Čína zastavila šírenie koronavírusu aj vďaka zberu osobných dát. Môže ísť Únia touto cestou?

Sytém umelej inteligencie na prevenciu epidémie v Shenzhene. [EPA-EFE/Alex Plavenski]

Technológia na spracovanie obrovských dát pomocou kamier, sledovaním platieb, či lokalizáciu telefónov prešla v Číne za epidémie od experimenov k plnému využitiu. Podľa niektorých si to EÚ pre GDPR nemôže dovoliť. Európska legislatíva ale pozná výnimky práve v časoch ohrozenia zdravia či bezpečnosti.

Epidémia nového koronavírusu urýchlila v Číne prepojenie veľkých dát s konkrétnymi osobami. Registrácia mena, adresy a telefónneho čísla je totiž počas karantény v mnohých čínskych regiónoch samozrejmosťou. Rozšírenejší zber dát umožnil presné hlásenia o ohniskách nákazy, ale aj o ich šíriteľoch a bol jedným z faktorov, ktoré vláde pomohli udržať šírenie nákazy na uzde.

V čase, keď si ľudia pri výbere medzi zdravím a súkromím jednoznačne volia prvú možnosť však musí práve spracovateľ dát dbať na to, aby osobné údaju neboli zneužité.

Aj európska legislatíva o ochrane osobných údajov však pozná pojmy ako „výnimočný stav“, či „ohrozenie verejného zdravia“. Ďalšie pozastavovanie platnosti napríklad GDPR, ako to chce navrhnúť aj nová slovenská vláda (bod 36), preto vo vyhlásenom výnimočnom stave nie je nutnosťou, keďže naň pravidlá myslia.

Etika a umelá inteligencia: Experti formulovali „kritické výzvy“ novej technológie

Expertná skupina na vysokej úrovni pre umeleckú inteligenciu, ktorú zriadila Európska komisia, uverejnila dlho očakávanú správu o umelej inteligencii. Upozorňuje na otázky identifikácie, bodovacích systémov pre občanov, či robotov zabijakov.

Trend monitorovania v Číne počas epidémie narástol

Čína sa podobne ako Európska únia vydala na cestu prechodu k dátovej ekonomike. Peking pravidlá a ciele ale nastavil skôr. Masívne zapojenie počítačových technológií, mobilných aplikácií, či umelej inteligencie umožnili zber enormného množstva dát: od zvykov v nakupovaní, stravovaní, pohybe osôb, či zábave, po výrazy tváre, či dôvody na radosť alebo smútok. Úrady ich dokážu zachytávať vďaka rozsiahlej monitorovacej sieti, ktorá zahŕňa všadeprítomné bezpečnostné kamery, registráciu skutočných mien pre používateľov internetu a cestujúcich v hromadnej doprave, či skenovanie tváre napríklad v hoteloch.

Trend monitorovania obyvateľstva bol však ešte výraznejší v čase pandémie. Čínske regióny dokázali vďaka elektronickým informáciám z mobilov, kreditných kariet či vozidiel zistiť, či obyvatelia dodržiavali karanténu alebo sa nestretli s osobou, u ktorej sa vírus potvrdil. Na základe spracovaných dát sa potom mlióny komunitných pracovníkov, vrátane polície, starali o umiestňovanie a dodržiavanie karantény medzi obyvateľmi, mnohí merali telesnú teplotu, no objavili sa aj reťaze na dverách domov v karanténe.

Odpor k sledovaniu však upadal paralelne s rastúcimi obavami z nákazy. Čínska Národná zdravotná komisia odporučila zvýšiť zber a analýzu osobných údajov na podporu prevencie a kontrolu epidémie začiatkom marca. „Dáta by mali hrať dôležitú úlohu pri epidemickej diagnostike, liečebných metódach, ako aj pri zlepšovaní efektívnosti služieb,“ uvádzalo vyhlásenie.

Číňania navyše svoje telefóny a mobilný internet začali v karanténach využívať ešte masívnejšie. Od začiatku roka narástol denný čas, strávený na mobilnej sieti zo šesť hodín a šesť minút v januári, na sedem hodín a 18 minút vo februári.

Aplikácie „všetkého druhu“

V Číne sa zbierali dáta najrozličnejšieho druhu. V južnej provincii Guangdong miestne úrady požadovali, aby sa obyvatelia pri kúpe liekov na horúčku a kašeľ v lekárňach registrovali svojim skutočným menom. Úradníci ich potom mohli ľahšie kontaktovať. V meste Shenzhen rovnakej provincie mali cestujúci uviesť svoje mená ešte predtým, ako nasadli na metro. Biometrická technológia navyše fungovala aj bez toho, aby si osoby museli z tváre skladať povinné rúška a ochranné masky.

Prístavné a priemyselné mesto Wenzhou využívalo QR kódy na telefónoch obyvateľov, ktoré sa mali skenovať na kontrolných miestach vždy, keď počas karantény opustili svoje obydlie. Niektoré budovy mohli opustiť len tí, ktorí z nich nevyšli dva dni.

Štátna platforma s názvom Detektor blízkeho kontaktu umožnila napríklad zamestnávateľom skontrolovať, či ich pracovníci boli v posledných 14 dňoch v úzkom kontakte s potvrdenými alebo podozrivými pacientmi, a to zadaním vnútroštátnych identifikačných čísel zamestnancov.

Sledujú nás online platformy? Komisia pre GDPR po prvýkrát detailne preveruje technologických gigantov

Ochrana osobných údajov v Únii platí vyše roka, no exemplárne tresty za porušovanie GDPR zatiaľ neudelili. To sa čoskoro môže zmeniť. Najnovšie prípady, v ktorých figurujú spoločnosti Google a Facebook, by mohli vytvoriť európsky precedens.

Aktívne boli ale aj súkromné spoločnosti. Platformy Qihoo 360 a NoSugar Tech zaznamenávali, či sa pacient s vírusom objavil na konkrétnej linke lietadla, či vlaku. Používatelia si tak mohli sami overiť, či sa s nakazeným stretli.

Aplikácie WeChat a AliPay posielali svojim používateľom farebné kódy (zelené, oranžové a červené), ktoré ich mali upozorniť na potrebu dodržiavania karantény. Najpoužívanejší vyhľadávač v Číne, spoločnosť Baidu, rozšírila svoju ponuku o interaktívnu mapu potvrdených prípadov, ale aj tých, u ktorých sa objavilo podozrenie.

Mnohé technologické spoločnosti ponúkajú rozšírené možnosti pre telemosty, online chaty, či konferenčné hovory, iní sprístupnili online tréningy, či lekcie pre školy.

Kľúčovú úlohu mala zohrať aj prednedávnom komercializovaná 5G technológia. Po vypuknutí nákazy COVID-19 sa v Číne podľa denníka China Daily vyvinuli aplikácie, ako 5G telefonické konzultácie či inteligentné lekárske a ošetrovateľské 5G roboty. Tie prešli od experimentálnej fázy k plnému klinickému použitiu a prakticky sa využili vo viacerých nemocniciach.

Uniknuté osobné údaje

Mnohé aplikácie a súkromné technologické spoločnosti mali však zozbierané údaje posielať čínskym úradom, informoval magazín The New York Times. Spolu s políciou potom nadizajnovali šablónu pre nové formy automatizovanej sociálnej kontroly, ktorá by mohla pretrvať aj dlho po skončení epidémie, písala trojica amerických novinárov.

Podobné správy o zneužívaní dát prichádzali aj z pôvodného epicentra nákazy, provincie Hubei, kde mali uniknúť informácie o piatich miliónoch obyvateľoch, vrátane ich mien, adries, či telefónnych čísel. Portál InkStone ešte vo februári detailne opísal, ako úniky zasiahli počas karantény do súkromia mnohých Číňanov.

Kyberbezpečnosť na Slovensku, v Európe a za Atlantikom: Nastavenie a výzvy

Do sietí ukladáme stále viac dát, no obavy o to, čo sa s nimi môže stať, nás zatiaľ nepresvedčili. Hrozby ich zneužitia sú pritom obrovské. Ako sa nám darí kybernetický priestor chrániť na Slovensku, v Únii a naprieč Atlantikom?

Európa sa aj pre tieto prípady Pekingom inšpirovať nechce. Mnohí za príklad pri ochrane dát dávajú skôr Južnú Kóreu. Aj tu vláda posielala obyvateľom upozornenia, vo forme správ v prípade, že systémy zachytili ich pohyb v blízkosti osoby, ktorá bola vírusom nakazená.

Podľa BBC úrady neidentifikujú, o ktorú osobu malo pri stretnutí ísť, avšak „niektorí si dokázali pospájať indície“ a konkrétnych nakazených identifikovať. Oni, ale aj ich príbuzní, potom čelili útokom prostredníctvom sociálnych sietí, či dokonca výhražným správam.

Samozrejme, ani tu nechýbali omyly, ktoré neostali bez následkov. Podľa posledných štúdií totiž dnešné telefóny môžu byť v mestských častiach lokalizované s presnosťou sedem až 13 metrov, pričom priemer býva ešte väčší. Covid-19 sa však dokáže prenášať do vzdialenosti dvoch metrov.

Podľa nedávneho výskumu na Vysokej škole verejného zdravia na Národnej univerzite v Soule sa Juhokórejčania v čase vrcholiacej epidémie báli omnoho viac „kritiky a ďalších škôd“ ako toho, že sa novým koronavírusom nakazia.

Únia ide po transparentnosti, pozná však výnimky

Podľa odborníkov možno úzkosť z toho, že autority môžu v súčasnosti zbierať a disponovať údajmi miliónov obyvateľov znížiť najmä rozširovaním transparentnosti procesov. Práve o tento prístup sa snaží aj Brusel.

Európske dáta doteraz riadili okrem sektorovej legislatívy najmä štyri normy, a to známe nariadenie o ochrane osobných údajov GDPR z roku 2014, regulácia o voľnom pohybe neosobných dát z roku 2018, legislatíva o kyberbezpečnosti a nariadenie o otvorených dátach, obe z minulého roka. Špecifickou, hoci pomerne starou (2002) je aj legislatíva o online súkromí (tzv. ePrivacy). Komisia chcela jej novú verziu predstaviť začiatkom tohto roka, no zatiaľ sa jej to nepodarilo najmä pre nezhody medzi členskými krajinami.

Europoslanci: Dáta, ktoré neidentifikujú osoby, môžu byť spracovávané kdekoľvek v Únii

Poslanci Európskeho parlamentu podporili konečný text o voľnom toku neosobných údajov v celej Únii, ktorý by mal výrazne ovplyvniť pravidlá v digitálnej ekonomike. Nariadenie bolo prijaté s veľkou podporou 520 hlasov za a 81 proti.

Andrea Jelinek, predsedníčka Európskeho výboru pre ochranu údajov (EDPB) zdôrazňuje, že „aj v týchto výnimočných časoch musí správca dát zabezpečiť ochranu osobných údajov dotknutých osôb“.

Aj GDPR pozná právne dôvody, ktoré zamestnávateľom a príslušným orgánom verejného zdravotníctva umožňujú spracovávať osobné údaje v súvislosti s epidémiami bez toho, aby získavali súhlas dotknutej osoby. Ide najmä o oblasti verejného záujmu, verejného zdravia alebo na ochranu životne dôležitých záujmov (články 6 a 9), respektíve na splnenie inej zákonnej povinnosti, vysvetľuje vo vyhlásení EDPB.

Na základe legislatívy o ePrivacy sa ustanovila aj zásada, že prevádzkovateľ, najčastejšie telekomunikačný operátor, môže údaje o polohe používať iba vtedy, ak sú anonymné, alebo ak mu bol udelený súhlas dotknutej osoby. Verejné orgány by sa preto mali podľa Výboru najprv zamerať na spracovanie dát o polohe anonymným spôsobom.

Len v prípade, že to nie je možné, táto legislatíva v článku 15 počíta s výnimkou v prípade otázok národnej a verejnej bezpečnosti. Aj tu však požaduje, aby členské štáty k týmto krokom pristupovali „pod podmienkou primeraných opatrení v demokratickej spoločnosti“ s dostatočnými „zárukami, napríklad udeliť jednotlivcom právo na opravu“.

Ďalšie modifikácie v oblasto dát chcela mať Európska komisia pripravené ešte v polovici tohto roka. Po predstavení Európskej stratégie pre dáta vo februári by mali čoskoro pribudnúť aj legislatíva o správe údajov (Data Governance) a nariadenie o dátach (Data Act). Aj tie však budú pravdepodobne musieť obsahovať ešte detailnejšie opisy procesov v časoch epidémie.