Vlákno názorů k článku
Je tady eRouška. Aplikace od COVID19CZ sleduje přes Bluetooth kontakty s lidmi od Jaroslav Havlín - Přemýšlím, jestli by přinášelo nějaké nevýhody, kdyby bylo...

Přemýšlím, jestli by přinášelo nějaké nevýhody, kdyby bylo použití ještě (pseudo)anonym­nější, bez párování s telefonním číslem.

• Aplikace by vygenerovala náhodný jednoznačný identifikátor.
• Kontakty s dalšími lidmi (jejich identifikátory a nezbytné podrobnosti) by byly uloženy pouze v zařízení.
• V případě potvrzené nákazy uživatele by se příslušný identifikátor v centrální databázi uložil jako pozitivní (s případnými nezbytnými podrobnostmi). Toto by asi musela udělat pověřená osoba, aby lidé z legrace neděsili své okolí.
• Aplikace by se v pravidelných intervalech dotazovala centrální databáze, jestli nějaký z identifikátorů, se kterými bylo zařízení v kontaktu, není pozitivní. V takovém případě by měl uživatel podstoupit testování.

Toto by možná vyžadovalo větší důvěru v zodpovědnost uživatelů, ale na druhou stranu by to mohlo zvýšit ochotu si aplikaci nainstalovat.

To, že byste prozradil uživatelům, kdo je nakažený, bych v žádném případě neoznačoval za „lepší ochranu osobních údajů“. Naopak bych to označil za totální selhání a zveřejnění citlivých osobních údajů. Pokud se na ulici potkáte se sousedem a aplikace zaznamená přítomnost anonymního identifikátoru X, pro vás ten identifikátor až tak anonymní není, že?

Celá tahle maškaráda hygieniků s trasováním se dělá proto, že nemoc je dlouho nakažlivá bez příznaků. Takže i kdybyste měl výsledky testů ten samý den, dotyčný už třeba pět dní nemoc roznáší. A celý vtip trasovacích aplikací je v tom najít ty potenciálně nakažené z období, kdy už dotyčný byl přenašečem ale nevěděl o tom.

Takže ta historická data jsou právě to, kvůli čemu ta aplikace existuje.

Ono je to totiž velmi jednoduché. Aby bylo možné posoudit, zda jsem se mohl nakazit od někoho, o kom se v tuto chvíli ví, že je přenašečem, musí se data o mé poloze a času dostat na jednom místo s daty o polohách a časech nakažených. Na tom jednom místě je pak možné vyhodnotit průniky. A to jedno místo může být buď můj mobil, nebo nějaké centrum (ať už jedno, nebo třeba geograficky určené). Když to bude můj mobil, údaje o mé poloze neopustí můj mobil, což je pro mne fajn, ale potřebuju do mobilu získat údaje o všech nakažených. Což pro mne nebude fajn v okamžiku, až tím nakaženým budu já a budu vědět, že se moje data rozposílají do mobilů v celé republice. A kdyby to bylo rozsekané třeba na půlhodinové úseky, aby nebylo možné z dat vysledovat, kudy jsem se pohyboval, pořád hrozí, že někdo z adresátů dat zjistí, že tím nakaženým jsem byl právě já.

Teď si představte sebe v roli toho přenašeče. Zjistíte, že jste nemocný, zadáte to do aplikace, aplikace upozorní souseda a šikovný soused si zjistí, že má shodu s jediným identifikátorem nemocného, a ta shoda je zrovna v místě a čase, kdy jste spolu dvacet minut klábosili přes plot. Jenže než vy zjistíte, že jste nakažený, a soused se dozví to upozornění, navštíví soused svoji starou babičku. Asi už vám je jasné, kam směřuju – babička zemře, jediný známý přenašeč,který ji mohl nakazit, bude soused, a soused bude přesvědčen, že se nakazil od vás – má na to přece důkaz v mobilu, a to je technika, ta nelže. Ještě pořád chcete, aby se informace o tom, že jste nemocný, dostala do spousty mobilů v ČR?

A to je přesně důvod, proč svojí identitu radši dobrovolně sdělím subjektu, kde jsou ty informace pod kontrolou, než abych riskoval, že se je dozví kde kdo.

Mimochodem, to centrální trasování má ještě tu výhodu, že když najdete potenciální ohrožené identifikátory, můžete hned otočit další kolo porovnávání a najít tranzitivní potenciální nákazy. Kdybyste to porovnání dělal ve svém mobilu, záviselo by jenom na vás, zda a kdy se „nabonzujete“ (s tím výše popsaným rizikem). Kolik by asi bylo těch, které by mobil varoval, ale oni by si řekli „nic mi není, cítím se dobře, určitě nakažený nejsem, radši nic posílat nebudu“.

Moc Vám děkuji za vyčerpávající odpověď.

Předpokládal jsem, že upozornění od aplikace by mělo mít stejnou informační hodnotu jako telefonát od hygieny. Tedy v krajním případě, jestli jsem za poslední tři týdny byl v kontaktu pouze se sousedem, mělo by vyjít nastejno, jestli na mě vyskočí upozornění z aplikace, nebo jestli mi zavolají lidé z hygieny, na to abych věděl, že mě nakazil soused.

Ale máte jistě pravdu v tom, že pokud jsem potkal více lidí, aplikace mi může poskytnout více dat, abych lépe určil "podezřelého".

Vycházel jsme z toho, že aplikace nebude ukládat informace o místu a času setkání ani další informace užitečné k přiřazení člověka k identifikátoru. A i kdyby to nedělala, šikovně upravená aplikace by mohla. Říkám si, že se dá aplikace a komunikace mezi aplikacemi nějak důvěryhodně podepsat, aby se nedala nějak modifikovat, a také zabránit vytvoření alternativního klienta, který by uživatelům dával víc informací, než by měl. Ale tady už jsme na tenkém ledě, vyžadujeme vysoké zabezpečení aplikace a ještě chceme, aby uživateli nezpřístupnila všechny informace, které má k dispozici. A to vlastně asi ani nechceme.

Možná by se to dalo řešit tak, že by ověření kontaktů probíhalo na serveru. Ale tam by zase mohl někdo posílat k posouzení jednotlivé identifikátory a čekat, jestli některý z nich bude označen jako pozitivní. Když pak dokáže nějak k identifikátoru přiřadit konkrétního člověka, je to určitě průšvih, to máte jistě pravdu.

Myslím, že i pro hygienické stanice je praktičtější, když mají telefonní čísla na uživatele, a celý systém díky tomu může jednodušší. Jen jsem přemýšlel, jestli by se nějak nedalo vyjít vstříc i lidem, kteří nechtějí sdělit své telefonní číslo. Vypadá to jako zajímavá úloha z technického i společenského hlediska. Doufal jsem, že v době kryptoměn by se dalo použít něco lepšího, než si říci o telefonní číslo :-) Ale teď to vypadá, že jsem ve slepé uličce.

Někdo tu myslím navrhoval využití push notifikací. To by mohla být také zajímavá varianta ke zvážení.

Ještě díky za konzultaci a za Váš čas.

Dobrý den.
Chápu, že by to nemohlo fungovat zcela off-line, ale bohužel je to cena za lepší anonymitu. Snad to ale není příliš velká nevýhoda, člověk může být také celý den v šachtě a když se kdykoliv později připojí na internet, aplikace mu řekne, že byl v kontaktu s někým nakaženým.

Telefonní číslo za osobní údaj považuji, protože se dá obvykle spárovat s konkrétním člověkem.

I ono ověřování by se dalo snad vymyslet bezpečně. Seznam nakažených by se dal stahovat místo toho, aby se zasílal seznam kontaktů k ověření, nebo by se mohlo vhodně dotazovat vždy jen na podmnožina kontaktů. Identifikátory by se daly nějak hashovat. Osobní identifikátory by se mohly pravidelně obměňovat.

Při vyhodnocování, jestli to stojí za tu námahu, by se měl uvažovat celý kontext doby. Jací lidé jsou v organizacích, které mohou s citlivými daty nakládat. Jaký je jejich přístup k respektování soukromí a k dodržování pravidel obecně.

Uznávám, že eRouška pracuje s daty poměrně citlivě, zneužít se dají jenom informace o kontaktech uživatelů, kteří byli nakaženi a data poskytnou, a to navíc jen lidmi, kteří mají přístup k registrovaným telefonním číslům.
Jen se snažím poukázat na to, že nutnost uvést telefonní číslo může u části veřejnosti vzbuzovat pochopitelnou nedůvěru.

Hm ... ten treti bod vypada jako kontakt s hygienou. V aktualnim setupu je kontakt s hygienou az nakonec.

Dobrá poznámka, děkuji.

Současné eRoušky sbírají data celou dobu prakticky off-line a kontakty se případně vyhodnocují až po pozitivním testu. Hygiena pak může informovat potenciálně nakažené díky tomu, že zná telefonní čísla uživatelů.

Řešení, co jsem popisoval, by vlastně fungovalo obráceně a aplikace by si musela sama aktivně (pravidelně) zjišťovat, jestli uživatel nepotkal někoho, o kom se již ví, že byl nakažen. To představuje vyšší nároky na infrastrukturu.

Otázka potom je, jestli dát přednost technicky jednoduššímu řešení, nebo lepší ochraně osobních údajů, a tím teoreticky vyššímu počtu zúčastněných lidí.

11. 4. 2020, 21:35 editováno autorem komentáře

Dobry den,
pokud bude aplikace periodicky cosi zjistovat, tak se vzdavate opt-in pristupu pri nahravani dat a to nechceme.

Takze soucasne reseni je jak bezpecnejsi z hlediska ochrany osobnich udaju (otazka je navic, zda je telefonni cislo bez znalosti osoby osobni udaj, ale budiz), tak z hlediska robustnosti aplikace. Dnes totiz muzete cely den na sachte rubat uhli a presto Vam bude erouska fungovat kompetne off-line).

Teď koukám, že poslední bod neplatí, protože data se na server neodesílají automaticky. Takže v centrále se na začátku dozví jen párování ID a telefonního čísla, a pak, v případě, kdy jim dám data z mobilu, se dozví jen ID telefonů, které jsem mohl „nakazit“. Tedy z telefonu jde ještě mnohem méně údajů, než jsem si myslel.

Pojďme se odmluvit, že si nejdříve přečtete alespoň FAQ a pak přepíšete nepravdivá fakta, kterými šermujete ve svém příspěvku a pak budeme pokračovat. OK?

Pokud by aplikace na ulici zaznamenala přítomnost nakaženého identifikátoru, jednalo by se o totální selhání souseda, protože po potvrzené nákaze není v karanténě :-)

Po uzdravení by se mu samozřejmě identifikátor přegeneroval. Nebo by se mohl přegenerovat rovnou po potvrzení nákazy, aby se předešlo incidentům, které popisujete, ale to by zase snížilo kvalitu trasování, protože by nemohly být zaznamenány kontakty s lidmi, kteří mají potvrzenou nákazu a nejsou ještě uzdravení a nedodržují karanténu.

Možná by se to dalo také řešit nějak na úrovni aplikace, třeba že by upozorňovala až po prodlevě.

Ještě jsou tu problémy s tím, že by někdo mohl ukládat trasovací identifikátory a třeba bluetooth adresy zařízení a jejich párování a pak zjistit, že byl soused nakažen podle těchto historických dat a jeho bluetooth adresy. Tedy pokud je to technicky možné. Na to mě žádné řešení zatím nenapadá.

Omlouvám se, ale nevím, co máte na mysli. O fungování eRoušky jsem toho v předchozím příspěvku příliš nenapsal. Spíše jsem jí chválil.

FAQ jsem samozřejmě četl.

Copak není pravda, že pověření pracovníci hygieny dokáži informace o fyzických kontaktech z telefonu nově potvrzeného člověka získat (po svolení), přiřadit k nim telefonní čísla a na ta pak zavolat, aby další potenciálně nakažené informovali? Proto se to přece všechno dělá. A že je to jediná situace, při které se dají teoreticky získat nějaká zneužitelná data? (Tedy to, že člověk X, byl ve fyzickém kontaktu s lidmi s telefonními čísly N1, N2, N3, ...) Samozřejmě nepředpokládám, že by k takovému zneužívání dat doopravdy docházelo.

Jestli Vás ještě příliš neobtěžuji, můžu poprosit o posouzení tohoto nápadu:

• Aplikace vygeneruje vhodný jednoznačný identifikátor a jeho kryptografický hash.
• Při kontaktu s jinými uživateli poskytuje pouze hash identifikátoru (a na své straně získané hashe ukládá).
• Při nákaze některého z uživatelů se do centrální databáze uloží hashe všech uživatelů, se kterými byl v kontaktu. Nepracujeme tedy s databází nakažených, ale s databází lidí, kteří se mají dostavit na hygienu.
• Aplikace se pravidelně dotazuje serveru, jestli se má její uživatel dostavit na hygienu. Serveru posílá svůj původní identifikátor, pro ten se na serveru spočítá hash a zjistí se, jestli je obsažen v databázi. Díky tomu nemůže tuto informaci získat nikdo jiný, ani ti, kdo byli v přímém kontaktu s uživatelem, protože neznají jeho původní identifikátor, ale pouze hash.

Byl by tedy nepříjemný únik databáze, protože by se daly porovnávat přímo hashe, ale pořád by to byla jenom sada hashů lidí, co se mají nebo měli ukázat na hygieně, což je něco úplně jiného než seznam hashů nakažených.

Ono je to asi dosti podobné push notifikacím, akorát to není závislé na žádné třetí straně.