Головна Блог Думаю, у багатьох виникало питання: а наскільки додаток Дія відповідає світовим стандартам щодо приватності та захисту персональних даних?
Думаю, у багатьох виникало питання: а наскільки додаток Дія відповідає світовим стандартам щодо приватності та захисту персональних даних?

Думаю, у багатьох виникало питання: а наскільки додаток Дія відповідає світовим стандартам щодо приватності та захисту персональних даних?

Думаю, у багатьох виникало питання: а наскільки додаток Дія відповідає світовим стандартам щодо приватності та захисту персональних даних?

Ось вам 8 (вісім) ЄС-івських вимог до розробки додатку для підтримки боротьби проти коронавірусу.

7 з яких міні-цифра проігнорувала (або, скоріше за все, ніколи не знала про них). Маю на увазі кібер-кайданки типу Дій-вдома (додаток для боротьби з хворими на коронавірус в Україні).

Погоджуюсь, Україна не є членом ЄС і не повинна дотримуватися законів ЄС. Але я (як і, здається, український Уряд та Парламент) розглядаю законодавство ЄС як орієнтир та напрямок руху. Кращі практики, так би мовити. До чого прагнути.
Тож давайте прочитаємо вимоги і порівняємо.

– “Вони (додатки) повинні повністю відповідати правилам ЄС з приватності та безпеки персональних даних, викладеним в керівництві, представленому сьогодні після консультацій з Європейською комісією захисту даних.”
Зрозуміло, що ніякої приватності та безпеки персональних даних у Дії нема і не планувалося відпочатку. Ані за українським кривим-косим-непрацюючим законодавством, а тим паче за законодавством ЄС, одним з найпередовіших у Світі.

– “Вони (додатки) повинні бути впроваджені у тісній співпраці з державним органом захисту здоров’я та схвалені ним;”
Тут я не в курсі, можливо якась співпраця була, як у жаби з гадюкою. Припускаю, що у МОЗ додаток дій-вдома бачили до релізу, нічого не зрозуміли як то працює, але свій «одобрямс» поставили. Тому умовно, з натяжкою, – зараховано.

-“Вони (додатки) повинні інсталювати добровільно, і видалятися як тільки будуть не потрібні.”
Тут ситуація так: спочатку жижитілазатори дуже серйозно збиралися штрафувати на 17к-34к грн. за невикористання додатку Дій-вдома хворими на коронавірус. Але коли почалася хвиля суспільного обурення, швиденько включили задню і навіть примусили медіа повидаляти відео Федорова, де він таке заявляв. Як зараз – хтозна, думаю, що добровільно-примусово, типу «або ти ставиш додаток – або тобі щогодини ламатимуть двері мусора.». Звісно, не зараховано.

-“Вони (додатки) повинні бути спрямовані на використання останніх технологічних рішень, які посилюють приватність. Може бути застосовано на основі технологій близькості Bluetooth, які не дозволяють відстежувати місцезнаходження людей.”
Тут точно мимо, тому що Дій-вдома використовує примусову геолокацію користувача шляхом доступу до відповідних функцій смартфону. Bluetooth-технології не використовувалися, принаймні після релізу. Можливо, зараз вже допилюють щось таке, не в курсі.

-“Вони (додатки) повинні бути засновані на анонімізованих даних: повинні попереджати людей, хто побував близько протягом певного часу до інфікованих людей, щоб потім пройти тест або само-ізолюватися, без ідентифікації інфікованих людей.”
Однозначно в штангу: нічого такого Дій-вдома не робить, нікого ні про ще не попереджає, лише контролює місцезнаходження інфікованого і повідомляє поліцію якщо в’язень покинув контрольований периметр. І має його максимально повні персональні дані, of course. Надійне зберігання яких не є гарантованим, але це інша історія.

-“Вони (додатки) повинні бути інтероперабельні (можливість взаємодіяти з іншими пристроями) у межах ЄС, і таким чином ці громадяни будуть захищені, навіть якщо перетинають кордони.”
Нема такої функції у Дієчки, ну шо тут поробиш. Ані по Україні, ані по ЄС. Тому що інша бізнес-логіка додатку: не попереджати та захищати, а слідкувати та карати. Пост-совок as usual. Я начальник – ти дурак.

-“Вони (додатки) повинні бути прив’язані до відповідності епідеміологічним рекомендаціям та відображати найкращі практики з кібербезпеки та доступності.”
Та тут ващє космос. Зеленоголові плювати хотіли на кібербезпеку, а тим більше на кращі практики. “Роль кібербезпеки трохи перебільшена” – ось гасло їх вождя. Нездатні до навчання. Гроші “на кібербезпеку” беруть у донорів залюбки, мільйонами, аж гай шумить, але впроваджувати кібербезпеку – це нижче їх гідності. “У нас все безпечно, ідіть у дупу. Не згоден? Кримінальне провадження вже порушено, за вами вже виїхали з обшуками”.

-“Вони (додатки) повинні бути безпечними та ефективними.”
З безпекою Дії все складно, щонайменше – не доведено, інформація приховується, запити ігноруються. Стосовно «ефективності» – тут як подивитися. Якщо слідкувати за користувачами Дії – безумовно ефективно. Якщо типу чимось допомогти – додаток може викликати швидку або патруль, або штрафувальників. І все, досить допомагати.

Резюме.
Недалекі прихильники карго-культу часто-густо апелюють до «іноземного досвіду».
Наприклад, до практики розробки та застосування anti-COVID-додатків в Ізраїлі, Південній Кореї, Сінгапурі – країнах, де вже багато років жертвують свободами та правами людини на користь безпеки. Але там обмеження прав громадян часто компенсується матеріально. А ще там існує хоча б якесь правосуддя. Не печерські суди та відморожені печерські вовки (як у нас), а правосуддя. Це не одне й те саме.

Міні-цифра взяла за основу досвід Польщі, кажете? Так якраз через негативний досвід Польщі ЄС і випустив ці вимоги. Бо в тій Польщі постійно щось не так з виконанням законодавства ЄС: то біженців відмовляється приймати, то ксенофобія стосовно українців, то підозріла судова реформа, то взагалі погрожують вигнати з ЄС. А тепер додаток, який порушує ключові принципи прав та свобод людини. Так що приклад такий собі.

Для допитливих і недовірливих навожу текст оригіналу та відповідне посилання на офіційному сайті Європейського Союзу:

The toolbox sets out the essential requirements for these apps:
• They should be fully compliant with the EU data protection and privacy rules, as put forward by the guidance presented today following consultation with the European Data Protection Board.
• They should be implemented in close coordination with, and approved by, public health authorities.
• They should be installed voluntarily, and dismantled as soon as no longer needed.
• They should aim to exploit the latest privacy-enhancing technological solutions. Likely to be based on Bluetooth proximity technology, they do not enable tracking of people’s locations.
• They should be based on anonymised data: They can alert people who have been in proximity for a certain duration to an infected person to get tested or self-isolate, without revealing the identity of the people infected.
• They should be interoperable across the EU so that citizens are protected even when they cross borders.
• They should be anchored in accepted epidemiological guidance, and reflect best practice on cybersecurity, and accessibility.
• They should be secure and effective.
https://tinyurl.com/yb3pemzw

Дякую невпинному та наполегливому досліднику питань захисту персональних даних Олексій Мервінський за постіний моніторинг останніх новин у сфері ЗПД.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.