Fréttir

25. júní 2020

Rakn­ing­ar­forrit og frið­helgi einka­lífs

Amnesty Internati­onal hefur greint smitrakn­ing­ar­forrit á tímum kórónu­veirufar­ald­ursins í Evrópu, Mið-Aust­ur­löndum og Norður-Afríku, þar á meðal á Íslandi. Niður­stöður sýna að smitrakn­ing­ar­forrit stjórn­valda í Barein, Kúveit og Noregi séu þau alræmd­ustu er kemur að altæku eftir­liti.

Þessi forrit stofna öryggi og frið­helgi einka­lífs hundruð þúsunda einstak­linga í hættu þar sem þau fylgjast með notendum í líftíma með því að hlaða inn GPS stað­setn­ingu þeirra reglu­lega inn á miðlægan gagna­grunn.

„Barein, Kúveit og Noregur hafa traðkað á frið­helgi einka­lífs með yfir­grips­miklum eftir­lits­að­gerðum sem ganga mun lengra en það sem telst til rétt­læt­an­legra aðgerða í barátt­unni við kórónu­veirufar­ald­urinn.“ –

Claudio Guarnieri, Fram­kvæmda­stjóri AI secu­rity lab.

Grein­ingin sýnir að slík forrit skiptast yfir­leitt í þrjá flokka:

  • Forrit sem leyfa notendum valkvætt að skrá og athuga einkenni sín án þess að rekja beint smit­leiðir. Dæmi um slík forrit er að finna í Líbanon og Víetnam.
  • Smitrakn­ing­ar­forrit sem notast við Bluet­ooth-teng­ingu og geyma gögn í símum einstak­linga en ekki á miðlægum gagna­grunni. Slík forrit hafa verið notuð í Aust­ur­ríki, Þýskalandi, Írlandi og Sviss. Amnesty Internati­onal skoðaði ekki tækni­legar hliðar þessara forrita þar sem þau eru ekki eins mikið áhyggju­efni þegar kemur að frið­helgi einka­lífs og munu vera í notkun tíma­bundið.

  • Hættu­leg­ustu smitrakn­ing­ar­for­ritin eru þau sem skrá gögn sem safnast í gegnum Bluet­ooth símans eða GPS-stað­setn­ing­ar­búnað, eða bæði, og hlaða inn gögn­unum á miðlægan gagna­grunn. Í sumum tilfellum eru einstak­lingar skyldugir til að hlaða inn forrit­unum. Amnesty Internati­onal varaði yfir­völd í Barein, Kúveit og Noregi við að forrit þeirra stofnuðu öryggi og frið­helgi einka­lífs einstak­linga í hættu áður en niður­stöður grein­ing­ar­inn­ar­komu út.

 

Yfir­völd í þónokkrum löndum geta auðveld­lega komist yfir viðkvæmar persónu­upp­lýs­ingar einstak­linga þar sem notendur skrá sig með kenni­tölu líkt og í Katar, Barein og Kúveit eða með síma­númeri, eins og í Noregi.

Rakn­ing­ar­forrit í löndum eins og á Íslandi, í Frakklandi og Sameinuðu arab­ísku fursta­dæmunum notast við miðlægt kerfi, en upplýs­ingar um samgang tækja er hlaðið inn einungis þegar einstak­lingar gefa sjálf­vilj­ugir upp að þeir séu með einkenni eða að beiðni heil­brigð­is­yf­ir­valda. Slík valkvæð og samþykkt söfnun gagna dregur a.m.k. úr hættu á altæku eftir­liti þar sem gögnum er ekki hlaðið inn sjálf­krafa. Skortur á gegnsæi um geymslu gagna í Frakklandi getur gefið til kynna að hægt sé að persónu­auð­kenna notendur forritsins.

Stjórn­völd í Noregi lýstu því yfir 15. júní sl. að þau myndu gera hlé á notkun rakn­ing­ar­for­ritsins. Sú ákvörðun var tekin nokkrum klukku­stundum eftir að Amnesty Internati­onal gaf út niður­stöður grein­inga rakn­ing­ar­for­rit­anna og upplýs­ingar voru sendar á yfir­völd í Noregi.

Þann 22. maí, var almenn­ingur í Katar skyld­aður til að hlaða niður smitrakn­ing­ar­for­ritinu „EHTERAZ“ á vegum stjórn­valda en þeir einstak­lingar sem ekki sækja forritið eiga yfir höfði sér þriggja ára fang­elsis­vist. Amnesty Internati­onal tilkynnti yfir­völdum um örygg­is­brest í smitrakn­ing­ar­for­ritinu degi fyrr sem berskjaldaði viðkvæmar persónu­upp­lýs­ingar rúmlega milljón einstak­linga.Yfir­völd leystu vanda­málið í lok dags þann 22. maí. Smitrakn­ing­ar­for­ritið býður yfir­völdum hins vegar upp á þann mögu­leika að rakning í líftíma sé virk hjá ákveðnum einstak­lingum eða öllum notendum en eins og staðan er í dag er ekki opið fyrir þann mögu­leika.

Forritið í Barein hefur verið tengt við sjón­varps­þáttinn „Ertu heima?“ þar sem verð­laun eru veitt einstak­lingum sem halda sig innan­dyra á mánuði föst­unnar (Ramadan). Upplýs­ingar sem söfn­uðust í gegnum appið voru notaðar til að velja 10 síma­númer sem hringt var í, í beinni útsend­ingu, til að athuga hvort notendur væru heima hjá sér og fengu þeir þá verð­laun. Til að byrja með var það ekki valkvætt fyrir einstak­linga að taka þátt í keppn­inni en nú geta notendur valið að „taka ekki þátt í sjón­varps­þætt­inum.

Yfir­völd í Barein hafa einnig gefið út viðkvæmar persónu­upp­lýs­ingar á netinu tengdar gruni um smit, þar á meðal er varða heilsu einstak­linga, þjóð­erni, aldur, kyn og ferða­sögu.

Barein og Kúveit forritin geta tengst Bluet­ooth-armböndum sem notuð eru til þess að notendur haldi sig í nálægð við símann sinn og fylgi reglum um sóttkví eftir. Forritið í Kúveit skoðar reglu­lega fjar­lægðina milli armbandsins og símans og hleður inn stað­setn­ingu á 10 mínútna fresta á miðlægan gagna­grunn. Það er skylda allra þeirra sem eru skráðir í sóttkví í Barein að bera armbandið, annars eiga þeir yfir höfði sér allt að þriggja mánaða fang­elsi og sekt upp að um það bil 3,7 millj­ónum íslenskra króna.

Smitrakning telur til mikil­vægra viðbragða yfir­valda í barátt­unni við kórónu­veiruna en tryggja þarf að mann­rétt­indi séu virt með því að vernda frið­helgi einka­lífs og persónu­upp­lýs­ingar í smitrakn­ing­ar­for­ritum. Það þýðir að aðeins skal safna nauð­syn­legum gögnum sem eru geymd með öruggum hætti.

Öll gagna­söfnun þarf að miða að því að hindra útbreiðslu smits og má ekki vera notuð í neinum öðrum tilgangi, eins og við löggæslu, í tengslum við þjóðarör­yggi eða innflytj­enda­eft­irlit, svo dæmi séu tekin. Einnig þarf að koma í veg fyrir að gögn berist til þriðja aðila eða séu notuð í viðskiptum. Yfir­völd um allan heim verða einnig að tryggja að niður­halning á smitrakn­ing­ar­for­ritum sé valkvæð.

Lestu einnig