Barankovics Alapítvány - www.barankovicsarchiv.hu
A múlt dilemmája, a jelen problémája: az adatbiztonság
Szabadság vagy biztonság? A polgári forradalmakat is megelőző társadalmi kérdés az emberiség történetében számos ponton újra és újra előkerül, most éppen a globális koronavírus járvány kapcsán. A demokratikus politikai rendszerek a második világégés óta egyensúlyoznak az állampolgárok védelme kontra állampolgárok szabadsága mérlegen, a 9/11-es terrortámadások óta viszont fokozatosan eltolódik a hangsúly a fokozott állami beavatkozásra, megfigyelésre a megelőzés érdekében. A 2020-as év világjárványa új szintre emeli a diskurzust: az állami szervezetek, a kormányok beavatkozhatnak-e az országuk lakosainak mindennapjaiba, megfigyelhetik mindennapi tevékenységüket, hivatkozva az egészség és az élet védelmére. A járványügyi defenzíva többnyire egységes képet mutatott Földünkön: kijárási korlátozásokat, rövidített nyitvatartások, rendszeres kézmosás, szájmaszk használata, általában a külvilággal kapcsolatos érintkezések csökkentése.
A koronavírussal kapcsolatos hatékony védekezés egyik fő szempontja a kontaktkutatás, amely során a visszakereshetővé válik, hogy a megfertőződött személy, hol járt, mikor és kivel lépett kapcsolatba. Célja, hogy minél gyorsabban ki tudják szűrni a lehetséges új fertőzötteket, így minimalizálva a kórokozó tovább terjedését. Ennek számos módja lehet. Egyik ilyen lehet a civil szervezetek, önkéntesek számára egészségügyi alapképzések biztosítása, majd bizonyos feladatokkal való megbízása. Az így felállított speciális munkaegység feladata, hogy a már megfertőződött személyekkel lekérdezéseket folytassanak, a megszerzett információk alapján felállítsanak egy infrastrukturális hálózatot, hogy az egyedek merre jártak az elmúlt hetekben, milyen potenciális gócpontokon tartózkodhattak. Tovább feladatuk, hogy az önkéntes izolációban vonult személyeket folyamatosan figyelemmel kísérjék, tájékoztassák a hatóságokat állapotukról és jelezzék, ha valamilyen, a koronavírussal kapcsolatos tünetek lépnek fel náluk – ezzel is csökkentve a közegészségügyben dolgozók terheit. Ez a metódus azonban nagyon sok időt és emberi erőforrást igényel, az önkénteseknek egy jól felkészített tréningen kell részt venniük, állandó kapcsolatban állniuk az egészségügyi szervekkel. Másik lehetőség, a létező és felállított szervezetek, munkakörök, erőforrások átcsoportosítása. Már meglévő telefonközpontok, segélyvonalak és forródrótok elláthatják a koronavírussal kapcsolatos tájékoztatást. A lehetséges fertőzötteket alacsony és magas veszélyezettségi rátába kell besorolni, aszerint, hogy napi tevékenységük, foglalkozásuk alapján hány emberrel találkozhattak és az ő fertőzöttségük milyen további kiesésekkel, hátrányokkal jár bizonyos munkakörökben: az egészségügyi dolgozók így kiemelten magas rizikófaktor-csoportba kerülnek, mind a kontaktkapcsolatok száma, mind a járványügyi védekezésben betöltött szerepük szerint.
Lejárt a toll és a papír ideje
A védekezés/megelőzés kérdéskörében viszont külön figyelmet igényel az informatika és a számítástechnika szerepe. Adatbázisok kiépítésével, a fertőzöttek adatainak számontartásával a kutatók egy komplex képet tudnak alkotni a járvány jellegéről a megfelelő információmennyiség segítségével – ez pedig fontos szerepet játszhat a megfelelő korlátozó intézkedések kidolgozásában, valamint a politikai döntéshozatalban. Nem ez az első ilyen jellegű védekezés egy járvány visszaszorítására: 2007-ben Zanzibár szigetén ütötte fel a fejét a malária. A Southampton egyetem kutatói a helyi mobilszolgáltatókkal együttműködve monitorozták a lakosság mozgását. A hatóságok kezébe így olyan felbecsülhetetlen információtömeg került, amit semmilyen más úton nem tudtak volna elérni, az intézkedések pedig olyan hatásosnak bizonyultak, hogy a későbbiek folyamán más járványnál is a tömegkommunikációs eszközökre támaszkodtak, így a pakisztáni dengi-láznál, a bangladesi maláriánál, a kolumbiai zika-vírusnál és a nyugat-afrikai ebola megfékezésénél is. A technológia és a módszertan tehát nem újdonság, a telekommunikációs vállalatok már több, korábbi esetben is dolgoztak együtt egészségügyi hatóságokkal, bár egyik esetében sem beszélhetünk világjárványról.
A WHO Go.Data adatbázis hálózata a rengeteg, területileg és lakosság szempontjából is differenciált információhalmazt gyűjti össze, így járványok esetén az epidemiológusok egyetlen adatbázison keresztül férnek hozzá a szükséges anyagokhoz. Értelemszerűen nem csak hagyományos papír alapon történhet az adatbevitel, ezeket a mobil eszközünkre letöltött applikáció segítségével is azonnal továbbítani tudjuk a szerverekre. Az alkalmazások hozzáférést kérhetnek a helyadatainkhoz, illetve, kérik, hogy kapcsoljuk be a helymeghatározási funkciót készülékünkön, de egyes applikációk esetében az adatmegosztás, -továbbítás is ilyen engedélyeket kérhet a felhasználótól. Így kigyűjthető adat több szempontból is hasznosabb lehet, mintha a fertőzött személyeket kérdeznénk meg. Nincs személyes kontaktus az adatrögzítésben, így csökken a vírus átadásának esélye. Továbbá a beteg, ha már a súlyos stádiumban van, akkor nem fog pontosan emlékezni, hogy merre járt az elmúlt időszakban (valljuk be, egészséges állapotunkban is nehezen tudjuk felidézni a pár héttel ezelőtti történéseket, percre pontosan), illetve kórházi ellátás során sem lehetséges az adatfelvétel. Egy ilyen követő alkalmazás segítségével a megfigyelteket bármikor nyomon lehet követni, így az előbb említett személyes megkérdezésre nincs is szükség. A szakértők a felhasználók adatai, bejárt útvonalai alapján modellezni tudják, hogy kikkel érintkezhettek, így meg tudják határozni a vírus fő terjedési útvonalát, figyelmeztethetik a hatóságokat, hogy milyen más felhasználók érintkezhettek a már megbetegedett emberekkel. Ezen felül az alkalmazások a begyűjtött adatok alapján figyelmeztetést küldhet a felhasználónak, értesítheti, hogy mikor és hol találkozhatott olyannal, aki fertőzött és a járvány tüneteit produkálja. A szimptómákat szintén applikáció segítségével is meg lehet határozni: az Amerikai Egyesült Államokban és az Egyesült Királyságban március végén egy ingyenesen hozzáférhető, COVID Symptom Tracker nevű alkalmazást használtak az adatgyűjtésre, összesen 2,6 millió felhasználóval, akikből több mint 18.000 felhasználó egyidejű tünetei kapcsolódtak a koronavírusos megbetegedéshez. A felhasználók önkéntesen, naponta frissítették egészségi állapotukkal kapcsolatos információkat és a jelentkező tüneteket. Ezáltal a kutatók kimutatták, hogy nem csak a köhögés és a magas láz lehetnek a betegség indikátorai, hanem az étvágytalanság/ízlelés és szaglás időleges elvesztése is vagy azok jelentős mértékű tompulása. Az ilyen programok használata – és erre a szakemberek is felhívták a figyelmet – limitált hatással bírnak: az alkalmazások önkéntes használata miatt ezek a felmérések nem reprezentatívak és az adatok pontosságáról sem lehet száz százalékig meggyőződni, nincsenek kontrollminták. Magyarországon ilyen alkalmazást a Kormányzati Informatikai Fejlesztési Ügynökség töltött fel az online piacterekre, így bárki szabadon hozzáférhet (a programot egyébként az észak-macedóniai Next Sense vállalat fejlesztette és más országoknak is ingyenes biztosította azt).
Az ilyen típusú, „koronavírus-applikációk” két fajtáját lehet megkülönböztetni centralizált és decentralizált működés szerint. A centralizált struktúra során a felhasználók adatait saját készülékük naplózza, majd egy központi szerveren tárolják és küldenek értesítést, ha egy koronavírus fertőzöttel keresztezték egymás útját vagy indirekt módon léptek kapcsolatba harmadik fél által. A folyamat során az értesített felek csak anonim információkat kapnak, így csak arról lehet tudásuk, hogy hol és mikor találkoztak olyan személlyel, aki már beleesett a járványba és mutatja annak tüneteit, de a személyazonossága nem lesz felfedve. Ezzel szemben az Apple és a Google közös fejlesztési projektje egy decentralizált működési elvet használ. Ennek során az adatok a felhasználók közötti készülékek párosítása során jön létre. Amikor a két felhasználó találkozik, a készülékek egy egyedi azonosítójel segítségével lépnek kapcsolatba. Ha valamelyik fél megfertőződött, akkor manuálisan feltölti az adatait és az applikáció csak azoknak a készülékeknek továbbítja a szükséges adatokat, amelyekkel kapcsolatba került. A tech óriások úgy látják, hogy ezzel a megoldással, a felhasználók mindenkori adatait jobban képesek védelmezni egy esetleges kibertámadás ellen. A centralizált megoldás könnyebben figyelhető, ellenőrizhető és adaptálható a vírus fejlődésének, terjedésének relációjában. A decentralizált módszer jobban védi a felhasználót, viszont számos más probléma felüti a fejét az alkalmazása során. Ezek közül a legfontosabb, hogy rengeteg mobilkészülék nem rendelkezik a szükséges Bluetooth LE chip technológiával, ami a készülékek közötti kapcsolattartást biztosítja. Továbbá az adatkommunikációs hozzáférések konstans bekapcsolt állapota szignifikáns mértékben rontja a készülék akkumulátor kapacitását, a folyamatos használttól az gyorsabban fog merülni. Végeredményben a két felfogás abban különbözik, hogy míg az előbbi a kutatók és a hivatalos szervek számára nyújt több adatot – feláldozva ezzel az állampolgárok adatainak kiszolgáltatottságát –, addig az utóbbi több hangsúlyt fektet a felhasználók érzékeny adatainak a védelmére, de ezzel együtt csökkenti az információk hozzáférhetőségét és átláthatóságát. A központosított modell mellett az Egyesült Királyság, Franciaország, valamint Dél-Korea tette le a voksát, a megosztott struktúrát pedig többek között Németország, Ausztria, Svájc, Finnország és a balti államok adaptálták. Érdekesség, hogy az egyes országok a közigazgatási struktúrájuknak megfelelő rendszert választották ki, találták megfelelőnek. Végeredményben bármelyik modell is legyen megfelelő, jelenlegi információk szerint egyink sem biztosít megfelelő mennyiségű adatot a kutatóknak. Ez pedig egyetlen indokkal magyarázható: az emberek nem használják ezeket az alkalmazásokat. Legnagyobb arányban eddig Szingapúr lakossága használt koronavírus fertőzést követő alkalmazást, ott a lakosság mintegy 20 százaléka. Hálózatkutatók és virológusok szerint azonban legalább 50-60 százalékos használatra lenne szükség ahhoz, hogy mérvadó információkat kapjanak a vírus terjedéséről, hogy meg tudják határozni hol alakulhatnak ki újabb gócpontok és milyen korlátozásokra lehet szükség a járvány megfékezéséhez, illetve megakadályozni egy második hullámot.
Biztonság vagy szabadság
Vajon miért nem népszerűek ezek az alkalmazások? Csak szimplán rosszul vannak kommunikálva, nem találkoznak velük a polgárok? Esetleg az adatokkal való visszaélés áll a bizalomhiány hátterében? Felhasználók százmilliói telepítenek úgy programokat, hogy nem olvassák el a felhasználó szerződéseket, vagy használnak applikációkat, amelyeknek minden hozzáférési lehetőséget biztosítanak. A koronavírus pandémia következtében jelentősen több alkalmazást használunk a mindennapok során (Angliában a lakosság 67 százaléka letöltötte a WhatsApp csevegőappot, ami már elég lenne a virtuális kontaktkutatáshoz) ezek teljes körű használatához pedig engedélyeznünk kell készülékünk leginkább adathalászatra képes funkcióit: helymeghatározás, mikrofon, kamera. Míg egy szabadpiaci szereplő számára és a saját kényelmünk miatt, szórakoztatásunk érdekében másodpercek alatt lemondunk személyes adatainkról, addig, ha kormányzati, hatósági szervek kérik ugyanezt, az már szkepszist ébreszt bennünk, megfogalmazódik egy általános bizalmatlanság a közigazgatás felé, még ha ez a lemondás a saját biztonságunkat és egészségünket is szolgálja. Az Európai Adatvédelmi Testület állásfoglalása szerint, a GDPR lehetővé teszi, hogy a munkáltató a foglalkoztatottak adatait feldolgozásra bocsájtsa a hatóságok részére pandémia esetén. Az elektronikus adatgyűjtés kontextusában felhívja a figyelmet, hogy ezek kizárólagosan az anonimitás fenntartása mellett kerülhetnek feldolgozásra, az elektronikus hírközlési adatvédelmi irányelv betartásával. Ha az irányelv nem valósítható meg, akkor a tagállamok új jogalkotási intézkedéseket vezethetnek be, figyelembe véve a szükségességet és az arányosságot. Továbbá az országoknak biztosítaniuk kell az ezzel kapcsolatos jogorvoslat lehetőségét, ha az állampolgárok visszaélést tapasztalnak. A Testület arról is említést tesz, hogy az általános adatvédelmi rendelet keretében a telekommunikációs szolgáltatók ugyanígy anonim adatközlést biztosítanak a koronavírust legjobban érintett „forró zónás” területeken, mint Madrid és Milánó. Ennek segítségével az egészségügyi hatóságok jobban fel tudják térképezni a gócpontok lakosságának mozgását, ezáltal gátat szabni a vírus terjedésének. Pro forma szerint tehát az adatainkat a legnagyobb biztonságban és a legkörültekintőbb módon kezelik és esetleges adathalászat gyanúja esetén is tudunk valamilyen jogi fórumhoz fordulni.
A kételkedő közvélemény félelme nem alaptalan a „megfigyelőállamok” kialakulásáról. Kétség sem fér hozzá, hogy az állami tömeges megfigyelés már nem csak a keleti autoriter rendszerek sajátossága, legfeljebb csak volumenében tér el az európai demokráciák rendszereitől. Ugyanakkor az öreg kontinensen belül is találunk kirívó példát. Az Egyesült Királyságban az előző évtized folyamán széleskörű megfigyelőrendszer épült ki és ma már London lett a „legmegfigyeltebb” város Európában: 1000 emberre 68 kamera jut, ehhez képest Berlinben csupán 11. Számos kritika érte a parlamentarizmus hazáját, ami a második világháborút követően, fokozatosan építette ki belső megfigyelő hálózatát és az elsők között – Kínát leszámítva – alkalmazta az arcfelismerő kamerarendszereket. Bár az európai kommunikációs vállalatok kérlelhetetlenek az anonim személyes adatokat illetően és nem adják át úgy előfizetőik információt, hogy azokat ne burkolja teljesen a névtelenség homálya, az adatszakértők még így is kételkednek ezek hatásosságával kapcsolatban. Az Imperial College London munkatársai ugyanis kimutatták, hogy közel százszázalékos pontossággal vissza lehet keresni a személyes információkat, amennyiben az adatokat megfelelően aggregálják. Így rossz kezekben megfizethetetlen értékű adatmennyiség halmozódhat fel. A nyomkövető alkalmazások önkéntes használatával szemben ezek a megoldások az állampolgárok tudta és beleegyezése nélkül történhetnek. A kevésbé demokratikus eljárások során a kormányzati szervek bármilyen adatkezelést igénylő technikához nyúlhatnak, hogy meghatározzák a lakosok tartózkodását. A koronavírus-járvány elleni védekezésben mintaállamul szolgáló Dél-Korea kormányzati szervei térfigyelő- és biztonsági kamerákat, bank- és hitelkártya vásárlási naplózásokat és az okostelefonok GPS jelét is felhasználják a megfertőződött polgárok tartózkodási történetének visszakereséséhez. Az izraeli kormányzat a korábban antiterrorista adatgyűjtési módszerek használatára kért felhatalmazást a parlamenttől, aminek segítségével azonosítani tudják a koronavírus fertőzöttek útvonalait. A készülékek gyorsítótár-adatait nem csak a már pozitív hordozók követésére használják fel, hanem azoknak is felszólítást küldenek a telefonjukra – azonnali izolációt elrendelve – akik keresztezték a betegek útvonalát. A moszkvai orosz vezetés, áprilisban indította el a Social Monitoring (Közösségi Megfigyelés) saját fejlesztésű applikációját. A lakosoknak a városvezetés honlapján kell minden alkalommal bejelentkezniük és az így kapott QR-kóddal hagyhatják el szükség esetén az otthonukat. A mobilalkalmazás pedig a regisztrált vírusfertőzötteket figyeli, használatához pedig minden korábban említett hozzáférést engedélyezni kell (kamera, helymeghatározás, tárhely, sőt telefonszám és adatátvitel). Ezen felül, aki nem rendelkezik okostelefonnal, annak ideiglenesen biztosítanak egyet – természetesen az előre telepített nyomkövető alkalmazással. India kormánya Aarogya Setu (Híd az egészséghez) nevű saját fejlesztésű alkalmazását tette kötelezővé. Minden lakosának, aki közszolgálati feladatot lát el vagy vonattal utazik vagy a vírus terjedése szempontjából különösen veszélyeztetett, valószínűsíthető gócpontban él. A további rendelkezések szerint minden tömegközlekedési eszközre kiterjeszthetik, priorizálva a repülőgépeket. Az alkalmazás működéséhez a felhasználóknak meg kell adniuk nevüket, nemüket, korukat, foglalkozásukat, telefonszámukat, az elmúlt 30 napban látogatott országok listáját. A program adatgyűjtési mechanizmusaira elég korán felhívták a figyelmet a független adatvédelmi szervezetek. A Bluetooth adatközlési védelmi résére igazán egy etikus hacker világított rá: feltörte Narendra Modi indiai miniszterelnök hivatalát és megszerezte a megfertőződött hivatalnokok névsorát. A kellemetlen incidens után a kormány megköszönte a hacker munkáját, majd hivatalos közleményt adott ki, miszerint nem történt semmilyen személyes adattal történő visszaélés. Az indiai ellenzék által csak „szofisztikált megfigyelő rendszernek” nevezett nyomon követés azért is kétséges az emberi jogok szempontjából a világ második legnépesebb országában, mert nincsen adatvédelmi törvény, így az sincs kontrollálva, ki férhet hozzá az így begyűjtött személyes adatokhoz. A Massachusettsi Műszaki Egyetem (MIT) készített egy összehasonlító-összefoglaló elemzést 26 ország koronavírus nyomkövető alkalmazásának vizsgálatával. Az analízis szempontjai között 6 kritériumot néztek meg: önkéntes alapon használják a lakosok vagy kötelező, az adatok hozzáférése mennyire korlátozott más hivatalos szervek felé (tehát kizárólag az egészségügyi hivatal használja-e a megszerzett információkat), mennyi ideig tárolják ezeket az adatokat, csak a szükséges adatokat gyűjti be az applikáció és mekkora az átláthatóság (milyen forráskódot használtak, mennyire felel meg az adatkezelési jogszabályoknak). A legmagasabb eredményeket Ausztria, Csehország, Izland, Olaszország, Szingapúr érték el, sőt, még Izraelt is ide sorolták a kutatók. A kínai adatokról, az ország szigorú védelmi és biztonságpolitikai irányelveinek köszönhetően kevés információval rendelkeztek a kutatáshoz. A távol-keleti ország „megfigyelőállam” szerkezete viszont már kiépült és a 2017-ben elfogadott új adatkezelési törvény lehetővé tette, hogy az állami szervek bármilyen szenzitív állampolgári adatokhoz hozzáférjenek. Tehát Kína már egy eleve jól felépített monitoring rendszerrel rendelkezett, így nem kellett különösebb erőfeszítéseket a hatóságoknak a fertőzöttek megfigyelésében (a kínai megfigyelő rendszerről itt írtam bővebben). Viszont pont a túlbürokratizált közigazgatási rendszernek és az egyes hivatalok, osztály közötti versengésnek köszönhetően nagyon szegényes a kommunikáció a szektorok között. Így, az állam hiába gyakorol óriási nyomást a magánvállalkozásokra, saját farkába harapva, pont az állami igazgatási szervek hálózata akadályozza meg az adatszolgáltatás folyamatos áramoltatását.
Adatbiztonság a „posztkoronális” világban
Ha a COVID-19 nem is, annak mindennapi életünkre gyakorolt hatása jelentős ideig velünk marad. A kapitalizmus bukásáról már évtizedes távlatokban teoretizálnak a gondolkodók, arról viszont nincsen egységes álláspont, hogy a jelenlegi rendszer milyen formában „bukik” majd meg. Shoshana Zuboff, a Harvard Business School oktatója, az úgynevezett megfigyelő kapitalizmus (survaillance capitalism) teóriájának egyik fő kutatója. Legutóbbi, The Age of Surveillance Capitalism című könyvében kifejtette, hogy a globális tech cégek a hogyan győzték meg a felhasználókat, hogy a saját kényelmük, életük könnyedebbé tételének érdekében adják fel személyes adataikat. A gazdaság alapját nem pénz, a tőke jelenti, hanem az emberi információk. Ezzel párhuzamosan, a biztonságra hivatkozva, a kormányok is újabb lépéseket tettek annak érdekében, hogy nagyobb kontrollal rendelkezzenek a lakosok felett. A járvány utáni új világrend kialakítása során az embereknek át kell értékelniük, hogy milyen irányban akarják folytatni a hétköznapok normalizálását. A nyugati országok általános politikai válsága, a bizalmatlanság a politikai elitben olyan űrt hozott létre, amelyben a gigantikus vállalatok igyekeznek még több teret nyerni és fogyasztói felhatalmazást szerezni. Ezáltal tűnik el a fogyasztói kapitalizmus és veszi át a helyét a megfigyelő kapitalizmus, ami nem csak nyomon követi a vásárlási szokásokat, mindennapi tevékenységeket, hanem az egyes szereplők érdeke mentén befolyásolja is azokat.
Szitás Péter
Témavezető: Kiss Mária Rita
Forrásjegyzék
Európai Betegségmegelőzési és Járványvédelmi Központ
2020. 05. 18.