A Nagy Testvér mint a koronavírus ellenszere, avagy az állampolgárok megfigyelése járvány idején

2020-04-07 #adattárolás ; #adattovábbítás ; #adatvédelem ; #megfigyelés ; #okoseszközök ; #Pan-European Privacy Preserving Proximity Tracing ; #Privacy ; #TechRelated ;

Ha az ember titokban akar tartani valamit, önmaga elől is el kell titkolnia” – írta Orwell anno és állítása legalább annyira aktuális napjainkban, mint amikor megfogalmazta. Elegendő, ha arra gondolunk, hogy a 21. század digitalizálódó társadalmában személyes adatainkat ki és mire hivatkozva ismerheti meg.

A koronavírus kapcsán különös jelentőségre tett szert egy egyébként is folyamatosan porondon lévő téma, nevezetesen, hogy a társadalom tagjai alapjogaik milyen mértékű korlátozását hajlandók elszenvedni egy össztársadalmi cél – jelen esetben a járvány elleni hatékonyabb küzdelem – érdekében. Konkrétabban, elfogadható-e az állam megfigyelési és adatgyűjtési lehetőségeinek növekedése egyes alapjogok – különösképpen a személyes adatok védelméhez való jog – kárára, ha ez azt eredményezi, hogy kevesebben betegednek meg és a járvány előbb véget ér?

A kérdés nyilvánvalóan etikai dilemmákat is felvet, de itt a jogi problémákra fókuszálunk.

Megfigyelés a koronavírus idején

Számos országban felmerült a személyes adatok és a mesterséges intelligencia módszeres felhasználásának gondolata a járvány megfékezése érdekében Dél-Koreától Izraelen és Oroszországon át a személyes adatok védelmére különösen érzékeny Európai Unióig, azon belül pl. Németországban is, amelyet még Európán belül is gyakran a legtudatosabb országnak szoktak nevezni adatvédelmi szempontból.

A koncepció nagyvonalakban mindenhol ugyanaz: hasznos eszköz lehet a járvány elleni küzdelemben egy tömegesen és olcsón üzembe helyezhető rendszer (pl. egy okoseszközökre telepíthető applikáció), amely figyeli és tájékoztatást ad például a lehetséges fertőzésekről, valamint a kialakuló gócpontokról. Ezzel párhuzamosan a dilemma is hasonló: hogyan valósítható mindez úgy meg, hogy az információk használhatók legyenek, ugyanakkor az érintettek személyes adatait ne kínáljuk tálcán az azok megismerésére nem jogosultaknak, illetve csak azokat az adataikat gyűjtsük, amelyek valóban feltétlenül szükségesek?

Ez a szempont eltérő súllyal jelenik meg az egyes országok jogrendjében, ahogyan azt a következő néhány példa is mutatja.

  • a kínai állam évtizedek munkájával épített ki (és modernizált folyamatosan) egy olyan, mára okoseszközökkel és mesterséges intelligenciával finomhangolt rendszert, amely alkalmas hatalmas mennyiségű információ – köztük személyes adatok – rögzítésére és kiértékelésére, valamint egyre növekvő precizitással képes az egyes magánszemélyek azonosítására és rájuk vonatkozó következtetések levonására. A rendszer által valós időben rögzített, emberi ésszel nehezen elképzelhető mennyiségű információ feldolgozásának módszereit szokás „big data”-ként emlegetni. A rendszer működésében való elmélyülés nélkül, a big data elemzés működési elve jelen esetben a következő: minden kínai állampolgár személyi igazolványa lényegében egy adatforrásként szolgál, mert e nélkül a legtöbb, mindennapi élethez szükséges lépés kivitelezhetetlen. Nem lehetséges bankszámlát nyitni, gyógyszert kiváltani a patikában, sőt mobiltelefont sem lehet az igazolvány nélkül vásárolni. Így tehát az igazolvány használata önmagában egy komplett személyiségprofilt és kronologikus történetet adhat arról, hogy a felhasználó mikor és mit csinált. Következésképpen egy, a felhasználó által megvásárolt mobiltelefon földrajzi helyének lekövetésével nem csupán a földrajzi helyhez, hanem a telefonhoz köthető állampolgár valamennyi, a személyi igazolvány használata során rögzített adatához is hozzá lehet férni. A megfigyelőrendszer olyan további kapacitásokkal is rendelkezik, amelyek a fenti okból rendelkezésre álló adatokkal kombinálva (vagy akár önmagukban is) kiválóan hasznosíthatók a koronavírus járvány idején a bevezetett intézkedések (pl. a kijárási tilalom) kikényszerítésére. Az arcfelismerők, a testhőmérsékletet is azonnal kimutató hőkamerák és a mesterséges intelligencia által vezérelt rajokban mozgó drónok csak apró szeletét képezik annak a technikai háttérnek, amely biztosítja, hogy pl. egy házi karantént megszegő egyénnel szemben a hatóságok azonnal hatékonyan intézkedni tudjanak.
  • Dél-Koreában a mobiltelefonok cellainformációját (magyarul a telefon földrajzi helyét) használják arra, hogy a felhasználónak SMS értesítésben jelezzék, ha a mozgása alapján egy megerősítetten koronavírusos személy közelében járt. Ez csak akkor lehetséges, ha a telefon -és így használója – mozgását folyamatosan nyomon követik. Ebből a mozgásból pedig – túlzott kíváncsiság, vagy rosszindulat mellett – elvben számos egyéb következtetés levonható, hiszen láthatóvá válik hová utazott, hol vásárolt, milyen címekre jár visszatérően stb. Az adatbányászoknak és a bűnüldözésnek ideális, magának az érintett személynek kevésbé.
  • Oroszországban, a járvány által leginkább sújtott Moszkvában ennek egyfajta továbbgondolásaként olyan applikációt vezettek be a napokban, amely a telefon földrajzi pozíciója mellett a felhasználó híváslistájához, kamerájához, hálózati adataihoz és tárhelyéhez is hozzáfér azzal a deklarált céllal, hogy a hatóságok azonnal értesüljenek, ha egy karantén alá helyezett személy elhagyja a lakhelyét. Jól mutatja, hogy az orosz hatóságok mennyire komolyan veszik ennek alkalmazását, hogy akik nem rendelkeznek okostelefonnal, amire az applikáció telepíthető lenne, azoknak átmenetileg biztosítanak ilyen eszközöket, az előre telepített applikációval együtt.

Nem mindegy, hogy ki, mit és miért néz – adatvédelmi szempontok

Az Európai Unió területén is feszített tempóban zajlik hasonló megoldások fejlesztése, azonban az EU adatvédelmi szabályozása (a GDPR) miatt ennek során olyan korlátokat is figyelembe kell venni, amelyek az EU-n kívüli országokban nem feltétlenül érvényesülnek (mint ahogyan ezt a napokban megtapasztalta az a szingapúri férfi, aki otthonában kikapcsolta a megfigyelő applikációval felszerelt mobiltelefonját, majd fél óra múlva csöngetett nála a rendőrség, és kedvesen, de határozottan felszólították, hogy azonnal kapcsolja vissza az eszközt, mert így nincs lehetőség kontrollálni, hogy betartja-e a karantént).

Az EU-ban fejlesztés alatt álló megoldásokra a legjobb példa az ún. „Pan-European Privacy Preserving Proximity Tracing” nevű applikáció, amely szabad fordításban kb.

  • összeurópai,
  • a személyes adatok védelmét biztosító
  • távolságmérést

jelent.

Ez az applikáció olyan módon működik, hogy az okostelefonra, vagy egyéb okoseszközre telepítve bluetooth kapcsolatot használva felméri, hogy a koronavírussal fertőzött személlyel kik kerülhettek közvetlen kapcsolatba (tehát hogy mely eszközök voltak egy adott időintervallum során a felhasználó eszközének közvetlen közelében). Ez általában arra a körre terjed ki, akik a felhasználótól 2 méternél kisebb távolságra tartózkodtak több mint 15 percig (tipikus esetben tehát pl. a tömegközlekedésen vele utazók vagy a munkatársai). Amennyiben a felhasználó koronavírus-tesztje pozitív lesz és ezt – egy speciális kódot beütve – jelzi az applikációnak, akkor az applikáció automatikusan figyelmeztetést küld a korábban azonosított kontaktok okoseszközeire, jelezve, hogy a közelmúltban fertőzött személy közelében voltak, ezért jó lesz vigyázniuk.

Ennek a technológiának a magánszférára és a személyes adatokra gyakorolt hatása messzemenő. Az egy dolog, hogy egy applikáció az egészségi állapotra vonatkozó adatokat gyűjt a felhasználótól – ez önmagában ma már nem extrém eset, a legtöbb fitnesz/alvássegítő, vagy hordható okoseszköz is ezt teszi – de ezt követően ezekkel kapcsolatban tömegeknek küld értesítéseket. Az applikáció fejlesztői szerint minden információ – ideértve a küldött értesítéseket is – titkosítva és azonosításra alkalmatlan módon lesz kezelve és tárolva. Az applikáció nyilvánvalóan nem azt fogja az értesítésben megírni nekünk, hogy pontosan ki volt a koronavírusos személy akivel találkoztunk, hanem csak arra a tényre fog utalni, hogy ilyen személlyel érintkezésbe kerülhettünk.

Látható tehát, hogy az EU területén fejlesztett alkalmazás legalábbis megpróbál az adatvédelmi szempontokra figyelemmel lenni, bár tény az is, hogy a hatékonysága csak akkor biztosított, ha a lakosság nagyobbik része önként telepíti és használja. Ez pedig szükségszerűen azt fogja eredményezni, hogy a lakosság nagyobbik részéről valamilyen, egészségi állapotra vonatkozó információt az applikáció gyűjt és potenciálisan meg is oszt egy tág személyi körrel.

A probléma informatikai hátterében nem elmélyedve, általában azt szokás mondani, hogy egy megfelelő szakismeretekkel és felszereléssel bíró személy olyan információ-töredékekből is vissza tud jutni ahhoz a személyhez, akire azok vonatkoznak, amelyekről nem is gondolnánk, hogy személyes jellegűek. A felhasználók azonosíthatatlanságával és a titkosítással kapcsolatos érv tehát minden esetben újabb és újabb kérdéseket vet fel az adatvédelemmel és adatbiztonsággal foglalkozó szakemberek körében, mint ahogyan a személyes adatok kezelése (vagy akár annak elvi lehetősége) felveti pl. az alábbiakat is:

  • hol tárolják a gyűjtött adatokat?
  • pontosan milyen egyéb szervezetek részére adják azokat át?
  • a tárolás / továbbítás során azok elhagyják-e az EU területét (pl. egy azon kívül található szerverre kerülve) és ahová kerülnek ott kellő védelemben részesülnek-e?
  • a gyűjtött adatokból – például azok nem szándékolt nyilvánosságra kerülése esetén – levonhatók-e további következtetések az érintettre nézve?

És most csak az EU esetéről beszélünk, az adatvédelemre kevésbé érzékeny országokban a kérdések száma nyilván még sokkal nagyobb, sőt, egyes országokban kimondottan az azonosíthatóság céljából folyik a módszeres adatgyűjtés, a magasabb rendű társadalmi érdekre hivatkozva.

Konklúzió

Az alapvető kérdés a jogi és technológiai háttér mögött végső soron mindig ugyanaz: vajon az össztársadalmi érdekek és az egyének alapvető jogainak örök kötélhúzásában melyik lesz az erősebb? Lehetséges, hogy a koronavírus a nyugati demokráciákban is a Nagy Testvér felé billenti a mérleg nyelvét a vírus elleni védekezés érdekében? És ha így lesz, vajon hogyan jelölhetők ki és ellenőrizhetők a magánszférába történő beavatkozás feltétlenül szükséges és arányos mértékének határai, és mi tekinthető már az elérni kívánt társadalmi célhoz képest is túlzónak?

Kétségtelen, hogy a fenti és ahhoz hasonló technológiák társadalmi haszna nagy és az sem zárható ki, hogy ez az egyének magánszférához való jogát bizonyos körben felülírja. A megoldást tehát valószínűleg az egyensúly megtalálása jelentheti a két végpont között, hangsúlyozva, hogy elsődlegesen nem maga a technológia, hanem az emberi tényező az, ami a kockázatot hordozza. Amíg tehát a megfelelően kontrollált és ellenőrzött adatkezelés legitim és ténylegesen mindannyiunk számára hasznos célra irányul, addig üdvözlendő az új technológiai megoldások bevezetése.

Az is teljesen biztos, hogy a jelenlegi gazdasági környezetben a fentihez hasonló applikációk fejlesztésével foglalkozó vállalkozásoknak egy sor – nem csak adatvédelmi – jogi aggályt kell megnyugtatóan rendezniük, mielőtt a termék piacra kerülhetne. Ellenkező esetben nemcsak a szankcióktól, hanem komoly reputációs kártól és a fogyasztók elriasztásától is tartaniuk kell.

dr. Csenterics András LL.M., Ügyvéd, Adatbiztonsági és adatvédelmi szakjogász

TechRelated
a Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal technológiai jogi blogja

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédekhez.

Megosztás