Smitrakningaröpp og persónuvernd

Eitt af því sem hefur reynst árangursrík aðferð til að berjast gegn COVID-19 faraldrinum eru svokölluð smitrakningaröpp. Slík öpp geta eðli máls samkvæmt falið í sér söfnun og notkun persónuupplýsinga. Þann 19. mars sl. tilkynnti Evrópska persónuverndarráðið að persónuverndarreglur á borð við almennu persónuverndarreglugerð ESB girði ekki fyrir að ráðist sé í slíkar aðgerðir, enda sé það sameiginlegt markmið heimsbyggðarinnar um þessar mundir að stemma stigu við faraldrinum. Engu að síður þurfi á sama tíma að tryggja vernd þeirra persónuupplýsinga sem er safnað í tengslum við slíkar aðgerðir. Í tilkynningunni er lögð áhersla á að við val á aðgerðum skuli ekki ganga lengra en nauðsynlegt er og að valin sé leið sem veldur minnstri mögulegri röskun á persónuvernd einstaklinga.

Rakning C-19

Á dögunum var kynnt til sögunnar nýtt íslenskt smitrakningarapp, Rakning C-19, sem hátt í 140 þúsund Íslendinga hefur þegar sótt í farsímann. Niðurhal og notkun íslenska appsins er valfrjáls, sem er í samræmi við áherslur Evrópska persónuverndarráðsins. Appið á að auðvelda smituðum einstaklingum að rekja ferðir sínar með hjálp staðsetningargagna og þar með hugsanlega auðkenna hvaðan smitið kom og hverja einstaklingurinn hefur hugsanlega getað smitað áfram. Smitrakningarteymi almannavarna fær aðgang að persónuupplýsingum úr appinu ef ástæða er til, að fengnu samþykki notenda. Fram hefur komið að í appinu felist ekki rauntímaeftirlit auk þess sem hægt er að slökkva á rakningu ferða í appinu hvenær sem er. Þá hefur verið gefið út að upplýsingar um ferðir fólks eyðast sjálfkrafa eftir 14 daga. Tekið hefur verið fram að ekki sé leyfilegt að nota upplýsingar úr appinu í öðrum tilgangi en að greina hugsanlegar smitleiðir COVID-19 sjúkdómsins. Öll ósamrýmanleg notkun upplýsinganna af hálfu Landlæknisembættisins, Almannavarna eða annarra sem fá upplýsingarnar í hendur væri þar með óheimil, nema hugsanlega ef fyrir lægi ótvírætt samþykki viðkomandi einstaklings eða ótvíræð lagaheimild. Eins og er virðist þó engin önnur notkun fyrirhuguð.

Öpp víða um veröld notuð til að rekja smit

Víða í heiminum hafa smitrakningaröpp skotið upp kollinum að undanförnu, en þau eru ekki öll jafn persónuverndarmiðuð og Rakning C-19, að minnsta kosti ekki á evrópskan mælikvarða. Evrópsk persónuverndarlöggjöf er ein sú strangasta sem þekkist í heiminum og vera kann að í öðrum heimshlutum sé persónuvernd ekki höfð í eins miklum hávegum og hér. Á sumum svæðum í Kína er til að mynda að sögn erlendra fjölmiðla skylt að hlaða niður smitrakningarappi og hafa stjórnvöld aðgang að persónugreinanlegum upplýsingunum úr appinu, þar með talið staðsetningargögnum, óháð samþykki eða vilja einstaklinganna. Dæmi eru um kínversk öpp sem úthluta fólki QR kóða í grænum, gulum eða rauðum lit eftir því hversu líklegur viðkomandi er til að smita aðra. Fólk getur þurft að sýna QR kóðann og í kjölfarið verið meinaður aðgangur að tilteknum svæðum, s.s. lestarstöðvum ef það er ekki „grænt“. Notkun slíks apps getur þannig haft neikvæðar afleiðingar fyrir notandann. Öpp sem þessi myndu að öllum líkindum vera í andstöðu við evrópskar persónuverndarreglur og reglur um persónuvernd í fjarskiptum.

Í Suður-Kóreu hefur verið þróað app þar sem notendur geta séð tilteknar upplýsingar um smitaða einstaklinga sem staddir eru innan við 100 metra frá þeim, s.s. hvenær þeir smituðust, aldur, þjóðerni og kyn. Þrátt fyrir að ekki sé gefið upp nafn þess smitaða hefur verið bent á að framangreindar upplýsingar geta í sumum tilvikum líklega dugað til að auðkenna viðkomandi. Í Taívan og Suður-Kóreu eru staðsetningargögn farsíma notuð af yfirvöldum til að hafa samband við fólk sem yfirgefur „leyfilegt svæði“ á meðan það er í sóttkví.

Önnur lönd lofa meiri persónuvernd þegar kemur að smitrakningaröppum. Í Singapúr, sem á tímabili þótti ná góðum árangri í baráttunni við faraldurinn, hefur verið þróað app sem notast við bluetooth-tækni til að rekja smit. Það skal þó ósagt látið hversu stóran þátt appið hefur átt í árangri landsins í baráttunni við faraldurinn. Í Þýskalandi er nú unnið að því koma á fót sambærilegu appi og í Singapúr. Þessi öpp, ólíkt mörgum öðrum slíkum öppum, notast ekki við staðsetningargögn heldur eiga aðeins að greina hvaða einstaklingar hafa komist í nálægð hver við annan og í hve langan tíma með hjálp bluetooth-tækninnar. Þannig er hægt að greina hvort líkur séu á smiti. Til að auka nákvæmni upplýsinganna á appið að geta greint hvort á milli farsímanna séu hindranir sem gætu útilokað smit, svo sem húsveggir. Greinist notandi appsins með sjúkdóminn verða gögnin, að fengnu samþykki hans, notuð til að senda öðrum notendum appsins sem hafa verið í bluetooth-snertingu við viðkomandi síðastliðna daga viðvörun. Þeir fá hins vegar engar upplýsingar um hver hinn smitaði sé. Það kemur líklega ekki á óvart að sú leið verði farin í Þýskalandi að notast ekki við staðsetningargögn, enda eru Þjóðverjar af sögulegum ástæðum afar meðvitaðir um persónuvernd og almennt fremur tortryggnir í garð eftirlits með ferðum fólks. Þýska appið hefur enn ekki litið dagsins ljós þegar þetta er ritað, en áformað er að það verði eftir nokkrar vikur. Fróðlegt verður að sjá hvort þýskir farsímanotendur séu yfir höfuð tilbúnir til þess að hlaða niður appinu, en til þess að þessi tegund appa þjóni tilgangi sínum sem best þarf notkun þeirra á tilteknu svæði að vera nokkuð útbreidd auk þess sem notendur þurfa auðvitað að vera með símann á sér.

Apple og Google vinna saman að tæknilausn fyrir smitrakningu

Stórfyrirtækin Apple og Google vinna nú í sameiningu að tæknilausn sem mun einnig rekja smit með bluetooth á sambærilegan hátt og að framan er lýst. Lausnina á svo að vera hægt að byggja inn í öpp heilbrigðisyfirvalda. Að sögn fyrirtækjanna verður lausnin þróuð með persónuvernd, gagnsæi og samþykki einstaklinga að leiðarljósi, en val um notkun hennar á að vera alfarið á forræði einstaklinganna. Þessi bluetooth-tækni risanna tveggja mun líklega standa notendum hins íslenska Rakning C-19 til boða innan skamms, en Landlæknisembættið hefur gefið út að það hyggst nýta hana til að þess að útbúa viðbót við íslenska appið um leið og hún verður fáanleg. Á grundvelli þess hve útbreidd notkun íslenska appsins er nú þegar verður sérlega áhugavert að fylgjast með því hversu góða raun bluetooth-tæknin mun gefa við smitrakningu hér á landi.

Best að bjóða upp á tæknilausn án þess að fórna persónuvernd fólks

Miðað við framangreinda umfjöllun má velta fyrir sér hvort stjórnvöld sumra ríkja séu að biðja fólk um að „fórna“ persónuvernd sinni í baráttunni við COVID-19 faraldurinn. Út frá sjónarhorni persónuverndarinnar væri best að bjóða upp á tæknilausn sem auðveldar smitrakningu án þess að persónuvernd einstaklinga sé samtímis kastað fyrir róða. Velta má fyrir sér hvort stjórnvöldum í löndum eins og Íslandi, Singapúr og Þýskalandi, og einkaaðilum á borð við Apple og Google, hafi tekist, eða eftir atvikum muni takast það ætlunarverk sitt að þróa árangursríka smitrakningarleið án þess að raska persónuvernd einstaklinga meira en nauðsynlegt er. Að minnsta kosti má telja að hið íslenska Rakning C-19 sé dæmi um þetta, meðal annars vegna þeirra eiginleika sem nefndir voru að framan um valfrjálsa notkun, takmarkaðan varðveislutíma, eyðingu og aðgengi að persónuupplýsingum sem safnast með notkun appsins. Má því segja að persónuvernd einstaklinga hafi sannarlega verið höfð að leiðarljósi við þróun þess.

Höfundur er lögfræðingur hjá LEX lögmannsstofu með sérþekkingu á sviði persónuverndar.