პანდემიასთან მებრძოლი აპლიკაცია - STOP COVID
COVID-19-ით გამოწვეულ პანდემიასთან და მის თანმდევ მოვლენებთან გასამკლავებლად, სხვადასხვა ქვეყნების მთავრობები თუ კერძო კომპანიები გარდა სამედიცინო-ეპიდემიოლოგიური ძალისხმევისა, მრავალ ახალ ინიციატივას გვთავაზობენ. ერთ-ერთი ასეთი შემოთავაზებაა საქართველოს მთავრობის მიერ ინიცირებული „ინოვაციური აპლიკაცია STOP COVID", რომელიც 24 საათში 151 000-ზე მეტმა მომხმარებელმა გადმოწერა. ახალი კორონა ვირუსის გავრცელებასთან ერთად მრავალი ასეთი აპლიკაცია თუ ტექნოლოგიური გადაწყვეტა დაანონსდა და ჩაეშვა კიდეც ხმარებაში. პროფესიულ თუ ჟურნალისტურ წრეებში სკეპტიკური მოსაზრებებიც გაჟღერდა აპლიკაციების ეფექტიანობასთან დაკავშირებით.
შესაძლებელია ისეთი აპლიკაციის შექმნა, რომელიც ეფექტიანად შეაჩერებს დაავადების გავრცელებას და იმავდროულად, მომხმარებლის მონაცემთა დაცვაზეც იზრუნებს?
ეს ერთ-ერთი მთავარი კითხვაა, რადგან იმის გარდა, თუ როგორ გვიხსნის ახალი აპლიკაცია ვირუსის უკონტროლო გავრცელებისგან და დაგვიცავს თუ ვერა ინფიცირებისგან, ასევე ძალიან მნიშვნელოვანია იმის გააზრება, თუ როგორ იქნება დაცული თუ გამოყენებული ჩვენი პერსონალური მონაცემები, რომლებიც აპლიკაციის ფუნქციონირებისთვისაა საჭირო.
პანდემია მძიმე ფსიქოლოგიური სტრესია ადამიანებისთვის. ასეთ დროს გამოსავლის ძებნისას, ადამიანებს უფრო მაღალი მიმღებლობა უჩნდებათ მკაცრი კონტროლისა და უფლებების შეზღუდვის მიმართ. ამ სიტუაციას საქართველოში ისიც ამძიმებს, რომ მონაცემთა დაცვის თემისადმი მგრძნობელობა საკმაოდ დაბალია და არათუ ასეთი კრიზისის, არამედ ჩვეულებრივ პირობებში ადამიანებს ხშირად არ ესმით მონაცემთა დაცვის მნიშვნელობა ან არ ჰყოფნით ცოდნა და გამოცდილება, ადეკვატურად შეაფასონ მოსალოდნელი საფრთხეები.
ამიტომ მნიშვნელოვანია, ადამანებისათვის ხელმისაწვდომი იყოს ინფორმაცია იმის შესახებ, თუ რას ნიშნავს მონაცემების დამუშავება ყოველ კონკრეტულ შემთხვევაში, რა საფრთხეები შეიძლება არსებობდეს და რაზე უნდა გაამახვილონ ყურადღება კონკრეტული სერვისით თუ აპლიკაციით სარგებლობისას. საქართველოში გამოყენებულ აპლიკაციასთან დაკავშირებით, ამ მხრივ, გარკვეული ბუნდოვანება არსებობს. ხელმისაწვდომი ინფორმაციის ანალიზის საფუძველზე მონაცემთა დაცვასთან დაკავშირებული შემდეგი მნიშვნელოვანი საკითხები გამოიკვეთა:
რა ვიცით აპლიკაციის შესახებ?
აპლიკაციის შესახებ ბევრი არაფერი ვიცით და ეს მისი მთავარი ნაკლია. პერსონალურ მონაცემთა დამუშავებისა და სათანადო დაცვის ერთ-ერთი მთავარი კონცეფცია და პრინციპია მისი გამჭვირვალობა. მონაცემთა გამჭვირვალობის პრინციპი GDPR-მა - მონაცემთა დაცვის ევროპულმა ზოგადმა რეგულაციამ შემოიტანა და ის ასევე გათვალისწინებულია „პერსონალურ მონაცემთა დაცვის შესახებ" საქართველოს პარლამენტში წარდგენილ ახალ პროექტში. გარდა გამჭვირვალობის პრინციპისა საქართველოს კანონმდებლობა, ისევე, როგორც ევროპული კანონმდებლობა ითვალისწინებს მონაცემთა დამმუშავებლის მხრიდან მონაცემთა სუბიექტის ინფორმირების ვალდებულებას. მონაცემთა სუბიექტს მისთვის გასაგები და მარტივად აღქმადი ფორმით უნდა მიეწოდოს ინფორმაცია იმის თაობაზე თუ მის შესახებ რომელი მონაცემები მუშავდება, რა არის თითოეული მონაცემის დამუშავების მიზანი, ვისთვის შეიძლება გახდეს ეს მონაცემები ხელმისაწვდომი და ა.შ.
აპლიკაციის შესახებ ინფორმაცია შეიძლება მივიღოთ ჯანდაცვის სამინისტროს ვებ-გვერდისა და თავად აპლიკაციის კონფიდენციალობის განაცხადის მეშვეობით. კონფიდენციალობის განაცხადი, რომელიც წესით, დეტალურ ინფორმაციას უნდა აწვდიდეს მომხმარებელს მისთვის გასაგებ, მარტივ ენაზე არათუ ადვილად წასაკითხი არ არის, მონაცემთა დაცვის სპეციფიკური ტერმინებიც კი არ არის სწორად და მომხმარებლისთვის გასაგებად გამოყენებული. რჩება შთაბეჭდილება, რომ ეს დოკუმენტი რომელიღაც უცხოენოვანი განაცხადისა თუ პოლიტიკის დოკუმენტის ცუდი თარგმანია.
ჯანდაცვის სამინისტროს მიერ გავრცელებული ინფორმაციის თანახმად „მომხმარებელი არ უთითებს პირად ინფორმაციას", თუმცა ეს განცხადება ბოლომდე ზუსტი არ არის. მართალია, აპლიკაცია არ ითხოვს მომხმარებლის რეგისტრაციას და სახელის, გვარის ან სხვა საიდენტიფიკაციო მონაცემების შეყვანას, მაგრამ აპლიკაცია ინსტალაციისას ითხოვს აუცილებელ წვდომას Bluethooth-ზე, ადგილმდებარეობის მონაცემებზე (geo-location) და მიკროფონზე. ასევე, აპლიკაციის კონფიდენციალურობის განაცხადის (privacy statement) თანახმად, აპლიკაცია დაამუშავებს სმარტფონის მონაცემებს, მათ შორის, სენსორის მონაცემებს, მობილურის ნომერს, რაც თავისთავად, უკვე პერსონალური მონაცემებია. შესაბამისად, განაცხადი იმის შესახებ, რომ აპლიკაციაში მომხმარებელი არ უთითებს პირად ინფორმაციას, როგორც მინიმუმ, შეიძლება შეცდომაში შემყვანი იყოს.
ამ ეტაპისათვის საჯაროდ ხელმისაწვდომი წყაროებიდან არ იკითხება ცალკეული მონაცემების დამუშავების კონკრეტული მიზნები, რაც შეუძლებელს ხდის მსჯელობას იმის შესახებ, საჭირო და აუცილებელია თუ არა ამა თუ იმ მონაცემის, მაგ. მობილურის ნომრის დამუშავება მაშინ, როცა სამინისტროს განცხადებით, მომხმარებლებთან კომუნიკაცია აპლიკაციის საშუალებით ხდება.
COVID-19-თან გასამკლავებლად შემუშავებული მრავალი ტექნოლოგიური გადაწყვეტებისაგან, BLE (Bluetooth Low Energy) გამოყენება, ერთ-ერთი საუკეთესო გამოსავალი შეიძლება იყოს. აღნიშნულ რეკომენდაციას ევროპის მონაცემთა დაცვის საბჭოც იძლევა. თუმცა, არ არის ნათელი და გასაგები აპლიკაციის ქართული ვერსია რატომ ამუშავებს სავალდებულოდ ორივეს ბლუთუსისა და გეო-ლოკაციის მონაცემებს. ასევე, მომხარებლისთვის შეიძლება გაუგებარი იყოს რატომ ითხოვს აპლიკაცია წვდომას მიკროფონის ფუნქციაზე. ასეთ წვდომაზე და მის საჭიროებაზე არც სამინისტროს განცხადებაშია საუბარი და არც კონფიდენციალობის განაცხადში, თუმცა დამატებითი განმარტების შედეგად აღმოჩნდა, რომ მიკროფონზე წვდომის გარეშე შეუძლებელია ბლუთუსის შესაბამისი ფუნქციის გამოყენება.
სამინისტროს განცხადებით, აპლიკაციის მიერ დამუშავებული მონაცემები ინახება ადგილობრივად, მომხმარებლის მობილურ ტელეფონში და „მომხმარებლებს აქვთ სრული კონტროლი თავიანთ მონაცემებზე". არც ეს დებულებაა სწორი. აპლიკაცის კონფიდენციალურობის განაცხადის თანახმად, სხვადასხვა მიზნებისთვის მუშავდება ისეთი მონაცემები, როგორიცაა მაგ. მომხმარებლის სარეკლამო ID, წარსული გეოლოკაციები, ოპერაციული სისტემის მიერ მიწოდებული აქტივობების მონაცემები. ეს აჩენს ეჭვს, რომ აპლიკაცია სხვა კომპანიებს უზიარებს ჩვენს მონაცემებს მარკეტინგული მიზნებისთვის, ხელი მიუწვდება ჩვენი გადაადგილების მონაცემებზე არა მხოლოდ აპლიკაციის გამოყენების პერიოდში, არამედ მანამდე არსებულზეც, შეუძლია მიიღოს ინფორმაცია განხორციელებული ზარებისა თუ გახსნილი ვებ-გვერდების შესახებ. ყოველივე აღნიშნული, რბილად რომ ვთქვათ, ნაკლებად შეესაბამება „მომხმარებლის მიერ სრული კონტროლის" დაპირებას. ასევე, კონფიდენციალურობის განაცხადში ნათლად და ხაზგასმით არის ნათქვამი, რომ მონაცემები მონაცემთა დამმუშავებლისთვის ხელმისაწვდომია 3 წლის განმავლობაში. ანუ ერთი მხრივ, მომხმარებელს ფუჭი ილუზია ექმნება, თითქოს პროცესი მის კონტროლს ექვემდებარება, ხოლო, მეორე მხრივ, ასეც რომ არ იყოს, 3 წელი ძალიან დიდი ვადაა მონაცემების შენახვისათვის. მონაცემთა დაცვის პრინციპების თანახმად, მონაცემები მხოლოდ იმ ვადით უნდა იქნას შენახული, რაც აუცილებელია მათი დამუშავების მიზნის მისაღწევად. როგორც უკვე აღინიშნა, გაუგებრობას ისიც ქმნის, რომ მომხმარებელმა მკაფიოდ არ იცის მონაცემთა დამუშავების ყველა მიზანი. სამინისტროს მიერ გავრცელებული ინფორმაცია შეეხებოდა მხოლოდ კოვიდ ინფიცირებულთან შესაძლო კონტაქტის შესახებ შეტყობინების მიღებას, თუმცა აპლიკაციის კონფიდენციალობის განაცხადის თანახად, მონაცემები მხოლოდ ამ მიზნით არ მუშავდება. შესაბამისად, გადაჭრით ვერ ვიტყვით რამდენი ხნით შეიძლება იქნას ესა თუ ის მონაცემი შენახული. ევროპის მონაცემთა დაცვის საბჭოს რეკომენდაციით პანდემიასთან საბრძოლველად შემუშავებულ აპლიკაციებში დამუშავებული მონაცემები მაქსიმუმ იმ ვადით უნდა იქნას შენახული, სანამ პანდემია მეტ-ნაკლებად კონტროლს დაექვემდებარება.
საყურადღებოა ასევე მესამე მხარეებთან ურთიერთობის საკითხი. მონაცემთა კონფიდენციალურობის განაცხადის თანახმად, მონაცემთა გაზიარება ხდება ისეთ მესამე მხარეებთან, როგორიცაა Google LLC, Google Irland, Facebook Inc. და ა.შ. აღსანიშნავია, რომ მომხმარებლებისათვის არც ეს საკითხია იმთავითვე ნათელი და, ვფიქრობთ, მეტ დაკონკრეტებას მოითხოვს, მითუმეტეს რომ დასახელებული კომპანიები არაერთ სკანდალში გაეხვნენ სწორედ მონაცემთა არაჯეროვნად დაცვასთან დაკავშირებით.
მსგავსი სისტემების ამოქმედებამდე ძალიან მნიშვნელოვანია მისი შეფასება პერსონალურ მონაცემთა დაცვის თვალსაზრისით. ერთია ის ბუნდოვანება და შეუსაბამობები, რომელიც ხელმისაწვდომი ინფორმაციის ფარგლებშიც იკითხება, თუმცა არანაკლებ, მნიშვნელოვანია იმის გარკვევა, თუ რეალურად როგორ მუშაობს ესა თუ ის შემოთავაზებული მექანიზმი და დაცვის ღონისძიება. ამის გარკვევა კი მხოლოდ საჯარო ინფორმაციის ანალიზით შეუძლებელია და მოითხოვს სისტემის სრული აუდიტის ჩატარებას. ჯანდაცვის სამინისტროს განცხადებით „სისტემა განსაკუთრებულ ყურადღებას ანიჭებს პერსონალური მონაცემთა დაცვის ევროპულ კანონმდებლობასთან თანხვედრას", თუმცა ჯერ-ჯერობით საჯაროდ ხელმისაწვდომი არ არის ინფორმაცია და მტკიცებულებები იმის შესახებ, თუ რა ნაბიჯები იქნა გადადგმული აღნიშნულის უზრუნველსაყოფად. არც სახელმწიფო ინსპექტორის სამსახურის პოზიციაა ცნობილი აპლიკაციასთან დაკავშირებით.
ასეთ ვითარებაში, მიზანშეწონილად მიგვაჩნია, ერთი მხრივ, ჯანდაცვის სამინისტრომ მომხმარებლისთვის გასაგებ ენაზე ხელმისაწვდომი გახადოს ინფორმაცია აპლიკაციასთან დაკავშირებით და უზრუნველყოს მეტი გამჭვირვალობა, ხოლო, მეორე მხრივ, სისტემას ჩაუტარდეს მონაცემთა დაცვის სრული სამართლებრივი და ტექნიკური აუდიტი, ან თუ ასეთი აუდიტი უკვე ჩატარებულია, გაასაჯაროოს მისი შედეგები.