Českou republiku čeká zavedení takzvané chytré karantény. Ta má podle vlády i odborníků z IT iniciativy COVID19CZ umožnit alespoň částečné uvolnění stávajících opatření zahrnujících uzavření velké části obchodů i plošné omezení pohybu. Plánovaný systém stojí na zpětném dohledávání rizikových kontaktů lidí s nemocí Covid-19 a činnosti mobilních týmů vybavených testy na přítomnost nového koronaviru.

„Cílem chytré karantény je v co nejkratším čase zabránit šíření epidemie a uvolňovat plošná opatření, aby se lidé co nejdříve mohli vrátit k normálním životům. Vrátit se do práce, do škol, opět se potkávat se svými přáteli, ale aby také opět došlo k nastartování ekonomiky. To vše bude možné v okamžiku, kdy bude šíření viru pod absolutní kontrolou,“ uvádí ministerstvo zdravotnictví, které k tématu připravilo speciální stránku i propagační video.

Mechanismus se testuje na jižní Moravě a koncem týdne jej chce vládní tým, potažmo náměstek ministra zdravotnictví Roman Prymula, rozšířit na severní Moravu a do Prahy. Od běžné karantény se liší možností využití lokalizačních údajů mobilních operátorů. K těm může na základě výslovného souhlasu nakaženého dostat přístup krajská hygienická stanice, jež tak získá mapu zobrazující přibližný pohyb dotyčného v posledních pěti dnech.

Stanice ani z dostupných dat nezjistí, s kým se nakažený setkal. To jí má na základě zákona o ochraně veřejného zdraví sdělit on sám, přičemž mapa — alespoň teoreticky — poslouží jako pomůcka pro přesnější rozpomenutí. Lokalizační údaje se ze systému následně v šestihodinové lhůtě odstraní.

Rizikovost jednotlivých kontaktů vyhodnotí hygienik. Potenciálně ohroženým následně zavolá speciální call centrum a informuje je o povinnosti zůstat v karanténě, případně jim doporučí karanténu dobrovolnou. V následujících dnech také může vyslat odběrový tým.

Testovací výjezdy má zajišťovat mimo jiné armáda v čele s vojenskými mediky. Nebude mít ovšem přístup do systému elektronického trasování nakažených. Odběrový tým předá získané vzorky některé z laboratoří s volnou kapacitou. Testovaní mají znát výsledky do dvou dnů. Pokud se zjistí nákaza, celý proces se opakuje. Využití lokalizačních dat operátorů přitom opět podmiňuje souhlas nemocného.

Podle nedávného Prymulova odhadu mají trasovaní lidé ve sledované době průměrně šest až deset rizikových kontaktů. Co přesně se má dít, pokud se je nepodaří za pomoci nakaženého ztotožnit a telefonicky kontaktovat, není zřejmé.

Zatím je ovšem jisté, že hygienici nemohou k dohledání ohrožených přímo využít trasovací mapu jak z hlediska pravomocí, tak v důsledku technických omezení. Trasa se totiž stanovuje pomocí takzvané triangulační lokalizace. Ta je — zvláště na venkově či v místech s rušeným signálem — značně nepřesná. Ani v oblastech s nižší odchylkou ovšem data nemohou spolehlivě ukázat, který kontakt byl rizikový.

Přes telefony se — alespoň prozatím — nemůže kontrolovat ani dodržování karantény. To zůstává na případných namátkových kontrolách od policie. Prymula ovšem připouští, že v případě neúčinnosti stávajícího systému může kupříkladu ministerstvo zdravotnictví chtít dosavadní koncept „chytré karantény“ zpřísnit.

Chytrá snad, neprůhledná určitě

„Chytrá karanténa“ má trasovací systém výhledově doplnit i daty o bezkontaktních platbách, kterými nyní disponují pouze banky. Ty ovšem důvěrné údaje nechtějí vydat, dokud si nebudou zcela jisté, že tím neporuší zákon. Čekají proto na stanovisko České národní banky a Úřadu pro ochranu osobních údajů.

Množství potenciálně citlivých dat shromážděných v rukou COVID19CZ a hygieniků vzbuzuje obavy u ochránců soukromí. Ti kritizují improvizovanost celého systému a nedostatek záruk ze strany státu. Kupříkladu odstranění podmínky souhlasu s poskytnutím údajů o pohybu by sice vyžadovalo legislativní úpravy, které podle Prymuly nejsou na stole, současně se ovšem Česká republika nachází ve stavu legislativní nouze, kdy je případná novelizace jakéhokoli zákona extrémně zrychlená.

Iniciativa COVID19CZ dlouhodobě zdůrazňuje, že její strategie elektronické karantény neposkytne státu důvěrné informace a označuje ochranu dat za jednu z priorit. Na korektní uchování citlivých údajů zde sice dohlížejí auditoři, kritici ovšem poukazují na to, že v systému chybí jasně vymezené pravomoci a odborníci ze soukromého sektoru se v něm nepřehledně překrývají s hygieniky a mediky.

Hlavní hrozbou ovšem je fakt, že stát může kdykoli vychýlit rovnováhu sil ve svůj prospěch. Ostatně i COVID19CZ upozorňuje, že „[nemáme] faktickou ani legislativní možnost, jak chytrou karanténu zavést a provozovat. To je výhradně věc státu a státních institucí. Z naší strany je pouze nabídnuto komplexní řešení včetně vypracované metodiky, technických postupů a potřebných nástrojů“.

Iniciativa COVID19CZ působí z hlediska ochrany soukromí i díky personálnímu obsazení důvěryhodně. Vyjasnění pravidel a garance nezneužitelnosti dat je ovšem v tuto chvíli na státu. Je důvěryhodný i ten? Kdo si s ohledem na dynamiku posledních týdnů troufá předpovídat, zda, nakolik a případně jak bude chtít vláda, ministerstvo zdravotnictví či Roman Prymula systém elektronické karantény zpřísňovat?

Každopádně je na místě připomenout, že k lokalizačním datům z telefonů mají úřady již nyní potenciální přístup. Pro potřeby represivních složek se ze zákona uchovávají půl roku.

Evropu má chránit GDPR, je na něj ale spoleh?

Chytrá karanténa či trasování nakažených není ani zdaleka výlučně českou záležitostí. Napříč světem se v posledních týdnech zavedly desítky až stovky rozsáhlých opatření omezujících nejrůznějším způsobem právo na soukromí.

Typicky se jedná o trasování mobilních telefonů založené na údajích z vysílačů. Jindy se užívají i důvěrnější údaje ze smartphonů, jako jsou souřadnice z GPS aplikací, SSID identifikátory wi-fi sítí, záznamy o bluetooth kontaktech či bezkontaktních platbách.

Lokalizační data od telefonních operátorů se s posvěcením Evropské komise začínají využívat po celé Evropě. Zpracování důvěrných informací zde sice reguluje poměrně přísné nařízení GDPR, současně je ovšem nasnadě, že kupříkladu údaje od operátorů lze jen stěží anonymizovat tak, aby se jejich užíváním nenarušovalo právo na soukromí.

Nejasná zůstává také role komerčních zpracovatelů dat. Jak upozornil portál Euractiv.com, kupříkladu britská lékařská trasovací aplikace ZOE „prolévá“ hrubá data přes třetí strany včetně Amazonu či Googlu. Především Google je přitom dlouhodobě vyhlášený netransparentním sběrem informací o uživatelích.

Digitální ploty…

Trasování a sledování potenciálně nakažených či rizikových skupin obyvatel již v březnu doporučovala technická poradkyně globální sekce Světové zdravotnické organizace pro prevenci a kontrolu infekcí Marylouise McLawsová. Poukazovala při tom na poměrně úspěšnou protipandemickou politiku v technologicky rozvinutých asijských zemích, jako je Taiwan, Jižní Korea či Singapur.

Ty zhusta sázejí na systém takzvaného digitálního plotu. Spočívá v automatizovaném sledování řádově desetitisíců občanů s nařízenou karanténou pomocí mobilních telefonů, potažmo jejich napojení na místní telekomunikační uzly. Když se signál vzdálí z vymezené oblasti — tedy domova — či z pomyslné mapy zmizí, úřady začnou na dotyčné zařízení posílat varovné zprávy, případně za ním vyšlou policii.

Podobný mechanismus připravilo i Polsko, dokonce obohacený o netradiční povinnost pořizovat si v náhodnou denní hodinu selfie na základě SMS výzvy. Sledovací systém snímek následně porovná s referenční fotografií a doplní souřadnicemi, aby potvrdil, že dotyčný zůstává v karanténě.

Požaduje při tom poměrně rychlou reakci: pokud selfie nepřijde do dvaceti minut, chytrá karanténa na místo pošle policii. Poláci si již nyní stěžují, že aplikace nefunguje a policie k nim chodí bez ohledu na odeslání snímku. Ze systému navíc vypadli lidé bez chytrého telefonu.

Digitální plot je sice tvrdý, může ale fungovat poměrně transparentním způsobem. Technická zneužitelnost podobného mechanismu navíc nebude z dlouhodobého hlediska velká: lze sice debatovat o tom, zda má demokratický stát právo vytvářet pro potenciálně nakažené podobné domácí panoptikony, současně je ovšem na místě zdůraznit, že — podobně jako u českého trasování — tu stát netěží data, ke kterým by neměl potenciální přístup již dříve.

I takové údaje — tedy v prvé řadě lokalizaci mobilním telefonem následovanou informacemi o bezkontaktních platbách a podobně — lze ovšem kombinovat v neobvyklé míře, která vede k výjimečně přesnému přehledu o tom, kdo se kde a v jakém čase pohyboval. Důmyslnost syntézy jednotlivých informací je ostatně jedním z nástrojů, který pomáhá pandemii zvládat v Jižní Koreji.

Ta jednak velmi systematicky a masově testuje populaci na výskyt nového koronaviru, jednak užívá kombinaci trasování, speciálních aplikací pro chytré telefony a cíleně rozesílaných zpráv varujících před výskytem infekce v dané lokalitě. Korejský závod s virem je ale podle zahraničních pozorovatelů nanejvýš specifický a žádá si kromě tolerance ze strany občanů i prvotřídní odborníky a technickou infrastrukturu.

Takový scénář založený na ohromném množství proudících dat má ovšem svá rizika. Projevila se již začátkem března, kdy zemí začaly zmítat případy lidí tak či onak kompromitovaných zprávami, které o nich rozeslaly úřady ve snaze varovat občany před možným šířením nákazy. Upozornění sice neobsahovala jména, ale i tak poskytovala dost údajů k tomu, aby bylo možné dotyčné na různých místech ztotožnit.

Na svébytnou chytrou karanténu vycházející ze spolupráce státu a technologických špiček sází i Čína, která za pomoci chytrých telefonů filtruje občany do tří kategorií podle rizikovosti a případných symptomů Covid-19. Specifické ovšem je, že se zde trasovací systém navazuje na masově užívané aplikace sloužící běžně například k bezkontaktním platbám, a podle dostupných informací přeposílá bez vědomí uživatele důvěrné informace policii.

A digitální pranýře

Objevují se ovšem i technicky méně sofistikované metody prolamování soukromí. Například Černá Hora zveřejnila seznamy několika set občanů, kteří se nachází v povinné izolaci po návratu z rizikových oblastí. Pro jednotlivá města tak lze dohledat plná jména osob s datem začátku karantény. Vláda systém vytvořila v reakci na to, že část cestovatelů prý karanténu porušovala.

Nákaza se ovšem v Evropě již nějakou dobu šíří především uvnitř jednotlivých zemí a černohorský seznam tak aktuálně ztrácí smysl. Navíc není zcela jednoznačné, zda je zveřejnění částečných identifikačních údajů osob v karanténě legální. O oprávněnosti seznamů má rozhodnout místní ústavní soud.

Ještě spornější zveřejnění plných jmen a míst pobytu zažila nedaleká Bosna a Hercegovina. Republika srbská — tedy jeden z dílčích samosprávných celků — vydala v druhé polovině března seznam třiceti lidí, kteří jako první porušili nařízenou karanténu. Ochránci soukromí vyjádřili pobouření a upozornili, že podobné kroky jsou jednak zřejmě v rozporu se zákonem, jednak mohou vést k diskriminaci či lynčování.

Obavy z šikany nakažených se příležitostně potvrzují, a to i v České republice. Portál iRozhlas.cz na začátku dubna přinesl rozhovor s nakaženým mužem z menší obce na Olomoucku, který kvůli nemoci spolu s rodinou čelí averzi sousedů i komentářům na Facebooku, podle nichž by „zasloužil kulku do hlavy“. Těmi se nyní zabývá policie.

Potřebujeme jasná pravidla

Od počátku pandemie vidíme, že informační technologie a související možnost sledování občanů zde sehraje zásadní roli. Situace je ale výjimečná v tom, že o legitimitě nebývale rozsáhlých opatření probíhá pouze minimální debata, neboť je nutné jednat rychle. To přináší jednak očividné nebezpečí zneužití sledovacích nástrojů ze strany státu, jednak riziko disproporce mezi mírou zásahu do soukromí a reálným přínosem v boji s pandemií.

V obecné rovině se nastoluje dilema: buď se lidé omezí v pohybu i shromažďování a zůstanou co nejdéle uzavřena místa, kde se běžně potkáváme, nebo se necháme sledovat. Obojí je ožehavé, obojí má z hlediska prevence možné objektivní přínosy. Je ovšem nezbytné, aby opatření zahrnující nějakou formu dohledu čerpala legitimitu z:

• Časového a prostorového vymezení — skladují-li se data, je na místě stanovit, kdy se budou nenávratně mazat. Jakékoli rozšíření pravomoci státu k zásahům do soukromí potřebuje konkrétní časový rámec. Lze jej navázat na přesně vymezené trvání nouzového stavu či jiná výjimečná opatření. Naopak je nepřijatelné, aby se sledování prodlužovalo donekonečna pod záminkou toho, že nový koronavirus stále někde existuje.
• Transparentnosti — je nutné, aby vlády či odpovědné instituce aktivně a zcela přesně sdělovaly, jaká data k čemu chtějí využívat. To zahrnuje jak srozumitelnou a objektivní komunikaci směrem k laické veřejnosti, tak zveřejňování technických podrobností pro odborníky a organizace zabývající se ochranou soukromí.
• Veřejné kontroly — stát nemá právo před občany či neziskovým sektorem skrývat skutečný obsah a rozsah úsilí o kontrolu pandemie. Nad ochranou dat mají bdít nezávislí auditoři a pozorovatelé z řad odborné veřejnosti. Instituce užívající sledovací nástroje navíc potřebují jasně vymezenou odpovědnost, a to i personální. V případě úniku či zneužití dat se má jednak pokud možno co nejrychleji zjednat náprava, jednak musí být zřejmé, kdo ponese odpovědnost.
• Maximální anonymizace — údaje vedoucí k identifikaci nakažených nelze archivovat nad rámec zcela nezbytné doby. Je také nepřijatelné, aby jakákoli data prokapávala kupříkladu od hygieniků k represivním složkám či tajným službám. Trasovací systémy mají stavět na co možná největším zaslepení institucí. To se týká jak konkrétních informací, tak metadat: tedy potenciálně důvěrných údajů o proudění, objemu či dalších parametrech dat samotných.