Albo zainstalujesz rządową aplikację ProteGO Safe albo nie wejdziesz do sklepu

INWIGILACJA RZĄDZĄCYCH POWSZECHNA

To znaczy w końcu wejdziesz, ale później niż ci z zainstalowaną apką. Długo się zastanawialiśmy jak rząd będzie przymu, tfu, zachęcał Polaków do instalacji niegwarantujących prywatności a często wręcz niedopracowanych aplikacji mobilnych służących do śledzenia kontaktów i lokalizacji obywateli w imię walki z koronawirusem. I właśnie mamy odpowiedź. Bez zainstalowania aplikacji ProteGO Safe od 4 maja będziesz klientem drugiej kategorii w niektórych sklepach

Opublikowane właśnie przez Ministerstwo Rozwoju zasady “luzowania” ograniczeń w handlu (EDIT: są już także tej rządowej stronie. EDIT2: …i już ich nie ma — patrz aktualizacja na dole artykułu) zawierają następujące punkty:

Dopuszczalne jest jednoczesne wpuszczenie do danego obiektu o 10% wyższej liczby osób o ile ponadnormatywne osoby posiadają aplikację ProteGO Safe. Takie osoby w razie braku wolnych miejsc w sklepie/lokalu nie otrzymują przywilejów jeśli chodzi o stanie w kolejkach.

Umieszczenie przy wejściu do obiektu urządzenia z zainstalowaną aplikacją ProteGo Safe w celu zarejestrowania przez urządzenie klienta, będącego użytkownikiem aplikacji wchodzącego do obiektu. W wypadku braku możliwości wystawienia takiego urządzenia – wydrukowanie kodu QR wygenerowanego z aplikacji ProteGO Safe do zeskanowania przez wchodzących klientów.

Czy jesteście już zbulwersowani? To zostawcie sobie trochę przestrzeni na dodatkowe oburzenie. Oto dwa kolejne “zalecenia”:

Umieszczenie w widocznym miejscu materiałów informacyjnych na temat aplikacji ProteGO Safe.

Zalecanie, na przykład poprzez zniżki lub materiały promocyjne, pracownikom i klientom korzystania z aplikacji ProteGO Safe.

I tak, “biznes”, dla którego najważniejszy jest przecież — no właśnie — biznes, a nie prywatność klientów, będzie namawiał Polaków do instalacji czegoś, czego nie rozumie od strony technicznej i co nie za bardzo ma prawo działać. I jeszcze się tak zastanawiamy, z czego te promocje za instalacje, się wezmą? Z podniesienia ceny wszystkim i potem obniżenia osobom z aplikacją?

Ten przymus i tak niczego nie da…

Dlaczego wymuszanie instalacji Protego Safe (czy innych aplikacji tego typu) to słaby pomysł, który może być szkodliwy dla prywatności użytkownika aplikacji, a w walce z koronawirusem niewiele pomoże? Pisaliśmy już o tym w kilku poprzednich naszych artykułach, ale podsumujmy:

1. Abstrahując od tego, że aby takie aplikacje miały sens to musi korzystać z nich KAŻDY a nie 10% klientów danego sklepu, to wszystkie takie aplikacje bazujące na “wykrywaniu kontaktów” po Bluetooth po prostu nie zadziałają poprawnie i stabilnie, jeśli nie są aktywnie uruchomione. Ten kluczowy dla idei aplikacji problem zdaje się być często pomijany przez osoby nietechniczne wypowiadające się na temat “fajności/nie fajności aplikacji”. A więc powtórzmy to jeszcze raz: takie aplikacje nie działają poprawnie, jeśli są “w tle”, a więc nikogo nie “chronią” dopóki ktoś nie paraduje z nimi wyświetlonymi na ekranie. A naprawdę nie wyobrażamy sobie, żeby teraz każdy na smartfonie wychodząc z domu miał otwartą cały czas na ekranie jakąś (jedną) aplikację. Brak jest póki co wsparcia ze strony producentów mobilnych systemów operacyjnych, aby takie aplikacje mogły działać w tle i nie zżerać energii. A jeśli takie wsparcie się pojawi, to Protego Safe w obecnej formie nie będzie mogło z niego skorzystać, bo…

2. Aplikacje do walki z koronawirusem można zaprojektować z ochroną prywatności użytkownika, tj. w systemie zdecentralizowanym (por. DP-3T) — tak jak wymaga tego Google i Apple. Ale można też użyć systemu zcentralizowanego. Niestety Protego Safe używa właśnie tego zcentralizowanego. To właśnie sprawia, że osoby mające dostęp do infrastruktury (backendu) mogą deanonimizować użytkowników i namierzyć kto z kim i kiedy — a teraz także gdzie.

Polecamy lekturę zastrzeżeń, jakie do twórców Protego Safe wystosował Jarek Potiuk. Tu warty lektury wątek. UDPATE: Ten wątek został zamknięty. Więc Jarek stworzył nowy wątek, doskonale opisując dlaczego aplikacja Protego Safe w obecnym kształcie pozwala na deanonimizację użytkowników i połączeń między nimi.

TL;DR: W przeciwieństwie do modelu zaproponowanego przez Google i Apple, identyfikatory użytkowników ProteGO nie są generowane lokalnie na urządzeniach, ale pobierane z serwera Ministerstwa Cyfryzacji. Czyli “anonimowe” w zamyśle identyfikatory da się powiązać z adresem IP — a ten może wskazać konkretną osobę, ponieważ strona rządowa ma odpowiednie mechanizmy do wnioskowania o tego typu dane od operatorów. Dodatkowo, o ile aplikacje reklamuje się jako “niewymagającą podawania danych” to nie do końca jest to prawdą. Jeśli ktoś oznaczy się jako zainfekowany, będzie musiał (wedle sugestii jakie są na githubie aplikacji) zweryfikować swój numer telefonu, co też pozbawi go anonimowości (trzeba jednak pamiętać o tym, że jakaś weryfikacja ludzi oznaczających powinna być robiona, aby odsiać żartownisiów — pytanie czy “przez numer telefonu” to najlepsze wyjście?).

Teraz, w modelu z kodem QR stojącym w znanej lokalizacji, aplikacja ProteGO Safe traci kolejmy argument, którym posługują się jej twórcy — “że nie jest możliwe ustalenie lokalizacji”. Otóż jest. Jeśli zgodnie z sugestią Ministerstwa Rozwoju, na wejściu do konkretnego sklepu będzie stała konkretna instancja aplikacji lub kod QR. Co więcej, takie podejście stwarza pole do nadużyć.

Żeby było jasne, powyższe zarzuty w większości tyczą się każdej aplikacji tego typu, nie tylko Protego Safe. Wierzymy w dobrą wolę twórców tej aplikacji, którzy wielokrotnie wsłuchiwali się w krytykę i wprowadzali zmiany w kodzie. Bardzo chwalimy za to, że kod źródłowy jest dostępny publicznie (choć nie cały, bo algorytm determinujący status osób instalujących aplikację nie jest upubliczniony), ale mimo to obecny model aplikacji i takie odgórne, rządowe przymuszanie do jej użycia wygląda po prostu słabo.

Nie mówiąc już o tym, że aplikacji nie ma w iphonowym App Store. I co teraz? Czy nie wszyscy obywatele powinni być równi wobec prawa? Ajfoniarzom chyba pozostaje zrobienie screena ekranu aplikacji na Androida i udawanie, że przy wejściu “coś się skanuje”.

O ile z aplikacji do trackowania kontaktów pomiędzy osobami potencjalnie zainfekowanymi z chęcią byśmy skorzystali, bo widzimy w nich pewne zalety, co podkreślaliśmy już wielokrotnie (patrz nagranie naszego 30 odcinka podcastu Na Podsłuchu), to na pewno nie z takich, które nie mają prawa być skuteczne, a w dodatku narażają prywatność użytkownika. Na razie pozostaje czekać na sfinalizowanie ruchu Google i Apple.

Czy ten cel można osiągnąć lepiej?

I żeby nie było, że tylko krytykujemy aplikację Protego Safe i jej podobne. Sam pomysł wymagania dodatkowych danych od 10% “nadwyżkowych” klientów wchodzących do danego sklepu jest kuriozalny. Przecież ta “dziesiątka” nie będzie zarażała tylko siebie nawzajem na terenie tego sklepu, jeśli wśród niej jest ktoś chory. Co z innymi “nienadwyżkowymi” klientami w sklepie, którzy wejdą do niego bez aplikacji? I jeszcze ten zapis o braku przywilejów — ciekawe jak będzie działał w praktyce. Sklep pełny, pierwszy w kolejce bez aplikacji, a za nim 25 z aplikacją. Teoretycznie nie mają mieć przywilejów, czyli nie wejdą. Czy ktoś krzyknie do pierwszej osoby w kolejce “Panie, instalujże Pan!”

Już lepiej chyba zrobić jakiś centralny rejestr, w którym np. GIS co wieczór będzie publikować znaczniki czasowe i GPS-owe dotyczące osób z potwierdzoną infekcją. Plus do tego aplikację-klienta na iOS i Androida, która będzie tę bazę regularnie ściągała z serwerów GIS-u, np. raz dziennie, i lokalnie wyświetlała użytkownikowi “heatmapę” z dwóch ostatnich tygodni. Kłopotliwy bluetooth zbędny.

Wtedy każdy sam, lokalnie, czyli z zachowaniem prywatności, będzie mógł sobie sprawdzić, czy był na terenie, gdzie wykryto wirusa, a jeśli tak, to porówna znaczniki czasowe. Ze swoją pamięcią, albo — ci mniej pamiętliwi, ale bardziej techniczni — z logami lokalizacyjnymi na telefonie (tak, tak, telefony systemowo nagrywają lokalnie gdzie się znajdują ale można też prościej, odczytać to z mapy Google).

Wątpliwa zgodność z wytycznymi EROD

Na koniec wypada przypomnieć, że 21 kwietnia Europejska Rada Ochrony Danych wydała wytyczne dotyczące aplikacji lokalizacyjnych i śledzących kontakty w kontekście epidemii COVID-19. Ministerstwo Cyfryzacji w komunikacie zachęcającym do instalacji ProteGO pisze:

Bazujemy na wytycznych Europejskiej Rady Ochrony Danych Osobowych…

Tymczasem we wspomnianych wytycznych czytamy:

The EDPB generally considers that data and technology used to help fight COVID-19 should be used to empower, rather than to control, stigmatise, or repress individuals. Furthermore, while data and technology can be important tools, they have intrinsic limitations and can merely leverage the effectiveness of other public health measures.

(…)

The systematic and large scale monitoring of location and/or contacts between natural persons is a grave intrusion into their privacy. It can only be legitimised by relying on a voluntary adoption by the users for each of the respective purposes. This would imply, in particular, that individuals who decide not to or cannot use such applications should not suffer from any disadvantage at all.

(…)

The use of such an application must be strictly voluntary. It may not condition the access to any rights guaranteed by law.

Nie ma zatem mowy aby ta aplikacja była zgodna z wytycznymi EROD jeśli nie będzie “ściśle dobrowolna”.

Aktualizacja 30.04.2020 10:51

Już po publikacji naszego artykułu w nocy doszło do zamknięcia przywołanego wcześniej zgłoszenia Jarka oraz do zmiany funkcjonującego w ramach projektu kodeksu postępowania. Nie chcemy wdawać się w spory wewnątrz projektu. Odnotujemy natomiast, że Jarek wystosował dziś dwa kolejne zgłoszenia, z których jedno dotyczy możliwości de-anonimizacji danych, a drugie naruszenia wytycznych EROD poprzez planowany sposób użycia kódów QR.


Aktualizacja 30.04.2020, 13:13
Z zaleceń Ministerstwa Rozwoju opublikowanych na rządowym portalu zniknęły odwołania do aplikacji ProteGO Safe. Tu dowód (a tutaj kolejny dowód, bo wygląda na to, że ktoś usunął kopię z Archive.org) na to, że jeszcze chwilę temu tam były:

Pełen screen oryginalnej treści, jaka była na stronie Ministerstwa Rozwoju:

Czy wrócą w innym, mniej bulwersującym kształcie? Czas pokaże. Cieszymy się, że w takim jak cytowany powyżej ich już nie ma. Ministerstwo Cyfryzacji jednak dalej utrzymuje, że są. Patrz kolejna aktualizacja:


Aktualizacja 30.04.2020, 13:16
Już po wycofaniu się (?) przez Ministerstwo Rozwoju z zaleceń dających użytkownikom ProteGO Safe więcej przywilejów niż reszcie społeczeństwa, Ministerstwo Cyfryzacji opisało tę sytuację na swoim serwisie, sugerując, że w naszym artykule napisaliśmy nieprawdę. Wypunktujemy więc to, jak Ministerstwo Cyfryzacji mija się z prawdą:

Ministerstwo: Niezależnie od tego, czy zainstalujesz aplikację ProteGO Safe czy nie, wejdziesz do sklepu i zrobisz zakupy tak jak wszyscy inni.

Nigdzie nie napisaliśmy, że osoby bez aplikacji nigdy nie wejdą do sklepu. Wyraziliśmy oburzenie, że osoby bez aplikacji będą klientami drugiej kategorii, bez przywilejów. I że do sklepu wejdą, ale później niż mogłyby, gdyby mieli aplikację zainstalowaną. Na marginesie, jest to aż w pierwszym zdaniu w artykule. A dalej w artykule można znaleźć opis sytuacji, ze względu na którą taki tytuł nadaliśmy artykułowi. I go nie zmienimy. Jak ktoś lubi czytać same tytuły i po nich wyrabiać sobie zdanie o kilkudziesięcioakapitowym artykule, to może. Ambitniejszych Czytelników zachęcamy do lektury całości komentowanych treści, wtedy — wiecie — można poznać szerszy kontekst pewnych spraw.

Ministerstwo: Nie musisz wybierać pomiędzy staniem w kolejce, a „inwigilacją”. Aplikacja nie zbiera Twoich danych, nie śledzi, korzystanie z niej jest dobrowolne, a prace nad nią w pełni transparentne

Aplikacja w obecnym kształcie zbiera dane o użytkownikachDziała w oparciu o serwer centralny, zarządzany przez Ministerstwo Cyfryzacji. To serwer nadaje użytkownikowi aplikacji identyfikator i to serwer może nagrywać adres IP użytkownika. To z kolei może prowadzić do deanonimizacji użytkownika. Dodatkowo, aplikacje zapisują nie tylko “anonimowe” identyfikatory, ale i model urządzenia (uzasadniając to chęcią lepszej kalibracji algorytmu do ustalania zakażonych).

W rozwiązaniu zaproponowanym przez Google i Apple, z którego aplikacja ProteGO Safe nie korzysta klucze generowane są lokalnie a metadane urządzenia nie są zapisywane. Dość istotna, pod katem anonimowości, różnica, prawda?

Ministerstwo: Nie będziemy dzielić klientów na lepszych i gorszych, czyli tych z i bez aplikacji. Kontrolowanie przez właścicieli sklep statusu aplikacji, lub wymaganie jej instalacji i aktywacji są zabronione.

Bardzo słuszny zakaz. Szkoda, że nie został podkreślony we wczorajszej komunikacji.

Ministerstwo: Korzystanie bądź niekorzystanie z aplikacji nie może wpływać na jakość lub kolejność obsługi klientów.

Torchę tak, a trochę nie, bo osoba czekająca na pierwszym miejscu w kolejce nie wjedzie do sklepu “pełnego”, chyba, że ma aplikację — wtedy wskakuje na uprzywilejowany status klienta nadmiarowego. Właśnie ze względu na apliakcję Protego Safe. Trochę to jednak wpływa na szybkość obsługi klientów.

Ministerstwo: Użytkownicy ProteGO Safe są anonimowi. Do tego, aby ją uruchomić nie jest wymagane jakiekolwiek uwierzytelnienie, np. podanie numeru telefonu.

Znów ministerstwo nie mówi całej prawdy. To prawda, że do uruchomienia nie jest wymagane podanie numeru telefonu, ale prawdopodobnie będzie to już wymagane, w przypadku oznaczenia się jako osoba zainfekowana — tak wynika z dyskusji developerów aplikacji na githubie.

Co więcej, każdy z użytkowników zostawi swój adres IP w logach serwera Ministerstwa Cyfryzacji pobierając klucz dla swojego urządzenia. A teraz — jeśli faktycznie wdrożony zostanie model z kodem QR przed wejściem do sklepu lub jedną instancją aplikacji — potencjalnie będzie można również dotrzeć do informacji o (jednej z) lokalizacji użytkownika. Bo te kody QR i sklepowe instancje będą statyczne (zlokalizowane w jednym miejscu; a w przypadku kodów QR pewnie jeszcze wolniej lub w ogóle się nie zmieniające).

Aha i my wciąż czekamy na odpowiedzi Ministerstwa Cyfryzacji na nasze pytania dotyczące tej sprawy. Jeśli Ministerstwu wygodniej jest wrzucić je w kolejnego posta na stronie Ministerstwa, to nie ma problemu. Taką formę konwersacji też zaakceptujemy.

UPDATE: pytacie nas, jakie pytania zadaliśmy Ministerstwu. Żadna tajemnica, takie:

1. Czy pomysł wymuszania instalowania aplikacji był konsultowany z MC i czy Ministerstwo wyraziło na to zgodę?

2. Czy MC poinformuje na swoich stronach, że aplikacja jest niezgodna z wytycznymi EROD?

3. Czy MC ma zamiar zrobić cokolwiek, aby przywrócić stan zgodny z wytycznymi tzn. aby aplikacja pozostała dobrowolna?

Aktualizacja 1.05.2020, 18:16
Otrzymaliśmy odpowiedzi na nasze pytania od Ministerstwa Rozwoju oraz Ministerstwa Cyfryzacji. Zacznijmy od tego pierwszego tzn. od Ministerstwa Rozwoju. Spytaliśmy je o to, czy wycofało się z absurdalnego pomysłu wymuszania instalowania aplikacji ProteGo i przy okazji spytaliśmy o to, kto usunął z rządowych stron komunikat o tym, że Ministerstwo miało pomysł na “wpuszczanie osób ponadnormatywnych” posiadających aplikację. Oto pytania i odpowiedzi.

NBZP: Czy należy rozumieć, że Ministerstwo Rozwoju wycofało się z tego absurdalnego pomysłu? 
MR: Protokoły, które zostały opublikowane, jeszcze nie obowiązują (galerie handlowe zaczną funkcjonować od 4 maja br.). Dodatkowo nie są one obligatoryjne lecz rekomendowane. Docelowe zapisy zostaną opublikowane wtedy, gdy aplikacja przejdzie fazę testów i zostaną zakończone konsultacje.

NBZP: Kto dokonał usunięcia wskazanej informacji ze strony rządowej? Czy usuniecie tej informacji nastąpiło w wyniku jakiejś konsultacji z Ministerstwem Cyfryzacji? 
MR: Ministerstwo Rozwoju współpracuje w tym zakresie z Ministerstwem Cyfryzacji i wspólnie, w dialogu z branżami, wypracowujemy rozwiązania dotyczące wykorzystania aplikacji ProteGo Safe.

Jeśli chodzi o odpowiedzi Ministerstwa Cyfryzacji, które otrzymaliśmy, to do tej pory nie odniosło się ono do trzech pytań jakie wysłaliśmy pierwotnie (dotyczyły one m.in. niezgodności wymuszania instalowania aplikacji z wytycznymi EROD). Odpisało nam na kolejne pytania, które zadaliśmy w trybie “WTF!?”, kiedy po usunięciu ze stron rządowych wzmianki o tym pomyśle, Ministerstwo Cyfryzacji opublikowało na swoich stronach tekst “o obalaniu mitów na temat aplikacji ProteGO” w którym to tekście zasugerowało, że Niebezpiecznik mija się z prawdą, opisując takie a nie inne zasady wyznaczone przecież przez Ministerstwo Rozwoju.

Panie Redaktorze,
Po pierwsze nie zamierzamy nikogo wprowadzać w błąd. Opublikowane wczoraj protokoły, co udowodnił nam m.in. opublikowany na Państwa portalu artykuł, wymagają doprecyzowania. Dokonamy go w najbliższych dniach i zaproponujemy nowe brzmienie – zarówno aplikacja jak i model jej wykorzystywania są obecnie w fazie testów i konsultacji branżowych.

Zapisy w zaprezentowanej wczoraj formie zniknęły, po to by nie budziły jakichkolwiek wątpliwości interpretacyjnych. Nigdy naszą intencją nie było, aby od posiadania aplikacji uzależniać sposób, jakość i tempo obsługi klientów i nigdy tak nie będzie. Za korzystanie z aplikacji nie przysługują i nie miały nigdy przysługiwać dodatkowe przywileje (w szczególności dotyczące stania w kolejce, co było też odzwierciedlone w cytowanej treści wytycznych). Aplikacja ProteGO Safe jest i będzie dobrowolna. Nie zamierzamy nikogo zmuszać do korzystania z niej, choć – co podkreślamy od początku – będziemy do tego zachęcać.

Jeśli aplikacja ma się sprawdzić, powinno z niej korzystać możliwie najwięcej osób i będziemy do tego dążyć, m.in. poprzez budowanie zaufania do tego rozwiązania. A na tym szczególnie nam zależy. Działamy w zgodzie z wytycznymi Komisji Europejskiej, jak Pan doskonale wie – na każdym etapie prac nad aplikacją publikujemy jej kod źródłowy. Nie obawiamy się krytyki, chętnie dowiemy się, co możemy zrobić lepiej.

Zachęcamy do dołączenia się do prac nad aplikacją. Chętnie poznamy Państwa konstruktywną opinię na temat zastosowanych w niej rozwiązań.

Pozdrawiamy,
Wydział Komunikacji
Ministerstwo Cyfryzacji

Podsumujmy:

  1. Ministerstwo Cyfryzacji miało świadomość, że pierwotnie to rząd proponował by możliwość dodatkowego wejścia do sklepu zależała od instalowania aplikacji. Informacja o tym znalazła się na rządowej stronie.
  2. Informacja o pomyśle rządowym została cichaczem usunięta ze strony rządowej i następnie…
  3. Ministerstwo Cyfryzacji zasugerowało, że to Niebezpiecznik publikuje “insynuacje”.
  4. Dopiero po naszych pytaniach MC i MR przyznały, że skasowały treści z rządowych stron bo były “niedopracowane”

Naszym zdaniem w tym mailu zabrakło słowa “przepraszamy”. Z drugiej strony, nie widzimy powodów by się unosić dumą. Cieszymy się, że Ministerstwo Cyfryzacji zrozumiało jak niedorzeczny był ten pomysł, który to nie przez nas, a przez Ministerstwo Rozwoju został zaproponowany.

I na koniec podkreślmy jeszcze raz, że widzimy potrzebę i sens korzystania z aplikacji do tzw. contact-tracingu. Ale zaprojektowanych dobrze, dających maksimum prywatności od początku. Prywatności nie można zostawiać na “doimplementowanie potem” lub którąś z aktualizacji aplikacji. Nie tylko ze względów kosztowych. Sami z chęcią zainstalujemy aplikację, która będzie gwarantowała prywatność na tyle, na ile to możliwe, nawet jeśli — jak wszystkie takie aplikacje — nie będzie 100% skuteczna. Natomiast niezależnie od tego, nigdy nie przejdziemy obojętnie obok dzielenia społeczeństwa na lepszych i gorszych, ze względu na fakt zainstalowania lub nie jakiejś aplikacji. I to właśnie — a nie sposób implementacji jednej czy drugiej aplikacji – jest clue naszego artykułu.

Przeczytaj także:

Za: Niebezpiecznik.pl

1 komentarz do wpisu “Albo zainstalujesz rządową aplikację ProteGO Safe albo nie wejdziesz do sklepu”

  1. Having rеad this I thought it was very informative.

    I appreciate you spending some time and energy to put this informative article togetһer.
    I օnce again find myself sⲣending a lot of
    time both reading and posting comments. But so what, it wаs still worth it!

    Odpowiedz

Dodaj komentarz


The reCAPTCHA verification period has expired. Please reload the page.