Cybernetica teadlane Dan Bogdanov kirjutab riikliku koroonaviirusesse nakatunute kontaktijälitamise äpi loomise valguses privaatsusest ja asukohaandmete jagamisest.

Kuidas me võiksime kasutada ära mobiiltelefone, et piirata koroonaviiruse levikut? Artiklis kirjeldan vajadust, ootuseid ja võimalikke lahendusi. Artikkel tugineb mitmetel allikatel, millele on viidatud artikli sees.

Eriolukord veenab meid kodus püsima

Eesti Vabariigi valitsus on kehtestanud eriolukorra ja liikumispiirangud, et takistada riigis koroonaviiruse COVID-19 levikut. Viirus ei suuda paljuneda ja levida ilma inimestevahelise kontaktita. Kui inimesed omavahel füüsiliselt ei kohtu, siis viirus ei levi. Mure on aga selles, et kõik COVID-19 viirusega nakatunud ei tea veel, et nad on nakkusekandjad ja kohtuvad endiselt teiste inimestega.

Kuidas vabatahtlik kontaktide jälitus meid aitaks?

Sellel hetkel, kui me saame teada, et oleme haiged, oleks väga hea teada, kellega me viimase nädala või kahe jooksul kohtunud oleme. Me saaksime neid teavitada oma haigestumisest ning hoiatada, et ka nemad võivad olla nakkuse saanud. Seda on lihtne teha nendega, keda me tunneme, aga raskem teha kellegagi, kes poes sinu kõrval riiulist piimapakki haarates köhatab.

Siin võibki meid aidata arvuti, antud juhul meie telefon, mis jälgib näiteks Bluetoothi raadiosignaalide kaudu, kelle lähedal me olnud oleme ja jätab selle meelde. Kui me saame oma arstilt kinnitatud diagnoosi, saame oma telefonis rakendusele seda öelda ja see suunab info edasi teistele, kes saavad minna ja ennast loodetavasti testida lasta. Nii leiaksime võib-olla üles inimesed, kes on nakatunud, kuid veel ei tea, et teisi nakatavad ning nad saaksid end isoleerida.

Rakenduste kasutamise väärtust kriisist väljumisel selgitas 8. aprillil ka Euroopa Komisjon.

Mida me kontaktide jälituse süsteemilt ootame?

Kirjeldatud süsteem peaks ennekõike oskama teha kahte asja. Esiteks, andma inimesele kiirelt teada, et neil on olnud võimalik kokkupuude haigestunuga. Teiseks, pärast kokkupuutest teavitamist annaks rakendus ka isikule nõu, kuidas edasi käituda.

Lisaks oleks riigile palju kasu, kui epidemioloogid saaksid viiruse levikut tagantjärele analüüsida. Siin saaks igale kodanikule anda ka õiguse valida, kas ta on nõus jagama oma andmeid teadustöö tarbeks või mitte.

Millised on sellise süsteemi riskid ja kuidas neid vältida?

Selline süsteem loob ühiskonda kaks klassi, nakatunud ja mittenakatunud. Kui me sellise klassifikatsiooni alusel hakkaksime inimesi laskma tööle, kooli, kinodesse või riigiasutustesse, siis oleks tegemist põhiõiguste rikkumisega. Seega on põhjust eelistada süsteeme, mis töötlevad andmeid vähem ja jagavad neid vähemate osapooltega.

Näiteks võiks ju kujutleda süsteemi, kus riik paneb püsti hästi suure serveri, kuhu kogutakse kõigi inimeste võimalikult täpsed asukohaandmed, lisatakse juurde nakatunute info ja siis leitakse kõik inimesed kellele teste teha. Kui selline süsteem tavapäraste IT-vahenditega teostada, siis oleks eesmärk täidetud, kuid tegemist oleks ka jälitusandmebaasiga, mille abil saaks teha muid tegevusi, mis võivad juba isiku põhiõigusi rängalt rikkuda.

Seega, tark oleks seada süsteemile veel järgmised nõuded:

1. Süsteemi abil ei saaks jälitada terveid inimesi.
2. Vähim võimalik andmetöötlus, mis on eesmärgi saavutamiseks vajalik.
3. Andmete väärkasutust välditakse tehniliste vahenditega.
4. Süsteem on rakendatav terve riigi tasemel, miljonite kuni sadade
   miljonite inimestega.
5. Süsteem toimib laialdaselt kättesaadavate mobiiltelefonidega.

Selline komplekt nõudeid ei ole sisemiselt vastukäiv – selliseid süsteeme, mis täidavad oma eesmärgi ning ei töötle liigselt palju andmeid, on meie ümber mitmeid. Mõelgem ID-kaardiga autentimisele, internetivalimistele.

Mitmed turule toodud lahendused ei kaitse inimeste privaatsust, kuigi lubavad

Mitmed teenusepakkujad on kohandanud oma rakendusi koroonaviirusega võitlemiseks. Paraku on selle käigus aga jäetud tähelepanuta kasutajate ootus privaatsusele. Toome siin mõned näited.

Vaatame näiteks Androidi telefonidele mõeldud rakendusi. Pariisis asuv Defensive Lab Agency analüüsis üle 40 rakenduse ning leidis neis kõigis koodijuppe, mis viitavad rakenduste kaudu toimuvale andmekogumisele, mis võib jälitada rakenduse kasutaja muid harjumusi ja käitumist.

Mitmed teenusepakkujad ka väidavad, et töötlevad isikute asukohaandmeid anonüümselt. Esmalt tuleb ära märkida, et GPS abil kogutud andmed on piisavalt täpselt, et ka [osalised andmestikud võimaldavad isiku tuvastamist https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html, https://www.nature.com/articles/srep01376]. Seega on GPS abil kogutud andmete anonüümimise väited juba eos kahtlustäratavad.

Teenusepakkujad nagu Tectonix on näidanud muljetavaldavaid visuaalseid näiteid sellest, kuidas inimesed liiguvad. Nende andmed pärinevad teenusepakkujalt nimega X-Mode, kes väidavad oma privaatsusdokumendis, et andmed on anonüümsed.

X-Mode ütleb oma nad selgelt välja, et asukohaandmed on seotud seadme (telefoni) identifikaatoriga. Selline identifikaator on aga isikuandmete kaitse üldmääruse järgi isikustatav info, sest seda ühendades seadmeid ja inimesi siduva andmekoguga suudetaks asukohaandmed isikustada. Ning seadmete ja kasutajate sidumiseks on mitmeid võimalusi. X-Mode jagab andmeid oma privaatsuspoliitika järgi üle 140 partneriga.

Samas – X-Mode’i saab välja tuua kui avatud poliitikatega ettevõtte. Nad ütlevad selgelt ära, mida nad teevad ja selle eest neile suur kiitus. Mitmed varjavad ka sarnaseid tegevusi.

Asukohaandmeid koguvaid ja töötlevaid firmasid on veel – Cuebiq, Placer, Unacast, Umlaut, SafeGraph näiteks. Ning loomulikult on COVID-19 raames andmeid jagamas ka suuremad teenused nagu Google, Facebook ja Foursquare.

Millised on tõeliselt privaatsust säilitavad lahendused?

Tänase seisuga on nii Euroopas kui Ameerikas rühmad, kes proovivad ehitada tõeliselt privaatsust austavaid lahendusi. Euroopas oli üks esimestest PEPP-PT konsortsium, kes on lubanud kehtestada ootuseid ja standardeid ning toetada sobivaid lahendusi, mida üle Euroopa tuleb kindlasti mitmeid. Artikli kirjutamise hetkeks on PEPP-PT ametlikult toetanud tsentraliseeritud kontrolliga lahendusi.

Tsentraliseeritud lahendustel on omad miinused:

1. Teenusepakkuja saab jälitada ka neid, kes pole veel nakatunud.
2. Teenusepakkuja saab teada, millised inimesed omavahel suhtlevad.
3. Teenusepakkuja saab teoreetiliselt ka inimesi “andmebaasis nakatada” (haigeks märkida) või vastupidi, neid mitte hoiatada. Seda me samas väga ei usu.

Hajusad lahendused hoiaks suurt osa vajalikust teabest kasutaja telefonis ja jagaks seda alles siis, kui kasutaja on saanud kinnitatud diagnoosi. Sellist lahendust on arendanud Šveitsi üks tippülikoolidest École Polytechnique Fédérale de Lausanne (EPFL) ning Ameerika Ühendriikides Bostoni ülikool.

Nende ülikoolide lahendused on tehniliselt sarnased, kinnitades, et inspiratsioon võib tabada mitut inimest korraga.

Kuidas hajus nakatumiste jälitussüsteem privaatsust kaitseb?

Siin artiklis on antud lihtsustatud ülevaade. Tehnilisi detaile saab lugeda igaüks ise. EPFLi süsteemi tehniline lahendus on saadaval siin ja Bostoni ülikooli oma kirjeldus on siin.

Süsteem toimib üldjoontes nii

1. Isik tutvub rakendusega ning laeb selle vabatahtlikkuse alusel oma mobiiltelefoni.
2. Inimene kannab mobiiltelefoni kaasas. See on oluline eeldus, sest on teada juhtumeid, kus telefoni on hakatud koju jätma hirmus, et valitsus neid jälitab.
3. Mobiiltelefon genereerib lühiajalisi identifikaatoreid ja levitab neid üle Bluetooth ühenduste. Need kehtivad vaid teatud ajalise perioodi jooksul ning selle kehtivuse lõppedes võtab telefon kasutusele uue.
4. Bluetoothi raadiuses asuvad telefonid püüavad neid võtmeid kinni ning salvestavad need koos ajaga, millal neid nägid (nt “nägin võtit XHGFGY 9. aprilli hommikul”). Andmeid hoitakse lokaalselt seadmes.
5. Kui isik saab COVID-19 diagnoosi, sisestab ta selle info oma telefoni. Telefon jagab teenuse operaatoriga (Eestis näiteks riik) võtit, mille see jagab teistele rakenduse kasutajatele.
6. Võtme abil on võimalik tuletada kõik lühiajalised võtmed, mida nakatunu oma telefonis levitas. Selle järgi teab iga rakenduse kasutaja, kas ta on olnud nakatunu läheduses (kuid ei tea, kes see oli).

Esmapilgul lugedes tundub, et nakatunu peab enda kohta palju avaldama, aga see pole nii. Teised telefonikasutajad ei saa teada, kes on nakatunud. Teenuse operaator oskab öelda, millise telefoni omanik on nakatunud, kuid seda teab näiteks Eestis Terviseamet ilmselt nagunii.

Täpsemaid detaile võib igaüks lugeda dokumentatsioonist, mis DP-3T projektil on väga hea ja kiiresti arenev. Esimeste päevade jooksul sai rühm tagasisidet, millele on ka vastatud ning süsteemi täiendatud.

Riigi roll teenuse ülesseadmisel

EPFL juures on juba töös ka süsteemi teostus ning vastavad mobiiltelefonirakendused Androidile ja iOSile. Neid hakatakse jagama avatud lähtekoodina ning Eestis saame loomulikult anda neile oma näo ning kõik ise üle kontrollida.

Ise tuleb välja mõelda see, kuidas saab teenusepakkuja juures kontrollida, et rakenduse omanikul on tõesti vastav diagnoos. Nii saab vältida hüpohondrike ning naljaninade tekitatud segadust. Võime teha nii lihtsalt – nt diagnoosiga koos saad QR koodi, mida telefonile näidata või siis e-riigile kohaselt, näiteks Smart-ID või Mobiil-ID abil.

Kas nii saame kriisist välja?

Täna me veel ei tea, milline on sellise rakenduse efektiivsus ja kui kauaks see kasutusele tuleks võtta. Siin usaldagem epidemiolooge ja Eesti Vabariigi riigiasutusi, kes selle otsuse teha saavad.

Euroopas on mitmed riigid selliseid rakendusi valimas, ka väikestes riikides on mitmeid abilisi, laual pakkumisi mõnel pool 20 või rohkem. Täna on üks autorile teadaolev riik ka DP-3T juba valinud (kuid pole seda veel avalikustanud).

Kui Eestis otsustatakse kontaktide jälitamise rakendus kasutusele võtta, siis privaatsust säilitav hajus lahendus teeks seda meie igiomase X-tee vaimus.

Viitamata allikad:

Wolfie Christl koondab asukohaandmeid jagavate ettevõtete kohta
teavet Twitteri lõimes. Osa infost on saadud Cybernetica otsesuhtluses DP-3T meeskonnaga Šveitsi EPFLis ja Belgia Leuveni ülikoolis.

How exactly can #DP3T privacy-preserving Bluetooth COVID-19 alerts work if identifiable personal data never leaves your device? It's actually not so complicated, and even less so now @ncasenmare has made a fantastic, public domain, comic explaining it: https://t.co/YWYvfMcAQm 1/ pic.twitter.com/Oj3GLsz7hk

— Michael Veale @mikarv@someone.elses.computer (@mikarv) April 9, 2020