Fréttir
25. júní 2020Rakningarforrit og friðhelgi einkalífs
Amnesty International hefur greint smitrakningarforrit á tímum kórónuveirufaraldursins í Evrópu, Mið-Austurlöndum og Norður-Afríku, þar á meðal á Íslandi. Niðurstöður sýna að smitrakningarforrit stjórnvalda í Barein, Kúveit og Noregi séu þau alræmdustu er kemur að altæku eftirliti.
Þessi forrit stofna öryggi og friðhelgi einkalífs hundruð þúsunda einstaklinga í hættu þar sem þau fylgjast með notendum í líftíma með því að hlaða inn GPS staðsetningu þeirra reglulega inn á miðlægan gagnagrunn.
„Barein, Kúveit og Noregur hafa traðkað á friðhelgi einkalífs með yfirgripsmiklum eftirlitsaðgerðum sem ganga mun lengra en það sem telst til réttlætanlegra aðgerða í baráttunni við kórónuveirufaraldurinn.“ –
Claudio Guarnieri, Framkvæmdastjóri AI security lab.
Greining Amnesty International á smitrakningarforritum
Greiningin sýnir að slík forrit skiptast yfirleitt í þrjá flokka:
- Forrit sem leyfa notendum valkvætt að skrá og athuga einkenni sín án þess að rekja beint smitleiðir. Dæmi um slík forrit er að finna í Líbanon og Víetnam.
- Smitrakningarforrit sem notast við Bluetooth-tengingu og geyma gögn í símum einstaklinga en ekki á miðlægum gagnagrunni. Slík forrit hafa verið notuð í Austurríki, Þýskalandi, Írlandi og Sviss. Amnesty International skoðaði ekki tæknilegar hliðar þessara forrita þar sem þau eru ekki eins mikið áhyggjuefni þegar kemur að friðhelgi einkalífs og munu vera í notkun tímabundið.
- Hættulegustu smitrakningarforritin eru þau sem skrá gögn sem safnast í gegnum Bluetooth símans eða GPS-staðsetningarbúnað, eða bæði, og hlaða inn gögnunum á miðlægan gagnagrunn. Í sumum tilfellum eru einstaklingar skyldugir til að hlaða inn forritunum. Amnesty International varaði yfirvöld í Barein, Kúveit og Noregi við að forrit þeirra stofnuðu öryggi og friðhelgi einkalífs einstaklinga í hættu áður en niðurstöður greiningarinnarkomu út.
Yfirvöld í þónokkrum löndum geta auðveldlega komist yfir viðkvæmar persónuupplýsingar einstaklinga þar sem notendur skrá sig með kennitölu líkt og í Katar, Barein og Kúveit eða með símanúmeri, eins og í Noregi.
Rakningarforrit í löndum eins og á Íslandi, í Frakklandi og Sameinuðu arabísku furstadæmunum notast við miðlægt kerfi en upplýsingar um samgang tækja er hlaðið inn einungis þegar einstaklingar gefa sjálfviljugir upp að þeir séu með einkenni eða að beiðni heilbrigðisyfirvalda. Slík valkvæð og samþykkt söfnun gagna dregur a.m.k. úr hættu á altæku eftirliti þar sem gögnum er ekki hlaðið inn sjálfkrafa. Skortur á gegnsæi um geymslu gagna í Frakklandi getur gefið til kynna að hægt sé að persónuauðkenna notendur forritsins.
Áhrif greiningar Amnesty International
Stjórnvöld í Noregi lýstu því yfir 15. júní 2020 að þau myndu gera hlé á notkun rakningarforritsins. Sú ákvörðun var tekin nokkrum klukkustundum eftir að Amnesty International gaf út niðurstöður greininga rakningarforritanna og upplýsingar voru sendar á yfirvöld í Noregi.
Þann 22. maí var almenningur í Katar skyldaður til að hlaða niður smitrakningarforritinu „EHTERAZ“ á vegum stjórnvalda en þeir einstaklingar sem ekki sækja forritið eiga yfir höfði sér þriggja ára fangelsisvist.
Amnesty International tilkynnti yfirvöldum um öryggisbrest í smitrakningarforritinu degi fyrr sem berskjaldaði viðkvæmar persónuupplýsingar rúmlega milljón einstaklinga. Yfirvöld í Katar leystu vandamálið í lok dags þann 22. maí. Smitrakningarforritið býður yfirvöldum hins vegar upp á þann möguleika að rakning í líftíma sé virk hjá ákveðnum einstaklingum eða öllum notendum en eins og staðan er í dag er ekki opið fyrir þann möguleika.
Smitrakningarforrit í Barein og Kúveit
Forritið í Barein hefur verið tengt við sjónvarpsþáttinn „Ertu heima?“ þar sem verðlaun eru veitt einstaklingum sem halda sig innandyra á mánuði föstunnar (Ramadan). Upplýsingar sem söfnuðust í gegnum appið voru notaðar til að velja 10 símanúmer sem hringt var í, í beinni útsendingu, til að athuga hvort notendur væru heima hjá sér og fengu þeir þá verðlaun. Til að byrja með var það ekki valkvætt fyrir einstaklinga að taka þátt í keppninni en nú geta notendur valið að „taka ekki þátt í sjónvarpsþættinum“.
Yfirvöld í Barein hafa einnig gefið út viðkvæmar persónuupplýsingar á netinu tengdar gruni um smit, þar á meðal er varða heilsu einstaklinga, þjóðerni, aldur, kyn og ferðasögu.
Barein og Kúveit forritin geta tengst Bluetooth-armböndum sem notuð eru til þess að notendur haldi sig í nálægð við símann sinn og fylgi reglum um sóttkví eftir. Forritið í Kúveit skoðar reglulega fjarlægðina milli armbandsins og símans og hleður inn staðsetningu á 10 mínútna fresta á miðlægan gagnagrunn. Það er skylda allra þeirra sem eru skráðir í sóttkví í Barein að bera armbandið, annars eiga þeir yfir höfði sér allt að þriggja mánaða fangelsi og sekt upp að um það bil 3,7 milljónum íslenskra króna.
Ákall Amnesty International
Smitrakning telur til mikilvægra viðbragða yfirvalda í baráttunni við kórónuveiruna en tryggja þarf að mannréttindi séu virt með því að vernda friðhelgi einkalífs og persónuupplýsingar í smitrakningarforritum. Það þýðir að aðeins skal safna nauðsynlegum gögnum sem eru geymd með öruggum hætti.
Öll gagnasöfnun þarf að miða að því að hindra útbreiðslu smits og má ekki vera notuð í neinum öðrum tilgangi, eins og við löggæslu, í tengslum við þjóðaröryggi eða innflytjendaeftirlit, svo dæmi séu tekin. Einnig þarf að koma í veg fyrir að gögn berist til þriðja aðila eða séu notuð í viðskiptum. Yfirvöld um allan heim verða einnig að tryggja að niðurhalning á smitrakningarforritum sé valkvæð.
Lestu einnig
ÞITT NAFN BJARGAR LÍFI
Þú ætlar að styðja og .
Skrifaðu undir og Amnesty á Íslandi sendir viðeigandi aðilum bréf í þínu nafni. Engar aðrar persónuupplýsingar en nafn þitt munu fylgja bréfinu á viðkomandi stjórnvöld.
Með því að skrifa undir málin samþykkir þú skilmála Íslandsdeildar Amnesty International um undirskriftir og persónuverndarstefnu