В Казахстане во время карантина практически узаконили слежку за людьми. Стоит ли этого бояться?
В Казахстане за всеми контактировавшими с заражёнными коронавирусом, находящимися на домашнем карантине, установили дистанционный контроль. Для этого используют мобильное приложение и Telegram-бот.
Система контроля передвижения в условиях карантина оправдана, но правозащитники считают, что данные пользователей не достаточно защищены от утечки. Так ли это и насколько обоснованы действия властей?
Как казахстанцев контролируют на домашнем карантине
В Казахстане инфицированных коронавирусом помещают в стационары, а людей, контактировавших с ними, обязывают сидеть дома на карантине в течение 14 дней. За последними устанавливают контроль с помощью мессенджеров и мобильных приложений на законных основаниях.
1 апреля главный санитарный врач подписал постановление, в котором есть пункт, обязывающий контактных устанавливать мобильное приложение для контроля и не отключать телефон.
Причём пользователя не просто уведомляют о необходимости установки приложения, но и берут письменную расписку об обязательном исполнении условий домашнего карантина с согласием на обработку персональных данных. Он обязан не выключать Wi-Fi, Bluetooth и геолокацию.
Если человек нарушит домашний карантин, ему грозит административная ответственность в виде штрафа в размере 3 МРП (8 334 тенге, 1 МРП с 1 апреля 2020 года = 2 778 тенге) или ареста до 15 суток.
- Специалисты управлений здравоохранения и организаций ПМСП проводят инструктаж по установке мобильного приложения для граждан (по возможности) и необходимости ввода сведений о состоянии здоровья с необходимой периодичностью в целях удалённого мониторинга состояния здоровья.
- Граждане, находящиеся под медицинским наблюдением по месту проживания, а также на домашнем карантине, обязаны с необходимой периодичностью вводить сведения о состоянии своего здоровья в целях удалённого мониторинга. Несвоевременное введение сведений о состоянии здоровья является основанием для привлечения к административной ответственности.
В веб-приложении, название которого не приводится в постановлении, всех пациентов делят на группы по цвету:
- карантин в стационаре – жёлтый цвет;
- домашний карантин и дистанционное медицинское наблюдение – синий цвет;
- положительный результат на Covid-19 – красный цвет;
- близкий контакт – оранжевый цвет;
- потенциальный контакт – серый цвет;
- снятый с контроля – зелёный цвет.
По данным Минздрава на 29 апреля, в мобильных приложениях по контролю контактных зарегистрировано более 32 тысяч казахстанцев.
Количество внесённых в базу лиц меняется с приростом числа заражённых и контактных.
Данные контактных и заражённых можно найти и в свободном доступе. Например, домашние адреса нанесены на различные карты, на которых указаны очаги заражения. Это дома, где проживают как инфицированные, так и контактировавшие с ними.
Признавая экстренность мер при ЧП, правозащитники всё же усомнились в надёжности защиты персональных данных лиц, зарегистрировавшихся в приложениях. Они считают это вторжением в частную жизнь.
Тем более что в Казахстане наблюдаются случаи, когда больные или контактные подвергаются нападкам и оскорблениям.
Читайте также: "Люди нас боятся, как будто испачкаешь их". Почему казахстанцы стигматизируют заражённых Covid-19
К примеру, личные данные жительницы Уральска с информацией о диагнозе, ФИО, датой рождения, адресом каким-то образом стали достоянием общественности. Предположительно, утечка произошла из медорганизации, куда она обратилась за помощью. А жительница Петропавловска подверглась нападкам после того, как о её болезни соседи узнали из мессенджеров.
Персональные данные пользователя включают: ФИО, место и дату рождения, адрес проживания и прописки, ИИН, семейный статус и состав семьи, номера телефонов.
Можно также отследить оплату банковской картой, места посещений и многое другое.
"Нет ничего ценнее информации, которая содержится у вас в телефоне. Она может интересовать многих, начиная с обычных мошенников, заканчивая местными или зарубежными спецслужбами. Заказчиком в добыче данных может быть ваша вторая половинка или те, кто хочет оформить на вас кредит", – говорит сотрудник Центра анализа и расследования кибератак (ЦАРКА) Медет Туринов.
Какие приложения по контролю контактных работают в Казахстане
Пока в Казахстане всего два приложения для контроля лиц, контактировавших с заражёнными коронавирусом и находящихся на домашнем карантине. Одно уже действует. Это мобильное приложение Smart Astana компании Astana Innovations, которое раньше оказывало услуги по оплате коммунальных платежей, транспорта и других услуг. В приложение просто добавили виджет "Я на карантине".
Читайте также: Находящихся на домашнем карантине обяжут установить приложение для контроля их передвижения
Второе мобильное приложение, разработанное в Алматы, пока находится на стадии регистрации. Но в мегаполисе с апреля используют Telegram-бот, который обязывает активировать функцию геолокации на мобильном телефоне и указать свой номер телефона.
"Из-за срочности мы первым делом не стали разрабатывать мобильное приложение, а запустили максимальное оперативное решение. Уже подали заявку на регистрацию приложения по аналогии с решением Smart Astana", – сказал руководитель управления цифровизации Алматы Баян Конирбаев.
Если человек выключает геолокацию более чем на 30 минут или выходит за пределы очерченной зоны, администратору системы поступает сигнал. Абоненту должны позвонить и спросить, почему это произошло.
Приложения не собирают персональные данные граждан, уверяют в Astana Innovations.
"Данные пользователей мобильного приложения защищены законом о персональных данных. Они хранятся на сервере, который не имеет доступа к сети интернет. Доступ к данным имеется только у сотрудников департаментов Комитета контроля и качества безопасности товаров и услуг", – прокомментировали в Astana Innovations.
Как пояснил Informburo.kz вице-министр здравоохранения Олжас Абишев, именно о Telegram-боте и Smart Astana идёт речь в приказе главного санврача Казахстана, поскольку других инструментов пока нет.
Что говорят IT-специалисты о защите персональных данных
По мнению IT-специалистов, регистрация в приложениях с помощью номера мобильного телефона автоматически означает деанонимизацию (раскрытие анонимных данных), что нарушает право на частную жизнь человека.
"Есть ли риск подглядывания за частной жизнью человека? Это не исключено, потому что никто не проверял исходный код приложения. Понятно, что разработчики утверждают, что эти дополнительные функции не заложены", – говорит директор Центра анализа и расследования кибератак (ЦАРКА) Арман Абдрасилов.
По его мнению, в разработке виджета в приложении не участвовала третья сторона, которая могла бы проверить защиту персональных данных.
"Должна быть третья незаинтересованная сторона, которая проверила бы защиту. Это мог быть госсорган или частная компания. Этого не было. Я думаю, причина в сжатых сроках", – добавляет он.
Читайте также: Как сохранить безопасность в Сети и защитить личные данные
При этом специалисты уверены, что утечка персональных данных не только возможна, но, может быть, уже происходит.
"Утечки возможны. От них никто не застрахован, они могут произойти в будущем. Особенно это касается приложений, развёрнутых сомнительно быстро. Возможно, утечки уже произошли, но никто ещё не поднимал вопрос", – говорит Медет Турин.
Что будет с данными после отмены карантина
В Минздраве не отрицают, что собирают персональные данные контактировавших, но обещают, что после отмены карантина они будут деперсонализированы.
"Данные не обезличены. Когда человек регистрируется, он даёт согласие на сбор и хранение данных. Но после снятия карантина уберём полностью персональные данные, и они будут использоваться для научных исследований", – прокомментировал вице-министр здравоохранения РК Олжас Абишев.
Но правозащитники не уверены в словах замминистра.
"Является ли приложение вторжением в частную жизнь? Конечно! Оправданно ли это при ЧП? Скорее всего, да. Но нет гарантий, что им не будут злоупотреблять после ЧП", – говорит директор Казахстанского международного бюро по правам человека Евгений Жовтис.
Читайте также: Значки SOS на карте распространения Covid-19. Что они значат и кто на них реагирует
Аналитики ЦАРКА считают, что у приложений есть уязвимости. Понятно, что из-за быстрого распространения коронавируса их оперативно ввели в действие. Но не мешало бы, чтобы их проверила на безопасность гостехслужба КНБ РК, а данные хранились в Министерстве информации и общественного развития, где для этого есть специалисты и оборудование.
"Вопросами обеспечения безопасности должны заниматься соответствующие ведомства, а Министерство здравоохранения – получать отчёты", – считает Медет Турин.
Устанавливая мобильное приложение, человек принимает все риски на себя, так как утечку данных доказать будет сложно. Как, например, уже было с утечкой персональных данных 11 млн казахстанцев из базы Центральной избирательной комиссии во время президентских выборов.
Почему передача персональных данных должна быть добровольной
Пандемия коронавируса условно поделила страны на два лагеря: те, кто ввёл карантин, и те, кто не стал применять ограничения. Первым помогают различные системы дистанционного контроля.
В Москве, к примеру, уже несколько лет устанавливается система отслеживания горожан под видом программы "Умного города". Китай выстраивает систему социального кредита (система оценки граждан с помощью инструментов массового наблюдения), по которой отслеживается всё, начиная с банковских карт, заканчивая распознаванием лиц. По мнению правозащитников, такие меры могут быть эффективными в борьбе с распространением коронавируса, но не могут применяться в правовом государстве.
Международная организация Human Constanta запустила сайт по отслеживанию нарушений гражданских прав с помощью цифровых технологий. Казахстан находится в "красной" зоне.
"Бороться с пандемией коронавируса с помощью электронных средств можно двумя способами. Как показывает опыт стран ЕС, не нарушать частную жизнь и оставить выбор. А можно, как в Китае, где ради общественной безопасности оправдывается любая слежка", – говорит юрист Human Constanta Алексей Козлюк.
Эксперты призвали соблюдать общий регламент защиты персональных данных (GDPR), по которому передача сведений может быть только добровольной.