Zakonski predlog¹, ki ga je pripravila vlada, je tako ohlapen, da ne zagotavlja ustrezne pravne varnosti in ne preprečuje zlorab.

Aplikacija za sledenje okužb Covid-19 se iz ust tistih, ki jo neumorno promovirajo, zdi kot čarobna paličica, ki nas bo rešila virusa. Vlada si prizadeva celo, da bi za okužene uzakonila obveznost aplikacije, iz izjave predsednika vlade² pa je mogoče razumeti, da naj bi bila obvezna za vse.

Bojana Beović, vodja strokovne skupine, in dr. Tina Bregant, državna sekretarka na Ministrstvu za zdravje, zagovarjata uporabo aplikacije kot pomoč epidemiologom pri spremljanju okužb, kar se da razumeti kot zavzemanje, da bi aplikacija poleg stikov beležila tudi lokacijo uporabnikov.

Evropska komisija je v svojem priporočilu, ki ga je izdala 17. aprila, poudarila, da mora aplikacija za sledenje okužbam, ki ni namenjena nadzoru karantene, biti popolnoma skladna z varstvom osebnih podatkov in zasebnosti, ne sme biti obvezna za uporabo: prt.si/ekapp (točka 3)

Slovenska Informacijska pooblaščenka je svoje mnenje glede aplikacije³, ki bi se uporabljala zgolj za spremljanje okuženih, ki bi jim bila izdana karantenska odločba, utemeljila v petih točkah:

– aplikacijo bi si posameznik naložil na mobilni telefon ob izdaji odločbe o karanteni ali ob odreditvi izolacije zaradi bolezni. Aplikacija bi bila aktivna 14 dni z možnostjo podaljšanja na podlagi zdravnikove presoje, da je oseba še kužna;
– aplikacija bi vsebovala določen radij gibanja posameznika, ki je še dopusten;
– aplikacija bi zajemala samo podatke o lokaciji brez dostopa do ostalih vsebin na mobilnem telefonu;
– aplikacija bi uporabniku nudila tudi podporo v obliki enostavnega stika z zdravnikom;
– po izteku obdobja (14 dni) bi se vsi povezani podatki z aplikacijo uničili.

Vlada je na seji 28. junija sprejela predlog novega protikoronskega zakona, s katerim želi uzakoniti obvezno uporabo aplikacije za potrjeno okužene. Želijo torej uvesti obvezno aplikacijo za nadzor karantene, ki pa bi hkrati delovala tudi kot prostovoljna aplikacija za sledenje stikom.

Na tem mestu se postavlja vprašanje, ali je sploh možno izdelati aplikacijo, ki bi lahko zadostila vsem zahtevam. Na to vprašanje ni mogoče preprosto odgovoriti, brez  predočitve  tehničnih in varnostnih dilem. Ker ni tehničnih specifikacij aplikacije, ki jo zagovarja vlada, je odgovor še toliko težji.

Aplikacija za beleženje bližnjih stikov naj bi uporabljala tehnologijo Bluetooth, ki ima majhen doseg in naj bi bila zato najbolj primerna za ta namen. Pa je temu res tako? Domet signala Bluetooth ne dosega zgolj metra in pol, kolikor naj bi bila varna razdalja. Tipične naprave s sprejemnikom Bluetooth se lahko povežejo tudi na razdalji od 25 do 125 metrov.⁴

Tehnično je tako zelo težko beležiti stike samo na razdalji metra in pol. Aplikacija bo zato beležila lažne stike; ko se boste peljali po cesti, boste tako v stiku tudi z voznikom, ki bo peljal za vami in tistim, ki bo peljal pred vami.⁵

Po drugi strani naj bi aplikacija beležila stike, ki naj bi bili daljši od nekaj minut. Če boste v bližini okuženega zgolj kratek čas, aplikacija tega sploh ne bo zaznala.

Odpira pa se tudi vprašanje možnosti zlorab aplikacije, saj se lahko s prirejeno napravo bližnje stike na večjih razdaljah tudi umetno simulira z namenom ustvarjanja čim več navideznih stikov in posledično panike. Ali vlada razmišlja o takšni možnosti zlorabe aplikacije?

Aplikacije za sledenje okužb na naših telefonih bodo komunicirale med seboj, kar pomeni, da bo vsak od telefonov imel dostop do drugega telefona. Tehnologija Bluetooth v osnovi zagotavlja zaščito dostopa, ki jo lahko kontroliramo tako, da vsaki napravi, ki jo želimo povezati na telefon to dovolimo izključno sami. Pri aplikaciji za sledenje okužb Covid-19 temu ne bo tako. S tem se potencialno odpira nevarnost zlorabe takšne aplikacije za vdor v telefone, na katerih bo nameščena.⁶

Pričakujemo lahko tudi pojav računalniških virusov za telefone, ki se bodo pretvarjali, da so aplikacija in bodo sprožali lažne alarme. Aplikacija tako predstavlja potencialno velik informacijsko-varnostni problem.⁷

Ni znano, ali bo vlada naročila izdelavo aplikacije – kar je malo verjetno – ali bo preprosto kupila in priredila eno od aplikacij, ki so že v uporabi. V tem primeru je vprašljivo, ali bo vlada imela vpogled v izvorno kodo aplikacije, kar predstavlja velik problem, saj državljanom ne bo mogla zagotoviti, da bodo podatki, ki jih bo aplikacija zbirala resnično varni in da le ti ne bodo odtekali kam v tujino.⁸

Tudi ni znano, ali bo aplikacija imela časovno varovalko in se bo po določenem času sama resnično izbrisala in ne ostala kje v ozadju še naprej prikrito zbirajoč podatke. V predlogu zakona bo o prenehanju uporabe aplikacije odločala vlada, kar pomeni, da le ta postane stalna.

Prav tako ni znano, kje in na kakšen način ima vlada namen zbirati podatke in kako jih namerava zaščititi.

Odprtih tehničnih vprašanj in dilem je več kot odgovorov, zato je zaskrbljujoče, da vlada tudi v primeru aplikacije ignorira stroko, tudi s področja informatike in komunikacij. Od Ministrstva za javno upravo, ki ima nalogo zagotoviti aplikacijo, bi pričakovali vsaj organizacijo javne razprave na nivoju strokovnjakov s področja informatike in komunikacij.

Ljudje, ki jim bo aplikacija sporočila, da so bili v bližnjem stiku z okuženo osebo, tudi če bo šlo za lažni stik, česar aplikacija ne bo mogla vedeti, bodo morali v karanteno. V tem času bodo upravičeni do 80 % nadomestila svoje plače. Nadomestila plač za odrejene karantene bo do 30. septembra kril proračun države.¹

Vsak lažen alarm bo tako človeka prikrajšal za 20 % plače, obremenil državni proračun ter delodajalcu povzročil gospodarsko škodo. Glede na pričakovano veliko število lažnih alarmov bi znala biti škoda občutna.

Pred uvedbo kakršnekoli aplikacije je nujno opraviti široko strokovno javno razpravo tako s pravnega, strokovno tehničnega kot tudi sociološkega vidika. Predvsem pa naj se upošteva strokovne argumente in tako pozitivne kot tudi negativne izkušnje iz tujine.

¹ prt.si/pkp4
² prt.si/jajoapp
³ prt.si/ipmnenje
prt.si/bluetoothrazd
prt.si/tehtezave
prt.si/bluetoothsec
prt.si/covappvirus
prt.si/vartezave