Hlavní navigace

Patrick Zandl (Covid19CZ): Nechceme lidi sledovat, jen pomáháme s hledáním nakažených

Jak funguje lokalizační callcentrum, které má hygienikům usnadnit vyhledávání nakažených nemocí COVID-19? A jak řeší ochranu osobních dat?
David Slížek 20. 3. 2020
Doba čtení: 8 minut

Sdílet

Iniciativa Covid19CZ vznikla kolem skupiny firem a online podnikatelů, kteří se rozhodli pomoci státu se zvládáním epidemie infekční choroby COVID-19. Dnes má za sebou spuštění informačního callcentra, ve kterém operátoři odpovídají na dotazy občanů, nebo několik spuštěných komunitních webů.

V pátek 20. března spouští také další velký projekt: lokalizační callcentrum, které má hygienikům pomáhat s trasováním potenciálně nakažených lidí. Základem jsou telefonáty s lidmi, u kterých už byla nákaza potvrzena. Callcentrum ale má používat také data od mobilních operátorů a možná také od bank. Na jejich základě má vznikat tzv. vzpomínková mapa míst, kde se nakažený v uplynulých dnech pohyboval. 

Skupina pracuje také na dalších projektech – jedním z nich je i mobilní aplikace, která by varovala uživatele, že mohl být v kontaktu s nakažených člověkem. O trasovacím callcentru, ochraně soukromí i dalších plánech skupiny jsme mluvili s jedním z jejích členů Patrickem Zandlem

Jak má fungovat ono lokalizační callcentrum? Podobně jako callcentrum pro linku 1212?

Technologicky je to víceméně to samé, ale je oddělené, jsou tam lidé, kteří jsou vyhrazení jen pro dohledávání potenciálně nakažených. Jsou to zpravidla studenti medicíny, dobrovolníci, kteří se přihlásili a hygienici je proškolili v tom, co mají říkat a na co se mají ptát.

Kolik jich je?

Vycvičených a proškolených je jich v současné době kolem třiceti. Operátoři mají pracovat ve směnném režimu, ale jsou strašně obětaví a sedí tam v podstatě nonstop.

Operátoři mají k trasování používat i určitá data od mobilních operátorů nebo od bank. Jak probíhala vyjednávání o tom, abyste je mohli využít? 

Vyjednávali jsme někdy od čtvrtka. Chtěl bych pochválit hlavně lidi z O2, na kterých bylo vidět, že situaci okamžitě pochopili, a tím, že je to už dneska lokální česká firma, byli schopní nechat všechno velmi rychle projít managementem a vyhodnotit, že pokud něco má šanci podchytit nakažené lidi, tak je to tahle technologie. Operátoři samozřejmě nastavili nepřekročitelné mantinely stran ochrany dat, mimo jiné řekli, že jim to musí vláda stanovit v podobě vládního nařízení.

Naši kluci pak s tím naběhli na vládu, potkali se s Andrejem Babišem, s ministrem zdravotnictví Adamem Vojtěchem, s šéfhygieničkou. A po dalších jednáních bylo výsledkem vládní nařízení, které ukládá mobilním operátorům a bankám potřebná data vydat.

Mobilní operátoři mají podle vládního nařízení do aplikace předávat tzv. provozní a lokalizační údaje. V jaké podobě je operátor na lince dostane?

Operátor na lince má webovou aplikaci map, základem jsou CleverMaps, a do nich se promítá heatmapa, kde se konkrétní číslo (SIM karta) pohybovala. Předchází tomu výslovné svolení, kdy operátor musí dotyčnému říct nějakou právní formulku a nakažený musí výslovně říct, že se zpracováním dat souhlasí. Vychází to ze zákona. Každý má ze zákona povinnost hygienikovi nahlásit, kde byl, takže to není nic jiného než digitalizace této povinnosti.

Jak přesná data od operátorů jsou? S jakou přesností ukazují, kde se člověk pohyboval?

Smyslem aplikace není ukázat, kde přesně člověk stál v domě, jestli třeba na levé, nebo na pravé straně. Nejde o to, že člověk někoho nakaženého minul, musí s ním mít delší kontakt, který je definovaný časem a intenzitou. Mapa slouží hlavně k tomu, aby si nakažený vzpomněl, kde byl, a z toho může vyvodit, s kým se tam bavil. S operátorem takto sestaví databázi lidí, se kterými byl v intenzivnějším kontaktu. Mapa mu řekne třeba: byl jsi v ulici Pražská. A on si vzpomene, no jo, to jsem byl v hospodě U dvou sumců a pili jsme tam s Láďou a Filipem.


Ukázka, jak může heatmapa od operátorů vypadat

V předkládací zprávě, která šla na vládu, se píše, že přesnost dat od operátorů se pohybuje v rozmezí 10 až 20 metrů. Je to tak?

Řádově je to tak. Data jsou založena na lokalizaci telefonu pomocí triangulace na základnové stanice. Data z GPS se nepoužívají, operátoři je ani nemají.

mimořádném opatření ministerstva zdravotnictví se píše, že operátoři data poskytují zpětně za maximálně tři týdny.

Je to tak. My pracujeme s ještě přísnějším limitem, který je pro naprostou většinu kontaktů pět dní, pro minoritní skupinu je to čtrnáct dní.

Jak jste řešili ochranu osobních údajů? Mluvil jsi o tom výslovném souhlasu. Jeho udělení se, předpokládám, nahrává a ukládá.

Přesně tak. Celý hovor s operátorem se nahrává.

Ve zmíněném materiálu ministerstva zdravotnictví stojí, že data můžete použít jen k trasování a že se po splnění účelu mají mazat.

Je to tak. Data se musí vymazat nejpozději do šesti hodin od ukončení hovoru. Aby nevznikly nějaké dohady, najali jsme nezávislou firmu PwC, která celý proces audituje a dohlíží na něj.

Auditorská firma PwC Lupě potvrdila, že na to, aby se s citlivými daty zacházelo bezpečně a veřejnost měla jistotu, že nebudou zneužita, dohlíží pro bono tým specializovaných technologických auditorů z oddělení Risk Assurance PwC. "Stejně jako u komerčních zakázek identifikujeme kontrolní mechanismy a budeme je následně v průběhu pravidelně testovat, abychom zajistili, že daný projekt nevybočuje ze stanovených mantinelů. Zaměříme se také na kontroly ukládání dat, přístupu k nim a mechanismy jejich výmazu na konci projektu,” vysvětluje partner PwC pro řízení rizik Tomáš Kuča.

Kromě dat od operátorů můžete využívat i data o karetních transakcích, která ministerstvu podle vládního nařízení předávají banky. K čemu se používají?

Jde o historii plateb z platebních karet. Tato data ještě nemáme nasazená, ale existuje teoretický předpoklad, že to, že člověk byl v hostinci U dvou sumců, zjistíme z platby kartou. Zatímco z polohových dat od operátorů vidíme, že byl v té ulici, tak z platebních dat můžeme vidět, že byl v konkrétním podniku, a operátor to s ním může rovnou konzultovat. U použití bankovních dat ještě řešíme právní souvislosti, takže je zatím nasazená nemáme.

Skupina Covid19CZ ale už na základě platebních dat zveřejnila dashboard, který ukazuje agregovaná data o tom, jak se vyvíjejí počty transakcí v jednotlivých segmentech – třeba u benzínek nebo u nákupů potravin. Znamená to, že ta bankovní data budete v nějaké podobě dávat i veřejně?

V tom je obrovský rozdíl. Zveřejněný dashboard je anonymizovaný. U něj není potřeba vědět, kdo v tom hostinci platil, je tam vidět jen to, že roste nebo klesá útrata v nějakém segmentu trhu. Ukazujeme tam segmenty, které jsou něčím zajímavé – máme tam třeba, jak se vyvíjí útrata v MHD, a podle toho se dá poznat, jestli lidé MHD cestují víc, nebo míň. 

Smyslem dashboardu je validovat předpoklady, kvůli kterým se některá hygienická karanténní opatření vyhlašovala. Třeba jestli lidé opravdu přestali cestovat, nebo jestli se přesunuli do automobilů. Tato data pak používají hygienici a my jsme je uvolnili, aby je mohli používat i třeba novináři nebo výzkumníci. Ale od dat, která se možná mají používat pro trasování nakažených, je to úplně oddělený systém a úplně jiná sada dat. Tahle data jsou anonymizovaná, jsou tam jen hashe transakcí.


Ukázka dashboardu

V předkládací zprávě byla ještě jedna zvažovaná funkce. Lidem, kteří se vyskytovali v blízkosti nakaženého, měl operátor automaticky odeslat SMS s upozorněním, že jsou možná nakažení a že mají kontaktovat hygieniky. Nakonec to neprošlo. Proč?

Přišlo nám, že už je to příliš invazivní zásah do soukromí uživatelů, který jsme si nechtěli vzít na triko. Navrhli jsme místo toho jinou věc – že vyvineme mobilní aplikaci, která bude řízená uživatelem a uživatel v ní vyjádří vůli, že chce tyhle informace dostávat.

Podobné aplikace používá například Jižní Korea. Budete ji tedy vyvíjet?

Máme ji ve vývoji, testujeme ji, během několika dní by mohla být použitelná. Ještě ale nevíme, jestli se rozhodneme ji nasadit.

Podobná aplikace může být riskantní. Když třeba někomu přijde zpráva, že včera večer byl v kontaktu s někým nakaženým, může se z této informace dát vyvodit, kdo ten nakažený konkrétně byl, zvlášť pokud bydlí v nějaké menší obci.

Máme několik variant aplikace. Ta, ke které se momentálně asi nejvíc kloníme, by měla z lokalizačních služeb telefonu sbírat data o poloze člověka, odesílat je do nějakého datového centra a tam analyzovat, jestli se nedostal do kontaktu s někým nakaženým. 

Pokud si uživatel nastaví, že chce dostávat upozornění, dostal by pak i avízo, že v potenciálním kontaktu s nakaženým byl. Nicméně to nemá být tak, že třeba projde 200 metrů od nakaženého a okamžitě dostane zprávu, algoritmus striktně pracuje s hygienickými předpoklady, takže by upozorňoval jen v případě, že člověk byl s nakaženým v opravdu signifikantně dlouhém kontaktu.

prvních návrzích Covid19cz jste psali o využití Bluetooth.

Ano, jedna z funkcí, kterou chceme implementovat, je Bluetooth blízkost, která oproti GPS tolik nevybíjí baterie a je nejméně náchylná k invazi do soukromí. Ona totiž vlastně neříká, kde se člověk nachází, ukládá jen identifikátory okolních Bluetooth zařízení. 

Říká tedy: viděl jsi mobil X, Y a Z. A pokud se majitel mobilu X nakazí, řekne, je mi líto, ale v době, kdy byl nakažený, zrovna jste se hodně potkávali. Aplikace pak člověka odnaviguje k formuláři, kde vyplní, jestli kašle, smrká, jestli třeba nebere léky na potlačení imunity a tak dále. A z toho celého se vyhodnocuje pravděpodobnost, že je nakažený, a doporučuje se, jak to dál řešit.

Při vývoji trasovacího callcentra i téhle aplikace zacházíte s opravdu citlivými daty lidí. Děláte dost pro to, aby se nedala zneužít? 

MIF mobilni aplikace

Lidi se do nás kvůli ochraně soukromí pořád pouštějí. Na jednu stranu to chápu, ale je taky potřeba říct, že všichni lidé, kteří na projektech dělají, se soukromím a jeho ochranou zabývají dvacet let. Těžko věřit tomu, že by teď kvůli aplikaci vyhodili svoji reputaci do koše. 

Ochrana soukromí, ochrana identity konkrétních lidí a ochrana dat je věc, na které od začátku trváme. I celá infrastruktura je postavená tak, aby byl technický problém dostávat z ní data, která bychom vidět neměli.