Pandemia koronawirusa. Koniec ery prywatności!
Pandemia koronawirusa, w której się znaleźliśmy pokazała coś, czego w ostatnich dziesięcioleciach żadne zdarzenie w Europie dotąd tak wyraźnie nie pokazało. Że są naprawdę wartości ważniejsze niż prywatność - pisze dla Interii dr Maciej Kawecki, prezes Instytutu Lema i dziekan Wyższej Szkoły Bankowej w Warszawie, który pracując wcześniej w Ministerstwie Cyfryzacji odpowiadał za wdrożenie RODO w Polsce.
Bardzo ciężko w najnowszej historii znaleźć przykład zdarzeń, które w większym stopniu wpłynęły na losy absolutnie całego świata, niż pandemia koronawirusa. Premier Włoch w swoim orędziu do narodu powiedział jasno, że jego kraj przechodzi największy kryzys od II Wojny Światowej. UEFA przerywa przygotowania do EURO 2020. Zarażone wirusem są głowy państw, członkowie rodzin królewskich, czy premierzy.
Nikt parę tygodni temu by tego nie przesądził, ale tak się stało. Przechodziliśmy kryzysy gospodarcze, które miały wpływ na naszą gospodarkę, ale nie wpływały w tak drastyczny sposób na zachowania niemal każdego człowieka. Do wyjątków w skali globalnej należy w tym obszarze atak na World Trade Center 11 września 2001 r.
On zmienił niemal wszystko, a wśród tych zmian jedną, o której mówi się mało. Jak pisze Saul Gravy w The Harvard Gazette, zaledwie kilka godzin po uderzeniu w wieże World Trade Center, Waszyngton zmienił podejście do prywatności wprowadzając "całkowitą świadomość informacyjną". W jednej tylko chwili agencje wywiadowcze i inne potężne siły w Waszyngtonie były dużo bardziej skłonne do rozwijania zdolności nadzoru niemal wszystkich sektorów. Dlaczego?
Każda władza chce o obywatelach wiedzieć jak najwięcej. I jest to proces naturalny. Niezależnie od tego, w którym miejscu na świecie się znajdujemy. Od tego, ile wiemy o społeczeństwie, zależy to, ile rządzący są w stanie mu dać. Od tego, jak dużo danych administracja gromadzi, zależy jej zdolność przewidywania społecznych reakcji na tworzone reformy legislacyjne. Wreszcie w skrajnych przypadkach od zakresu przetwarzanych informacji zależą w wielu krajach wyniki wyborów, trafność działań kampanii wyborczych czy wręcz wpływ władzy na nasze wybory.
Najsilniejszym mechanizmem powstrzymującym rządzących przed podejmowaniem działań zmierzających do pozyskiwania ogromnych zasobów danych na nasz temat wbrew pozorom nie jest ani prawo krajowe ani prawo międzynarodowe, w tym unijne. Materia ochrony prywatności jest tak nienamacalna, normy prawne regulujące sektor ochrony danych osobowych są tak ogólne i niedookreślone, że bardzo łatwo jest "realizacją interesu publicznego" uzasadnić niemal każde ich pozyskiwanie. Naprawdę skutecznym mechanizmem ochronnym jest tutaj opinia publiczna.
To właśnie 11 września 2001 roku mechanizm ten w USA uległ osłabieniu. Administracja publiczna Stanów Zjednoczonych uzyskała społeczne przyzwolenie na gromadzenie ogromnych ilości danych o obywatelach. I to dlatego, pod hasłem bezpieczeństwa przestrzeni publicznej, wdrożono mechanizmy pozwalające gromadzić ogromne ilości informacji o obywatelach i pozyskiwać takie informacje od niemal każdego z podmiotów zlokalizowanych w USA.
Ten gen prywatności, który w Ameryce ma zupełnie inną treść niż w Polsce, zawsze stanowił dla nas silną blokadę przed cyfryzacją. Pamiętam, gdy odpowiadałem za wdrożenie w Polsce RODO, ile pracy musieliśmy włożyć, by pokazać społeczeństwu, że wdrożenie biometrii w kodeksie pracy nie jest zamachem na niczyją intymność, a i tak dzisiaj wielu tak uważa.
Od zawsze jako społeczeństwo na wszelkie podobne próby regulacyjne reagujemy hasłami "cenzura", "inwigilacja". Wynika to z jednej strony z naszej historii, która usłana jest przypadkami ograniczania naszych praw obywatelskich, a z drugiej z ogromnej wrażliwości społecznej, jaką jako naród uzyskaliśmy na etapie znanego wszystkim RODO.
Koronawirus to zmienił i to on jest naszym 11 września. Od teraz zaczniemy rozumieć, że aby reagować na nadzwyczajne stany, informacje o nas muszą być bardziej powszechne. Która z metropolii poradziła sobie z koronawirusem najlepiej? Pekin. Miasto, które posiada o mieszkańcach niemal wszystkie możliwe informacje, pozyskiwane chociażby z rozlokowanych na każdym rogu kamer termowizyjnych.
Od teraz rządzący uzyskali społeczne przyzwolenie na gromadzenie o nas większej ilości danych bądź wprowadzenie większej ilości innowacji w formy ich przetwarzania. Oczywiście o ile wszyscy jesteśmy zapewne zgodni, że zakres ingerencji w intymność mieszkańców Pekinu jest zbyt duży, pokazuje on trend, prawidłowość. Im większy zakres danych o nas administracja wie, tym skuteczniej może działać.
Kiedy zmiana naszej mentalności faktycznie wpłynie na to, w jaki sposób przetwarzane są informacje na nasz temat? Już wpływa. Po raz pierwszy w swojej niemal ćwierć wiecznej historii prezes Urzędu Ochrony Danych Osobowych powiedział tak wyraźnie, że ochrona danych osobowych bezwzględnie nie może być przeszkodą w realizacji wyższego celu, jakim w tym przypadku jest walka z koronawirusem.
Nie dalej jak parę dni temu, Europejski Inspektor Ochrony Danych wydał przełomowe oświadczenie, wskazując, że "stoimy przed nowym etapem dyskusji na temat praw podstawowych. W ciągu najbliższych kilku miesięcy będziemy musieli znaleźć czas na zastanowienie się nad najważniejszymi zasadami rządzącymi naszym połączonym życiem".
Na zmianę polityki w obszarze ochrony prywatności nie trzeba będzie długo czekać. Parę dni temu w Polsce udostępniono rządową aplikację "kwarantanna domowa". Jak czytamy w komunikacie dostępnym na stronie internetowej Ministerstwa Cyfryzacji, "dzięki geolokalizacji oraz nowoczesnemu systemowi porównywania twarzy będzie wiadomo, że to na pewno ta osoba i że przechodzi kwarantannę w miejscu zadeklarowanym w formularzu lokalizacyjnym. Pomoże nam w tym zrobione przy aktywacji zdjęcie referencyjne.
To do niego będą porównywane kolejne przesłane fotografie. Dziennie trzeba będzie zrobić jedno lub kilka takich zdjęć. Prośby o ich wykonanie będziemy wysyłać "z zaskoczenia". Idea jest dokładnie taka sama jak przy niezapowiedzianych wizytach funkcjonariuszy policji". W normalnych warunkach, wprowadzenie takich rozwiązań wiązałoby się z otwarciem ogromnej, publicznej dyskusji nad zagadnieniem prywatności. Dziesiątki stowarzyszeń i fundacji pod sztandarem walki z inwigilacją blokowałyby zapewne ich wprowadzenie.
Działo się to chociażby na etapie wprowadzania w 2018 roku do przepisów prawa bankowego rozwiązań biometrycznych, mających ułatwić klientom proces logowania. Dzisiaj dyskusja podejmowana w tym zakresie nie ma takiego poziomu a i argumenty jeżeli w ogóle są artykułowane to bez porównywalnie słabiej i bez wpływu na samą aplikację która już działa.
Przyjęty przez Sejm projektem ustawy wprowadzającej tzw. Tarczę Bezpieczeństwa przed COVID-19, art. 20 ca ustawy o informatyzacji uprawnia administrację publiczną do wykorzystywania naszych wizerunków pozyskiwanych w trakcie "wideokonferencji". Pozyskane tak wizerunki mają służyć weryfikacji tożsamości na etapie starania się o tymczasowy profil zaufany.
Dzisiaj profil zaufany, umożliwia nam składanie wniosków, kierowanie pism do urzędów, ale aby go założyć musimy mieć konto elektroniczne w banku, a nie każdy go ma. Administracja posiada co najmniej 1 zdjęcie każdego z nas w rejestrze dowodów osobistych. Co najmniej, bo gdy mieliśmy w życiu kilka dowodów, osobistych zdjęć jest kilka. Na jego podstawie i wizerunku z wideo, które urząd z nami nawiąże, urząd dokona weryfikacji tożsamości i wyda na trzy miesiące tymczasowy profil zaufany.
Z jego wykorzystaniem nie złożymy wprawdzie wniosku o wydanie dowodu osobistego, ale podpiszemy każde pismo do urzędu! Brama dla administracji została otwarta na mechanizmy Sztucznej Inteligencji które pomogą zapewne urzędnikom w weryfikacji naszej twarzy i na tych, którzy nie mają bankowości. Znów, w normalnych warunkach wiele osób miałoby problem z tym, że tak nieutrwalona jeszcze technologia rozpoznawania twarzy wykorzystywana jest w sektorze publicznym. Wprowadzamy mechanizmy, których los w Unii Europejskiej jeszcze parę miesięcy temu był niepewny.
Przecieki dotyczące tworzonych przez Komisję Europejską nowych strategii udostępniane chociażby przez "The Guardian" mówiły, że KE rozważa ograniczenie wykorzystywania technologii rozpoznawania tworzy w UE na okres od trzech do pięciu lat. Miało to się wydarzyć do czasu, gdy technologia ta nie będzie bardziej stabilna a tym samym bezpieczna. Finalnie się to jednak nie stało. Prawdą jest jednak, że nie ma dzisiaj chyba mechanizmów które w większym stopniu dotykają naszej prywatności, niż technologia rozpoznawania twarzy.
Receptory, które mamy na niej zlokalizowane, pozwalają bowiem z wykorzystaniem mechanizmów sztucznej inteligencji czytać w nas jak w książce. Nie ma miejsca w naszym ciele które w większym stopniu pozwala poznać nasze uczucia, nawet te najbardziej skryte. I znów, wdrożenie rozwiązań rozpoznawania twarzy poprzedzone byłoby wcześniejszym prowadzonym konsultacjom społecznym. Argumenty zwolenników i przeciwników na pewno miałyby wpływ tak na sposób jak i wydłużony czas wdrożenia takich rozwiązań. W obecnej rzeczywistości, ich wdrożenie nie tylko będzie możliwe, ale nastąpi dużo szybciej.
Wreszcie zmiany w tym obszarze nie dotyczą tylko polskiej administracji publicznej. Coraz więcej Państw widzi, że potrzebujemy kompromisu pomiędzy ochroną prywatności a walką z pandemią koronawirusa. Kiedy Unia Europejska stara się znaleźć odpowiedź na pytanie, czy walka z koronawirusem warta jest ceny jaką musimy za to zapłacić, ograniczając drastycznie naszą prywatność, w wielu krajach już i tak się to dzieje.
Nie piszę tutaj tylko o Singapurze czy Pekinie, gdzie administracja śledzi prawie każdy ruch obywateli. W Grecji by wyjść z domu, należy wysłać SMS z wskazaniem miejsca do którego się udajemy. W odpowiedzi otrzymujemy kod SMS a policja może nas na mieście poprosić o kod z SMS by sprawdzić czy naprawdę tam się udajemy. W Hiszpanii do identyfikacji obywateli coraz częściej wykorzystywane są drony.
Te wszystkie działania powodują, że administracje poszczególnych państw stają się dysponentami gigantycznych zasobów danych, o których w wielu przypadkach w takiej skali nie mogły nawet pomyśleć.
Wreszcie beneficjentem zmiany naszej mentalności nie będzie tylko administracja publiczna. Sytuacja, w której się znaleźliśmy, wpływa na nasze własne zachowania. Wielu z nas z własnej woli lub nałożonego wymogu przeszła w tryb pracy zdalnej. Korzystamy z dziesiątek różnych komunikatorów, programów elearningowych. Korzystamy z rozwiązań, których dostawcą są podmioty zlokalizowane na niemal całym świecie, od naszych krajowych dostawców, po podmioty amerykańskie czy zlokalizowane w Indiach.
Zdecydowana większość jeśli nie wszystkie z tych rozwiązań wiążą się z przetwarzaniem ogromnej ilości danych. I nie mówię tutaj tylko o danych jak nasz nick czy informacja o dacie logowania, ale całym konglomeracie danych, które przekazujemy sobie w czatach, załączając w ramach telekonferencji prezentacje czy nagrywając spotkania. I znów, jest to ogromnie wyzwanie dla prywatności. Największe globalne korporacje administrujące takimi systemami każdego dnia, otrzymują tą drogą miliony rekordów różnych danych o bardzo dużej wartości. I znów, sytuacja w której się znaleźliśmy, stanowi dla nas wystarczającą odpowiedź na pytanie, "co z naszymi danymi?". Nikt tego pytania bowiem publicznie wyjątkowo usilnie nie ponawia.
Może niektórych zaskoczę, ale widzę w tej sytuacji więcej plusów niż minusów. I nie tylko dlatego, że takie myślenie otworzy nasz kraj na cyfryzację w stopniu, w którym w normalnych warunkach zajęłoby to prawdopodobnie lata. Nie wierzę by w czasach, w których nasza gospodarka oparta jest o dane w tak ogromnym stopniu, możliwe było utrzymanie tak restrykcyjnego jak obecnie systemu ochrony naszych danych.
Bez wątpienia sytuacja, w której się znaleźliśmy pokazała coś, czego w ostatnich dziesięcioleciach żadne zdarzenie w Europie dotąd tak wyraźnie nie pokazało. Że są naprawdę wartości ważniejsze niż prywatność.
Na etapie wdrażania RODO mieliśmy z tym ogromny problem. Pokazała to sytuacja, gdy dwa lata temu po wypadku autokaru z dziećmi w Małopolsce, rodzice nie mogli dowiedzieć się, do których szpitali trafiły ich dzieci. Wierzę, że dzisiaj nikt ochrony danych osobowych nie potraktowałby jako okoliczności do odmowy przekazania takich danych. Należy do powyższego wnieść jednak trzy zastrzeżenia.
Po pierwsze, przesunięcie granicy restrykcyjności ochrony naszej prywatności - co uważam za bardzo ważne, nie może oznaczać, że granica ta znika. Należy wypracować z uwzględnieniem aspektu wrażliwości społecznej nową granicę, uznając ją za niemal nienaruszalną. Granicą tą jest na pewno ochrona innej wartości w tym przypadku bezpieczeństwa w okresie epidemii koronowirusa, która jednak przecież minie. Taką przynajmniej mamy wszyscy nadzieję.
Po drugie, nie wszystkie mechanizmy wdrażane teraz w sytuacji nadzwyczajnej, będą mogły przetrwać w stanie po uporaniu się z pandemią koronawirusa. Musimy tego bardzo wyraźnie strzec.
Po trzecie wreszcie, nasze dane nie powinny nigdy być paliwem do podejmowanych działań czysto politycznych. Nie wierzę natomiast, by gdy już uporamy się z pandemią koronawirusa, nasze podejście do prywatności nie uległo zmianie.