A vizsgált három régióban Bahrein, Kuvait és Norvégia vezette be az emberi jogokra leginkább veszélyes kontaktkereső alkalmazásokat, ezzel pedig több százezer ember magánéletét és biztonságát sodorták veszélyb
Az Amnesty Security Lab nevű egysége európai, közel-keleti és észak-afrikai kontaktkereső alkalmazásokat vizsgált. A 11 országban (Algéria, Bahrein, Franciaország, Izland, Izrael, Kuvait, Libanon, Norvégia, Katar, Tunézia és Egyesült Arab Emírségek) használt applikációk emberi jogi szempontból a rossztól a kifejezetten veszélyes kategóriáig terjednek. A bahreini BeAware Bahrain, a kuvaiti Shlonik és a norvég Smittestopp volt az a három, amely még ebből a mezőnyből is kiemelkedett, mint olyan tömeges megfigyelést lehetővé tevő eszközök, amelyek a felhasználóik GPS koordinátáit valós időben osztottak meg egy központi szerverrel.
Június 15-én, hétfőn a norvég kormány bejelentette, hogy felfüggeszti a Smittestopp alkalmazás használatát. A döntés azután született, hogy az Amnesty megosztotta a kutatásának eredményeit a kormánnyal és a helyi adatvédelmi hatósággal. Az Amnesty az alkalmazást fejlesztő cég vezetőjével is találkozott június 10-én.
“A bahreini, kuvaiti és norvég alkalmazások totálisan figyelmen kívül hagyták az emberek magánszférához való jogát, a kormányok olyan tömeges megfigyelést lehetővé eszközöket vetettek be, amelyek teljesen indokolatlanok a járvány elleni védekezésben.” – mondta Claudio Guarnieri, az Amnesty Security Lab vezetője.
“A norvég alkalmazás olyan veszélyes volt az emberi jogokra nézve, hogy nem volt más helyes döntés, mint felfüggeszteni a használatát, és az alapoktól újratervezni azt. Felszólítjuk Bahrein és Kuvait vezetését, hogy cselekedjen hasonlóan, és ne használják az alkalmazásokat jelenlegi formájukban. Egyszerűen megfogalmazva ezek az alkalmazások folyamatosan megosztják a hatóságokkal a felhasználóik tartózkodási helyét, ez pedig finoman szólva sem tűnik sem szükséges, sem arányos lépésnek a járvány elleni küzdelemben. A technológiának lehet fontos szerepe a vírus terjedésének lassításában, de ez nem járhat az emberek magánélethez való jogának megsemmisítésével.”
Tömeges megfigyelés
Mind a három országban alkalmazott applikáció a magánszférára veszélyes, centralizált megoldást használja. Ez azt jelenti, hogy az emberek tartózkodási helyét jelző GPS koordinátákat egy központi adatbázisnak küldik el, és valós időben követi a felhasználók mozgását. A katari ETHERAZ elméletben képes akár az összes, akár egyes felhasználó valós idejű nyomon követésére is (jelenleg ezt a funkciót még nem aktiválták).
A hatóságoknak ezekben az országokban nincs nehéz dolga tehát, hogy a tartózkodási helyet a konkrét emberhez kössék: a katari, bahreini és kuvaiti alkalmazásba a személyazonosító számmal kell regisztrálni, a norvég használatához pedig egy érvényes telefonszám kell.
A Security Lab által vizsgált többi alkalmazás, például a tunéziai E7mi szintén egy központi adatbázisba gyűjti az információkat, de a GPS adatok helyett a Bluetooth-t használja, hogy megállapítsa a távolságot a az egyes felhasználók között. A katari EHTERAZ a Bluetooth adatok mellett a GPS adatokat is rögzíti és tárolja.
A katari alkalmazás kapcsán egy aggasztó biztonsági probléma is napvilágot látott, amely több mint 1 millió ember személyes adatát sodorta veszélybe. Ez azért is különösen aggasztó, mert a hatóságok május 22-én mindenki számára kötelezővé tették az alkalmazás használatát. Miután az Amnesty a hibát jelezte, a hibát május végén kijavították. A biztonsági rés lehetővé tette volna hackerek számára, hogy hozzáférjenek a felhasználók nevéhez, személyazonosító számához, egészségügyi adataihoz, és az illető karanténra kijelölt tartózkodási helyéhez is.
A francia, izlandi és egyesült arab emírségekbeli alkalmazás szintén a centralizált modellt használja, de az adatokat csak akkor töltik fel a központi adatbázisba, ha a felhasználó magát “fertőzöttként” regisztrálja vagy ha az egészségügyi hatóságok ezt kérik. Ez egy fokkal jobb megoldás, hiszen az adatokat nem automatikusan osztják meg. Ugyanakkor az adatok tárolását övező bizonytalanság miatt a francia modell felveti azt a kérdést, hogy vajon tényleg anonim adatgyűjtésről van szó.
“Itt az ideje, hogy a kormányok felfüggesszék a veszélyes vagy az emberi jogokat semmibe vevő kontaktkereső alkalmazások használatát. Ha azt akarják, hogy ezek az eszközök segítsenek a járvány elleni védekezésben, akkor az embereknek bízniuk kell abban, hogy a magánéletük védve van.” – mondta Claudio Guarnieri.
A megfigyelés új formái
A bahreini alkalmazás használatához még egy televíziós műsort is készítettek. Az Otthon vagy? nevű műsorban nyereményeket kaphattak azok, akik a ramadán idején is otthon maradtak. Az applikációt használók közül véletlenszerűen tízet kiválasztottak, majd az élő műsor közben felhívták ezeket a felhasználókat, hogy kiderüljön, valóban otthon vannak. Akik igen, nyereményt kaptak. A műsorban való részvétel egészen sokáig kötelező volt, mígnem a bahreini információs hatóság lehetővé nem tette, hogy legalább televíziós műsorban ne kelljen részt venni annak, aki nem akar. A hatóságok a fertőzésgyanús eseteket, az illetők egészségügyi adataival, nemzetiségével, korával, nemével és utazási adataival az internetre is feltették.
A bahreini és a kuvaiti applikáció is párosítható egy Bluetooth karkötővel, amely azt ellenőrzi, hogy a felhasználó nem távolodott el a telefonjától. A kuvaiti app rendszeresen ellenőrzi a telefon és a karkötő közötti távolságot, a helyadatokat pedig 10 perceként feltölti a központi szerverre.
A bahreini BeAware alkalmazás is gyakran osztja meg a helyadatokat és más diagnosztikai információkat a központi adatbázissal. Minden házi karanténra kötelezett számára kötelező a karkötő viselése, aki ezt megszegi, azt az egészségügyi törvény alapján legalább 3 hónap börtönre és/vagy 850 ezer-8,3 millió forintnak megfelelő bahreini dinárra büntethetik.
Magánszféra és emberi jogok
A kontaktkeresés hatékony módszer járványok elleni küzdelemben, a kontaktkereső alkalmazások pedig valódi segítséget jelenthetnek. Azonban azért, hogy ezek az alkalmazások megfeleljenek az emberi jogi előírásoknak már a tervezésnél figyelemmel kell lenni az adatvédelmi előírásokra, és biztosítani kell, hogy csak a mindenképp szükséges adatokat gyűjtsék, és azokat biztonságosan tárolják. Az adatgyűjtésre csak a járvány elleni védekezés miatt lehet szükség, és ezek más célokra – bűnüldözési, nemzetbiztonsági, bevándorlási ügyekben – nem használhatóak fel, ahogyan nem lehetnek hozzáférhetőek harmadik fél számára vagy kereskedelmi célokra sem lehet azokat felhasználni. Mindenki szabad és önkéntes döntésének kell lennie, hogy letölti és használja az alkalmazásokat. A gyűjtött adatoknak anonimnak kell maradniuk, akkor is ha más adatbázissal kapcsolják össze azokat.
“Azoknak a kormányoknak, amelyek hasonló alkalmazásokat használnak, vissza kell térniük a tervezőasztalhoz. Vannak sokkal jobb megoldások, amelyek ellátják ugyanezt a feladatot, és közben nem teszik kockára több millió ember személyes adatát.” – mondta Claudio Guarnieri.