Jak urzędnicy ustanawiają cyfrowe niewolnictwo obywateli?

2024 Autor: Seth Attwood | [email protected]. Ostatnio zmodyfikowany: 2023-12-16 16:14

Cyfrowe przepustki do poruszania się po mieście do niedawna wydawały się Rosjanom dzikim elementem cyberpunkowej dystopii. Dziś jest to zresztą rzeczywistość: od wczoraj w Moskwie stały się one obowiązkowe dla poruszania się komunikacją miejską. Jak to się stało, dlaczego wiele krajów stworzyło cyfrowe systemy kontroli przemieszczania się obywateli i czy taki nadzór ustanie po zakończeniu pandemii – w nowym materiale od naukowców z Centrum Zaawansowanych Rozwiązań Zarządzania.

Kontekst ogólny

Ogólnym trendem w odpowiedzi krajów na epidemię koronawirusa jest wzmocnienie kontroli nad obywatelami. Na podstawie analizy danych od operatorów telefonii komórkowej, banków, organów ścigania państwo oblicza kontakty osób zarażonych, a także monitoruje przestrzeganie przez obywateli samoizolacji i kwarantanny. Wiele publikacji na ten temat porusza kwestie prywatności i przestrzegania praw obywatelskich, malując ponury obraz „społeczeństwa inwigilacyjnego”.

Zebraliśmy kilka epizodów wprowadzenia specjalnych środków kontroli cyfrowej przez różne państwa i staraliśmy się zrozumieć ryzyko, jakie niosą ze sobą te środki, ponieważ dostęp do informacji o ruchu i życiu osobistym obywateli jest zapewniony kilku biurokratycznym wydziałom jednocześnie.

Izrael: policja, agencje wywiadowcze, Ministerstwo Zdrowia

Co się stało?

19 marca rząd izraelski wprowadził częściową kwarantannę w całym kraju. W ramach środków tymczasowych kilka dni wcześniej, 15 i 17 marca, władze wydały dwa nakazy nadzwyczajne, które rozszerzyły uprawnienia policji do prowadzenia przeszukań, a także pozwoliły izraelskiej służbie bezpieczeństwa (Shin Bet) na wykorzystanie cyfrowego nadzoru w celu zwalczania epidemii koronawirusa …

Kto i jak sprawuje kontrolę?

Wszyscy obywatele kraju zarażeni koronawirusem, a także ci, którzy mieli z nimi kontakt, są poddawani obowiązkowej dwutygodniowej kwarantannie. W ramach nakazów nadzwyczajnych policja, jako środek tymczasowy, będzie mogła ustalić aktualną geolokalizację tych osób kosztem danych z wież komórkowych bez dodatkowego orzeczenia sądu. Z kolei służby specjalne będą mogły uzyskać dostęp nie tylko do aktualnej lokalizacji osoby, ale także do historii jej ruchów. Ponadto izraelskie Ministerstwo Zdrowia wydało własną aplikację na smartfony, która stale aktualizuje dane o lokalizacji zainfekowanych osób otrzymywane od funkcjonariuszy organów ścigania i ostrzega użytkownika, jeśli znajduje się w ich pobliżu.

Z jednej strony pozwala to nie tylko sprawdzić, jak sumiennie dana osoba przestrzega reżimu kwarantanny, ale także określić przybliżony krąg kontaktów z innymi osobami, które również mogą się zarazić. Ale z drugiej strony, w normalnych czasach takie technologie „gęstego śledzenia cyfrowego” są używane tylko do łapania przestępców i terrorystów.

Takie nadzwyczajne uprawnienia sił bezpieczeństwa potrwają do połowy czerwca – po tym czasie wszystkie otrzymane dane muszą zostać zniszczone. Ministerstwo Zdrowia będzie mogło jednak wydłużyć okres przechowywania zebranych w ten sposób danych o dwa miesiące na dodatkowe badania.

Korea Południowa: policja i samokontrola cywilna

Co się stało?

W lutym 2020 r. Republika Korei stała się jednym z najszybciej rozwijających się krajów epidemii koronawirusa.

Władze były w stanie dość szybko i skutecznie najpierw wypoziomować, a następnie zmniejszyć tempo rozprzestrzeniania się infekcji

Wynika to częściowo z faktu, że Korea ma bogate doświadczenie w walce z epidemią: w 2015 r. kraj stanął w obliczu wybuchu Bliskiego Wschodu Zespołu Oddechowego (MERS), po którym opracowano cały system środków epidemiologicznych. Decydującym czynnikiem była jednak organizacja masowej wysyłki powiadomień o każdym przypadku infekcji ze szczegółowymi informacjami o zarażonej osobie (wiek, płeć, dokładny opis ostatnich ruchów i kontaktów; w niektórych przypadkach zgłoszono, czy dana osoba miała maska itp.). Taka wysyłka nie byłaby możliwa bez potężnego i wielkoskalowego systemu cyfrowej kontroli ruchu i kontaktów obywateli Korei Południowej.

Kto i jak sprawuje kontrolę?

W kraju działa obecnie kilka usług, które wykorzystują dane osobowe w celu dostarczania informacji o rozprzestrzenianiu się koronawirusa. Na przykład na stronie Coroniata publikowane są informacje o całkowitej liczbie przypadków, a także o strefach, w których odnotowano największe ogniska infekcji. Drugi zasób, Coronamap, to mapa pokazująca, kiedy iw jakich miejscach odnotowano wszystkie pojedyncze przypadki infekcji. Rząd koreański wydał również oficjalną aplikację na smartfony, która umożliwia śledzenie przestrzegania kwarantanny przez osoby zarażone.

Republika Korei posiada wysoko rozwiniętą infrastrukturę cyfrową, więc śledzenie i weryfikacja danych nie stanowi problemu dla rządu. Aby poprawić dokładność analizy, oprócz danych z wież komórkowych i GPS wykorzystywane są dane o transakcjach dokonywanych kartami bankowymi, miejskie systemy monitoringu wizyjnego oraz technologie rozpoznawania twarzy.

Taka wymuszona „otwartość” z jednej strony pokazuje jej skuteczność w powstrzymywaniu epidemii, ale z drugiej prowadzi do negatywnych skutków społecznych. Oprócz tego, że osoby zarażone infekcją same odczuwają poczucie nieustannego nadzoru, w strefę kontrolną wpadają również inne – „przypadkowe” – osoby.

Ponieważ każdy przypadek infekcji jest wyświetlany na mapie, niektórzy Koreańczycy, nawet niezainfekowani, ale odpowiadający śledzonym „punktom”, podlegają presji opinii publicznej.

W ten sposób proaktywni obywatele Korei dołączają do policji i urzędników w ramach wzajemnego nadzoru cyfrowego.

Alternatywa: Polska vs Komisja Europejska

W Unii Europejskiej pojawiła się w Polsce jedna z pierwszych aplikacji do monitorowania obywateli zobowiązanych do poddania się 14-dniowej kwarantannie. Władze wymagają instalacji aplikacji przez zdrowych obywateli, którzy mieli kontakt z osobami zarażonymi lub potencjalnie zarażonymi, a także od wszystkich powracających z zagranicy. Od początku kwietnia instalacja aplikacji stała się obowiązkowa z mocy prawa.

Aplikacja Kwarantanna domowa (Kwarantanna domowa) kilka razy dziennie losowo wysyła powiadomienie z żądaniem wgrania własnego zdjęcia (selfie) w ciągu 20 minut. Jak informuje serwis polskiego rządu, aplikacja sprawdza lokalizację użytkownika (za pomocą GPS), a także wykorzystuje rozpoznawanie twarzy. Jeśli prośba o przesłanie zdjęcia nie zostanie spełniona, policja może przyjść pod wskazany adres. Zgodnie z rozporządzeniem Ministerstwo Cyfryzacji będzie przechowywać dane osobowe użytkowników przez 6 lat po dezaktywacji aplikacji (zgodnie z Kodeksem Cywilnym), z wyjątkiem zdjęć, które są usuwane natychmiast po dezaktywacji konta.

Oprócz Polski ich własne aplikacje pojawiły się lub zaczęły być rozwijane w innych krajach europejskich, m.in. w Austrii (z udziałem tamtejszego Czerwonego Krzyża), Francji, Irlandii i Niemczech.

W tym kontekście Komisja Europejska zaproponowała stworzenie ogólnoeuropejskiej aplikacji do śledzenia rozprzestrzeniania się koronawirusa zgodnie ze specjalnymi zaleceniami dotyczącymi jego rozwoju, opartymi na ustawie o ochronie danych osobowych w UE

Wśród wymienionych zasad przyszłej aplikacji wskazano efektywność wykorzystania danych z medycznego i technicznego punktu widzenia, ich pełną anonimowość i wykorzystanie wyłącznie do stworzenia modelu rozprzestrzeniania się wirusa. Aby zmniejszyć ryzyko wycieku danych osobowych, twórcy aplikacji będą musieli przestrzegać zasady decentralizacji – informacje o ruchach osoby zarażonej będą wysyłane tylko na urządzenia osób, które potencjalnie mogłyby się z nią skontaktować. Oddzielnie podkreślano, że podejmowane kroki powinny być uzasadnione i doraźne.

Termin składania propozycji realizacji tych działań upływa 15 kwietnia. Ponadto do 31 maja państwa członkowskie UE będą musiały informować Komisję Europejską o podjętych działaniach i udostępniać je do wzajemnej weryfikacji przez członków UE i Komisję Europejską. Komisja Europejska oceni poczynione postępy i począwszy od czerwca będzie okresowo publikować raporty zawierające dalsze zalecenia, w tym usunięcie środków, które nie są już potrzebne.

Rosja: Ministerstwo Telekomunikacji i Komunikacji Masowej, operatorzy komórkowi i regiony

Co się stało?

Od końca lutego do początku marca, po wprowadzeniu środków przeciwdziałających rozprzestrzenianiu się koronawirusa, w Rosji pojawiły się pierwsze przypadki wzmocnienia kontroli nad ludnością za pomocą środków technicznych. Według Mediazony policjanci przybyli do osoby naruszającej kwarantannę ze zdjęciem, prawdopodobnie zrobionym aparatem, który był podłączony do systemu rozpoznawania twarzy. Michaił Miszustin zlecił Ministerstwu Telekomunikacji i Komunikacji Masowej stworzenie do 27 marca systemu śledzenia kontaktów pacjentów zarażonych koronawirusem na podstawie danych operatorów komórkowych. Według Vedomosti, 1 kwietnia ten system już działał. Równolegle swoje rozwiązania zaczęły opracowywać podmioty Federacji Rosyjskiej. W Moskwie na początku kwietnia uruchomili system monitorowania pacjentów z koronawirusem za pomocą aplikacji Monitoring Społeczny, a także przygotowali wprowadzenie przepustek ze specjalnymi kodami (dekret o ich wprowadzeniu został podpisany 11 kwietnia). W regionie Niżny Nowogród wprowadzono pierwszy z regionów, kontrolę za pomocą kodów QR, w Tatarstanie - SMS-em.

Kto i jak sprawuje kontrolę?

Kontrola cyfrowa obejmuje głównie obywateli zarażonych lub znajdujących się w oficjalnej kwarantannie. Aby śledzić ich ruchy, Ministerstwo Telekomunikacji i Komunikacji Masowej prosi o „dane dotyczące numerów i dat hospitalizacji lub daty kwarantanny”. Dane te są przesyłane do operatorów komórkowych, którzy monitorują przestrzeganie warunków kwarantanny. Osoba naruszająca warunki otrzymuje wiadomość, a w przypadku ponownego naruszenia dane są przekazywane policji. Według Wiedomosti, odpowiedzialni urzędnicy w podmiotach wchodzących w skład Rosji będą wprowadzać dane do systemu. Jednocześnie Roskomnadzor uważa, że korzystanie z numerów bez podania adresów i nazw abonentów operatorów komórkowych nie narusza prawa o danych osobowych.

Oprócz tych środków geolokalizacja pacjentów jest monitorowana w Moskwie za pomocą aplikacji Social Monitoring zainstalowanej na smartfonach specjalnie wydawanych obywatelom. Aby potwierdzić informację, że użytkownik jest w domu, obok telefonu, aplikacja co jakiś czas wymaga wykonania zdjęcia

Według szefa moskiewskiego Departamentu Informatyki (DIT) przekazywanie danych o użytkowniku reguluje umowa, którą podpisuje przy wyborze opcji leczenia w domu. Są one przechowywane na serwerach DIT i zostaną usunięte po zakończeniu kwarantanny. Ponadto sprawowana jest kontrola nad wszystkimi samochodami osób zobowiązanych do objęcia oficjalnej kwarantanny (pacjenci i ich bliscy), a także poprzez miejski system monitoringu wizyjnego.

11 kwietnia burmistrz Moskwy podpisał dekret o wprowadzeniu cyfrowych przepustek na podróżowanie po Moskwie i regionie moskiewskim prywatnym i publicznym transportem. Przepustki zaczęły być wydawane 13 kwietnia i stały się obowiązkowe 15 kwietnia, można je uzyskać na stronie internetowej burmistrza Moskwy, SMS-em lub dzwoniąc do serwisu informacyjnego. Aby wydać przepustkę, musisz podać dane osobowe, w tym paszport, numer samochodu lub przepustkę na komunikację miejską (kartę Trojki), a także nazwę pracodawcy wraz z NIP lub trasę przejazdu. Karnet nie jest wymagany do poruszania się po mieście na piechotę, z zastrzeżeniem wprowadzonych wcześniej ograniczeń.

Przepustki kontrolujące przemieszczanie się obywateli wprowadzono także w innych regionach Rosji:

30 marca gubernator obwodu astrachańskiego Igor Babuszkin podpisał rozkaz o specjalnych przepustkach podczas kwarantanny. 13 kwietnia uruchomiono w regionie elektroniczną platformę do wydawania przepustek. Zgłoszenia składane są na specjalnej stronie internetowej, przepustka z kodem QR wysyłana jest na e-mail wnioskodawcy. Gubernator polecił również sprawdzić wydane wcześniej przepustki według wykazów dostarczonych przez organizacje.

W regionie Saratowa 31 marca wprowadzono system przepustek. Początkowo ustalono, że przepustki dla pracujących obywateli będą wydawane w formie papierowej z koniecznością poświadczenia w administracji. Już pierwszego dnia skutkowało to powstaniem kolejek, w wyniku czego uruchomienie systemu dostępowego było opóźnione. Samorząd dodał możliwość otrzymywania przepustek drogą elektroniczną. Wprowadzenie przepustek zostało przełożone jeszcze dwukrotnie.

31 marca Tatarstan zatwierdził procedurę wydawania zezwoleń na przemieszczanie się obywateli. Zezwolenia są wydawane za pomocą usługi SMS: najpierw musisz się zarejestrować i otrzymać unikalny kod, a następnie złożyć wniosek o każdy ruch. Dekret określa przypadki, w których zgoda nie jest wymagana. W przypadku pracujących obywateli dostarcza się zaświadczenie od pracodawcy. Po uruchomieniu w serwisie wprowadzono zmiany: 5 kwietnia ograniczono listę danych wymaganych do rejestracji, a 12 kwietnia zwiększono odstępy między wydawaniem zezwoleń, aby przeciwdziałać nadużyciom systemu.

W obwodzie rostowskim wymóg wydawania zaświadczeń pracownikom organizacji, które nadal działają podczas epidemii, wprowadził 1 kwietnia gubernator Wasilij Gołubiew. 4 kwietnia zaostrzono kontrolę nad samochodami na wjeździe do Rostowa nad Donem, co doprowadziło do wielu kilometrów korków. 7 kwietnia portal Rostovgazeta.ru poinformował, że władze regionalne rozważają możliwość wprowadzenia „inteligentnej przepustki”.

W regionie Niżny Nowogród mechanizm kontroli został zatwierdzony dekretem gubernatora Gleba Nikitina z 2 kwietnia. Wniosek o przepustkę składa się za pomocą usługi „Karta mieszkańca regionu Niżny Nowogród” na specjalnej stronie internetowej lub za pośrednictwem aplikacji mobilnej na urządzenia Apple, a także dzwoniąc do działu pomocy. Po rozpatrzeniu wniosku wnioskodawca otrzymuje przepustkę w postaci kodu QR na smartfon lub numer wniosku. W przypadku osób prawnych istnieje procedura wydawania potwierdzeń, że mogą działać w dni wolne od pracy ze względu na epidemię.

12 kwietnia, w związku z tworzeniem różnych cyfrowych rozwiązań kontroli dostępu na poziomie regionalnym, Ministerstwo Telekomunikacji i Komunikacji Masowej Federacji Rosyjskiej uruchomiło federalną aplikację „State Services Stopcoronavirus” (dostępną na urządzenia Apple i Android) w formie testowej. Według resortu aplikacja może być dostosowana do warunków konkretnego regionu, z wyjątkiem Moskwy, gdzie obowiązuje inne rozwiązanie (patrz wyżej). Bez odpowiednich decyzji władz regionalnych wniosek Ministerstwa Telekomunikacji i Komunikacji Masowej nie jest obowiązkowy. Pierwszym regionem, w którym to rozwiązanie zostanie zastosowane, będzie region moskiewski - poinformował o tym gubernator Andrei Vorobyov wieczorem 12 kwietnia.

Czy państwo będzie chronić dane osobowe?

Komentarz specjalisty ds. bezpieczeństwa informacji Ivana Begtin

Podejście europejskie w próbach dostosowania wymogów prawnych w zakresie ochrony danych jest ogólnie poprawne. UE poświęca tym kwestiom więcej uwagi i zasobów niż Rosja. Ale musimy zrozumieć, że nikt nie jest chroniony przed problemem wycieku danych, przede wszystkim ze względu na czynnik ludzki. Zdarzały się już precedensy, na przykład wycieki danych wyborców w Turcji, sprawy z firmami prywatnymi. Teraz, gdy systemy powstają w biegu, nie wykluczałbym takiej możliwości. Z danymi „Gosusluga” jeszcze się to nie wydarzyło, ale być może wszystko ma swój czas.

Powody mogą się różnić. Powiedzmy o braku bezpieczeństwa bazy danych, do której uzyskuje się zdalny dostęp. Hakerzy lub specjaliści ds. bezpieczeństwa mogą to wykryć i uzyskać wszystkie informacje. Istnieją specjalne usługi Censys i Shodan, które służą do wyszukiwania takich luk technicznych.

Inną opcją jest niewłaściwe wykorzystanie danych z bezpośrednim zamiarem. Oznacza to, że osoby, które mają dostęp do baz danych, wykorzystują to do czerpania korzyści.

Warto monitorować różne usługi w celu „przebicia się” przez ludzi. Na przykład w Rosji istnieje około pięciu takich usług, które oferują usługę sprawdzania ludzi

Oznacza to, że nie jest konieczne, aby cała baza danych została scalona, ale osoby, które mają do niej zdalny dostęp, mogą „dziurkować” ludzi i sprzedać te informacje. Mogą to zrobić urzędnicy, wykonawcy, którzy brali udział w tworzeniu tych systemów. To znaczy ludzie, którzy mają do nich dostęp. W Rosji jest to dość powszechne: jeśli przeszukujesz Internet w poszukiwaniu usług „wykrawania”, możesz znaleźć wiele. Często są to dane Ministerstwa Spraw Wewnętrznych, policji drogowej, Federalnej Służby Migracyjnej i innych organizacji rządowych.

Obawy, że państwo może utrzymać infrastrukturę kontroli nad obywatelami, nie są bezpodstawne. W zasadzie każdy, kto zbiera dane, nie chce się z nimi rozstać. To samo dotyczy sieci społecznościowych: jeśli tam dotrzesz, najprawdopodobniej informacje o Tobie nadal tam będą, nawet jeśli usunąłeś swoje konto. Służby publiczne są bardzo zainteresowane gromadzeniem danych o obywatelach i wykorzystają obecną sytuację. Jednocześnie, m.in. pod naciskiem organizacji publicznych, publicznie zobowiązują się do usunięcia danych po zakończeniu pandemii. Niemniej jednak motywacja do zachowania tej infrastruktury jest bardzo wysoka ze strony agencji rządowych.

Dlaczego to się dzieje?

Aby zapewnić kontrolę nad rozprzestrzenianiem się epidemii, agencje rządowe w różnych krajach działają w podobny sposób: poszerzają swoje narzędzia do śledzenia ruchów i kontaktów obywateli. Takie dodatkowe środki wykraczają poza to, co w zwykłych czasach uważa się za dopuszczalne, ale te działania rządów spotkały się z niewielkim oporem ze strony obywateli. Można to wyjaśnić pojęciem sekurytyzacji polis.

Sekurytyzacja to termin pierwotnie ukuty przez Kopenhaską Szkołę Studiów nad Bezpieczeństwem Barry'ego Buzana, Ole Wevera i Jaapa de Wilde'a. W książce z 1998 roku definiują sekurytyzację jako „działanie, które wyprowadza politykę poza ustalone reguły gry i przedstawia tę kwestię jako coś ponad polityką”. Sekurytyzacja zaczyna się od aktora (np. przywódcy politycznego, rządu) używającego w zwykłym dyskursie terminów związanych z bezpieczeństwem, zagrożeniem, wojną itp., a publiczność akceptuje tę interpretację. Na sukces sekurytyzacji składają się trzy elementy:

stosowanie „gramatyki bezpieczeństwa” przy przedstawianiu pytania – czyli na poziomie językowym przedstawianie go jako zagrożenia egzystencjalnego (w przypadku epidemii koronawirusa jest to np. użycie zmilitaryzowanego słownictwa i porównywanie walk przeciwko jednemu rzędowi z historycznymi procesami kraju);

aktor ma duży autorytet, dzięki czemu widz dostrzega jego interpretację i „wtrącanie się w dyskurs” (przywódcy kraju, lekarze, WHO);

powiązanie obecnego zagrożenia z czymś w przeszłości, co naprawdę takie zagrożenie stanowiło (doświadczenie poprzednich epidemii, w tym historycznych, np. dżuma w Europie, przyczynia się do postrzegania obecnej epidemii jako takiej).

Przykładem sekurytyzacji jest również globalne zainteresowanie problemem koronawirusa: sondaże w Rosji i innych krajach wskazują na wzrost obaw przed epidemią.

Społeczeństwa akceptują interpretację podmiotów sekurytyzacyjnych, tym samym uzasadniając odejście od zwykłych zasad zwalczania zagrożenia, w tym wprowadzenie specjalnych kontroli cyfrowych, które generalnie naruszają nasze prawa do prywatności

Z perspektywy zarządzania kryzysowego sekurytyzacja przynosi wyraźne korzyści. Wprowadzenie środków nadzwyczajnych może przyspieszyć podejmowanie decyzji i wdrażanie oraz zmniejszyć ryzyko stwarzane przez zagrożenie. Proces sekurytyzacji wiąże się jednak z negatywnymi konsekwencjami zarówno dla systemu administracji publicznej, jak i dla całego społeczeństwa.

Po pierwsze, wprowadzenie nowych środków nadzwyczajnych zmniejsza odpowiedzialność władz. W czasie kryzysu instrumenty kontroli cywilnej, w tym nad nowymi środkami bezpieczeństwa, mogą być ograniczone lub po prostu jeszcze nie zbudowane. Brak odpowiedzialności zwiększa prawdopodobieństwo zarówno przypadkowego błędu, jak i celowego nadużycia przez szeregowych urzędników. Przykładem tego są naruszenia ze strony oficerów amerykańskiego wywiadu, o których wiadomo dzięki przeciekowi zorganizowanemu przez Edwarda Snowdena. Korzystając z cyfrowych narzędzi kontrolnych, które wpadły w ich ręce, wielu pracowników NSA wykorzystywało je do szpiegowania swoich małżonków lub kochanków. Ponadto w tym samym okresie FBI nadużywało dostępu do danych NSA dotyczących obywateli amerykańskich, w wielu przypadkach bez wystarczającego uzasadnienia prawnego.

Po drugie, sekurytyzacja jakiejkolwiek emisji jest obarczona ryzykiem, że część środków wprowadzonych w sytuacjach nadzwyczajnych nie zostanie anulowana natychmiast po zakończeniu okresu kryzysu i normalizacji sytuacji

Przykładem tego jest ustawa Patriot Act, uchwalona w Stanach Zjednoczonych w październiku 2001 r. po atakach z 11 września, która rozszerzyła możliwości rządu w zakresie szpiegowania obywateli. Terminy obowiązywania wielu przepisów prawa miały wygasnąć z końcem 2005 roku, ale w rzeczywistości były wielokrotnie przedłużane – a ustawa ze zmianami przetrwała do dziś.