Összeegyeztethetők-e a kontaktuskutató alkalmazások az adatvédelemmel?
Karinthy Frigyes híres „hat lépés távolság” elméletét már nem csupán lerövidítik modern digitális technológiák, hanem bizonyos feltételek mellett képesek teljes mértékben átültetni a gyakorlatba is. Sokan úgy gondolták, hogy ez a tulajdonságuk rendkívül előnyösnek bizonyulhat a koronavírus-járvány elleni küzdelemben, hiszen ha sikerül felgöngyölíteni, kivel került kapcsolatba egy már azonosított fertőzött, az elejét veheti a járvány további terjedésének. Minél több potenciális vírushordozót találnak meg, tesztelnek le és különítenek el a lehető legkorábban, annál nagyobb eséllyel lehet megállítani a vírust.
Mivel a hagyományos módszerek – például amikor hús-vér emberek interjúvolnak meg COVID-19-betegeket, és igyekeznek felkutatni, kivel léptek kapcsolatba – időigényesek és önbevalláson alapulnak, a világ számos részén beindult a digitális eszközök fejlesztése, vagyis olyan alkalmazások, szolgáltatások és rendszerek építése, amelyek mobilos helyadatok alapján, elsősorban Bluetooth vagy GPS segítségével automatikusan követik nyomon, ki kerülhetett kapcsolatba potenciális fertőzöttekkel.
Mennyi az annyi?
A kontaktuskutató alkalmazások hatékonyságuk, technológiai hátterük és az adatvédelemhez való hozzáállásuk szempontjából is jelentősen eltérnek egymástól. A paletta a helyben, egy maroknyi programozó által fejlesztett megoldásoktól egészen a Google és az Apple kollaborációjáig, valamint az ideiglenesre tervezett, transzparensen működő rendszerektől egészen a mindent átható és személyes adatok védelmére fittyet hányó alkalmazásokig terjed. Ez utóbbira példa Kína, ahol a kontaktuskutató alkalmazás az állampolgárok személyazonosságát, lokációadatait, sőt online fizetési előzményeit is eltárolja, hogy a helyi rendőrség szemmel tarthassa azokat, akik megszegik a karantén szabályait.
Az MIT Technology Review szerint összesen mintegy 25 ország vezetett be efféle megoldást – bár a kép már ebben a válogatásban sem teljes, hiszen például a májusban 17 ezres letöltésnél járó magyar Vírusradar hiányzik a listáról. Ezekben az alkalmazásokban mindenesetre az a közös, hogy csupán akkor vethetnek hatékonyan gátat a koronavírus-járványnak, ha az adott térségben lakó népesség nagy százaléka – az Oxfordi Egyetem egyik kutatócsoportja szerint legalább 60 százaléka – használja a programot. Ettől a számtól azonban a legtöbb ország, ahol nem tették kötelezővé az applikáció letöltését, lényegesen elmarad.
A szingapúri TraceTogether fejlesztői például korábban úgy nyilatkoztak, hogy április 20-ig mindössze a szingapúri lakosság egyötöde, 1,1 millió felhasználó töltötte le a programot. A járvány egyik gócpontjának számító Olaszországban június elején mintegy 2,2 millióan kezdték el használni az Immuni nevű alkalmazást, amelyet először négy, összesen nyolcmillió lakost számláló régióban tettek elérhetővé. Ez a 25 százalékos arány sokkal ígéretesebb példéul a Franciaországban tapasztalhatónál, ahol eddig 1,9 millióan töltötték le a három hete elérhetővé tett alkalmazást, amelyen keresztül mindössze 68-an töltöttek fel pozitív koronavírusteszt-eredményt, és csupán 14 embernek küldtek figyelmeztetést arról, hogy kapcsolatba kerülhetett vírushordozóval.
Itt az adat, hol az adat
Azokban az országokban, ahol nem tették kötelezővé a kontaktuskutató szoftverek használatát, a technológia kompatibilitási nehézségein túl leginkább az magyarázza az alacsony számokat, hogy a felhasználók nem bíznak abban, hogy az egyes cégek és kormányok megfelelő módon bánnak személyes adataikkal. Az Egyesült Államokban, ahol az egyes államok saját hatáskörükben döntenek például a kontaktuskutatásban használt módszerekről is – és a technológia fellegvárának számító Kaliforniában például inkább hús-vér kontaktuskutatókat vetnek be -, egy június elején készített felmérés szerint tízből kevesebb mint három amerikai tervezi efféle alkalmazás letöltését. A negatív választ adók többsége (44%) adatvédelmi félelmekkel magyarázta az elutasítást, de sokan vélték úgy, hogy ezek az alkalmazások hamis biztonságérzetet keltenek (39%), mások pedig nem hittek abban, hogy az ilyen programok lassíthatják a járványt (37%).
Az Amnesty International Security Lab elnevezésű munkacsoportja alapos vizsgálatnak vetette alá az európai, közel-keleti és észak-afrikai kontaktuskutató appokat, és úgy találták, hogy ezek az aggodalmak nem alaptalanok. A civil szervezet három csoportra osztotta ezeket a programokat. Adatvédelmi szempontból a legártalmatlanabbak azok, amelyek önkéntes adatrögzítést tesznek lehetővé, például a Kanada, Libanon és Vietnam által bevezetett programok. A második csoportba tartoznak a Bluetooth-alapú kontaktuskutatás decentralizált modelljét – például a Google és az Apple közös fejlesztését - alkalmazó alkalmazások, amelyeket például Ausztriában, Írországban, Németországban vagy Svájcban használnak.
A harmadik és adatvédelmi szempontból a legproblémásabb csoportba azok az alkalmazások tartoznak, amelyek egy centralizált, a legtöbb esetben kormányzati adatbázisba gyűjtik az okostelefonok Bluetooth-szenzorán vagy GPS-jelén keresztül érzékelt jeleket, és sok esetben még az app használatát is kötelezővé teszik. Az Amnesty ebbe a csoportba sorolta Bahrein, Kuvait és Norvégia programját is: mindhárom ország alkalmazása tulajdonképpen a felhasználók tömeges megfigyelését teszi lehetővé azáltal, hogy lokációadataikat szinte valós időben továbbítja egy központi szerverre.
A magyar állami kontaktuskutató mobilos alkalmazás, az Innovációs és Technológiai Minisztérium logóját viselő Vírusradar saját leírása szerint az adatvédelmi szempontból viszonylag biztonságos appok közé tertozik: „Az egyetlen adat, amelyet rólad a Magyar Állam tárol, az a mobilszámod" – áll a leírásban, amely szerint az alkalmazás Bluetooth-szal becsüli meg, milyen távolságban vannak a felhasználótól azok az emberek, akiknek telefonján szintén fut a szoftver. „Ha egy másik, a VírusRadart futtató telefon közelében vagy, mindkét telefon Bluetooth segítségével cserél kódot (aliasokat) az alkalmazásból, amelyeket csak a járványügyi szakemberek tudnak dekódolni, és amelyek nem fedik fel sem a te, sem a másik felhasználó személyazonosságát.”
Ha otthon vagy, nyertél
A norvég hatóságok az adatvédelmi aggodalmak, az alacsony átfertőzöttségi adatok, valamint a Smittestopp nevű app alacsony letöltési számai miatt június közepén az alkalmazás leállítása mellett döntöttek. Bahrain BeAware Bahrain, valamint Kuvait Shlonik nevű programjai azonban továbbra is szorgalmasan gyűjtik és használják a lakosok helyadatait az államok vezetése számára.
Ha az önmagában nem lenne elég ijesztő, hogy érzékeny személyes adatok válnak elérhetővé a kormányok számára, Bahrain és Kuvait is személyi számhoz köti a regisztrációt, így körülbelül két kattintás egy adott személyhez kötni a lokációadatokat. Ami azonban még ennél is bizarrabb, hogy a Bahrain által fejlesztett alkalmazást az „Otthon vagy?” című tévéműsorban népszerűsítették, amelynek kereteiben különféle nyeremények ütötték a ramadán idején otthon maradók markát. Az appon keresztül begyűjtött információk alapján a műsor készítői naponta kiválasztottak tíz random telefonszámot, amelyeket élő adásban hívtak fel, hogy ellenőrizzék, otthon vannak-e a felhasználók. Akit otthon találtak, értékes díjat nyerhetett. A program elindításakor a tévéműsorban való részvétel még kötelező volt, később lehetővé tették, hogy a felhasználók jelezzék a BeAware Bahrain felületén, ha nem akartak az ország nyilvánossága elé kerülni.
Milyen az etikus és jogvédő kontaktuskutató app?
A járványhelyzet zermészetesen olyan kivételes körülmény, ami bizonyos mértékben indokolttá teheti bizonyos adatok begyűjtését, de azért itt is határokat kellene szabni. Az Amnesty International szerint ahhoz, hogy az efféle programok harmonizáljanak az emberi jogokkal, legfeljebb a minimálisan szükséges mennyiségű, más adathalmazokkal összevetve is anonimizált adatokat kellene összegyűjteni a lehető legnagyobb biztonság mellett. Ezeket az információkat pedig kizárólag a koronavírus-járvány elleni küzdelemben kellene bevetni – sem a bűnüldöző szerveknek, sem a nemzetbiztonságnak, sem a bevándorlást ellenőrző szerveknek nem szabad hozzáférést biztosítani, de ugyanígy nem szabad elérhetővé tenni ezeket az információkat kereskedelmi célokra sem. Végül pedig teljesen önkéntes alapúvá kellene tenni az adatgyűjtést.
Csakhogy hiába fejleszt a legtöbb ország ezeknek a kritériumoknak megfelelő alkalmazást: amíg a Cambridge Analytica körüli és más sorozatos adatlopási botrányok vagy a bahraini példa létezik, sokan továbbra is bizalmatlanul tekintenek a kontaktuskutató alkalmazásokra – ez pedig adott esetben az alacsony letöltési és használati adatok miatt ennek az ígéretes technológiának a bukását is jelentheti a jövőben.
Kapcsolódó cikkek a Qubiten: