По всему миру слышны призывы использовать технологии определения близости нахождения смартфонов для борьбы с COVID-19. Работники системы здравоохранения и другие эксперты утверждают, что смартфоны могут выступать решением при необходимости срочного и повсеместного отслеживания контактов, т. е. выяснения, с кем инфицированные вступали в непосредственный контакт. Сторонники этого подхода указывают на то, что у многих людей есть смартфоны, которые регулярно используются для слежения за передвижением и взаимодействием пользователей в реальном мире.  

Однако нельзя с уверенностью утверждать, что слежение с помощью смартфонов решит проблему с пандемией, а риски для приватности и гражданских свобод, которые оно влечет, весьма существенны.  Метод определения локации (например, при помощи GPS и информации от базовых станций мобильной связи) не подходит для отслеживания контактов, так как он не определит близкие физические взаимосвязи, при которых, по словам экспертов, распространяется заболевание. Вместо этого разработчики активно выступают за приложения для отслеживания дистанции. Приложения замеряют силу Bluetooth-сигналов, определяя тем самым, достаточно ли близко друг от друга находятся владельцы устройств, чтобы передать вирус. Согласно этому подходу, если один из пользователей заболевает, то другие, чьи приложения ранее зарегистрировали близость к этому пользователю, могут получить уведомление, самоизолироваться или сделать тест. Apple и Google объявили о запуске совместного программного интерфейса приложений (API), использующего эти принципы и ставшего доступным для iOS и Android в мае. Ряд подобных приложений уже доступны или будут скоро запущены.

Будучи частью практически беспрецедентного общественного ответа на COVID-19, подобные приложения вызывают ряд вопросов касательно приватности, эффективности и ответственности разработчиков технологий для поддержания здоровья населения. Кроме того, нельзя доверить ни одному приложению — как бы прекрасно оно не было разработано — разрешение кризиса или поиск ответов на эти вопросы. Приложения для отслеживания контактов не могут восполнить помимо прочего отсутствие эффективного лечения, недостаток предметов личной защиты или своевременного тестирования.

COVID-19 является мировым кризисом, который грозит унести жизни миллионов людей и перевернуть общество. Однако история показывает, что меры ущемления гражданских свобод, предпринятые во время кризиса, часто имеют гораздо более длительное действие, нежели сам кризис. Внедряя технологические меры безопасности, изощрённые приложения для отслеживания контактов могут избежать типичных проблем с приватностью, характерных для технологий определения местоположения. Разработчики и правительства должны также учитывать правовые ограничения на использование подобных приложений. Кроме того, выбор в пользу их использования должен оставаться за пользователями, которым должны быть известны риски и ограничения, а также предоставлены необходимые гарантии. Некоторые из этих гарантий обсуждаются ниже.

Как работает приложение по отслеживанию контактов?

Существует множество разных приложений по отслеживанию контактов на основе Bluetooth-соединения, но в итоге все они используют один и тот же принцип. Приложение посылает по Bluetooth уникальный сигнал, который могут распознать другие находящиеся поблизости телефоны. Для защиты приватности многие, включая Apple и Google, предлагают регулярно изменять идентификатор каждого телефона, уменьшая таким образом риск слежки с третьей стороны.

Когда два пользователя приложения приближаются друг к другу, оба приложения измеряют расстояние между ними, используя силу Bluetooth-сигнала. Если приложения фиксируют расстояние меньше двух метров на протяжении определенного периода времени, они обмениваются идентификаторами. Каждое приложение записывает в свой лог «встречу» с другим идентификатором. Местоположение пользователя при этом не важно, так как приложению важен лишь факт нахождения пользователей на достаточном расстоянии для создания риска заражения.

Если пользователь приложения узнает, что он заражен COVID-19, другие пользователи могут быть уведомлены о том, что существует риск их заражения. На этом этапе приложения начинают существенно различаться.

Некоторые приложения полагаются на одно или несколько центральных государственных учреждений, имеющих привилегированный доступ к информации об устройствах пользователей. Например, приложение TraceTogether, разработанное по заказу правительства Сингапура, требует от всех пользователей предоставлять администраторам приложения свою контактную информацию. В этой модели у властей хранится база данных, которая соотносит идентификаторы приложений с контактной информацией. Если пользователь получил положительный результат теста, его приложение выдаёт список всех идентификаторов, с которыми он был в контакте за последние две недели. Власти выискивают эти идентификаторы в базе данных, находят номера телефонов и адреса электронной почты пользователей и сообщают им о том, что они тоже могут быть заражены. В этом процессе пользователи не могут контролировать личную информацию, и она передаётся в руки правительства. Эта модель создаёт неприемлемые риски повсеместной слежки за встречами граждан и не должна использоваться учреждениями системы здравоохранения.

Другие модели полагаются на базу данных, которая не хранит столько информации о пользователях приложения. Например, властям не обязательно хранить контактную информацию пользователей. Вместо этого инфицированные пользователи могут выкладывать логи своих контактов в центральную базу данных, хранящую анонимные идентификаторы каждого, кто мог быть подвергнут риску. Тогда устройства незаражённых пользователей могут регулярно отправлять властям запросы со своими идентификаторами. В каждом ответе на запрос власти дают информацию, был ли пользователь подвергнут риску. С применением основных гарантий безопасности эта модель может быть более надёжной в плане соблюдения приватности пользователей. Но, к сожалению, она всё же может позволить властям выяснить личность заражённых пользователей. Применяя более изощренные меры предосторожности, в частности криптографическое смешивание, система могла бы предложить более сильные гарантии безопасности.

Некоторые модели идут ещё дальше, выкладывая всю базу данных в публичный доступ. Например, согласно предложениям Apple и Google, опубликованным 10 апреля, находящиеся вблизи пользователям получают список основных характеристик заражённых лиц. Эта модель вызывает меньше проблем доверия к центральной власти, но создает новые риски для пользователей, делящихся своим статусом о здоровье. Эти риски нужно либо смягчить, либо признать.

Некоторые приложения, прежде чем посылать предупреждение другим пользователям, требуют от зараженного лица предоставить соответствующее подтверждение от уполномоченных медицинских учреждений. Другие модели позволяют пользователям самостоятельно сообщать о статусе заражения или имеющихся у них симптомах. Однако это может существенно увеличить число ошибочных положительных случаев, что, в свою очередь, может подорвать репутацию приложения.

В целом, несмотря на то что некоторые идеи приложений для отслеживания контактов являются многообещающими, существует ещё очень много открытых вопросов.

Эффективны ли приложения по отслеживанию контактов?

Традиционное отслеживание контактов представляет собой достаточно трудоёмкий процесс, но может быть весьма подробным. Работники системы здравоохранения опрашивают заражённого человека с целью выяснения его передвижений и тесных контактов с другими лицами. Сюда же могут относиться интервью с членами семьи и другими лицами, располагающими какими-либо релевантными сведениями. После этого работники системы здравоохранения обращаются к этим людям с предложением помощи и необходимого лечения, опрашивая так же и их, чтобы установить цепочку контактов. В масштабах пандемии подобное отслеживание является достаточно сложной задачей. Кроме того, человеческая память может допускать ошибки, поэтому даже самая подробная картина, полученная в результате опросов, будет иметь существенные пробелы или недочёты.

Однако ни одно приложение по отслеживанию контактов не может заменить прямого участия работников сферы здравоохранения. Также сомнительно, что приложение по отслеживанию контактов может действительно помочь в борьбе с COVID-19 в такие времена, как наши, когда уровень взаимодействия в обществе настолько высок, что большинство населения планеты вынуждено находиться в изоляции, и когда нет достаточных средств тестирования для определения уровня распространения вируса. Если среди населения велика доля недиагностированных заражённых людей, у многих из которых не проявляются никакие синдромы заболевания, приложение по отслеживанию контактов не способно предупредить о большинстве рисков. Более того, без быстрого и широкодоступного тестирования даже те, у кого проявились синдромы, не могут подтвердить факт инфицирования и начать уведомлять других. И каждый уже не раз слышал призывы не приближаться ни к кому, кроме людей, с которыми он живет под одной крышей.

Однако такое приложение может быть полезным во времена, которые – как мы надеемся – скоро наступят. Когда общественное взаимодействие находится на достаточно низком уровне и люди перестают «сидеть взаперти». И когда существуют достоверные методы тестирования для быстрой и эффективной диагностики COVID-19.

Традиционное отслеживание контактов имеет пользу лишь для контактов, которые возможно определить. COVID-19 является исключительно заразным заболеванием, которое может распространяться от одного лица к другому даже за время короткого взаимодействия. Недолгое взаимодействие между продавцом зелени и покупателем или между двумя пассажирами общественного транспорта может быть достаточным для заражения. Большинство людей не спрашивают контактную информацию всех, кого они встречают, но приложения могут делать это автоматически. И это делает их полезным дополнением к традиционному отслеживанию контактов.

Но приложение видит контакт между двумя людьми, проходящими мимо друг друга по тротуару, так же как контакт между соседями по комнате или романтическими партнерами (хотя последним, конечно, грозит больший риск заражения). Без апробации приложения в реальном мире, что подразумевает риски для приватности и безопасности, мы не можем быть уверены, что приложение не будет вести лог связей между людьми, разделёнными стенами или находящимися в разных автомобилях, остановившихся рядом с друг другом на светофоре. Приложения также не учитывают, надеты ли на пользователях средства защиты, и поэтому могут постоянно уведомлять об опасности медицинских работников и сотрудников магазинов, несмотря на предпринимаемые ими повышенные меры предосторожности. Остаётся неясным, как технологические ограничения подсчётов расстояния на основе данных Bluetooth-соединений будут уведомлять потенциально заражённых лиц. Лучше для этих приложений быть слегка более чувствительными и чрезмерно предупредительными, уведомляя людей, которые по факту находились на расстоянии не меньше двух метров от заражённого лица на протяжении определенного времени? Или приложения должны иметь более высокие пороговые значения, чтобы уведомлённые пользователи могли быть уверены в том, что они действительно подверглись опасности?

Кроме того, приложения могут вести логи только тех контактов, при которых оба лица имели при себе телефон с включенным Bluetooth и установленным приложением. Это определяет другое условие, необходимое для эффективности приложения по отслеживанию контактов: его применение достаточно широким кругом лиц. Apple и Google стремятся решить эту проблему, предлагая единую платформу для властей в сфере здравоохранения и разработчиков для создания приложений, которые бы имели общие функции и защиту. Обе компании стараются также создать собственные приложения, которые будут напрямую совместимы и ускорят внедрение. Но даже тогда у значительного числа жителей планеты, включая существенную часть населения США, не будет доступа к смартфону с новейшей версией iOS или Android. Это говорит о необходимости продолжения применения действенных мер в сфере здравоохранения, в частности тестирования и традиционного отслеживания контактов, чтобы убедиться, что финансово менее успешное население не будет обходиться стороной.

Мы не можем решить проблемы пандемии, просто создав отличное приложение. Серьёзные общественные проблемы не могут быть решены при помощи волшебной технологии, потому что, помимо прочего, далеко не каждый будет иметь доступ к смартфонам последнего поколения и инфраструктуре, необходимой для их работы.

Наконец, нельзя полагаться на обещания непроверенного приложения, когда мы принимаем такие важные решения как, кто может выходить из карантина и когда. Надёжные приложения подобного рода обычно проходят через множество стадий разработки, раундов тестирования и обеспечения качества – а на всё это требуется время. И даже тогда у приложений бывают баги. Неисправное приложение по отслеживанию контактов может вести к ложноположительным, ложноотрицательным или тем и другим результатам.

Какой урон нанесут нашим свободам приложения по отслеживанию контактов?

Любое приложение по отслеживанию контактов создаёт новые риски для пользователей технологии. Логи контактов между пользователями могут показывать, с кем они ассоциированы, и наводить на выводы о том, чем они занимались. Страх раскрытия такой информации может остановить пользователей от участия в определённых общественных мероприятиях. Технологии слежки особенно активно применяются по отношению к уязвимым группам, и слежение за осуществляемыми контактами может быть использовано в тех же целях. А данные о контактах или медицинские диагнозы могут быть украдены иностранными правительствами или хакерами, заинтересованными в личных данных пользователей.

Уверенности ради стоит отметить, что некоторые широко используемые технологии создают подобные риски. Многие (от Fitbit до Pokemon Go) отслеживают и сообщают вашу локацию. Просто сам факт ношения мобильного телефона создаёт риск определения местоположения по триангуляции вышек сотовой связи. Магазины пытаются разведать поток клиентов посредством Bluetooth. Многие пользователи соглашаются на включение в своих телефонах сервисов, хранящих детальный лог всех локаций (в частности, сервис определения локации Google). Facebook пытается измерить связи между людьми посредством несметного количества сигналов, включая использование распознавания лиц для получения данных с фотографий, сопоставление аккаунтов с контактными данными, а также собирая информацию о цифровых взаимодействиях. Даже не нарушающие приватность сервисы (например, Signal) могут обнаружить взаимодействия по метаданным.

Поэтому предлагаемое для существующих форм слежения дополнение в виде приложений отслеживания контактов не станет абсолютно новым вектором развития. Но глобальный охват приложений для отслеживания контактов, а также сбор ими чувствительной информации о здоровье и взаимодействиях с другими людьми, представляет новые риски для гораздо большего числа пользователей.

Конечно, контекст имеет значение. Мы столкнулись с беспрецедентной пандемией. Десятки тысяч людей погибли, сотням миллионов было предписано находиться в изоляции. Вакцина ожидается лишь через 12-18 месяцев. Хотя это и создаёт спешку в разработке приложений для отслеживания контактов, мы должны помнить, что кризис закончится, но новые отслеживающие технологии имеют тенденцию оставаться. Поэтому разработчики подобных приложений должны быть уверены, что они работают над созданием технологии, соблюдающей приватность и свободы, которыми мы все дорожим, чтобы нам не пришлось попирать фундаментальные права в чрезвычайном положении. Предоставление достаточных гарантий поможет смягчить этот риск. Полная прозрачность о том, как работают приложения и программные интерфейсы, включая открытый исходный код, необходима для понимания людьми рисков и дачу ими информированного согласия.

Есть ли у отслеживающих приложений существенные гарантии?

Мы призываем разработчиков предоставлять, а пользователей требовать следующие необходимые гарантии:

Согласие

Информированное, добровольное, самостоятельно подтвержденное согласие является основным требованием к любому приложению, отслеживающему взаимодействия между пользователями в физическом мире. Более того, люди, выбирающие использование приложения и узнающие о том, что заражены, должны иметь право самостоятельно решать, делиться ли логом своих контактов. Правительства не должны требовать использования какого-либо приложения по отслеживанию контактов. Не должно быть и неформального давления, когда взамен на использование приложения обещается доступ к государственным сервисам. Подобным образом, частные структуры не должны требовать использования приложения в целях получения доступа к физическим пространствам или иных выгод.

У лиц должна быть возможность отключить отслеживающее приложение. Пользователи, соглашающиеся на отслеживание одних взаимодействий, могут быть не согласны с отслеживанием других. Например, если они вовлечены в особо чувствительную деятельность: посещение поставщика медицинских услуг или участие в политических объединениях. Люди могут скрыть эту информацию в традиционных методах отслеживания контактов, т. е. в интервью с работниками системы здравоохранения, и цифровое отслеживание контактов не должно быть более навязчивым. Люди с большей вероятностью будут использовать отслеживающие приложения (что может положительно сказаться на здоровье населения), если они знают, что имеют прерогативу включения и выключения приложения по своему выбору.

Хотя может быть заманчивым обязать людей к использованию приложений по отслеживанию контактов, вмешательство в личную автономию неприемлемо. Здоровье населения требует доверия между учреждениями системы здравоохранения и общественностью, а страх перед слежкой может побудить людей избегать тестирования и лечения. Это опасение носит особо острый характер в маргинализированных сообществах, у которых имеются исторические основания насторожено относиться к принуждаемому участию в мероприятиях во имя здравоохранения. Если какие-либо правительства пренебрегают получением согласия своих граждан, мы призываем разработчиков не работать с такими правительствами.

Минимизация

Любое приложение по отслеживанию контактов должно собирать как можно меньше информации. Возможно, это просто факт нахождения двух пользователей на близком расстоянии друг от друга, измеряемый силой Bluetooth-сигнала, включая тип устройства и уникальный постоянно меняющийся идентификационный номер телефона другого человека. Приложение не должно собирать информацию о локации. Также оно не должно собирать информацию о времени, кроме даты (если власти в области здравоохранения считают это необходимым условием для отслеживания контактов).

Система должна хранить информацию как можно меньшее количество времени, измеряемое днями и неделями, но никак не месяцами. Власти в области здравоохранения должны определить период времени, в течение которого информация о контактах является релевантной. Все данные, которые больше не являются релевантными, должны автоматически удаляться.

Центральные власти, хранящие или публикующие базы данных анонимных идентификаторов не должны собирать или хранить метаданные (например, IP-адреса), которые могут вывести на реальных людей.

Приложение должно собирать информацию только в целях отслеживания контактов. Более того, должны существовать действительные барьеры между (a) приложением по отслеживанию контактов и (б) остальными данными, собираемыми разработчиками приложения, в частности совокупными данными о локации или индивидуальными показателями здоровья.

Ну и наконец, собираемая информация должна по возможности находиться на устройстве самого пользователя, а не на серверах, принадлежащих разработчикам приложения или властям. Это влечет за собой дополнительные технологические вызовы. Однако список устройств, с которыми пользователь находился в непосредственной близости, должен оставаться на устройстве этого пользователя, чтобы проверка имеющего места факта приближения пользователя к заражённому лицу проходила локально.

Информационная безопасность

Приложение, постоянно запущенное на телефоне и ведущее лог контактов пользователя, может представлять серьёзные угрозы с точки зрения информационной безопасности. Как всегда, ограничение площади атаки и количества собранной информации уменьшит эти риски. Разработчики должны открывать исходный код и предоставлять его третьим лицам для аудита и тестирования на проникновение. Они также должны публиковать подробности своих практик в сфере безопасности.

Возможно, понадобятся дальнейшие разработки, чтобы убедиться, что противники не могут скомпрометировать эффективность системы отслеживания контактов или раздобыть идентифицирующую информацию о пользователях приложения. Сюда относится воспрепятствование распространению ложных сообщений о заражении как форме троллинга или отказа в услуге, а также гарантия того, что противники, обладающие мощными ресурсами и осуществляющие мониторинг метаданных, не смогут определить людей, использующих приложение, или вести лог их контактов с другими лицами.

«Анонимные» идентификаторы не должны вести к какой-либо информации и личности. Постоянно меняющие идентификаторы, используемые телефонами, это только начало. Но если злоумышленник может выяснить, что различные идентификаторы принадлежат одному лицу, резко увеличивается риск того, что он может связать действия с определенным человеком. Как мы понимаем, в предложении от Apple и Google пользователей с позитивным результатом теста просят выгрузить ключи, которые связывают все их идентификаторы за 24 часа (мы попросили Apple и Google дать разъяснения по этому вопросу). Это позволит трэкерам собрать меняющиеся идентификаторы, если они имели доступ к широкодоступной сети опознователей Bluetooth, а затем отследить передвижение заражённого лица в течение времени. Таким образом нарушается гарантия безопасности, изначально создаваемая наличием постоянно меняющихся идентификаторов. Поэтому эти идентификаторы должны загружаться на центральную базу таким способом, чтобы они не раскрывали факта принадлежности множества идентификаторов одному лицу. Это может потребовать разбития уникальных токенов пользователя на пакеты, которые бы выкладывались вместе с его другими данными или в течение нескольких временных периодов.

Наконец, правительства могут попытаться заставить разработчиков обойти установленные ограничения, в частности изменить приложение так, чтобы оно предоставляло списки контактов центральным властям. Прозрачность уменьшает эти риски, но они остаются неотъемлемой частью процесса создания и внедрения приложения. Это одна из причин, почему мы призываем разработчиков определить чёткие правила использования своих продуктов. Также мы просим их противостоять попыткам правительств вмешиваться в создание приложений, что мы наблюдали в случае с компанией Apple по делу в Сан-Бернардино.

Прозрачность

Структуры, разрабатывающие приложения, должны публиковать отчёты о том, что, как и зачем они делают. Также они должны публиковать открытый исходный код и политику конфиденциальности, отвечающую изложенным выше требованиям приватности и информационной безопасности. Туда должны быть включены обязательства предотвращения сбора информации другими пользователями и вмешательства со стороны правительства (насколько это позволяет законодательство). Также правила пользования приложением должны обеспечивать наказание за их нарушение согласно законам в области защиты прав потребителей.

Необъективность

Как упоминалось выше, приложения по отслеживанию контактов «оставят за бортом» лиц, не имеющих доступ к новейшим технологиям. Они также будут оказывать предпочтение тем, кто предрасположен доверять технологичным компаниям и правительствам в вопросах обращения к их нуждам. Мы должны убедиться, что разработчики и правительства напрямую или косвенно не обойдут маргинализированные группы, полагаясь лишь на приложения и исключая иные меры.

С другой стороны, эти приложения могут привести к значительному количеству ложно положительных результатов среди определенных групп пользователей, в частности среди работников системы здравоохранения или сервиса. Это ещё одна причина, почему данные приложений по отслеживанию контактов не должны служить основанием для отстранения лиц от работы, запрета участия в общественных собраниях или ограничения в политических преимуществах.

Срок действия

По окончании кризиса COVID-19 любое приложение, созданное для борьбы с пандемией, должно тоже прекратить свою деятельность. Определение окончания кризиса будет сложной задачей, поэтому разработчики должны убедиться, что пользователь в любое время может самостоятельно принять решение о прекращении использования приложения. Они могут также встроить в приложения временные ограничения или предусмотреть регулярное обращение приложения к пользователю с вопросом, желает ли он продолжать его использование. Далее, так как за разработкой этих приложений стоят гиганты подобно Apple и Google, они должны объявить об обстоятельствах, в которых похожие продукты будут или не будут разрабатываться в будущем.

Технологиям присуща сила объединения усилий общества в борьбе с комплексными проблемами, и эта пандемия уже вдохновила на создание ярких примеров. Но мы все также знакомы и со способностью властей и частных структур применять вредоносные технологии слежения. Кроме того, даже если мы победим COVID-19, необходимо убедиться, что слово «кризис» не станет волшебным талисманом, которым можно оправдать создание новых изощренных средств ограничения свобод человека посредством слежения.

Related Issues

COVID-19 and Digital Rights

Related Updates

covid passport image with eye in background
Deeplinks Blog by Alexis Hancock, Adam Schwartz, Jon Callas | August 31, 2021

Vaccine Passport Missteps We Should Not Repeat

Vaccine mandates are becoming increasingly urgent from public health officials and various governments. As they roll out, we must protect users of vaccine passports and those who do not want to use—or cannot use—a digitally scannable means to prove vaccination. We cannot let the tools used to fight for public...