[Из песочницы] Как спастись от Covid и от слежки?
Вызывает растущее беспокойство государственное присутствие на ниве персональных данных, и усиление слежки сопряжённые с эпидемией. Критика этой ситуации, которой не будет посвящена данная статья, к счастью представлена весьма широко, во многих странах, в том числе и у нас. Авторитетные люди и организации выступают с предостережениями, против предоставления государству исключительных полномочий под предлогом экстренных мер, указывая на опасность, и необратимость таких шагов. Цитаты из СМИ приведены в конце этой статьи.
В стороне от политических споров мы можем обнаружить не занятой технологическую нишу способную не только эффективно помогать населению в борьбе с инфекцией, но вывести защиту цифровых прав на качественно новый уровень. Рассмотрению такого сценария посвящена эта публикация.
Усиливающаяся тенденция национализации персональных данных, и до того носившая бурно наращиваемый характер, успешно оправдывает себя решением насущных и практических задач. В данном случае потребность в контроле за распространением инфекции столь наглядна, что любого рода деятельная активность направленная на выполнение этой задачи легко завоёвывает приоритет перед бездействием. В этом разрезе, даже прямые указания на недостатки и уязвимости государственных инициатив сопряжённых со слежкой за населением выглядят беспомощными. Существенным препятствием на пути развёртывания глобального контроля могут явиться не препирательства, а реальные альтернативны, т.е. практические решения тех же прикладных задач, в которых искомая борьба с эпидемией достигаются если не лучше, то хотя бы с сопоставимой эффективностью, без нарушения цифровых прав.
Предлагаю рассмотреть вариант одного из таких решений для контроля за распространением инфекции, которое использует персональные данные и возможности смартфонов для их обработки, и опирается на соблюдение прав человека и защиту персональных данных.
Исходя из базовых идеалов о защите персональных данных, ясно что отталкиваться необходимо от хранения на устройстве пользователя. Свободное приложение для контроля за эпидемией должно выполнять практически всю работу на стороне клиента и быть децентрализованным.
Целью этой статьи не является конкретизация определённой архитектуры, вместо этого я обрисую общую концепцию приложения, задачей которого является обеспечение карантинных мер, а так же сбор и обработка статистики о ходе эпидемии для научного анализа и мониторинга. Подчеркну, что по моему мнению кроме научных задач и мониторинга, у сбора и обработки персональных данных сопряжённых с covid не может быть иных целей.
Начнём с обеспечения карантина. Набор мер социального дистанцирования, изоляции и сокращения контактов, в первую очередь с заболевшими, широко описан и может быть очерчен давольно ясно. Работу нашего приложения, ориентированного на устройство клиента необходимо направить на удовлетворение добровольных потребностей пользователя, выполнять данный набор мер. Любые меры наказания и контроля со стороны уполномоченных органов, как это сейчас реализуется некоторыми правительствами, необходимо сразу же исключить из рассмотрения как не добровольные. Все остальные меры противодействия распространению инфекции, не сопряжённые с насилием, построены на мотивации пользователя к обеспечению собственной безопасности и посильному участию в общей борьбе с эпидемией. Такими мерами могут быть:
- Предупреждение окружающих (близких и специалистов) о своём статусе «здоров», «есть симптомы», «заболел», «переболел», «группа риска», «контактировал» и т.п.
- Своевременное получение информации о наличии заболевших/контактных пациентов среди своего окружения
- Анализ контактов пользователя на предмет вероятности заразиться, по характеру их окружения и контактов (локальный анализ и распространение данных)
- Предоставление данных для централизованной статистической обработки в целях научного мониторинга, по индивидуальному запросу с публичной целью и алгоритмом исследования, а так же открытым доступом к результатам.*
Установив приложение пользователь разрешает ему доступ к списку контактов и возможность установить p2p канал связи между такими же приложениями у своего окружения. Устанавливая связь через список контактов, или напрямую между приложениями пользователи в первую очередь классифицируют всех с кем установлено соединение по трём группам:
- близкие (встречи происходят регулярно)
- косвенные (непосредственные контакты не регулярны, но человек вхож в круг общения)
- случайные контакты (возможна встреча например в транспорте или на лестнице)
На следующем этапе пользователь добровольно принимает решение поделиться ли ему своей информацией с каждой из этих групп в отдельности. В понятие своей информации может входить как статус «заболел/не заболел», так и другая информация, вплоть до перемещений и списка контактов. Важно что в этой ситуации информация с устройства пользователя не пересылается на централизованный сервер. Все данные, сгенерированные и полученные приложением, не передаются на сервер, а хранятся на устройстве пользователя и «соседних» устройствах людей из его окружения. Из полученной информации можно составить некоторое впечатление о вероятности заболеть при контакте с окружающими, и о мерах борьбы с эпидемией которые предпринимают люди и сам пользователь (остаются дома, например). Следует добавить, что кроме формирования p2p соединений между пользователями («круг общения») на основе контактов, можно создавать автоматическую коммутацию устройств по bluetooth, или пресловутыми qr-кодами для таких случаев, как поездка в общественном транспорте, или контакты на рабочем месте.
Может существовать несколько режимов распространения информации от приложения к приложению. Например, разумным представляется не передавать на чужое устройство идентификаторы своего круга общения, а только обобщённую статистику по нему. Например что среди тех с кем я общаюсь нет заболевших, или скажем, что их 5% среди людей составляющих все контакты, что среди них есть или нет людей моего близкого круга. Эти меры раскрытия информации одновременно информативны и на порядок меньше угрожают массово скомпрометировать персональные данные, чем в случае с централизованными системами правительств.
Существуют и более радикальные режимы распространения информации, когда человек заражённый covid на время пребывания на лечении сможет разрешить приложению транслировать свою информацию за инкубационный и последующий период лечения максимально публично. Такая мера, не компрометируя института конфиденциальности самого по себе, способна сильно упростить работу медицинским службам и соблюдению карантинных мер. Возможно так же, с их разрешения, поделиться имеющейся у заболевшего информацией «близкого круга» пользователей, иными словами «контактных» человека диагностированного Covid.
В описанной модели мы имеем шансы заполучить мощный общественный инструмент структурирования персональных данных и действенный механизм борьбы с распространением инфекции. Эта модель пользовательского поведения вовлекает в работу по эффективному социальному дистанцированию, поднимает информированность об эпидемии и побуждает ответственное отношение к карантинным мерам.
Не хватает только классного способа сбора и статистической обработки данных для мониторинга и исследования эпидемии. Задача слишком заманчивая, что бы отказываться от неё в угоду идеалам защиты свободы и конфиденциальности. Необходимо предусмотреть специальный научный протокол научного анализа личных данных. Этот пункт из перечня мер борьбы с эпидемией отмечен звёздочкой, потомку что только он допускает техническую возможность централизованного сбор, обработки и хранение персональных данных пользователей на сервере. Этот протокол представляет собой кран по которому наши персональные данные способны утекать и собираться в хранилищах, поэтому для его этичной реализации потребуется конкуренция собирающих узлов за соответствие строгому перечню стандартов, главным из которых является открытость, и научный авторитет. Окончательное решение об отсылке своих персональных данных остаётся на усмотрение пользователя и принимается индивидуально для каждого запроса. Это подразумевает, что запросы должны иметь определённый вид и поступать по разрешённому графику. Приложение будет блокировать все запросы которые не соответствуют публичным требованиям защиты от злоупотреблений личными данными. К неполному списку таких требований относятся:
- публичная информация об институте производящем запрос, подтверждающая его научный статус, с криптографической идентификацией.
- публичное описание исследования с указанием гипотезы и методов статистической обработки данных, со ссылками на источники откуда взята и чем мотивирована исследовательская процедура.
- личное поручительство научного руководства исследовательской или мониторинговой службы.
- публичный доступ к результатам данного и предшествующих исследований, и к самому массиву научных данных.
- внедрение метода анонимизации и рандомизации данных выборки в процессе сбора.
Данные меры позволяют дополнить гражданский арсенал высокотехнологичных мер защиты от эпидемии богатым источником наблюдений, допускающего лишь выборочное, умеренное, обратимое и добровольное нарушение конфиденциальности в контролируемых условиях.
Убеждён что появление такого приложения на рынке окажется для гражданского общества весомее чем любая конструктивная критика предпринимаемых правительством мер. Одно реальное решение с опорой на управление собственными данными будет полезней тысячи слов в защиту конфиденциальности от лица организаций, общественных деятелей и активистов, при чём не только в нашей стране.
novayagazeta.ru
meduza.io
aitrus.info
konkir.ru
roskomsvoboda.org
ППР