Kraj

Polacy na elektronicznej smyczy

Epidemia koronawirusa wykorzystywana jest przez władzę, aby krok po kroku odzierać obywateli z ich prawa do prywatności.

Do czwartku w Polsce zdiagnozowano ponad 20 tysięcy przypadków COVID-19. Nadal obowiązują liczne obostrzenia, choć właśnie otwarto salony fryzjerskie, galerie handlowe oraz – częściowo – szkoły. Krzywa zachorowań nie wypłaszcza się, ale zmienia się jej charakterystyka – już niemal połowa przypadków obejmuje tylko trzy województwa – więc można mówić o jej lokalnym charakterze.

Jednocześnie nadal nie ma trwałego rozwiązania – leku czy szczepionki. Z miejsc, do których epidemia przyszła wcześniej i wcześniej wygasła (Azja Wschodnia, Włochy) dochodzą niepokojące wieści o okresowych skokach liczby zakażonych – tam, gdzie nie udało się dotrzymać zasad izolacji i pojawiło się nowe ognisko epidemii.

Nie będzie więc żadnego „powrotu do normalności”, a przynajmniej nie do „normalności” rozumianej jako rzeczywistość Polski przedepidemicznej. Czasy postepidemiczne będą niestabilne, pełne ograniczeń dotyczących przemieszczania się, kontaktów, pracy, edukacji, okresowo czeka nas lokalny lub ogólnokrajowy lockdown. I przede wszystkim – czeka nas czas naruszania naszej prywatności.

Z policjantem do sypialni

Apka mobilna Kwarantanna Domowa początkowo miała być wsparciem dla policji oraz osób będących w kwarantannie domowej. Osoba czekająca na ewentualną chorobę w domu miała wykonać sobie zdjęcie w ciągu 20 minut po wezwaniu jej SMS-em. Apka kontrolowała, czy zdjęcie to zostało wykonane nie więcej niż 100 metrów od miejsca deklarowanego do odbywania kwarantanny.

Od 1 kwietnia aplikacja stała się obowiązkowa. Obowiązek nie jest stosowany jedynie wobec „osoby z dysfunkcją wzroku (niewidzącej lub niedowidzącej), osoby, która złożyła oświadczenie, że nie jest abonentem lub użytkownikiem sieci telekomunikacyjnej lub nie posiada urządzenia mobilnego umożliwiającego zainstalowanie tego oprogramowania”. Przy czym oświadczenie to składa się pod rygorem odpowiedzialności karnej.

Co potrafi aplikacja Kwarantanna Domowa? Dokładnie nie wiemy, bo jej kod źródłowy nie został udostępniony. Podobno nie pozwalają na to ograniczenia licencyjne, tak przynajmniej twierdzi Ministerstwo Cyfryzacji w wyjaśnieniu przesłanym serwisowi Niebezpiecznik.pl. Możliwe że jej aktywność ogranicza się do robienia zdjęć i przesyłania lokalizacji, a urządzenia (geolokalizator oraz obiektyw kamery) włączają się jedynie na czas jawnego użycia aplikacji. Możliwe także, że w wyniku jakiegoś „błędu” urządzenia te działają dłużej, np. w sypialni i łazience i zupełnym przypadkiem wyślą policji inne zdjęcia i nagrania. Wreszcie możliwe – i najbardziej prawdopodobne – że aplikacja posiada jakieś nieznane luki, które pozwalają wejść na urządzenie i pozyskać z niego dane temu, kto o nich wie.

Fundacja Panoptykon, watchdog zajmujący się m.in. ochroną prywatności w Polsce, podziela wątpliwości Niebezpiecznika i uważa, że kod takich aplikacji powinien bezwzględnie być otwarty i umożliwiać obywatelską kontrolę nad jej działaniem.

Bez żadnego trybu

Już pod koniec marca rząd zażądał od operatorów telekomunikacyjnych danych geolokalizacyjnych dotyczących osób chorych i objętych kwarantanną. Później wpisał do projektu obowiązek udostępniania danych wszystkich obywateli. Wszystkich. Później „poluzował” to wymaganie, żądając danych „zanonimizowanych”.

Co to oznacza w praktyce? Rząd posiada „jedynie” dane, że „ktoś” zamieszkały przy ulicy Długiej 6 o godzinie 7:45 wyszedł do sklepu, przebywał tam 3 minuty i 45 sekund, a potem wrócił. O 8:12 wszedł do kuchni, a potem do toalety, gdzie spędził 5 minut i 18 sekund. Nie miałby jedynie informacji, że posiadaczem tego numeru jest Jan Kowalski, PESEL taki a taki.

Przypomnijmy, że na mocy obowiązującego już przed epidemią prawa rząd i jego służby posiadają nieograniczony i niekontrolowany dostęp do rejestrów państwowych – w tym danych meldunkowych. „Anominizacja” danych nie miałaby więc żadnego znaczenia – rząd i służby policyjne mogą dowiedzieć się dosłownie o każdym naszym kroku dzięki prostemu połączeniu dwóch zbiorów danych.

Zacząć od d… strony, czyli państwowa inwigilacja made in Poland

Równie ciekawy, co zakres zbieranych danych, jest tryb wprowadzenia obowiązku przekazywania danych lokalizacyjnych obywateli. A dokładniej – jego brak. Otóż pierwotnie zasada ewidentnie sprzeczna z RODO i Konstytucją została wprowadzona na podstawie ogólnego zapisu tzw. tarczy antykryzysowej, która pozwala premierowi „wydawać polecenia podmiotom prywatnym”. Dopiero później zostało to usankcjonowane w art. 11 f „ustawy epidemicznej”.

Niestety w ustawie nie znalazły się żadne punkty związane z kontrolą wykorzystania tych danych, ograniczeniami do nich dostępu albo ich retencją. Nie wiemy więc kto, w jakim zakresie i przez jaki czas będzie mógł przetwarzać głęboko ingerujące w prywatność dane wszystkich Polaków. I nie ma skąd się tego dowiedzieć.

ProteGo Safe, czyli krok dalej

Kolejny krok w kierunku inwigilacji to aplikacja ProteGo Safe, mająca w długim okresie (bo zagrożenie epidemiczne zostanie z nami na wiele miesięcy albo nawet lat) chronić przed pojawieniem się kolejnych ognisk epidemii. Tym razem nie chodzi o kontrolę okresową (na czas kwarantanny) albo punktową, tylko o posiadanie przez każdego z nas aplikacji, która śledziłaby nasze ruchy (gdzie bywamy, z kim się spotykamy, dłużej rozmawiamy i idziemy razem do sypialni) w sposób ciągły. W przypadku, gdyby dotyczyło nas zwiększone ryzyko infekcji (np. spotkaliśmy się z nosicielem albo byliśmy w miejscu, gdzie odkryto ognisko) – dane te byłyby „odkrywane” i kierowano by nas na odpowiednie badania i poddawano kwarantannie.

W teorii miałoby to pozwolić zdusić ogniska epidemii, zanim ta się rozprzestrzeni. W praktyce mogłoby umożliwić nie tylko modelowanie powiązań społecznych niewygodnych dla władzy osób, ale także wpływanie na ich zachowania, np. szantażem. Aby uzyskać korzyść z aplikacji, a jednocześnie nie pozwolić rządowi na totalną inwigilację, należałoby trwale oddzielić informację o tożsamości osób oraz urządzeniach od informacji o ich ruchu. Technicznie jest to możliwe i takie rozwiązania wspierają kraje demokratyczne, np. Australia i Singapur.

Polski rząd jak na razie wydaje uspokajające komunikaty, że to dopiero pierwsza wersja aplikacji; a jednocześnie twierdzi, że rozwiązanie w pełni scentralizowane (z kompletem danych przechowywanych i przetwarzanych na serwerach, poza kontrolą obywateli i identyfikatorami nadawanymi centralnie) jest lepsze od zdecentralizowanego.

Aby „zachęcić” obywateli do instalowania aplikacji, do rozporządzenia otwierającego galerie handlowe dla obywateli wpisano preferencje dla posiadaczy telefonów z aplikacją. Czyli – albo instalujesz rządową aplikację i wchodzisz bez kolejki, albo czekasz w kolejce jak obywatel gorszej kategorii. To znana metoda – wcześniej stosowana przez linie lotnicze i służby graniczne, aby zachęcić pasażerów do zgody na skanowanie twarzy i ciała pod groźbą dłuższego oczekiwania oraz upokarzającej kontroli osobistej.

Demokracja przegrywa internetowy wyścig zbrojeń

czytaj także

W ostatecznej wersji rozporządzenia ten punkt jednak zniknął, a Ministerstwo Cyfryzacji udaje, że nigdy go nie było, ale wspomniana już fundacja Panoptykon nadal podnosi wątpliwości. Sprawiedliwie dodajmy, że – inaczej niż w przypadku Kwarantanny Domowej – kod ProteGo Safe jest na bieżąco publikowany w serwisie GitHub.

Sędziowie wchodzą na boisko

Rozgrywka pomiędzy zmierzającym do elektronicznego autorytaryzmu rządem a obywatelskimi grupami dopiero się zaczęła, a już okazało się, że na boisku najwięcej do powiedzenia mają nie gracze, ale sędziowie – bo to oni kontrolują zasady i gwiżdżą faule. Google i Apple, właściciele dwóch najpopularniejszych (realnie: jedynych istniejących) platform dla aplikacji mobilnych. Każda apka działająca w ich środowisku będzie mogła robić tylko tyle, na ile giganci technologii pozwolą.

W obszernym artykule w serwisie Politico czworo autorów podsumowuje ich stanowisko. Chciałoby się powiedzieć, że giganci jak dotąd stają po stronie obywateli, ale bądźmy realistami – stoją przede wszystkim po własnej stronie. Nie po to przez dekady inwestowali w posiadanie możliwie obszernych i szczegółowych danych na temat zachowań konsumentów, żeby teraz tą wiedzą dzielić się z rządami.

Inwigilacja to model biznesowy internetowych korporacji

Nie należy mieć jednak złudzeń co do tego, po czyjej stronie w zwarciu „autorytarne rządy vs obywatele” te korporacje się zaangażują. Przypomnijmy, że podczas ubiegłorocznych protestów w Hongkongu Apple karnie usunął ze swojego sklepu aplikację HKLine.app pozwalającą na informowanie się o policyjnych blokadach. Wcześniej inne technologiczne firmy dostarczyły niedemokratycznym rządom z Zatoki Perskiej aplikacje, które śledzą każdy ruch, kontakt osobisty oraz aktywność internetową danych osób.

Coraz śmielej poczynają sobie także sądy. Ostatnio słowacki Trybunał Konstytucyjny orzekł, że śledzenie telefonów obywateli pod pozorem zwalczania epidemii jest niezgodne z tamtejszą konstytucją. I zawiesił ustawę – wcale nie dlatego, że takie możliwości wykorzystano, tylko dlatego, że w ustawie nie zrównoważono ich prawami do obywatelskiej i sądowej kontroli procederu pozyskania danych. Wydaje się, że działania technologicznych gigantów oraz słowacki TK wyznaczyły kierunek, w którym pójdą demokratyczne rządy: kontrola owszem, ale jednocześnie techniczne gwarancje zachowania prywatności oraz kontrola sądowa i obywatelska.

Patrzmy władzy na ręce

W czasie, gdy emocje polskiego społeczeństwa skoncentrowane są wokół kwestii wyborczej, w tle rozgrywa się inna, nie mniej ważna walka. O to, na ile rządom uda się wykorzystać koronawirusa i zagrożenie epidemiczne, aby za pomocą środków technicznych trwale przesunąć granicę kontroli władzy nad obywatelem oraz masowo pozyskiwać i analizować dane, które pozwolą kształtować zachowania Polek i Polaków w sposób dla tej władzy korzystny.

Powinniśmy te zmagania śledzić z nie mniejszą uwagą i zaangażowaniem – bo to również od nas zależy, ile wolności będziemy mieć w przyszłości my sami i nasze dzieci.

__
Przeczytany do końca tekst jest bezcenny. Ale nie powstaje za darmo. Niezależność Krytyki Politycznej jest możliwa tylko dzięki stałej hojności osób takich jak Ty. Potrzebujemy Twojej energii. Wesprzyj nas teraz.

Jakub Chabik
Jakub Chabik
Informatyk, menedżer, wykładowca
Jakub Chabik (1971) – informatyk i doktor zarządzania, od ćwierćwiecza zarządza wdrożeniami w sektorze nowoczesnych technologii. Pisuje do „Krytyki Politycznej” i miesięcznika „Wiedza i Życie”; w przeszłości publikował w „Harvard Business Review Polska”. Wykłada na Politechnice Gdańskiej. Mieszka i pracuje w Gdańsku.
Zamknij