Aplikacja Kwarantanna Domowa obowiązkowa – na ile jest bezpieczna dla naszej prywatności?

Wojtek Pietrusiewicz

10

Dodane: 4 lata temu

Aplikacja Kwarantanna Domowa jest obowiązkowa od dnia 1 kwietnia 2020 r. zgodnie z art. 7e ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374, z późn. zm.) dla osób, które odbywają kwarantannę w warunkach domowych. Biorąc pod uwagę, że obecnie ustawy przepuszczają [PDF] takie buble, że zgodnie z prawem popełniam przestępstwo publikując ten artykuł, postanowiłem się ciut bliżej przyjrzeć nowej rządowej aplikacji.

Zwolnienia, odmowy i obowiązki

Pomimo obowiązku korzystania z aplikacji przez osoby poddane kwarantannie domowej, niektórzy są lub mogą być z niego zwolnieni:

Z obowiązku korzystania z aplikacji „Kwarantanna domowa” zwolnione są osoby z dysfunkcją wzroku (niewidzące lub niedowidzące), a także osoby, które złożyły właściwym służbom (Policji lub państwowemu powiatowemu inspektorowi sanitarnemu właściwemu dla miejsca odbywania kwarantanny) oświadczenie, że nie są abonentami lub użytkownikami sieci telekomunikacyjnej lub nie posiadają urządzenia mobilnego umożliwiającego zainstalowanie tego oprogramowania. Oświadczenie to składane jest pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia.

Osoby, które próbują „oszukać system” mogą ponieść odpowiedzialność karną za składanie fałszywych zeznań:

Osoby, które niezgodnie ze stanem faktycznym oświadczyły, że nie są abonentami lub użytkownikami sieci telekomunikacyjnej lub nie posiadają urządzenia mobilnego umożliwiającego zainstalowanie tego oprogramowania, mogą ponieść odpowiedzialność karną za złożenie fałszywego oświadczenia określoną w art. 233 § 1 Kodeksu karnego.

Odmowa korzystania z aplikacji jest natomiast karana grzywną:

Osoby podlegające kwarantannie w związku z podejrzeniem zakażenia wirusem SARS-CoV-2, które wbrew ciążącemu na nich prawnemu obowiązkowi nie zainstalują lub nie będą używać aplikacji „Kwarantanna domowa” mogą zostać ukarane karą grzywny.

Obowiązek korzystania z aplikacji Kwarantanna Domowa powstaje wtedy, gdy użytkownik otrzymuje SMS-a informującego o konieczności zainstalowania aplikacji.

Program rządowy jest dostępny tylko w App Store i Google Play, więc ciekawy jestem, jak wygląda sprawa użytkowników smartfonów z Androidem, którzy nie posiadają Google Play (np. korzystających z Huawei).

Wymagania do zainstalowania aplikacji są następujące:

• Android 6.0 lub nowszy, lub iOS 10.3, lub nowszy;
• udzielenie dostępu do:
  • internetu;
  • aparatu;
  • lokalizacji;
  • albumu ze zdjęciami.

Ciekawostką jest też to, że jeśli inna aplikacja będzie nam blokowała dostęp do np. GPS-a, to mamy tę aplikację usunąć.

Kwarantanna Domowa nie jest wspierana przez iPada, nawet jeśli ma GPS i aparat (tylko modele z LTE mają GPS).

Jakie dane „przetwarza” Kwarantanna Domowa?

• ID użytkownika – techniczny identyfikator użytkownika aplikacji;
• imię;
• nazwisko;
• numer telefonu;
• deklarowany adres kwarantanny;
• zdjęcie;
• lokalizacja obywatela;
• data końca kwarantanny.

Rząd zapewnia, że „twoje dane są bezpieczne” i że „nikt niepowołany nie do nich dostępu”.

Ale kto ma do nich dostęp?

• Komenda Główna Policji;
• Wojewódzkie Komendy Policji;
• wojewodowie;
• Centralny Ośrodek Informatyki (obsługuje system aplikacji);
• Take Task S.A. (firma obsługująca aplikację od strony technicznej);
• Centrum Systemów Informacyjnych Ochrony Zdrowia.

W przypadku Androida, aplikacja jednak ma dostęp do znacznie większej ilości pozwoleń, niż wynika z powyższego:

• może nagrywać audio i wideo dzięki dostępowi do aparatu i mikrofonu;
• może sterować latarką;
• może odczytać ID urządzenia i informacji o połączeniu;
• może odczytać zawartość pamięci smartfona i modyfikować lub kasować jego zawartość;
• może odczytać sieć Wi-Fi z jaką się łączymy;
• może odczytać współrzędne naszej lokalizacji na podstawie danych GPS i tych z sieci komórkowej.
• sprawdza listę zainstalowanych aplikacji (ponoć aby wykryć, czy nie ma takiej, która modyfikuje dane lokalizacyjne, celem jej oszukania).

Zgodnie z pytaniami postawionymi Ministerstwu Cyfryzacji przez Katarzynę Szymielewicz i Annę Obem, dowiadujemy się następujących rzeczy:

• Kwarantanna Domowa nie loguje z jakiego dostępu do internetu korzysta użytkownik (np. nazwy sieci Wi-Fi);
• program nie wykorzystuje latarki;
• aplikacja nie nagrywa żadnego audio;
• lokalizacja jest sprawdzana tylko podczas uruchamiania programu oraz podczas „wykonywania zadania”, które polega na potwierdzeniu swojej lokalizacji;
• aparat jest wykorzystywany tylko i wyłącznie do robienia selfie, które służy do potwierdzenia, że my to my;
• aparat nie nagrywa wideo.

Istotne jest to, że zdjęcia twarzy są wysyłane na serwery Ministerstwa Cyfryzacji (nie jest jasne czy są to fizyczne serwery MC czy firmy Take Task SA, która obsługuje aplikację od strony technicznej) i tam są poddawane analizie. Taka analiza może być z powodzeniem wykonana bezpośrednio na smartfonie, a Ministerstwo otrzymałoby jedynie wynik tej analizy – pozytywny lub negatywny – co zdecydowanie wpłynęłoby na zwiększenie bezpieczeństwa naszych prywatnych danych na cudzych serwerach. Ministerstwo Cyfryzacji argumentuje, że trudniej oszukać ich serwer niż pojedynczego smartfona. Mam co do tego wątpliwości, szczególnie w przypadku iOS-a oraz nowszych Androidów.

Jak długo przechowywane są nasze dane?

Regulamin informuje, że nasze dane, które wymieniłem powyżej, przechowywane są przez 6 lat, zgodnie z art. 118 ustawy i liczone są od momentu dezaktywacji aplikacji. Te dane nie są przetwarzane w celach marketingowych.

Ministerstwo doprecyzowało, że nie tworzy bazy danych zdjęć, którą można by przeszukiwać po jego danych osobowych, a same zdjęcia zostaną usunięte „zaraz po odbyciu kwarantanny”. Nie jest to ani jasne, ani precyzyjne stwierdzenie.

Biorąc pod uwagę, że nie ma absolutnie żadnej potrzeby ani na przetwarzanie zdjęć na serwerach Ministerstwa, ani na trzymanie ich dłużej niż do chwili weryfikacji danego „zadania”, powinny być sukcesywnie kasowane, gdy nie są już potrzebne. To z kolei oznacza, że MC będzie przez okres 6 lat przechowywało pozostałe dane, czyli:

• ID użytkownika – techniczny identyfikator użytkownika aplikacji;
• imię;
• nazwisko;
• numer telefonu;
• deklarowany adres kwarantanny;
• lokalizacja obywatela;
• data końca kwarantanny.

Te dane również nie powinny być przechowywane, ale MC argumentuje, że mogą być potrzebne do składania zażaleń czy w celach prawnych.

Czy te dane, w tym zdjęcia, mogą być wykorzystane do innych celów?

Regulamin dosyć jasno mówi, że…

Przetwarzanie danych, o których mowa powyżej, następuje w celu wykonania przez Użytkownika obowiązku wynikającego z art. 7e dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID- 19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374 oraz poz.), którego realizacja ma na celu wsparcie Służb w monitoringu realizacji kwarantanny osób lub nadzoru epidemiologicznego przez osoby, co do których istnieje podejrzenie, że mogą być roznosicielami choroby zakaźnej COVID-19.

Jednocześnie pojawia się w nim zapis, że…

W związku z celem przetwarzania, o którym mowa w ust. 8 powyżej Minister informuje, że dane Użytkownika są udostępniane Służbom w celu realizacji ich Ustawowych obowiązków związanych ze zwalczaniem zagrożenia epidemiologicznego wywołanego wirusem SARS-CoV-2 powodującym chorobę COVID-19.

Służby specjalne (ABW, SKW, CBA itp.) nie są objęte przepisami ochrony danych osobowych, a regulamin wyraźnie informuje, że dane użytkowników aplikacji Kwarantanna Domowa są do nich przekazywane. To z kolei oznacza, że oni z tymi danymi mogą już robić co tylko chcą, w tym przetwarzać je w sposób, który się użytkownikom nie spodoba.

Czy aplikacja Kwarantanna Domowa jest open-source’owa?

Nie. EDRi jednak apeluje, że tego typu aplikacje powinny mieć otwarty kod, abyśmy mogli weryfikować ich działanie osobiście.

Instalować czy nie?

Po pierwsze, jeśli macie smartfona i techniczne możliwości zainstalowania aplikacji Kwarantanna Domowa, to nie macie wyjścia – prawo jest prawem. Po drugie, głównym zadaniem tej aplikacji jest odciążanie policji i innych służb, aby nie musieli osobiście kontrolować blisko 300 tys. osób poddanych obecnie kwaratannie (stan na 11:08, 2 kwietnia 2020 r.).

Nie zmienia to jednak faktu, że możecie po prostu nie posiadać smartfona lub kompatybilnego urządzenia na okres kwarantanny, co skutecznie uniemożliwi Wam instalację aplikacji. Przypominam tutaj o możliwych grzywnach idących w dziesiątki tysięcy złotych oraz karach za składanie fałszywych zeznań.

Finalnie musicie jednak zdać się na Wasz własny kompas moralny i zbalansować chęć odciążenia służb oraz ochronę swoich danych, ponieważ kilka punktów regulaminu pozostawia wiele do życzenia w tych kwestiach.

Linki i źródła

• Aplikacja Kwarantanna domowa [WWW].
• Regulamin i polityka prywatności aplikacji “Kwarantanna domowa” [PDF].
• Pytania i Odpowiedzi [PDF].
• Kwarantanna Domowa [iOS].
• Kwarantanna Domowa [Android].
• Fundacja Panoptykon [WWW].
• EDRi [WWW].
• Własne.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.