Дискуссии Privacy Day 2021 — часть 2: цифровые инструменты для борьбы с COVID-19 получат новое применение

Цифровые ограничения в связи с коронавирусом по всему миру, протестная повестка в Беларуси, ответственные разработчики в Германии, позитивное развитие законов о персональных данных в Казахстане, ускорение цифровой трансформации и вместе с ней слежки в Кыргызстане, а также глобальные тренды в 2021 году — читайте в нашем материале по следам самой интересной секции Privacy Day.  

28 января, в День защиты персональных данных, «РосКомСвобода» совместно с Digital Rights Center и Privacy Accelerator провела ежегодную международную конференцию Privacy Day 2021. Представляем вашему вниманию обзор панельной дискуссии с прямыми включениями из-за рубежа
«На чьей стороне приватность? Мировые практики и болевые точки».

Эксперты из Беларуси, Казахстана, Кыргызстана, Германии, а также эксперты из «РосКомСвободы» и Access Now рассказали о цифровых практиках государств в борьбе с коронавирусом, подвели итоги за год и сделали прогноз на будущее. Интересно отметить, что, как и на первой панели, в выступлениях спикеров звучали тезисы об ответственности разработчиков за производимые технологии, которые используются правительствами для слежки за гражданами. И грустно осознавать, что российская модель обращения с персональными данными на сравнительной шкале адекватной защиты всё чаще оказывается рядом с репрессивным Китаем. Самое печальное — предпосылок к позитивным изменениям в нашей стране нет.

.

Мир. «Многие ограничения и наказания за их нарушения во время пандемии избыточны»

.

2020 год оказался годом пандемии, а вместе с ней ещё и тотальной слежки за гражданами, рассказала координатор проекта Pandemic Big Brother Алёна Рыжикова.

В апреле РосКомсвобода и Human Constanta запустили карту Pandemic Big Brother, на которой собирают случаи нарушения цифровых прав. К ним относятся
– слежка через мобильные телефоны;
– ограничение свободы слова в интернете;
– слежка через государственные сервисы;
– административное и уголовное преследование авторов материалов о коронавирусе;
– ограничение доступа к официальной информации;
– контроль за людьми с использованием дронов.

Презентация спикера: Рыжкова Алена_проект Pandemic Big Brother

Почти вся карта окрашена в красный цвет, что означает, что введённые ограничения продолжают там действовать. Государства разных стран практически устроили гонку, кто введёт больше запретов, отметила Рыжикова. Главная цель проекта — проследить, чтобы эти ограничения были сняты по окончании пандемии.

Самым популярными средством слежки стали государственные мобильные приложения. Так, 116 стран запустили собственные коронавирусные приложения
– для отслеживания контактов с заражёнными;
– для выдачи цифровых пропусков;
– для самодиагностики;
– для отслеживания соблюдения обязательного карантина больными.

Только в России в прошлом году было запущено четыре приложения:
– «Госуслуги СТОП Коронавирус» (выдача цифровых пропусков);
– «Социальный мониторинг» (контроль за соблюдением карантина);
– «Карантин» (проверка цифровых пропусков у водителей);
– «Госуслуги. COVID-трекер» (отслеживание контактов с больными коронавирусом).

«Запуск таких приложения в ускоренном режиме приводит к тому, что приложения оказываются недоработанными, а собираемые данные лишены надёжной защиты, что приводит к утечкам» , — заявила Рыжикова и напомнила, как сервис «Социальный мониторинг» автоматически выписывал штрафы за нарушение карантина даже тем людям, которые этот карантин вовсе не нарушали.

Если Европа хоть как-то уделяет внимание конфиденциальности при разработке приложений (демократический подход и необязательность установки), то во многих других странах дела обстоят хуже. К примеру, в Индии при отсутствии на телефоне правительственного приложения могут отказать в проезде на общественном транспорте, а в Катаре оштрафовать или даже посадить до трёх лет. Гонконг обязал две недели носить специальный браслет тех, кто приехал из-за границы. Этому примеру хочет последовать Сингапур и распространить правило на всех жителей, но до этого, к счастью, пока не дошло.

Во время пандемии усилилась интернет-цензура и охота на «фейки» , отдельно отметила спикер. В России весной был принят соответствующий закон, по которому на журналистов и СМИ посыпались штрафы. Подобные законы были приняты в более чем десяти странах мира. В Арабских Эмиратах могут оштрафовать на сумму до 5,5 тыс. долл., а в Марокко посадить на срок до трёх лет.

«Это грубо нарушает право на свободу слова граждан. Наказание за такие «преступления» избыточны» , — резюмировала Рыжикова.

Подробнее большое исследование о том, как власти следили за нами в год пандемии, читайте здесь.

.

Беларусь. «Мы должны просвещать и учить людей защищать свои данные»

.

Эксперт правозащитной организации Human Constanta Алексей Казлюк отметил, что в Беларуси повестку коронавируса перебивает повестка протестов, которые начались после выборов президента в августе 2020 года. В стране имеет место слежка за протестующими.

Власть внедряет технологии слежения — это плохо. Но все инструменты слежки хорошо работают и им можно противостоять — это хорошо. Более того, государство не успевает внедрять всё то, что хочет. Государства, которым не хватит денег на слежку, не успеют в полной внедрить соответствующие технологии. Это, собственно, Беларусь. А вот Казахстан и Россия вызывают более тревожные ощущения, отметил правозащитник.

«2021 год — возможно, последний год, когда можно протестовать «безнаказанно». Потому что потом все инструменты для борьбы с коронавирусом получат новое применение».

Между тем, как считает Казлюк, безответственность производителя технологий уходит в прошлое. Так, компания по распознаванию лиц Synesis попала в санкционный список Евросоюза. Международное адвокатирование — один из инструментов борьбы со слежкой. Правозащитники добивались подобного давно, но только сейчас тенденция наконец-то проявилась.

«Мы должны просвещать и учить людей защищать свои данные», — уверен правозащитник. По его словам, это повестка на ближайший год.

.

Германия. «Хорошо, что приложения спроектированы так, что данные из них невозможно собрать»

.

Заместитель председателя немецкой Pirate Parties International Грегори Энгельс рассказал об опыте Германии, представив два примера использования технологий в стране, один положительный, другой негативный.

Положительный пример — приложение Corona Warn-app, которое спроектировано так, что исключает слежку за гражданами благодаря протоколу DP-3T Decentralised (данные сохраняются исключительно на телефоне). Близлежащие устройства обмениваются загружаемыми результатами тестов своих владельцев, но только таким образом, что понять, был ли человек в зоне риска, можно, а узнать, кто именно из контактов болен, — нельзя. Результаты сразу тестов идут со специальным QR-кодом, которые сохраняет в безопасности персональные данные владельца.

Использование приложения анонимно и добровольно. Сервис не собирает данные, которые не нужны для отслеживания контактов, например, геолокацию, хотя и в Германии есть политики, которые, не понимая, как работают технологии, говорят, что надо собирать о людях больше данных.

«Хорошо, что приложения спроектированы так, что данные, которые требуют политики, не только не существуют, но их и невозможно собрать», — отметил Энгельс.

Негативный пример — рестораны оказались вынуждены вести списки посетителей и время посещения. Позже полиция стала забирать эти списки для своих нужд по причинам, не связанных с коронавирусом. Для конфискации этих данных нужно решение суда, его, разумеется, не было. К сожалению, рестораны, чтобы не связываться с полицией, отдавали эту информацию и даже сливали её в централизованное приложение, которое довольно быстро вскрыли хакеры.

Помимо этого в Германии до сих пор действуют временные ограничения на передвижение и собрания. Также было ограничен доступ к правосудию — многие суды работают только в экстренных случаях.

Презентация спикера: Энгельс Грегори_German privacy and Covid

Несмотря на все эти ограничения, Энгельс не согласился с тем, что страна должна быть на карте тёмно-красной.

.

Казахстан. «Правовых механизмов оценки влияния технологий на права человека нет»

.

Основатель Eurasian Digital Foundation Руслан Дайырбеков заявил, что пандемия потребовала от государств принятия срочных цифровых решений. В том числе Казахстан внедрил разного рода технологии слежения, силу которых граждане ощутили в полной мере. За нарушителями режима самоизоляции следили при помощи мобильного приложения Smart Astana, систем городских камер видеонаблюдения «Сергек», «Карты мобильных абонентов», дронов и прочих цифровых инструментов.

Дайырбеков отметил недостаточность механизмов обеспечения приватности и оценки влияния технологий. Кроме того, многие проекты свернули, но уничтожат ли собранные данные, непонятно.

«К сожалению, нет правовых механизмов оценки влияния технологий на права человека».

Спикер рассказал и о позитивном развитии законодательства в сфере персональных данных: прошедший год ознаменовался большим шагом в развитии этой области.

Так, был принят закон о регулировании цифровых технологий, представляющий собой пакет поправок в существующие законы. Речь идёт о действительно позитивных изменениях, поскольку государство имплементировало международный стандарт минимизации данных, а также установило правила дактилоскопической, геномной и биометрической регистрации.

Помимо этого появился уполномоченный орган по защите персональных данных, который, правда, пока сложно назвать независимым, поскольку представляет министерство цифрового развития.

Презентация спикера: Дайырбеков Руслан_Прайваси в Казахстане

.

Кыргызстан. «Госорганы всё больше всё больше обращаются не к европейскому опыту в плане защиты данных»

.

Юрист Гражданской инициативы интернет-политики в Кыргызстане Ирина Байкулова подтвердила, что в её стране было много вещей, которые отразились на карте Pandemic Big Brother. В Кыргызстане происходили следующие вещи.

Ограничение свободы слова онлайн, преследование за посты в социальных сетях в рамках борьбы с «коронафейками». Врачей и активистов и заставляли отречься от слов и приносить извинения всему кыргызскому народу.

Ужесточение санкций за нарушение санитарно-эпидемиологических норм, условий карантина и самоизоляции, распространение в Сети ложной информации. Были внесены изменения в кодексы об ответственности (приняты по ускоренной процедуре, без общественного обсуждения), введены штрафы за распространение недостоверной информации, если она «нарушает общественный порядок и спокойствие граждан» на территории, где объявлен режим ЧП.

Рассматривался закон о манипулировании информацией, но правозащитники раскритиковали его и сумели не допустить его принятия.

Ограничение доступа к официальной информации. Журналистов не аккредитовывали на брифинги госорганов.

Несоблюдение конфиденциальности пациентов. В парламенте обсуждалась необходимость опубликования списков лиц, заразившихся коронавирусом. Подразумевалось, что люди, которые контактировали с заболевшими, сами пойдут сдавать анализы. Имели место утечки данных о больных (факты распространения в мессенджерах данных о пациентах), что к стигматизации, особенно в первые месяцы распространения инфекции.

Слежка через государственные цифровые сервисы, использование технологий для отслеживания, нарушающих право на частную жизнь, в частности, мобильное приложение «Stop COVID-19 KG».

Максимальный сбор данных трекерами на приложениями, вплоть до местоположения, при отсутствии положений конфиденциальности о том, кто собирает данные, как хранит, куда передаёт.

Утечки данных. В социальных сетях и мессенджерах было распространено видео с описанием работы приложения, фактические разгласившее особо чувствительные персональные (медицинские) данных. Информация оказалась общедоступна.

Электронные пропуска на разрешённые виды деятельности, такие как логистика, доставка продуктов в маркеты, оказание медицинской помощи, волонтёрство.

Электронный маршрутный лист (обязательный документ онлайн или офлайн формы для возможности передвижения по городу в период ЧП/ЧС).

Как хранятся собранные данные, сейчас неизвестно. Неясно, какое количество ПД было собрано, как они использовались, где и в каком виде они хранятся, кто имел к этим данным доступ, защищены ли эти данные от утечек.

Несмотря на многочисленные нарушения, были и положительные моменты. Это оказание услуг связи и интернета абонентам, у которых сформировалась задолженность в оплате, и разработка большого числа бесплатных приложений по предоставлению информации об инфекции и консультаций врачей. Кроме того, невозможность получить многие государственные и банковские услуги позволила переоценить важность цифровизации, безналичных расчетов. Это ускорило цифровую трансформацию и государства, и бизнеса, считает Байкулова. Но вместе с тем, к сожалению, усилило и слежку.

«Мы видим, что госорганы всё больше «присматриваются» к опыту других стран по использованию технологических механизмов контроля, и к сожалению всё больше обращаются не к европейскому опыту (защите privacy), а к китайскому и российскому. Причём скорее вне зависимости от пандемии COVID-19, этот тренд достаточно устойчивый, — заключила эксперт.

.

Мировые тренды. «В России нет предпосылок к принятию строгих законов о защите данных»

.

Эксперт по защите цифровых прав из международной некоммерческой организации Access Now Наталья Крапива сделала прогноз о том, развитие каких трендов стоит ожидать в 2021 году. В их числе распознавание лиц, наблюдение за коммуникациями, применение искусственного интеллекта.

Спикер также выделила следующие тенденции в проводимых политиках разных государств.

1. Правительства станут требовать от людей паспорта вакцинации, что грозит раскрытием и утечкой персональных данных людей и дискриминацией. При этом не существует доказательств, что такие паспорта могут защитить от инфекции.
2. Страны будут продвигать идею суверенитета данных. Отсюда вытекает положительный момент — независимость от технологических компаний. Однако Китай, Россия, Чили и даже страны Евросоюза понимают суверенитет как возможность тотальной слежки за гражданами.
3. Регуляторы продолжат рассматривать защиту данных и конкуренцию совместно для контроля над BigTech. Политика защиты данных и антимонопольное законодательство будут совпадать, что проиллюстрировало антимонопольное заседание Конгресса США. Это хорошо, потому что не позволяет компаниям упрочить свою власть.
4. Произойдёт реформа законодательства, связанного со слежкой, для обеспечения передачи данных с Евросоюзом. США уже потеряли возможность переносить данные из Европы к себе.
5. Многие страны, где нет строгих законов о защите данных, начнут двигаться в этом направлении. Это США, Тунис, Эквадор, Индия, Австралия, Боливия. В России, к сожалению, предпосылок к этому нет.

«Будем оптимистами и станем надеяться, что как можно больше стран подпишут, ратифицируют и полностью имплементируют «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных» и её протокол. Эти документы способствуют продвижению концепции прав человека и защите данных во всём мире».

.