ОФ ГИИП рекомендует отказаться от системы наблюдения и применять другие технологии которые создают баланс прав человека и борьбы с COVID-19

13 апреля 2020 г., Республиканский штаб по борьбе с коронавирусом официально сообщил[1] о запуске системы мониторинга граждан, обязанных находиться на домашнем карантине, посредством мобильного приложения «Stop COVID-19 KG» (далее – мобильное приложение). Кроме этого, органы местного самоуправления г. Бишкек разработали документ под названием «Обязательство о соблюдении правил карантина и принятии ограничений» (далее — Обязательство), который должен быть подписан лицами, находящимися в условиях домашнего карантина.

Указанное мобильное приложение разработано муниципальным предприятием «Центр цифровых технологий» мэрии г. Бишкек совместно с компанией «Put In Byte» (резидент «Парка высоких технологий» Кыргызской Республики) и размещено на маркетплэйсе Google Play[2].

ОФ «Гражданская инициатива Интернет политики» в рамках своей деятельности по отслеживанию ситуации с правами человека при использовании цифровых технологий изучила технологические особенности мобильного приложения, его функциональные возможности и оценила его на предмет соответствия установленным требованиям безопасности и защиты персональных данных.

Первое на что было обращено внимание – это цели создания такого приложения. В описании мобильного приложения указано, что оно разработано в целях предотвращения заражения COVID-19. Однако, хотелось бы обратить внимание разработчиков на то, что мобильное приложение в том виде, в котором оно используется, не достигает заявленных целей общественного здравоохранения и общественной безопасности (соблюдение карантинных мер). Так как функциональные характеристики приложения не предполагают ограничение передвижения пользователей и не позволят сократить их контакты с другими гражданами. Указанный цифровой продукт связан лишь с применением технологий мониторинга местонахождения пользователей с помощью их персональных данных.

Кроме этого при регистрации мобильное приложение необоснованно запрашивает избыточную информацию о пользователе (номер телефона, ПИН/ИНН паспорта, ФИО, дата рождения), а также имеет разрешения на доступ к широкому кругу данных мобильного устройства (о местоположении, номеру телефона, фото/мультимедиа/файлам, хранилищу, камере, микрофону, данным о подключении по Wi-Fi, и другие). Указанные личные данные с точки зрения функциональности приложения совсем не нужны для целей мониторинга. Более того данный подход не отвечает принципам соразмерности и необходимости сбора персональных данных, и вступает в противоречие с принципом обеспечения неприкосновенности частной жизни.

По сути, службам здравоохранения нужны данные только о том, с кем общались подозреваемые на COVID-19, но не где они бывали и какая информация хранится на их мобильных устройствах и т.д. Единственными личными (персональными) данными, которые нужны для этого – это номер телефона, который позволяет контактировать с людьми, чтобы он мог получать соответствующее руководство по соблюдению режима изоляции, и рекомендации от врачей по уходу за своим здоровьем. В дальнейшем данные обстоятельства могут привести к нарушениям прав гражданин.

Необходимо отметить, что любые технологические решения, связанные с персональными данными, должны основываться на том, что только сам гражданин — владелец данных может распоряжаться и управлять своими данными. В случае, если гражданин передает такие данные другим лицам, тогда гарантии безопасности процесса обработки и хранения персональных данных ложатся на государство. И государство должно обеспечить анонимность и приватность персональных данных граждан. Многие страны мира запускают подобные цифровые решения, но с жестким соблюдением принципа конфиденциальности, защиты персональных данных, ограничения круга лиц, имеющих к ним доступ, да и эффективность таких решений пока еще не доказана.

Согласно описанию к мобильному приложению, доступ к персональным данным, кроме разработчика имеют члены штаба Кыргызской Республики по предупреждению проникновения на территорию страны и недопущению дальнейшего распространения короновирусной инфекции – а их 28 человек, а также некие «отдельные уполномоченные лица». Из описания мобильного приложения, как и из политики конфиденциальности в отношении обрабатываемых персональных данных, невозможно установить перечень «отдельных уполномоченных лиц», которые будут контролировать местонахождение гражданина. Тем самым приложение дает возможность неизвестному кругу лиц получать персональные данные граждан для контроля их передвижения с совершенно не ясными и не прозрачными целями сбора и обработки персональных данных, а также сроков их обработки и хранения.

Кроме этого остается неясной степень соответствия мобильного приложения установленным законодательством Кыргызской Республики требованиям безопасности в отношении персональных данных и информационных систем, в которых они обрабатываются (как они защищены от утечек, как они передаются, где и как хранятся, в каком виде передаются, как и кому выгружаются в виде аналитики, и т.п.).

Наши опасения об отсутствии мер безопасности подтверждаются распространяемым в сети Интернет, социальных сетях и мессенджерах видео с описанием работы приложения, а по сути — фактическим разглашением особо чувствительных персональных (медицинских) данных: все возможные требования к кибербезопасности были нарушены – доступ к данным имеет кто угодно и в каких угодно целях.

Изучение показало, что сервер приложения находится по адресу https://covid.102.kg/,  IP адрес у хостинга – американский, адрес принадлежит сети Bank of America, домен зарегистрирован на физическое лицо. Не ясно, как защищены компьютеры/рабочие станции, с которых предоставляется доступ. Судя по видео, на котором в браузере видны ссылки на игры и прочие не связанные со служебной деятельностью приложения/закладки, с указанной рабочей станции пользователь имеет возможность выхода в Интернет, что не исключает возможности «заражения» компьютера вредоносными программами (компьютерными «вирусами»). Это является явным нарушением Требований к защите информации (постановление Правительства от 21 ноября 2017 года № 762).

Рекомендации:

1. ОФ ГИИП. учитывая вышеизложенные обстоятельства и допущенные нарушения, рекомендует отказаться от дальнейшего использования мобильного приложения «Stop COVID-19 KG». Вместе этого, предлагается обратиться к опыту использования других решений, предоставляющих гарантии анонимности и приватности персональных данных. К примеру, Государственное агентство по технологиям Сингапура (Government Technology Agency Singapore) разработала программу BlueTrace, которая обеспечивает сбор лишь номеров телефона и передает ее Министерству здравоохранения. Сингапурские разработчики приложения «BlueTrace» открыли  приложение и исходный код (разместив приложение с открытым исходным кодом на https://github.com/OpenTrace-community).

В этом приложении соблюдены все стандарты анонимности и приватности, BlueTrace — это защищающий конфиденциальность протокол для отслеживания контактов. Третьи стороны не могут использовать связь BlueTrace для отслеживания пользователей с течением времени. Временный идентификатор устройства часто меняется, не позволяя злоумышленникам отслеживать отдельных пользователей, их сообщения. В приложении ограниченный сбор личной информации (единственная информация, позволяющая установить личность, — это номер телефона, который надежно хранится органом здравоохранения). История встреч каждого пользователя хранится исключительно на его собственном устройстве. Орган здравоохранения имеет доступ к этой истории только тогда, когда зараженный человек решает поделиться ею. Пользователи могут контролировать свои личные данные. Когда они отменяют согласие, все личные данные, хранящиеся в органах здравоохранения, удаляются. Таким образом, вся история встреч перестанет быть привязанной к пользователю.

2. На наш взгляд, чрезвычайные меры требуют чрезвычайного контроля и надзора. Жогорку Кенеш, как высший орган представительной власти, принявший по предложению главы государства решение о введении чрезвычайного положения в стране, несёт главную ответственность за соблюдение его условий, особенно в части законного, пропорционального и временного ограничения отдельных прав и свобод человека, как того требует Международный пакт о гражданских и политических правах, ратифицированный Кыргызстаном в 1994 году. Парламент, как постоянно действующий орган законодательной власти, обязан стоять на страже конституционных, законных прав своих избирателей и должен быть готовым немедленно пресекать любые попытки самовольного расширения Правительством границ, очерченных Конституцией, Конституционным законом «О чрезвычайном положении», постановлением Жогорку Кенеша о введении чрезвычайного положения и другими законами, какими бы благими намерениями они не обосновывались. В период ЧП подотчетность и подконтрольность Правительства Жогорку Кенешу безусловно приобретают особое значение и должны составлять главное содержание работы парламента. Каждое принимаемое Правительством, республиканским штабом, комендатурами территорий, де введен режим ЧП, решение, затрагивающее права и свободы граждан, должно подвергаться тщательной проверке.

Более того, поскольку уполномоченный государственный орган по персональным данным, несмотря на поручения Премьер-министра еще в декабре 2019 года, до сих пор не создан, именно парламент должен взять на себя его функции и полномочия по обеспечению соответствия обработки персональных данных требованиям зЗакона, защите прав субъектов персональных данных (субъектов), хотя бы на период ЧП.

Пандемия COVID-19 — это глобальная проблема, но именно сейчас важен баланс между возможностями влиять на ситуацию в интересах общественного здравоохранения, и обеспечением прав субъектов персональных данных.

Поэтому парламент обязан обеспечить контроль и мониторинг за соблюдением законодательства и прав граждан, останавливать выходящие за рамки стандартов действия правительства, оперативного штаба, комендатур.

3. Важно, что при любых ограничениях гражданских прав во время ЧС/ЧП должны быть оговорены условия их введения и прекращения.
4. Должно быть обеспечено соблюдение всех требований законодательства Кыргызской Республики, с учетом гарантий законности, изложенных в международных стандартах в сфере конфиденциальности и защиты частой жизни.

[1] https://kaktus.media/doc/410754_za_temi_kto_nahoditsia_na_domashnem_karantine_nachali_sledit_ydalenno.html

[2] https://play.google.com/store/apps/details?id=kg.cdt.stopcovid19