Privatost u doba krize – što je pogrešno u prikupljanju lokacije mobitela?

Pandemija korona virusa je u vrlo kratkom roku značajno utjecala na ograničenja brojnih ljudskih prava – onih očitih koja su nužno izravno ograničena epidemiološkim mjerama, poput ograničenja slobode kretanja i slobode okupljanja, ali je u fokus dovela i neka ne tako očekivana ograničenja, poput prava na privatnost. Iako je glavni odgovor velike većine država na ovu krizu primjena dobrih starih mjera izolacije i samoizolacije, u cijelom svijetu se uvelike traže i dodatna tehnološka rješenja. Tehnologija zaista može uvelike pomoći na različite načine i nezamislivo je da ju nećemo upotrijebiti u našu korist i u ovom slučaju. Međutim, neka rješenja čini se zadiru u ljudsko pravo na privatnost i stoga pokreću brojne rasprave.

U Hrvatskoj se tako posljednjih nekoliko tjedana vodi intenzivna javna rasprava o Vladinom prijedlogu izmjena Zakona o elektroničkim komunikacijama. Mišljenja su podjeljenja, pa se sukobljavaju optužbe oporbe za uvođenje diktature i velikog brata, i s druge strane premijerova relativizacija jer ionako “Svi vi koji imate pametne telefone sve ste dali Googleu i Facebooku, sve imaju, znaju sve o vama u svakom trenutku”.

I da, nedavno su u medijima u Hrvatskoj objavljeni podaci o kretanju građana koje je Google prikupio putem pamentih mobitela, što nije bilo pretjerano problematizirano. Znamo da (neki od nas) s Googleom djelimo lokaciju temeljem čega svakodnevno dobivamo povratne informacije – od snalaženja na karti do podataka koliko smo kilometara prešli na mjesečnoj razini i slično. Većinom se to ne shvaća kao ugroza, već kao dobrodošla tehnološka korist u vrijeme u kojem živimo. Međutim, bez obzira je li Google ugroza za privatnost, premijerova teza u ovom kontekstu ne stoji jer niti svi građani imaju pametne mobitele, niti svi rado djele lokacijske podatke s  Googleom i Facebookom. Ako to i rade, rade to dobrovoljno i (nadamo se najčešće) svjesno, kliknuvši na kućicu “DA”, dok Vladin prijedlog izmjena Zakona ne jamči pristanak niti znanje građana da su praćeni. Uz to, ukoliko privatnost već i je narušena od strane privatnih kompanija, to ne eskulpira državu da još dodatno nasrne na privatnost, već naprotiv, država bi trebala dodatno zaštiti građane od eventualne zloupotrebe privatnih podataka. Zbog toga je uostalom i donesen GDPR, tj. Zakon o provedbi Opće uredbe o zaštiti podataka, koji između ostalog obuhvaća i lokacijske podatke. I konačno, nešto je drugačije kada privatne kompanije raspolažu osobnim podacima i u koje svrhe i u kojim uvjetima ih mogu (zlo)rabiti, nego kad to ista mogućnost, pogotovo zlouporabe dostupna državi.

Neke zemlje naravno već provode mjere slične onima koje je predložila Vlada RH. U Južnoj Koreji se, primjerice, kretanje građana prati putem lokacije mobitela i u kombinaciji s drugim podacima, šalju se upozorenja građanima koji su potencijalno bili blizu nekoga tko je zaražen virusom.  Singapur i Iran razvili su aplikacije koje prate lokaciju mobitela, Tajvan prati lokacije mobitela osoba koje su u izolaciji i samoizolaciji i obavještava policiju ako osoba prekrši izolaciju ili samoizolaciju. Poljska je, uvela aplikaciju putem koje osobe u samoizolaciji mogu poslati policiji selfi kao dokaz da su kod kuće, pa ih u tom slučaju policija neće uznemiravati posjetima, a Austrija, Belgija i Njemačka koriste agregirane podatke o lokaciji i kretanju građana kako bi rekonstruirale kretanja i pratile trendove.

Neke zemlje su otišle i korak predaleko, pa tako od ožujka, izraelska sigurnosna agencija više neće morati dobivati sudski nalog za praćenje telefona pojedinaca, te ova mjera uključuje kibernetičko praćenje svakog mobitela u Izraelu tijekom 24 sata. Odmah su usljedile kritike, a vlada je mjeru donijela zaobišavši parlament što su pojedini političari i krugovi kritizirali kao protudemokratski potez.

Pa je li onda privatnost kao ljudsko pravo uopće moguća danas? I je li zaista toliko važna? Većinom je privatnost kao ljudsko pravo samorazumljiva i stječe se dojam da ne izaziva česte prijepore. I iako je uglavnom nitko ne opovrgava, te mnogi smatraju privatnost važnom, s druge strane ne vide problem u djeljenju podataka jer – ionako “nemaju što skrivati”. Kad se radi o podacima o lokaciji, koju predloženim izmjenama Zakona Vlada želi prikupljati u svrhu zaštite zdravlja građana, mnogima nije jasno koji je točno problem s tim da Vlada i raspolaže tim podacima. I koji bi to bio interes države osim zaštite zdravlja, o kakvoj potencijalnoj zlouporabi je tu riječ? Zdravorazumski bi bilo misliti da demokratsku državu ne zanima gdje je netko bio, odnosno da ju to zanima u iznimnim situacijama, i da država nema pretjeranog interesa pratiti sve građane, to jest one koji “nemaju što skrivati”. Međutim, znamo da to nije tako, pogotovo nakon Snowdenovog slučaja. S druge strane, u vrijeme pandemije državu itekako (opravdano) zanima gdje je tko bio i s kim, te će upravo ti podaci postati ključni za učinkovito djelovanje i zaštitu zdravlja, I oni se prikupljaju s tehnologijom ili bez nje. Tehnologija tu naravno, u idealnom slučaju, dolazi kao pomoć u otkrivanju i rekonstruiranju kretanja.

Međutim, nekoliko je ključnih problema općenito s praćenjem lokacije putem mobitela. Naime, pomoću podataka o lokaciji moguće je rekonstruirati nečiji život i navike do najsitnijeg detalja, na način da onaj koji raspolaže s podacima može stvoriti sliku o ponašanju osobe, pa i predvidjeti njeno ponašanje. Privatne kompanije to dakako i rade, u svrhu personaliziranog oglašavanja, istraživanja tržišta, razvoja brendova i još bezbroj mogućnosti. Ukoliko su takvi podaci ne anonimizirani, oni su zaštićeni GDPR-om kao osobni podatak. Ukoliko su anonimni i agregirani, mogu se koristiti. Dakle, netko tko raspolaže s agregiranim podacima o lokaciji, može rekonstruirati ponašanja skupine, kao što nam je to Google nedavno pokazao. Ukoliko raspolaže tim podacima povezanim s osobom, to jest lokacijom kao osobnim podatkom, (zaštićenim GDPR-om!) može rekonstruirati navike i ponašanje osobe. I upravo je i tu dodatni problem s lokacijskim podacima. Oni se naime teško mogu u potpunosti de-anonimiziati jer su i sami identifikator, te ih je lako ponovno re-identificirati u kombinaciji s drugim osobnim podacima koji su lako dostupni.

Novija istraživanja ukazuju na dodatne problem s “anonimnim” podacima, čak i kad su agregirani – tako je naprimjer istraživanje iz 2019. dokazalo da je “korištenjem 15 atributa moguće ispravno identificirati 99,98% državljana SAD-a u bilo kojem skupu čak i nepotpunih podataka”. Isto istraživanje ukazuje da je sa samo nekoliko podatka, vjerojatnost da će se moći pravilno identificirati osobu vrlo visoka, te je zaključak istraživanja da “čak i jako uzorkovani anonimni skupovi podataka vjerojatno neće udovoljiti modernim standardima anonimnosti koje je utvrdio GDPR i ozbiljno dovode u pitanje tehničku i pravnu adekvatnost modela odobravanja korištenja de-identificiranih podataka.“ Lokacijski podaci su naravno jedan od najpreciznijih podataka – čak ako su i svi drugi podaci anonimizirani, istraživanja pokazuju da su samo lokacijski podaci dovoljni da se otkrije identitet osobe.  Tako je istraživanje iz 2013. godine pokazalo da “u skupu podataka u kojem se mjesto pojedinca određuje satno i s prostornom rezolucijom jednakom onoj koju daju antene nosača, četiri su prostorno-vremenske točke dovoljne za jedinstvenu identifikaciju 95% pojedinaca. “

Dakle, upitno je koliko su lokacijski podaci anonimni. Ukoliko se podatke o lokaciji lako može spojiti s identitetom osobe, zlouporabe su brojne – osjetljivi podaci se mogu iskoristiti za ucjene, masovni nadzor, socijalni inženjering ili krađu identiteta. Stoga je vrlo važno pitanje, ako će država dodatno prikupljati lokacijske podatke, tko će im imati pristup, gdje i kako će biti pohranjeni, kako će se obrađivati, djeliti, uništavati. Iz trenutnog prijedloga Zakona to nam je sve – nepoznato.

Međutim, ako se i uspije osigurati potpuna segregacija podataka, osigura najveći mogući stupanj anonimnosti, te nitko ne bude imao pristup ničemu što ne bi trebao znati i vidjeti, i dalje ostaje pitanje – što s tim podacima? Hoće li se oni koristiti samo za informaciju zdravstvnim djelatnicima da je osoba pod mjerama samoizolacije ili će se koristiti kao dokaz za kršenje odredbi samoizolacije, ili čak za rekonstruiranje kontakata potencijalno zaražene osobe. Korištenje osobnih podataka u različite svrhe zahtjeva potpuno različite pristupe u prikupljanju i obradi podataka, pa stoga snosi i različite moguće rizike. Čini se da u konkretnom slučaju predloženog Zakona o elektroničkim komunikacijama nije do kraja promišljen i razrađen model pa nisu niti detektirani potencijalni rizici i nedostatci uporabe tehnologije kao dodatnog nadzora građana.

Možda će se odgovor na pitanje  balansa između dobrobiti uvođenja tehnologije i zaštite ljudskih prava u ovom slučaju razrještiti na EU razini, usklađivanjem nacionalnih zakona s „Preporukama Europske komisije o zajedničkim alatima Unije za upotrebu tehnologije i podataka radi suzbijanja i izlaska iz krize uzrokovane Covidom-19, s posebnim naglaskom na mobilne aplikacije i upotrebu anonimiziranih podataka o kretanju“. S druge strane, privatni sektor je već brzo odgovorio na izazov i upravo kako tvrde, zbog zaštite privatnosti, predlažu alate koje ne upotrebljavaju lokacijske podatke. Google i Apple tako su razvili Privacy-Preserving Contact Tracingkoji predstavljaju kao alat koji “omogućava korištenje Bluetooth tehnologije kako bi se pomoglo vladama i zdravstvenim agencijama da smanje širenje virusa, a uz uvažavanje privatnosti i sigurnosti.“ Ova aplikacija naime manje je o tome gdje je tko bio, a više o tome je li netko bio u blizini zaražene osobe. Također, identifikacija se odvija pomoću kodova i to na samom (i samo na) uređaju korisnika. To na prvi pogled jamči neku razinu sigurnosti i privatnosti. Kako sada izgleda, čini se da, bar u ovoj situaciji krize, privatne kompanije više brinu o privatnosti građana i ozbiljnije pristupaju tom problemu od mnogih vlada, čak i u EU.

Koliko će ovi alati biti uspješni u balansiranju između naizgled nepomirljive potrebe za korisnim podacima, ali i zaštiti privatnosti kao ljudskog prava kakva nam je do sada bila poznata, ostaje pratiti.

Tina Đaković

Kuća ljudskih prava Zagreb