Technologia w walce z koronawirusem – 7 filarów zaufania

Udostępnij artykuł!

Razem z przedstawicielami i przedstawicielkami branży cyfrowej opracowaliśmy rekomendacje jak budować technologię budzącą zaufanie, nie obawy o inwigilację.

Innowacje technologiczne są dla nas fascynującym materiałem badawczym. Dzięki ich opracowywaniu i wdrażaniu rośnie produktywność pracy, a lepsze warunki życia stają się możliwe dla coraz większej liczby z nas.


Jednocześnie “technologia nie jest neutralna” – powstaje w skomplikowanym procesie socjo-technicznym. Pytania o to jakie są cele technologii lub jakie zbiera dane są zasadne. Pandemia koronawirusa skłania innowatorów do tworzenia rozwiązań, które pomogą śledzić zakażonych i chronić zdrowych. To rozluźnienie reżimu kwarantanny domowej całego społeczeństwa na rzecz elastycznego, cyfrowego dystansowania społecznego. Taką aplikację buduje również polskie Ministerstwo Cyfryzacji, udostępniając otwarcie kod.


Zbieranie danych o społeczeństwie to niekoniecznie inwigilacja Wielkiego Brata albo biopolityka kapitalistycznego aparatu represji. Jesteśmy zdania, że przyszłość należy do ekonomii intelektu powszechnego – kolektywnej wiedzy społeczeństwa, umożliwiającej podejmowanie racjonalnych decyzji na poziomie systemu, np. systemu ochrony zdrowia. Nie wolno jednak w imię bezpieczeństwa i rozwoju porzucić prywatności i godności pojedynczej osoby.


Poniższe 7 filarów zaufania to ekspercki apel przygotowany przez przedstawicieli i przedstawicielki organizacji zajmujących się branżą cyfrową, podpisany już przez kilkudziesięciu wybitnych ekspertów i ekspertek.


Technologia w walce z koronawirusem – 7 filarów zaufania


Technologia może pomóc nam w walce z pandemią koronawirusa, ale wdrażanie w trybie przyspieszonym nowych rozwiązań technologicznych nie może stać się furtką do naruszeń praw i wolności obywateli. Monitorowanie społecznych kontaktów przy pomocy narzędzi technologicznych zadziała tylko przy dużym poparciu i dobrowolnej współpracy ze strony ludzi. Taka postawa wymaga wysokiego poziomu zaufania obywateli do narzędzia, które zostanie im zaproponowane przez państwo. 


Wychodząc naprzeciw potrzebie chwili, przypominamy najważniejsze zasady projektowania narzędzi w sposób zgodny z RODO i budzący społeczne zaufanie:


1. Minimalizacja i poprawność danych


W celu przeciwdziałania pandemii można przetwarzać tylko te dane, które są niezbędne do realizacji celu założonego w ramach konkretnego narzędzia (np. jeśli celem jest zarejestrowanie społecznej interakcji, która stwarza ryzyko zarażenia, wystarczy zapisanie pary urządzeń, które się „spotkały”, bez ich rzeczywistej lokalizacji). Co więcej, dostęp do danych powinny mieć tylko osoby i instytucje, które ten cel realizują (np. nie ma potrzeby, by obywatel korzystający z aplikacji do śledzenia społecznych kontaktów wiedział, kto naraził go na zakażenie; taką informację powinny otrzymać tylko służby sanitarne).

Wykorzystywane powinny być tylko możliwie najbardziej prawidłowe dane o ludziach. Jest to szczególnie ważne w rozwiązaniach sprawdzających prawdopodobieństwo zarażenia na podstawie danych o lokalizacji: przetwarzanie niepotwierdzonych danych potęgowałoby chaos, bo użytkownicy otrzymywaliby fałszywe powiadomienia o możliwym zarażeniu.


2. Ograniczenie czasu przechowywania danych 


Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do zrealizowania konkretnego celu, jakiemu mają służyć. Na przykład zapis kontaktów społecznych przemieszczającej się osoby jest potrzebny tylko przez okres, w jakim standardowo pojawiają się objawy zakażenia (do 14 dni), a dane biometryczne osoby objętej kwarantanną, przesłane w raporcie z aplikacji, tylko do momentu zweryfikowania, że raport był poprawny. W ustalaniu maksymalnych terminów powinni brać udział lekarze, epidemiolodzy i eksperci techniczni. 


3. Dane przechowywane na urządzeniu obywatela


Narzędzia służące do zwalczania koronawirusa nie powinny prowadzić do tworzenia nowych baz danych, przechowywanych na serwerach administracji publicznej. Zasadą powinno być gromadzenie i przetwarzanie danych osobowych na urządzeniu osoby, której te dane dotyczą. Przekazanie danych na zewnętrzny serwer (np. zarządzany przez służby sanitarne) powinno następować tylko w ściśle określonych i uzasadnionych przypadkach (np. stwierdzonego incydentu zarażenia), a obywatel powinien być o tej konieczności uprzednio poinformowany.


4. Bezpieczeństwo, szyfrowanie i anonimizacja danych 


Dane osobowe powinny być szyfrowane, anonimizowane (tam, gdzie to niemożliwe – pseudonimizowane), a korzystające z nich aplikacje powinny zachowywać najwyższe standardy bezpieczeństwa i być poddawane odpowiednim audytom. W ramach walki z epidemią grozi nam przetwarzanie danych milionów obywateli przez systemy, które powstają pod presją czasu. To sytuacja podwyższonego ryzyka również w kwestii cyberbezpieczeństwa: jakikolwiek wyciek będzie miał katastrofalne skutki dla społecznego zaufania do technologii wdrażanych przez państwo.


5. Czytelna informacja dla obywateli


Podstawą społecznego zaufania do narzędzi technologicznych służących walce z pandemią jest czytelna i zrozumiała informacja dla osób, których dane będą wykorzystywane. Obywatele powinni rozumieć zasady działania proponowanych im narzędzi, zakres zbieranych o nich danych oraz to, kto i w jaki sposób z tych danych skorzysta.


6. Otwartość kodu i przejrzystość algorytmów


Standardem dla narzędzi służących do walki z pandemią powinna być pełna otwartość kodu oraz algorytmów stosowanych do analizy danych (np. parametry brane pod uwagę przy określaniu ryzyka zakażenia w kontakcie społecznym muszą być jawne). Tylko taki standard umożliwi publiczną kontrolę nad narzędziami technologicznymi, a zarazem przełoży się na ich bezpieczeństwo. Otwartość kodu daje bowiem możliwość szybszego zidentyfikowania błędów i możliwych zagrożeń dla prywatności, co dodatkowo wzmacnia zaufanie do danej aplikacji. 


7. Publiczna kontrola nad narzędziami 


Każde narzędzie, z którego państwo zamierza skorzystać w walce z pandemią, powinno zostać wcześniej zweryfikowane pod kątem cyberbezpieczeństwa i standardów ochrony danych osobowych. W przypadku rozwiązań, których kod jest niedostępny do publicznej analizy, to państwo musi wykazać, że standardy bezpieczeństwa danych i ochrony prywatności są spełnione. W sytuacji, gdy takie rozwiązanie ma być wykorzystywane do zbierania danych osobowych obywateli, organ administracji musi mieć też pełną kontrolę nad systemem.


Podpisano: (stan na dzień publikacji 6.04.2020, pełna lista na stronie Panoptykonu pod tym adresem – zachęcamy do podpisów pod adresem mailowym fundacja@panoptykon.org)


Dominik Batorski, Uniwersytet Warszawski

Edwin Bendyk

Piotr Beńke

dr hab. Przemysław Biecek, Politechnika Warszawska

Grzegorz Borowski, Infoshare

Maciej Broniarz, Centrum Nauk Sądowych UW

Maciek Budzich, Mediafun

Dominika Bychawska-Siniarska, Helińska Fundacja Praw Człowieka

Jakub Chabik, Politechnika Gdańska

Łukasz Chmielniak

Mateusz Chrobok

Szymon Ciupa, smartcity-expert.eu

dr Aleksandra Gliszczyńska-Grabias, INP PAN

Krzysztof Głomb, Miasta w Internecie

dr hab. Agnieszka Grzelak, ALK

Adam Haertle, ZaufanaTrzeciaStrona

Natalia Hatalska, infuture.institute

dr inż. Wacław Iszkowski

Krzysztof Izdebski, Fundacja ePaństwo

Łukasz Jachowicz, Internet Society Poland

prof. Dariusz Jemielniak, MINDS, Akademia Leona Koźmińskiego

dr Maciej Kawecki, Instytut Polska Przyszłości im. Stanisława Lema

Filip Kłębczyk, Prezes Polskiej Grupy Użytkowników Linuxa

Wojciech Klicki, Fundacja Panoptykon

Rafał Kłoczko, CD Projekt Red

Michał Kluska

Piotr Konieczny, Niebezpiecznik

dr Michał Kosiński, Stanford University

Nikodem Krajewski

Artur Krawczyk, Stowarzyszenie „Miasta w Internecie”

Robert Kroplewski, Law Office

Eliza Kruczkowska

Artur Kurasiński

Jakub Lipiński, przedsiębiorca

dr Paweł Litwiński, Instytut Prawa Nowych Technologii i Ochrony Danych Osobowych Uczelni Łazarskiego

Artur Marek Maciąg, Inicjatywa Kultury Bezpieczeństwa

Daniel Macyszyn, Fundacja ePaństwo

Mirosław Maj, Fundacja Bezpieczna Cyberprzestrzeń

Lidka Makowska, Kongres Ruchów Miejskich Gdańsk

Marcin Maruta

dr Arwid Mednis, Wydział Prawa i Administracji Uniwersytetu Warszawskiego

Łukasz Mikuła

Natalia Mileszyk, Fundacja Centrum Cyfrowe

Michal Olczak

Igor Ostrowski

dr hab. Marcin Paprzycki, IEEE Computer Society

Bartosz Paszcza, Klub Jagielloński

dr hab. Aleksandra Przegalińska, Akademia Leona Koźmińskiego

Danuta Przywara, Helsińska Fundacja Praw Człowieka

dr Agnieszka Pugacewicz, DELab UW

Małgorzata Ratajska-Grandin, OVHcloud

prof. Wojciech Sadurski, University of Sydney

dr Marlena Sakowska Baryła, Stowarzyszenie Praktyków Ochrony Danych

Wojciech Sańko, Koduj dla Polski

Wiktor Schmidt, Netguru

Aneta Sieradzka, Sieradzka & Partners Kancelaria Prawna

Andrzej Skworz, Press

dr hab. Katarzyna Śledziewska, DELab, Wydział Nauk Ekonomicznych Uniwersytetu Warszawskiego

dr Anna Sledzińska-Simon, WPAiE Uniwersytetu Wrocławskiego

Kamil Śliwowski, Centralny Dom Technologii

prof. Arkadiusz Sobczyk, Uniwersytet Jagielloński

dr hab. Dariusz Szostek

dr Sebastian Szymański

Katarzyna Szymielewicz, Fundacja Panoptykon

dr Alek Tarkowski, Fundacja Centrum Cyfrowe

dr Krzysztof Wygoda, Wydział Prawa, Administracji i Ekonomii, Uniwersytet Wrocławski

prof. Mirosław Wyrzykowski

Arkadiusz Złotnicki, Stowarzyszenie „Miasta w Internecie”

Jan Zygmuntowski, Instrat

Skip to content