телефонов подробные уведомления с информацией о подтвержденных случаях, включая возраст, пол и передвижения человека за двое суток по помещения их на карантин. Это делается для того, чтобы случайно контактировавшие с больными лица (например, посетители того же ресторана в то же время) были готовы к тому, что и у них может обнаружиться коронавирус.
В Эквадоре президент 6 апреля анонсировал запуск сервиса SOS-Covid, который использует информацию скорой помощи, министерств телекоммуникаций и здравоохранения и ОСС, а также данные приложения Salud EC (см. ниже) для мониторинга соблюдения карантина, выявления случаев заражения, проведения массового тестирования и выявления зон риска с тесными контактами между людьми.
Решения на основе инициативного информирования самим пользователем
Правительства также разрабатывают программы, которые позволяют гражданам сообщать о случаях заражения коронавирусом и на основании данных о местоположении направлять людей в медицинские службы. Например, в Эфиопии Агентство по безопасности информационных сетей 23 марта запустило платформу мониторинга Covid-19, на которой приводится информация о случаях заражения и сообщается о ближайших аптеках, больницах и полицейских участках. Люди с характерной симптоматикой или контактировавшие с подтвержденными носителями могут сами сообщать об этом через платформу министерству здравоохранения. Система также позволяет пользователям информировать о противозаконных или несанкционированных проявлениях, таких как массовые публичные мероприятия, и о людях с подозрением на коронавирус – на основании субъективной оценки информатора. Последнее вызывает обеспокоенность, особенно в ситуации, когда имеют место сообщения о случаях притеснения и дискриминации иностранцев и работников здравоохранения по мере нарастания в Эфиопии числа случаев Coivd-19.
В Эквадоре 25 марта было объявлено о разработке приложения Salud EC, которое фиксирует имя, год рождения, номер удостоверения личности и геолокацию пользователей. Это приложение устанавливается добровольно, и пользователи могут через него сообщать о своих симптомах Covid-19, после чего приложение предоставляет пользователю доступ к онлайновым ресурсам, созданным властями для борьбы с эпидемией.
Как может мобильный трекинг приводить к вмешательству в право на неприкосновенность частной жизни?
Мобильный трекинг создает значительные и убедительно доказанные риски для приватности. Данные о местоположении пользователей мобильной связи могут содержать чувствительную и не подлежащую разглашению информацию о личности человека, месте его проживания, поведении, связях и деятельности. Использование данных сетей мобильной связи дает властям точечные и в режиме реального времени возможности, которые могут быть задействованы для принудительного обеспечения карантина, дискриминации или преследования граждан по иным мотивам. В руках недобросовестного правительства, которое уже практикует интрузивные методы слежки, это может приводить к усугублению репрессий.
Описанные выше программы мобильного трекинга дают основания опасаться, что правительства могут собирать, использовать и хранить данные не только для законных и адресных мер мониторинга заболеваемости. Непрозрачность многих подобных инициатив, как в Эквадоре и Эфиопии, не позволяет обществу оценивать, существуют ли разумные пределы той персональной информации, которую предполагается собирать, использовать, агрегировать и хранить, а также прекратится ли трекинг и сбор данных, когда пандемия пойдет на спад. Это особенно актуально для таких стран, как Китай, Эфиопия и Россия, где уже сложилась практика массовой слежки.
К другим проблемным аспектам относятся: ограничение свободы передвижения на основе произвольных и непрозрачных алгоритмов приложений, как в Китае; отсутствие необходимости на получение согласия на использование данных, как в Армении, Израиле и Южной Корее; увязка мобильного трекинга с другими технологиями, включая распознавание лиц, как в Москве. Почти все инициативы по борьбе с коронавирусом, связанные с использованием данных о местоположении, предполагают попадание обширных массивов данных в руки правительств, многие из которых устойчиво практикуют репрессии и дискриминацию в отношении маргинализованных групп населения, таких как религиозные меньшинства и политические диссиденты.
Избыточное вмешательство в персональные данные о местоположении человека открывает дорогу и другим неоправданным ограничениям прав и свобод. Например, в Израиле «Шин-Бет», как сообщается, ошибочно ограничивала свободу передвижения, отправляя на карантин людей с негативным результатом теста на коронавирус, в том числе женщину, которой предписали самоизоляцию после того, как она с улицы помахала находившемуся на карантине больному. Открытие правоохранительным органам доступа к информации также может отталкивать людей от обращения к врачу. В США муниципальные власти собирают адреса людей с положительным тестом на коронавирус и передают эти сведения полиции и экстренным службам. По мнению некоторых экспертов в области здравоохранения, такая практика может препятствовать обращению к врачу или прохождению тестирования, поскольку человек может испугаться попасть в полицейскую базу. Наконец, обнародование деликатных подробностей передвижения и поведения людей может провоцировать страх, панику и дискриминацию. В Южной Корее власти рассылают «инструкции по безопасности», в которых население информируется о местах, где побывали инфицированные. Владельцы магазинов и ресторанов, оказавшихся в таких списках, рассказывали журналистам The Guardian, что это отпугивает клиентов и может обернуться закрытием бизнеса даже в том случае, если они продезинфицируют помещение.
В чем может быть опасность даже обезличенных данных?
Обезличивание, то есть исключение идентифицирующей информации из данных о местоположении пользователя мобильной связи, принято считать одной из гарантий защиты приватности, однако на сегодняшний день уже хорошо известно, что сопоставление обезличенных данных с персональной и общедоступной информацией позволяет идентифицировать человека. Чтобы исключить такую возможность, правительствам нужно вводить прямой запрет на сопоставление обезличенных данных с другими персональными данными. Это стало серьезной проблемой в Южной Корее, где степень детализации истории передвижений лиц с подтвержденным коронавирусом в рассылаемых СМС-сообщениях позволяла «вычислять» конкретного человека. Сообщалось, что некоторые люди, в которых на основании таких сообщений заподозрили носителей вируса, становились мишенью ненавистнических высказываний или притеснений. В других случаях информация в сообщениях давала повод для спекуляций о супружеской неверности и социальной стигматизации. Национальная комиссия по правам человека раскритиковала власти за разглашение большего объема информации, чем это необходимо в противоэпидемических целях, и, соответственно, нарушение приватности и прав инфицированного лица, включая «вторичные последствия, когда пациент становится объектом критики, оскорблений и ненависти в интернете». Комиссия рекомендовала обнародовать только время появления носителя вируса в том или ином общественном месте, но не всю историю его передвижений.
Несут ли агрегированные данные риски для приватности?
Для прогнозирования распространения инфекции и оценки эффективности противоэпидемических мероприятий правительства и компании также прибегают к анализу больших массивов геолокационных данных. Одним из примеров является сотрудничество индустрии мобильной рекламы с американскими центрами профилактики и борьбы с болезнями. Google запустил отчеты о мобильности в местных сообществах: они «разделены по регионам и содержат данные о том, насколько чаще или реже люди выходят из дома и посещают общественные места, например торговые и развлекательные центры, продовольственные магазины, аптеки, парки, вокзалы и т. д.». Facebook в рамках инициативы по созданию карт профилактики заболеваемости предоставляет своим партнерам, в числе которых Гарвардская школа общественного здравоохранения и тайваньский Национальный университет Цинь Хуа, визуализацию данных о вероятности нахождения людей в одном и том же месте, об эффективности социального дистанцирования и соблюдения других мер профилактики, а также «индекс социальных связей», предполагающий возможность увязать распространение инфекции с трансрегиональными контактами.
В Google и Facebook говорят, что используют обезличенные и агрегированные данные о местоположении, позволяющие с большой степенью достоверности моделировать передвижение и поведение людей, но не детальные истории перемещений, открывающие возможности для обратной идентификации. Теоретически, агрегированные данные действительно несут меньше рисков для приватности, однако осуществляющие агрегирование компании и правительства должны обеспечивать раскрытие информации об используемых протоколах и процедурах в таком объеме, который позволял бы независимым и внешним исследователям удостовериться в том, что они действительно работают. Проекты по отслеживанию Covid-19 на основе агрегированных данных также должны раскрывать информацию о том, каким образом делаются выводы, как используются эти данные для принятия мер в области здравоохранения, а также о степени точности и рисках такого анализа.
Обеспечивается ли приватность при отслеживании контактов через Bluetooth-приложения?
Некоторые компании и исследователи недавно анонсировали новые разработки с целью обеспечить дополнительную защиту приватности при отслеживании контактов с помощью Bluetooth-приложений. К числу наиболее заметных относятся Pan-European Privacy Preserving Proximity Tracing (PEPP-PT), Decentralized Privacy-Preserving Proximity Tracing (DP-3T), и Privacy-Preserving Contact Tracing от Apple и Google, включающий программный интерфейс (API), который органы здравоохранения могут интегрировать в свои собственные приложения по отслеживанию контактов. Следующий этап – это система отслеживания контактов системного уровня, способная работать на всех устройствах на iOS и Android по принципу подписки. Отслеживание Bluetooth-контактов основано на том, что устройства в зоне действия данной связи обмениваются кодами-псевдонимами, которые представляют собой случайную последовательность чисел, не связанную с личностью пользователя, и меняющуюся каждые 10-20 минут для дополнительной надежности. Если пользователь становится носителем вируса, устройства могут оповестить об этом все телефоны, с которыми они находились на достаточно близком расстоянии. При этом носитель вируса не идентифицируется и не знает, кому разосланы предупреждения.
Bluetooth-приложения для отслеживания контактов позиционируются как самый надежный и безопасный способ, поскольку способность устройств связываться друг с другом обеспечивает максимально возможную достоверность и существует возможность выстраивания децентрализованной архитектуры, в которой данные хранятся локально на самом устройстве, а не в централизованной базе.
При всех многообещающих перспективах Bluetooth-системы пока недостаточно протестированы, а их разработка не исключает вариантов, чреватых рисками для приватности и безопасности персональных данных. Например, такие системы могут использовать как централизованные базы данных, так и децентрализованные – когда данные хранятся на телефоне. Некоторые правительства могут предпочесть централизованный вариант, однако это создает риски, если соответствующий орган располагает возможностями для недобросовестного использования метаданных и при этом склонен к коррупции или уязвим для законодательного принуждения, либо не принимает надлежащих мер предосторожности для защиты данных от посягательств со стороны недобросовестных акторов.
По общему мнению, децентрализованное хранение данных на индивидуальных устройствах выглядит предпочтительнее с точки зрения защиты приватности, однако и это не исключает определенных рисков. Враждебно настроенный к пользователю и обладающий достаточными техническими возможностями субъект в непосредственной близости от устройства способен считывать хранящиеся на нем сертификаты носителей вируса или может установить свое стационарное устройство, считывающее сертификаты проходящих мимо пользователей.
Более того, ученые из «Института технологий в интересах общества» предупреждают о том, что технические меры защиты могу не обеспечивать гарантий от недобросовестного использования технологий отслеживания контактов. Например, надежное шифрование и децентрализация не исключают вероятности того, что государственный орган или частная компании потребуют ознакомить их с содержанием приложения для предоставления доступа в здание или возможности воспользоваться транспортными услугами (например, чтобы убедиться, что пользователь не принадлежит к группе риска).
В Индии официальное «коронавирусное» приложение Aarogya Setu изначально позиционировалось как добровольное при его релизе в начале апреля, однако по распоряжению департамента кадров государственной службы от 29 апреля оно стало обязательным для всех государственных служащих, а по распоряжению МВД от 1 мая – для всех работников государственного и частного сектора.
Даже если то или иное приложение будет официально позиционироваться как добровольное, на практике многие компании уже заявляют, что его установка будет обязательным условием допуска к работе. Как выяснила Human Rights Watch, в Китае местные власти требуют предъявлять приложение Health Code на телефоне для того, чтобы воспользоваться такси или общественным транспортом либо пройти в супермаркет или жилой микрорайон. Наконец, как отмечают эксперты в области технологий, права и эпидемиологии, Bluetooth-приложения для отслеживания контактов уязвимы для троллинга и спуфинга, что может подорвать доверие к таким системам.
Насколько оправданны риски для приватности?
Возможность сбоев в программах мобильного трекинга вызывает сомнения в том, что связанные с такими программами ограничения приватности действительно необходимы для защиты здоровья населения.
Ключевая проблема заключается в том, способны ли эти технологии достоверно установить факт близкого контакта с носителем вируса (в пределах двух метров в течение как минимум 10 минут). По мнению технических экспертов, определение местоположения пользователя мобильной связи по базовым станциям или GPS-сигналу не обеспечивает достаточной точности для уверенной оценки риска инфицирования. Технологии отслеживания контактов через Bluetooth-приложения способны обеспечить более высокий уровень точности, однако здесь следует учитывать фактор искажения при наличии других активных устройств и общих помех, например, в многолюдных зданиях или оживленных городских парках. Более того, сам факт контакта ничего не говорит о его характере: находятся ли два человека в закрытом пространстве или на улице, в масках ли они или чихнет ли в этот момент кто-нибудь из них.
На эффективности мобильного трекинга может сказываться и разнообразие вариантов использования мобильных телефонов. Например, существует допущение, что каждый телефон используется конкретным человеком и только им. Однако в Сьерра-Леоне, как выяснилось, метаданные оказались не слишком надежным источником информации во время вспышки лихорадки Эбола в 2014 – 2016 гг., поскольку у многих был не один телефон и поскольку мобильные устройства активно передавались или продавались в кругу родственников и знакомых. Наконец, в местностях со слабым сигналом, в том числе в зонах конфликтов, где вышки часто являются стратегически важной мишенью противоборствующих сторон, люди часто используют несколько SIM-карт или телефонов.
Может ли неоправданное увлечение мобильным трекингом во время эпидемии приводить к дискриминации в отношении меньшинств?
Неравенство в наличии мобильных телефонов, цифровой грамотности и способности осваивать новые технологии может приводить к тому, что уязвимые или маргинализованные группы населения оказываются вне зоны охвата противоэпидемическими мерами, которые в неоправданно большой степени полагаются на мобильный трекинг. Это неравенство особенно рельефно проявляется, когда речь идет о приложениях для отслеживания контактов, изначально рассчитанных на то, что у каждого человека есть смартфон определенного технического уровня и устойчивый доступ к мобильной связи и интернету.
По данным GSMA - глобального отраслевого объединения операторов сотовой связи, в конце 2019 г. в интернет через мобильный телефон выходили 49% жителей планеты. В некоторых регионах, как в Африке южнее Сахары, этот показатель составляет всего 26%. Отраслевые аналитики считают, что отслеживанием контактов через Bluetooth-приложения не удастся охватить до 2 млрд пользователей мобильной связи, чьи устройства не поддерживают эту технологию, или около четверти всех используемых сегодня мобильных телефонов.
Также широко известен диспаритет в доступности и использовании мобильных устройств по географическому (город–село) и гендерному признакам, в целом отражающий и консервирующий устойчивые паттерны неравенства. Пожилые люди, которые составляют группу повышенного риска в условиях пандемии Covid-19, с меньшей вероятностью будут пользоваться специализированными приложениями, в также могут вообще иметь могут не иметь смартфона или даже доступа в интернет. В США опрос Pew в 2019 г. показал, что у 68% людей в возрастной группе от 55 до 73 лет были смартфоны, в то время как для возрастной группы от 23 до 38 лет эта цифра достигала 93%. В Италии, которая занимает одно из последних мест в Европе по охвату интернетом, правительство признало ограниченную эффективность разработанного им добровольного приложения по отслеживанию контактов, поскольку одна шестая часть населения не пользуется интернетом, а пожилые люди далеко не всегда загружают приложение. В Китае пожилые люди без смартфона больше не могут ни ездить в общественном автобусном транспорте (для это теперь необходимо наличие установленного приложения Health Code), ни попасть в государственную больницу (на прием необходимо записываться онлайн).
В некоторых странах гендерный разрыв среди пользователей интернета может достигать 31%. В целом по миру среди владельцев смартфона женщин примерно на 327 млн меньше, чем мужчин. Распространение смартфонов среди женщин сдерживается, среди прочего, таким фактором, как меньший уровень грамотности: в целом по миру из, оценочно, 781 млн неграмотных в возрасте 15 лет и старше почти две трети составляют женщины и девочки. Если правительства и бизнес введут наличие приложений для отслеживания контактов в качестве обязательного условия для допуска в общественное или частное пространство, то это приведет к дискриминации уязвимых и маргинализованных групп населения, у которых меньше возможностей загружать такие программы.
Human Rights Watch также предупреждает о том, что использование неполных и дискриминационных баз данных чревато дезориентацией усилий общественного здравоохранения таким образом, что это будет создавать угрозу правам наиболее бедных и уязвимых людей. Например, строгое соблюдение социального дистанцирования в странах с низким уровнем жизни может приводить к неоправданным последствиям для тех, кто находится на передовой борьбы с эпидемией, и тех, кто не имеет крова над головой или, лишившись работы, зависит от получения бесплатного питания и посещения служб социальной поддержки. Их передвижения могут показаться аномальными или нарушающими социальную дистанцию, в то время как им приходится быть более мобильными в силу специфики своего положения.
Рекомендации
Все описанные выше технологии преследуют благую цель – защитить здоровье населения в условиях чрезвычайной ситуации, и эта цель может оправдывать определенное ограничение прав и свобод. Однако многолетний опыт введения чрезвычайных мер показывает, что они часто заходят слишком далеко, не обеспечивают достижения искомых целей и, будучи принятыми, сохраняются дольше необходимого. Вне зависимости от остроты ситуации государства и частные акторы должны стремиться к тому, чтобы чрезвычайные меры не выходили за рамки допустимых законом ограничений прав личности.
Это означает, что правительства в своей борьбе с Covid-19 могут использовать или санкционировать технологии мобильного трекинга только в том случае, если будет доказана их необходимость и соразмерность с противоэпидемической точки зрения и если их использование будет сопровождаться достаточными гарантиями, исключающими нарушение прав и свобод. Должен быть дан ответ на принципиальный вопрос о том, действительно ли такие технологии способны сдерживать распространение коронавируса или в реальности они могут искажать представление о риске заражения конкретного человека либо вводить в заблуждение общество в целом. Государство должно оценивать, имеющиеся в его распоряжении другие способы, которые были бы менее интрузивны для таких прав человека, как неприкосновенность частной жизни и свобода передвижения. Пределы ограничения эти прав регламентированы международно-правовым стандартом, который устанавливает следующие требования:
- Ограничения должны быть законными, то есть не произвольными и не дискриминационными по своему характеру и применению и вводимыми на основании закона, который бы обеспечивал бы ясное понимание людьми налагаемых на них ограничений и предусматривал четкие границы дискреционных полномочий властей.
- Ограничения должны быть необходимыми, что есть эффективными, основанными на научных фактах и в минимально возможной степени ущемляющими права и свободы.
- Ограничения должны быть соразмерными рискам для здоровья населения и не должны никоим образом затрагивать сущность ограничиваемых прав.
- Ограничения должны преследовать законную цель: в данном случае – это защита здоровья населения (но не ксенофобская или дискриминационная повестка).
- Действие ограничительных мер должно быть ограничено по времени периодом чрезвычайной ситуации.
- Применяемые технологии и уполномоченные пользователи должны обеспечивать уважение человеческого достоинства.
- Применяемые технологии должны быть прозрачными и должны подлежать проверке и надзору; должны быть предусмотрены средства правовой защиты на случай нарушения прав человека.
Критерии оценки предлагаемых программ мобильного трекинга
У Human Rights Watch вызывает серьезные сомнения то, что описываемые в данном материале способы использования данных о местоположении мобильных устройств отвечают указанному выше стандарту. В то же время правительства по всему миру стремительно и без оглядки внедряют такие программы. Важно, чтобы при оценке предлагаемых или уже внедренных технологий мобильного трекинга общественность, СМИ, научно-техническое сообщество и политики исходили из четких критериев, позволяющих определить избыточные риски для прав человека (см. ниже).
Предварительные вопросы
Правительства, корпорации и другие разработчики программ, основанных на данных о местоположении пользователей мобильной связи, должны для начала оценить, насколько точно соответствующее техническое решение позволяет определить вероятность нахождения человека вблизи носителя коронавируса. Соответствует ли способ выявления лиц из группы риска тому, что мы знаем о передаче Covid-19 (например, с точки зрения выбора между отслеживанием контактов и отслеживанием симптомов)? Имеется ли техническая возможность так или иначе учитывать особенности контакта с носителем вируса (например, при нахождении в многолюдном здании или в оживленном парке) или использования мобильного телефона (например, в случае совместного использования или частой передачи устройства между пользователями)? Какие ошибки вероятны при работе программы? Как эти ошибки могут сказываться на доступе человека к тестированию и/или лечению и на мерах общественного здравоохранения в целом?
Для того чтобы обеспечить эпидемиологическую целесообразность программы и исключить ситуации предвзятости и ошибок, правительства и корпорации должны вести содержательный и прозрачный диалог с заинтересованными сторонами (включая гражданское общество, представителей уязвимых и маргинализованных категорий населения, специалистов по цифровым технологиям и эпидемиологов). В частности, следует рассматривать вопросы возможной увязки программ с институциональными мерами: например, предусмотрена ли возможность тестирования и лечения для людей, выявленных как находившихся в зоне контактного риска? Также необходимо оценить, не будет ли программа отвлекать ресурсы от реализации мер нетехнологического характера, таких как отслеживание контактов в ручном режиме и разъяснительная работа о необходимости социального дистанцирования, и если да, то к каким последствиям это может привести.
Заинтересованные стороны также должны выяснять, действительно ли программа является полностью добровольной и возможны ли санкции или негативные последствия в связи с отказом от участия в ней. Например, важно составить представление о том, несет ли в себе реализация программы риски санкций или неоправданных ограничений свободы передвижения, доступа к здравоохранению и других прав, особенно для уязвимых и маргинализованных групп.
Вопросы на стадии разработки
Если программа уже находится в стадии разработки, то в дополнение к перечисленным выше вопросам важно убедиться в том, чтобы в нее были встроены принципы защиты приватности. Это включает минимизацию объема данных, то есть сбор только такой информации, которая была бы адекватна и имела бы отношение к достижению научно доказанной цели в области общественного здравоохранения, ограничиваясь минимальным объемом. Также важно, предполагает ли программа жесткие ограничения на то, каким образом данные будут собираться, использоваться, агрегироваться, храниться и предоставляться, в том числе другим пользователям, государственным структурам и обществу. Наконец, следует уточнить временные рамки ее действия, включая вопросы завершения программы и последующего удаления данных. Важным шагом является привлечение государственных структур по защите персональных данных к разработке рекомендаций об обеспечении приватности при использовании персональных данных в противоэпидемических целях.
Важным моментом должно быть предоставление пользователям контроля за исходящей от них информацией и возможность прекращения ее предоставления. Предусматривает ли программа получение от пользователя по-настоящему информированного согласия на прозрачных условиях, сформулированных предельно ясно и просто, исходя из предпочтительности принципа подписки на услугу, а не отписки от нее? Достаточно ли понятен встроенный в программу функционал защиты приватности, включая настройки того, какие данные могут собираться, кто будет иметь к ним доступ, сколько они будут храниться и как они могут быть удалены? Применительно к приложениям отслеживания контактов важно, чтобы сбор, агрегирование, хранение и анализ сведений о контактах и здоровье не были централизованы в рамках единственной государственной структуры, например министерства. Если собираемые программой данные используются для анализа рисков заражения и оповещения соответствующего лица, то ему должны разъясняться степень надежности анализа и возможности использования ресурсов общественного здравоохранения, таких как государственные информационные сервисы.
Обезличивание и безопасное хранение данных – это важные аспекты разработки, требующие пристального контроля. Собранные данные должны обезличиваться в максимально возможной степени, а риски обратной идентификации – доводиться до пользователей в максимально понятной и доступной форме. Раскрывается ли исходный код программы, чтобы общество могло убедиться в ее добросовестности? Раскрывается ли разработчиками содержательная информация о протоколах обезличивания, чтобы можно было проверить их эффективность? Разработчики также должны раскрывать информацию о том, каким образом собранные данные защищаются от попыток третьих сторон получить к ним несанкционированный доступ или изменить их. Например, можно поставить вопрос: используются ли в программе надежные методы информационной безопасности (такие как оконечное шифрование) и подлежат ли эти методы регулярной проверке?
Вопросы на стадии внедрения и операционной деятельности
Если программа уже действует, то она должна проверяться и перепроверяться на соответствие вышеперечисленным стандартам. Разработчики должны отслеживать социально-политический контекст и обеспечивать наличие механизмов и протоколов защиты от недобросовестного использования. Например, могут ли пользователи оспорить сбор, агрегирование, хранение и использование касающихся их данных, и имеют ли они доступ к эффективным средствам правовой защиты? Могут ли пользователи выйти из программы и удалить свои данные? Могут ли сообщества и пользователи самостоятельно проверять операционные алгоритмы, чтобы убедиться в их надежности и в соответствии заявленной программой цели?