Κορωνοϊός: Ιχνηλάτηση επαφών (Contact Tracing) και Ειδοποίηση Έκθεσης (Exposure Notification)

Γιώργος Τσίρτσης - Σπύρος Τάσσης*

Σε αυτό το άρθρο επιχειρούμε μία διερεύνηση της τεχνολογικής λύσης ιχνηλάτησης επαφών και ειδοποίησης πολιτών για πιθανή έκθεση στον νέο κορωνοΐό που αναπτύχθηκε και προτείνεται από την σύμπραξη δύο τεχνολογικών κολοσσών, της Apple και της Google και ανακοινώθηκε πρόσφατα.

Τέτοιου είδους μηχανισμοί θεωρούνται απαραίτητοι για την έξοδο από τα μέτρα καραντίνας, στα οποία βρίσκονται πολλές χώρες, όπως και η Ελλάδα, με στόχο το άνοιγμα της οικονομίας και την πιο ελεύθερη μετακίνηση των πολιτών με παράλληλο περιορισμό τυχόν επανεκκίνησης μίας εκθετικής μετάδοσης του ιού. Εκτός από τα άμεσα και μεσοπρόθεσμα οφέλη για την συγκεκριμένη πανδημία του Covid-19, η καθιέρωση μιας τέτοιας τεχνολογικής λύσης μπορεί να αποτελέσει και έναν αποτελεσματικό τρόπο για την καλύτερη και πιο έγκαιρη διαχείριση παρόμοιων κρίσεων. Προς τον σκοπό αυτό, βέβαια, θα πρέπει να ενσωματωθεί σε μία γενικότερη πολιτική για τον έλεγχο πανδημιών, παράλληλα με τα εργαλεία των περιορισμών στην κυκλοφορία, της ενδυνάμωσης του συστήματος υγείας και την τροφοδοσία του με επαρκή είδη προστασίας, κ.α.

Η λύση που προτείνουν οι Apple και Google είναι ουσιαστικά μία πλατφόρμα ιχνηλάτησης που επιτρέπει στα κινητά τηλέφωνα με λογισμικό Apple και Google να ιχνηλατούν το ένα το άλλο με τρόπο που να μην αποκαλύπτονται προσωπικά δεδομένα και είναι σχεδιασμένη ώστε να αποτελεί το ένα κομμάτι μίας συνολικής τεχνολογικής λύσης, με τα κράτη ανά το κόσμο να καλούνται να αναπτύξουν το άλλο κομμάτι, που θα είναι μία εφαρμογή για κινητά. Η εφαρμογή αυτή θα βασίζεται και χρησιμοποιεί την πλατφόρμα των Apple/Google και η εγκατάσταση της από τους πολίτες θα είναι απαραίτητη για να μπορεί το σύστημα να λειτουργήσει πλήρως. Οι τελικοί χρήστες, δηλαδή όλοι εμείς, θα πρέπει να αποδεχθούμε (opt-in) την χρήση του βασικού μηχανισμού της πλατφόρμας της Apple/Google εγκαθιστώντας την εφαρμογή που θα αναπτύξει τοπικά ο εκάστοτε εθνικός φορέας διαχείρισης της πανδημίας και, στις περισσότερες περιπτώσεις στο δυτικό κόσμο, αναμένουμε ότι η χρήση του συστήματος αυτού θα είναι εθελοντική.

Ας δούμε, λοιπόν, πως λειτουργεί η πλατφόρμα Apple/Google, τι επιλογές έχει κάθε κράτος στην χρήση του και τι εναλλακτικές υπάρχουν, όπως και τα βασικά σημεία τα οποία οι πολίτες θα πρέπει να προσέξουν για να αξιολογήσουν τόσο την πλατφόρμα όσο και τους μηχανισμούς που προτείνονται.

Περίληψη μηχανισμού:

Η τεκμηρίωση που παρέχεται από τις Apple και Google για τον μηχανισμό της πλατφόρμας τους είναι η εξής:

1. Περίληψη μηχανισμού

2. Το σχετικό πρωτόκολλο BTLE και ο μηχανισμός Crypto

3. Επίσης, ένα χρήσιμο FAQ και οι προδιαγραφές API

Η περίληψη μηχανισμού (1) περιλαμβάνει την ακόλουθη εικονογραφημένη εξήγηση της λειτουργίας του. Παρακάτω επιχειρούμε την μετάφραση των βημάτων (με πλάγιους χαρακτήρες) και σχολιασμό, που εξηγούν περαιτέρω τα βήματα με βάση την τεκμηρίωση αυτή και κάποιες επισημάνσεις μας.

1. Η Αλίκη και ο Μπομπ δεν γνωρίζονται, αλλά συνομιλούν για αρκετή ώρα ενώ κάθονται σε απόσταση περίπου 1-2μ μεταξύ τους.

2. Τα τηλέφωνα τους ανταλλάσσουν κωδικούς αναγνώρισης (οι οποίοι αλλάζουν συχνά).

Σχόλιο: Η ανταλλαγή κωδικών γίνεται μέσω του πρωτοκόλλου “BTLE” που υποστηρίζεται από τα περισσότερα έξυπνα κινητά τηλεφωνά με λογισμικό Android (Google) ή IOS (Apple) λογισμικό. Το ΒΤLE (Bluetooth Low Energy) είναι ένας μηχανισμός που επιτρέπει στο κινητό να στέλνει σε συχνά διαστήματα (για παράδειγμα, κάθε 200msec) ένα κωδικό. Ο κωδικός του Μπομπ μεταδίδεται σε όλα τα κινητά που είναι γύρω του, σε μία συγκεκριμένη εμβέλεια και όχι συγκεκριμένα στο κινητό της Αλίκης. Ταυτόχρονα, το κινητό του Μπομπ λαμβάνει όλους τους κωδικούς που μεταδίδονται γύρω του και όχι μόνο τον κωδικό της Αλίκης. Είναι κρίσιμο να διευκρινιστεί ότι ο κωδικός που μεταδίδεται από τον Μπομπ, ο οποίος αλλάζει κάθε 10-20 λεπτά, παράγεται κρυπτογραφικά, δηλαδή δεν ταυτοποιεί τον Μπομπ από μόνο του ούτε εκθέτει τον αριθμό τηλεφώνου του η κάποιο άλλο ταυτοποίησιμο δεδομένο.

Το κινητό της Αλίκης, παράλληλα, λαμβάνει κωδικούς και απλά τους καταχωρεί στη μνήμη του χωρίς να ξέρει σε ποιους ανήκουν. Η απόσταση στην οποία τα κινητά καταχωρούν τους κωδικούς που λαμβάνουν, μπορεί να ρυθμιστεί βάση μιας ελάχιστης έντασης του σήματος. Αν και η αντιστοίχιση έντασης σήματος σε μέτρα δεν είναι πολύ ακριβής, είναι μάλλον αρκετή για τις ανάγκες της εφαρμογής. Η τεχνολογία ΒΤLE έχει εμβέλεια περίπου 80μετρα. Επειδή οι κωδικοί μεταδίδονται σε μικρά διαστήματα (4-5 φορές το δευτερόλεπτο), το σύστημα μπορεί να καταχωρίσει για παράδειγμα μόνο κωδικούς που λαμβάνονται για περισσότερο από 2 λεπτά σε απόσταση λιγότερη από 5 (περίπου) μέτρα. Αυτοί οι παράμετροι όμως είναι τεχνικές επιλογές που θα κάνει ο εθνικός φορέας διαχείρισης κρίσης στην ανάπτυξη της τοπικής εφαρμογής για κινητά που θα πρέπει να εγκαθιστούν οι πολίτες.

… λίγες μέρες αργότερα…

3. Ο Μπομπ, αφού διαγνωστεί με κορωνοϊό, εισάγει τα αποτελέσματα του τεστ στο λογισμικό του φορέα διαχείρισης της πανδημίας.

4. Με θετική ενέργεια του Μπομπ, το τηλέφωνό του στέλνει στο cloud τα ηλεκτρονικά κλειδιά που χρησιμοποιεί για να παράγει κωδικούς αναγνώρισης.

Σχόλιο: Εδώ είναι ένα από τα κρίσιμα σημεία της λύσης αυτής που την χαρακτηρίζει ο διανεμημένος (και όχι συγκεντρωτικός) τρόπος λειτουργίας της. Μέχρι στιγμής καμία πληροφορία δεν είχε μεταφερθεί στο cloud και όλες διατηρούνταν στην συσκευή τηλεφώνου. Ο Μπομπ είναι ο μόνος που μπορεί να εισάγει στο σύστημα το αποτέλεσμα του τεστ, και την έγκρισή του ώστε να προχωρήσει η εφαρμογή στο επόμενο στάδιο. Το cloud που λαμβάνει τους κωδικούς του Μπομπ, τους προσθέτει σε ένα αρχείο που καταγράφονται όλοι οι κωδικοί, από όλους που έχουν διαγνωστεί με κορωνοϊό τις τελευταίες 2 εβδομάδες, και έχουν δεχθεί (opt-in) να ανεβάσουν τα στοιχεία τους.

Οι Apple και Google δηλώνουν ότι με την λύση αυτή δεν συλλέγουν ούτε διατηρούν προσωπικά δεδομένα αλλά μόνο πληροφορίες που απαιτούνται για τη λειτουργία του συστήματος και την ανάλυση συνολικών στοιχείων (analytics). Ο εθνικός φορέας διαχείρισης της πανδημίας θα έχει πρόσβαση στη λίστα μη ταυτοποιήσιμων κωδικών των θετικά διαγνωσμένων πολιτών, ανά περιοχή. Η λύση αυτή δεν φαίνεται να απαιτεί ο εθνικός φορέας διαχείρισης της πανδημίας να ξέρει σε ποιόν ανήκει κάθε κωδικός. Ο φορέας όμως αυτός μπορεί να απαιτεί κάποια πιστοποίηση θετικής διάγνωσης, για να αποφευχθούν άσκοπες ειδοποιήσεις έκθεσης ή πιθανής έκθεσης, αν κάποιος δηλώσει διαγνωσμένος ενώ δεν είναι. Σε αυτή τη περίπτωση ο φορέας διαχείρισης της πανδημίας θα ξέρει συγκεκριμένα για τη διάγνωση του Μπομπ.

Αυτό το σημείο λοιπόν (που ο Μπομπ ενημερώνει το cloud ότι έχει διαγνωστεί, και δίνει τη λίστα με τους κωδικούς του) είναι το αρχικό σημείο που μία προσωπική πληροφορία του Μπομπ θεωρητικά εκτίθεται τόσο στο σύστημα των Apple/Google όσο και στον κρατικό φορέα διαχείρισης της πανδημίας. Η έγκριση διαβίβασης των δεδομένων από τον Μπομπ όπως και η διαφάνεια για το ποια πληροφορία διαβιβάζεται, που αποθηκεύεται και ποιοι έχουν πρόσβαση σε αυτήν είναι σημαντικές πτυχές της λειτουργίας του όλου συστήματος. Επίσης πολύ σημαντικό είναι ότι, η πληροφορία που μεταφέρεται στο cloud αντιστοιχεί μόνο στους κωδικούς που έχει μεταδώσει το τηλέφωνο του Μπομπ τις τελευταίες δύο εβδομάδες. Το τηλέφωνο του Μπομπ δεν στέλνει τους κωδικούς που έχει ακούσει/λάβει σε αυτό το διάστημα.

Δηλαδή, η εφαρμογή που τρέχει στο cloud, δεν μπορεί να ξέρει ότι ο Μπομπ έχει έρθει σε επαφή με την Αλίκη, ούτε με κανέναν άλλον. Κανένας λοιπόν από τους Apple. Google, και του εθνικού φορέα διαχείρισης δεν μπορεί να δει με ποιους έχει έρθει σε επαφή ο Μπομπ.

5. Η Αλίκη συνεχίζει τη μέρα της χωρίς να ξέρει ότι έχει εκτεθεί σε πιθανό φορέα του ιού.

6. Το τηλέφωνο της Αλίκης περιοδικά κατεβάζει τη λίστα με όλα τα κλειδιά από όλους αυτούς που έχουν διαγνωστεί πρόσφατα με τον ιό στη περιοχή της.

Σχόλιο: Μέχρι τώρα η Αλίκη δεν έχει πάρει κάποια ειδοποίηση. Το τηλέφωνό της κατεβάζει ανά τακτικά διαστήματα (π.χ., μία φορά τη μέρα) το αρχείο με όλους τους κωδικούς από άτομα που έχουν διαγνωστεί θετικά τις τελευταίες 2 εβδομάδες στη περιοχή της. Το τηλέφωνο συγκρίνει τους κωδικούς της λίστας με τους κωδικούς που έχει καταγράψει στη μνήμη του τις τελευταίες δύο εβδομάδες. Οι κωδικοί του Μπομπ θα βρεθούν στη μνήμη του τηλεφώνου τις Αλίκης, το οποίο έχει κρατήσει επιπρόσθετα στοιχεία όπως η ημερομηνία καταγραφής, για πόση ώρα καταγραφόντουσαν κωδικοί του Μπομπ, και με τι ένταση σήματος. Αυτά τα στοιχεία τώρα δίδονται από το τηλέφωνο στην εφαρμογή του συστήματος υγείας.

… αργότερα…

7. Η Αλίκη δέχεται μία ειδοποίηση στο τηλέφωνό της «ΕΙΔΟΠΟΙΗΣΗ- Έχετε πρόσφατα εκτεθεί σε κάποιον η κάποια που έχει διαγνωστεί με κορωνοϊό».

8. Το τηλέφωνο της Αλίκης δέχεται επιπλέον πληροφορίες από το σύστημα υγείας για το τι πρέπει να κάνει

Σχόλιο: Η εφαρμογή του συστήματος υγείας, χρησιμοποιώντας διάφορα κριτήρια για το πότε θεωρεί ότι η έκθεση στον Μπομπ ήταν αρκετή (χρόνος/απόσταση) μπορεί να ειδοποιήσει την Αλίκη ότι έχει πιθανότατα να έχει εκτεθεί σε άτομο που διαγνώστηκε με τον ιό, και τι βήματα να πάρει για να το αντιμετωπίσει.

Αξίζει να επισημάνουμε ότι αν και το σύστημα μαθαίνει ότι η Αλίκη βρέθηκε σε ακτίνα επαφής με κάποιον/κάποια που έχει διαγνωστεί με τον ιό, η ταυτότητα του φορέα του ιού δεν είναι απαραίτητα γνωστή. Το αν είναι γνωστή εξαρτάται από το αν η πλατφόρμα Apple/Google έχει κρατήσει τα στοιχεία του Μπομπ, στο βήμα 4, (και οι δύο εταιρείες πάντως δηλώνουν ότι δεν θα το κάνουν) και στο πως έχει υλοποιηθεί η εφαρμογή του εθνικού διαχειριστή της πανδημίας.

Συλλογή και διαχείρισης πληροφοριών χρήστη

Η παραπάνω περιγραφή δίνει και την εικόνα για το ποιες προσωπικές πληροφορίες μπορεί να εκτεθούν από την χρήση της λύσης αυτής. Θα ήταν πιο ωφέλιμο, πάντως, να διαχωρίσουμε τα δύο στάδια της υλοποίησης για να δούμε και πότε μπορεί να υφίσταται μεγαλύτερη διακινδύνευση. Στην λύση των Apple και Google έχουμε δύο στάδια 1. την υλοποίηση του συστήματος Apple/Google, και 2. την υλοποίηση της εφαρμογής από τον εκάστοτε εθνικό φορέα διαχείρισης της πανδημίας. Για τη λειτουργία αυτού του συστήματος, οι Apple και Google έχουν καταρχήν καθορίσει ένα τρόπο λειτουργίας που δεν προϋποθέτει ούτε απαιτεί την έκθεση προσωπικών δεδομένων. Για παράδειγμα, όσο οι χρήστες δεν εισάγουν θετική διάγνωση, το σύστημα λειτουργεί χωρίς καμία επικοινωνία με το cloud. Τα τηλέφωνα στέλνουν, λαμβάνουν, και αποθηκεύουν κωδικούς, χωρίς να μεταδίδουν αυτή τη πληροφορία σε κανένα κεντρικό σύστημα.

Η πρώτη φορά που το σύστημα μαθαίνει κάτι είναι όταν, ένας συγκεκριμένος χρήστης έχει διάγνωση για κορωνοϊό. Οι Apple και Google δεν χρειάζονται την ταυτότητα του Μπομπ, παρά μόνο τους κωδικούς του και την γενική περιοχή που αυτός βρίσκεται και μάλιστα χωρίς μεγάλη ακρίβεια (αυτό θα μπορούσε να επιτευχθεί, για παράδειγμα, με την αποστολή των τριών πρώτων ψηφίων του ταχυδρομικού κώδικα της περιοχής που βρίσκεται ο χρήστης). Όπως είδαμε όμως παραπάνω, η εφαρμογή που θα αναπτύξει ο κάθε εθνικός φορέας διαχείρισης της πανδημίας μπορεί να απαιτεί την ταυτότητα του Μπομπ για να εξακριβώσει και να επιβεβαιώσει τη διάγνωση. Το δεύτερο σημείο που μεταφέρονται δεδομένα είναι όταν το τηλέφωνο της Αλίκης ανακαλύπτει ότι έχει έρθει σε επαφή με κάποιον/κάποια που έχει τον ιό, με βάση την λίστα κωδικών στο βήμα 6. Εδώ και πάλι οι Apple/Google δεν χρειάζεται να ξέρουν την ταυτότητα της Αλίκης (και δηλώνουν ότι δεν θα την απαιτούν). Το ότι κάποιος διαγνώστηκε βάση αυτών των κωδικών είναι αρκετό για μη προσωποποιημένη ανάλυση δεδομένων (analytics). Ούτε ο εθνικός φορέας διαχείρισης της πανδημίας χρειάζεται να ξέρει τη ταυτότητα της Αλίκης. Θεωρητικά αρκεί η Αλίκη να πληροφορηθεί για το τι πρέπει να κάνει π.χ., να επικοινωνήσει με το γιατρό της, να κάνει το τεστ κλπ. Το αν όμως η ταυτότητα της Αλίκης καταγράφεται τελικά, αυτό εξαρτάται από τις επιλογές υλοποίησης της εθνικής εφαρμογής, από την πλευρά δηλαδή, και πάλι, του φορέα διαχείρισης της πανδημίας.

Φυσικά, δεν πρέπει να ξεχνάμε, ότι τόσο η Apple όσο και η Google, έχουν σήμερα πρόσβαση ήδη σε πολύ πιο λεπτομερή στοιχεία για κάθε κινητό τηλέφωνο, τον χρήστη του και την γεωγραφική του θέση ανά πάσα στιγμή. Αυτά είναι δεδομένα που έχουμε αποδεχτεί όλοι να μοιραζόμαστε (για την ακρίβεια έχουμε “συμφωνήσει” να διαβιβάζουμε) για την καλύτερη λειτουργία των κινητών και των εφαρμογών που επιλέγουμε να χρησιμοποιούμε. Το θετικό όμως με το συγκεκριμένο σύστημα είναι ότι οι εταιρείες δηλώνουν ότι είναι αποκομμένο από όλα τα άλλα συστήματα τους διαχείρισης δεδομένων που παράγονται από την χρήση των κινητών που έχουν τα λειτουργικά τους. Για το λόγο αυτό είναι λοιπόν σημαντικό να έχουμε πλήρη διαφάνεια για το τρόπο λειτουργίας του συστήματος, όχι μόνο από τις Apple και Google, οι οποίοι θα πρέπει, έτσι κι αλλιώς, να ελέγχονται για τον τρόπο λειτουργίας των συστημάτων τους και την χρήση δεδομένων, αλλά και για την εφαρμογή που θα αναπτυχθεί από κάθε κράτος.

Εναλλακτικές λύσεις

Φυσικά το σύστημα Apple/Google είναι ένας από πολλούς τεχνικούς τρόπους με τους οποίους μπορεί να υλοποιηθεί ιχνηλάτηση επαφών (contact tracing) και ειδοποίηση έκθεσης (exposure notification). Η τεχνολογία BTLE προσφέρει ένα βασικό μηχανισμό ιχνηλάτησης που δεν εξαρτάται από τη συνεχόμενη καταγραφή λεπτομερούς τοποθεσίας όλων των πολιτών, για παράδειγμα μέσω GPS. Εκτός από διάφορα τεχνικά προβλήματα υλοποίησης μιας εναλλακτικής λύσης με δεδομένα GPS (υψηλή σχετικά κατανάλωση ενέργειας, ακρίβεια τοποθεσίας ειδικά σε εσωτερικούς χώρους κλπ), θα ήταν αρκετά πιο δύσκολο να φτιαχτεί μηχανισμός που να περιορίζει τη προσωπική πληροφορία με τον ίδιο τρόπο. Παράλληλα η κεντροποιημένη επεξεργασία δεδομένων έχει, και πάντα θα έχει, περισσότερα πλεονεκτήματα και τεράστια ευελιξία σε σχέση με τις λύσεις αποκεντρωμένης επεξεργασίας, αλλά συχνά έχει σημαντικό κόστος σε σχέση με τα προσωπικά δεδομένα και αφήνει μεγαλύτερο περιθώριο για κακή χρήση τους ή εκτεταμένη επεξεργασία και δημιουργία προφίλ που μπορεί να έχει σημαντικές επιπτώσεις για τα δικαιώματα του υποκειμένου.

Παρόλα αυτά, πρέπει να γίνει σαφές ότι η χρήση τεχνολογίας BTLE δεν είναι αρκετή για τη προστασία των δεδομένων από μόνη της. Είναι σημαντικό να κατανοήσουμε ότι τελικά η τεχνολογική λύση που θα επιλέξουν να αναπτύξουν τα κράτη, βασιζόμενα στην πλατφόρμα των Apple και Google θα παίξει τον καθοριστικό ρόλο για το τί επεξεργασία δεδομένων θα γίνει και με ποιους κινδύνους. Έχει ενδιαφέρον να επισημανθεί ότι εταιρείες με το μέγεθος των Apple και Google είναι σε θέση να καθορίσουν περιορισμούς στην ανάπτυξη εφαρμογών ακόμα και στους κρατικούς μηχανισμούς που θέλουν να κάνουν χρήση της πλατφόρμας ιχνηλάτησης, αφού έχουν την δυνατότητα να καθορίζουν τί επιτρέπεται σε μία εφαρμογή που θα «τρέξει» στο Android ή iOS περιβάλλον τους.

Κάποια κράτη, πάντως, είναι πιθανό να εφαρμόσουν μία συνδυαστική λύση, αναπτύσσοντας μία εφαρμογή που βασίζεται στο BTLE αλλά με πιο κεντροποιημένη επεξεργασία δεδομένων. Θα μπορούσαμε, λοιπόν, να σχεδιάσουμε ένα μηχανισμό ο οποίος συνεργάζεται με αυτόν των Apple και Google αλλά όλοι οι κωδικοί που καταγράφονται από κάθε τηλέφωνο μεταφέρονται σε ένα κεντρικό σύστημα. Το σύστημα αυτό, μπορεί επίσης να ξέρει ποιοι κωδικοί αντιστοιχούν σε ποιους (ταυτοποίηση φυσικού προσώπου) και αυτό θα προσέδιδε πιο λεπτομερή δεδομένα σε όσους διαχειρίζονται την πανδημία και τα συστήματα υγείας γιατί θα ήταν εφικτός ο εντοπισμός των επαφών πιο σύντομα και με περισσότερη ευελιξία. Επίσης θα μπορούσε να χρησιμοποιήσει άλλες πληροφορίες που ήδη υπάρχουν στον φάκελο του υποκειμένου που είναι πιθανό κρούσμα (π.χ. αν πάσχει από άλλα νοσήματα) και έτσι να μπορεί να επέμβει κατάλληλα πχ, από μία απλή ειδοποίηση για ενδεχόμενη επαφή μέχρι τον άμεσο συντονισμό μίας εξέτασης.

Μία άλλη λύση θα ήταν ένα κράτος να επιλέξει την ανάπτυξη μίας τέτοιας εφαρμογής ιχνηλάτησης που επίσης χρησιμοποιεί τεχνολογία BTLE, αλλά δεν βασίζεται στο σύστημα των Apple και Google. Άλλωστε διεπαφές προγραμματισμού εφαρμογών (APIs) για το BTLE υπάρχουν ανεξάρτητα από το σύστημα Apple/Google. Αυτό είναι, βέβαια, εφικτό αλλά μοιάζει να υπάρχει ένα αρκετά σημαντικό πρακτικό πρόβλημα. Μια τέτοια εφαρμογή μπορεί να λειτουργεί σωστά όσο η οθόνη του τηλεφώνου είναι ανοιχτή και η εφαρμογή βρίσκεται στο προσκήνιο της συσκευής. Αν ο χρήστης φέρει άλλη εφαρμογή στο προσκήνιο (για παράδειγμα το e-mail, η αν κλειδώσει την οθόνη, τότε υπάρχει πιθανότητα για διάφορους λόγους να σταματήσει η χρήση του BTLE και η λειτουργία της εφαρμογής να διακοπεί, μην παρέχοντας έτσι τις αναγκαίες πληροφορίες.

Όποια λύση και αν επιλεχθεί θα πρέπει να ληφθεί υπόψη ότι, σε ότι αφορά την χρήση εφαρμογών ιχνηλάτησης επαφών, το Ευρωπαϊκό Συμβούλιο για την προστασία των Προσωπικών Δεδομένων (EDPB) είναι ξεκάθαρο. Η εθνική εφαρμογή που θα αναπτυχθεί θα πρέπει να είναι μόνο μία και να είναι ενταγμένη σε μία συνολική κρατική πολιτική πρόληψης και διαχείρισης της πανδημίας, που σημαίνει ότι συνοδεύεται από εγκεκριμένα κατάλληλα μέτρα και την εγγύηση ότι σκοπός είναι η έρευνα και η πρόληψη και όχι η κατάχρηση. Πάντα θα πρέπει να προτιμώνται τα ανώνυμα δεδομένα και μόνο εφόσον οι στόχοι δεν επιτυγχάνονται να γίνεται επεξεργασία προσωπικών δεδομένων. Ακριβώς δηλαδή ότι επιτυγχάνεται με το αποκεντρωμένο σύστημα διαχείρισης της πληροφορίας που προτείνουν οι Apple και Google, αφού είναι κοινός τόπος ότι ειδικά στα GPS δεδομένα θέσης και κίνησης η ανωνυμοποίηση συχνά μπορεί να μην είναι εφικτή αφού αυτές οι πληροφορίες μπορούν εύκολα να συνδυαστούν δίνοντας ισχυρές ενδείξεις για το υποκείμενο τους και την πραγματική του θέση.

Και, πράγματι, εναπόκειται στα κράτη να προχωρούν στην ανάπτυξη λύσεων που θα περιορίζουν τα δικαιώματα στο αναγκαίο μέτρο για την πρόληψη και διαχείριση υγειονομικών κρίσεων. Και αυτό επιτυγχάνεται όταν οι εφαρμογές ιχνηλάτησης διέπονται από τις αρχές της ελαχιστοποίησης και της προστασίας των δεδομένων από τον σχεδιασμό και εξ’ ορισμού. Αρχές που όπως, φαίνεται, προτείνει και η λύση των Apple και Google, αφού δεν καθίσταται απαραίτητο να γίνεται και γεωεντοπισμός του χρήστη αλλά αποθηκεύονται μόνο τα δεδομένα του εγγύτητας με άλλους χρήστες, καταρχήν, και μάλιστα στην συσκευή του, και μόνο αφού υπάρξει ενεργοποίηση της επισήμανσης, αποστέλλονται οι αναγκαίες πληροφορίες στον πάροχο ή/και τον φορέα διαχείρισης της πανδημίας. Το αποκεντρωμένο αυτό σύστημα (decentralized), η πρακτική δηλαδή τα δεδομένα να αποθηκεύονται στην κινητή συσκευή του χρήστη και να διαβιβάζονται όχι σε έναν κεντρικό διακομιστή, σημαίνει την μη συγκέντρωση πολλών δεδομένων πληροφοριών σε ένα σημείο επεξεργασίας του συστήματος ιχνηλάτησης και δεν επιτρέπει τον πειρασμό καταχρήσεων στην επεξεργασία. Παράλληλα, όπως προτείνει και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) οι εφαρμογές ιχνηλάτησης που θα αναπτυχθούν σε εθνικό επίπεδο μπορούν να χρησιμοποιούν ψευδώνυμα αναγνωριστικά για επαφές εγγύτητας και να τις αλλάζουν περιοδικά, για παράδειγμα κάθε 30 λεπτά. Αυτό μειώνει τον κίνδυνο σύνδεσης δεδομένων και επαναπροσδιορισμού. Αυτά τα Secret Sharing Schemes επιτρέπουν τον διαχωρισμό των αναγνωριστικών σε μέρη και τη διάδοση της μετάδοσής τους σε ένα δεδομένο χρονικό διάστημα.

Να σημειωθεί ότι η Αγγλία ήδη ανακοίνωσε την δική της κεντροποιημένη εφαρμογή ιχνιλάτησης η οποία βασίζεται στην τεχνολογία BTLE αλλά όχι στην πλατφόρμα Google/Apple. Άλλες χώρες όπως η Γερμανία αρχικά θέλησαν να χρησιμοποιήσουν τέτοιου είδους κεντροποιημένο σύστημα, για παράδειγμα αυτό που πρότεινε ο οργανισμός PPET-PT, αλλά τελικά το απέρριψαν λόγο των πρακτικών προβλημάτων που αναφέρουμε παραπάνω αλλά και την έντονη κριτική εναντίων των κεντροποιημένων συστημάτων από πανεπιστημιακούς, ερευνητές και πολίτες.

Συμπεράσματα

Το σύστημα Apple/Google είναι ένα εργαλείο που τα κράτη, ιδίως στην Ε.Ε., θα πρέπει να κοιτάξουν σοβαρά. Σε μια τουριστική χώρα όπως η Ελλάδα, ο διεθνής χαρακτήρας του συστήματος Apple/Google έχει προφανές πλεονέκτημα αφού η ιχνηλάτηση μέσω BTLE είναι εφικτή μεταξύ συσκευών τηλεφώνων χρηστών από όλες σχεδόν τις χώρες. Κάθε κράτος θα πρέπει, επιπλέον, να εξασφαλίσει την συμβατότητα μεταξύ της εθνικής (π.χ. της Ελληνικής) εφαρμογής με αυτή που θα επιλέξουν άλλα κράτη, για να εξασφαλίζεται η ειδοποίηση για τυχόν έκθεση (exposure notification) κάτι που είναι πλέον εφικτό αν όλες αυτές οι εφαρμογές στηρίζονται σε μία κοινή πλατφόρμα όπως αυτή των Apple και Google.

Η λύση αυτή είναι επίσης πιθανό ότι δεν θα φέρει και την κρατική δράση ενώπιον εμπλοκών με την εφαρμογή του GDPR. Όπως έχει εμφατικά δηλώσει το Ευρωπαϊκό Συμβούλιο για την προστασία των Προσωπικών Δεδομένων (EDPB) το θεσμικό πλαίσιο για την προστασία των δεδομένων λαμβάνει ήδη υπόψη τις διαδικασίες επεξεργασίας δεδομένων που είναι απαραίτητες για να συμβάλουν στην καταπολέμηση μιας επιδημίας, επομένως δεν υπάρχει λόγος να αρθούν οι διατάξεις του GDPR, αλλά, αντιθέτως, θα πρέπει να τηρηθούν, ακόμα και στα άκρα όρια του. Ο στόχος είναι να υπάρξει μια αποτελεσματική αντίδραση για την υποστήριξη της καταπολέμησης της πανδημίας, ενώ ταυτόχρονα να προστατεύονται και τα θεμελιώδη ανθρώπινα δικαιώματα και ελευθερίες.

Για να επιτευχθούν όμως αυτοί οι στόχοι οι κυβερνήσεις, θα ήταν καλό να μεγιστοποιήσουν τη διαφάνεια λειτουργίας του συστήματος που θα δημιουργήσουν, να επιβάλλουν την ελαχιστοποίηση των δεδομένων που συλλέγουν, να φροντίσουν για την ασφάλεια των πληροφοριών και να περιορίσουν την επεξεργασία μόνο στους απολύτως απαραίτητους σκοπούς για την διαχείριση μίας κρίσης, όπως η πανδημία, ώστε να δημιουργήσουν το απαραίτητο περιβάλλον εμπιστοσύνης προς τους πολίτες και να αποδεχτούν αυτοί να κάνουν χρήση του συστήματος ιχνηλάτησης. Διαφάνεια, ξεκάθαροι κανόνες και πλήρης ενημέρωση για τον τρόπο συλλογής και χρήσης των δεδομένων καθώς και η αποδοχή της όποιας κριτικής (scrutiny) από τους πολίτες θα είναι καθοριστικοί παράγοντες για την αποδοχή του συστήματος από την κοινωνία. Χωρίς αυτή την αποδοχή δεν θα μπορούμε να έχουμε και τα προσδοκώμενα αποτελέσματα αφού θα πρέπει να τα χρησιμοποιεί ένα μεγάλο μέρος του πληθυσμού (κατ’ ελάχιστο >50% και ιδανικά κοντά στο 80%) για να έχουμε επαρκή ιχνηλάτηση και διαχείριση της διασποράς.

Τελικά οι περισσότεροι πολίτες μάλλον θέλουν την επιτυχή λειτουργία συστημάτων που θα μας επιτρέψουν να επιστρέψουμε με σχετική ασφάλεια σε πιο φυσιολογικούς ρυθμούς ζωής και λειτουργίας της οικονομίας. Ας γίνει αυτό χωρίς να θυσιάσουμε προσωπικές ελευθερίες ή τουλάχιστον να μην θυσιάζουμε περισσότερες ελευθερίες από όσες χρειάζεται γι’ αυτόν τον συγκεκριμένο σκοπό. Διότι, όπως έχει ειπωθεί κατ’ επανάληψη, η τεχνολογία είναι το εργαλείο. Ένας τέτοιος μηχανισμός θα μπορούσε, πράγματι, να αποτελέσει εργαλείο μαζικής παρακολούθησης, και σε λάθος χέρια, να οδηγήσει σε καταστρατήγηση των θεμελιωδών δικαιωμάτων. Το κατά πόσο αυτό θα αποφευχθεί εξαρτάται τόσο από τον τρόπο υλοποίησης και την διαφάνεια λειτουργίας του. Η σωστή ή λάθος χρήση των εργαλείων είναι πάντα στα χέρια της κοινωνίας.

*Γιώργος Τσίρτσης, Sr Director of Technology, Qualcomm Europe/ Σπύρος Τάσσης, Δικηγόρος LLM (ΙΤ&Privacy)

O Γιώργος έχει 20+ χρόνια καριέρα σαν ερευνητής στο χώρο των τηλεπικοινωνιών. Ξεκίνησε στο ερευνητικό κέντρο της BT (1996-2000) στην Αγγλία, μετά προσχώρησε στην US startup Flarion Technologies και μετά στην Qualcomm Inc (2007 μέχρι σήμερα). Τα τελευταία 10 χρόνια εργάζεται πάνω σε τεχνολογίες άμεσης επικοινωνίας μεταξύ συσκευών (D2D) όπως οι BTLE και WiFiDirect, και ήταν ο επικεφαλής έρευνας στο LTE-Direct και C-V2X, πριν το 2018 γίνει υπεύθυνος για τη τεχνολογία 5G στην Ευρώπη για τη Qualcomm.

Ο Σπύρος είναι Δικηγόρος με εξειδίκευση και μακρά πρακτική ενασχόληση με τα ζητήματα του Δικαίου της Πληροφορικής, του Διαδικτύου και της Ιδιωτικότητας. Είναι Πρόεδρος της Ένωσης Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (www.dataprotection.gr), co-chair του Greek Chapter της IAPP (International Association of Privacy Professionals) και συνεργάτης της Επιστημονικής Ομάδας Δικαίου Πληροφορικής του Πανεπιστημίου Μακεδονίας. Διδάσκει ως visiting lecturer τα νομικά θέματα της Πληροφορικής, του Διαδικτύου και των Προσωπικών Δεδομένων και είναι ειδικός εκπαιδευτής στα προγράμματα επιμόρφωσης δικηγόρων για τον GDPR. Επίσης είναι μέλος της συντακτικής ομάδας του νομικού περιοδικού ΔιΜΕΕ (Δίκαιο Μέσων Ενημέρωσης και Επικοινωνιών).

Όλες οι απόψεις στο παρόν είναι προσωπικές.