Бороться с чрезвычайной эпидемической ситуацией с минимальным цифровым вмешательством – трудная задача, пишет профессор компьютерных наук Стэн Матвин для Project Syndicate.

Как именно мы завершим карантин, который душит экономику многих стран и заставляет более миллиарда человек сидеть дома? Выдвигались предложения об избирательном подходе: более молодые и менее уязвимые группы населения призовут обратно на работу раньше остальных. Однако затем мрачные предостережения эпидемиологов о неизбежных последствиях этой стратегии для здоровья уменьшили её поддержку почти во всех странах.

Сегодня единственным общепринятым решением является постепенное смягчение ограничений, которое станет возможным благодаря массовому тестированию на вирус, слежению за больными и выявлению всех, с кем контактировал инфицированный человек. А поскольку протестировать 100% населения невозможно, окончательным решением становится создание работоспособной системы отслеживания.

Единственный реалистичный способ организовать такое отслеживание в необходимых масштабах – использовать геолокационные данные смартфонов. Согласно этому подходу, "контакт" происходит, когда принадлежащие двум людям устройства через Bluetooth-сигнал определяют, что находятся вблизи друг от друга в течение определённого времени. Уже предложено (или даже внедряется) несколько систем для выявления подобных контактов. Сингапур использует программу TraceTogether. Google и Apple недавно объединили усилия для разработки добровольно устанавливаемого приложения, отслеживающего контакты, а в Европе создан широкий консорциум для работы над "Общеевропейским проектом отслеживания близости с учётом защиты конфиденциальности" (PEPP-PT).

Читайте также: Здоров’я або демократія: що потрібно знати про застосунок "Дій вдома" 

Очевидно, что любая система слежения вызовет серьёзные вопросы, связанные с конфиденциальностью. Весь смысл этих систем в том, чтобы находить инфицированных людей. И даже если у пользователей будут анонимные ID, на каком-то этапе этой процедуры анонимные ID придётся связать с конкретным именем и номером телефона. Существующие на сегодня проекты можно дополнить техническими функциями с целью ограничить использование собранных данных о близости людей, одновременно сохраняя возможность эффективно отслеживать инфицированных. Но сначала надо будет адаптировать правила, которые касаются сбора и использования данных, к нашим новым потребностям в слежке.

И в связи с этим недавно появилось предложение провести различие между тремя видами защиты конфиденциальности: защита от несанкционированного доступа посторонних, от контактов самого человек, от правительства. За исключением Южной Кореи ни одна другая страна в мире, где такие системы слежения уже внедрены, не открывает в публичном доступе личную информацию о случаях заражения (подобно реестру сексуальных насильников в США). Тем не менее, даже те программы, которые гарантируют первые два уровня конфиденциальности, не способны обеспечить защиту от доступа к данным государственных органов, никак не снизив при этом эффективность системы.

И поэтому пока что нам приходится разрабатывать системы, которые обеспечивают защиту от посторонних и хакеров, а достижения третьего уровня конфиденциальности нам придётся подождать. Возможно введение важного технического требования: срок хранения контактных данных (то есть логи, фиксирующие Bluetooth-контакты с другими устройствами) должен быть ограничен 14 днями, после чего они автоматически стираются. Этот принцип должен применяться как к данным, хранящимся в телефоне, так и к данным, хранящимся у государства. Однако для полноценного соблюдения такого правила нужно срочно проводить исследования, которые помогут упростить протоколы самоуничтожения данных. Сейчас они слишком сложны и обременительным для выполнения той задачи, которая стоит перед нами, и это особенно касается мобильных устройств.

Такова задача для разработчиков программного обеспечения и самих устройств. Что же касается властей, то их главным приоритетом должно стать соблюдение "принципа ограниченного использования". Согласно этому принципу, данные, предоставленные пользователями, могут служить только той цели, которая была заявлена во время сбора этих данных, а именно – выявление позитивных случаев заражения коронавирусом.

Власти должны будут также обратить внимание на процедуру соглашения пользователей смартфонов на раскрытие своих данных. Вариант согласия с точки зрения защиты личных данных является оптимальным. При таком подходе пользователи добровольно устанавливают приложения, которые ведут слежку. Но за пределами стран Юго-Восточной Азии такой вариант вряд ли гарантирует достаточный уровень участия пользователей.

Немного более агрессивный подход – вариант отказа, когда на все мобильные устройства автоматически устанавливается приложение, но пользователи могут его удалить или дезактивировать. Как показывает опрос, проведённый недавно в Канаде, две трети населения этой страны готовы поддержать государственную программу отслеживания больных. Но это означает, что целая треть канадцев может отказаться от участия в ней.

И поэтому остаётся лишь один вариант – обязательное раскрытие данных, когда приложение жёстко прописывается в операционную систему устройства. Этот подход можно сделать более приемлемым, если такая система (как и собранные данные) будет иметь определённый срок действия, то есть будет поэтапно отключаться по мере окончания кризиса.

Читайте также: Google за тиждень заблокував 18 мільйонів шахрайських листів пов'язаних з пандемією

Но как мы определим этот момент окончания? В США строгость правил, касающихся конфиденциальности медицинских данных пациента и описанных в "Законе о портативности и ответственности в сфере медицинского страхования" (HIPAA), была значительно снижена в ответ на нынешний кризис, и министерство здравоохранения и социальных служб США практически никак не объясняет, когда эти правила вновь начнут действовать в полную силу. Чтобы не повторить эту ошибку, программы слежения должны устанавливаться с чётко заявленной, проверяемой конечной целью, например, определённый период без новых случаев заражения или проведение вакцинации большинства населения после того, как появится вакцина. Такие условия окончания срока действия программы должны быть в ней прямо прописаны, и этот факт должен быть проверен независимыми органами, например, фондом Electronic Frontier Foundation.

Последний вопрос: кто должен разрабатывать подобные системы, устанавливать правила сбора и хранения данных, а также выбирать, какой метод лучше всего обеспечивает баланс между конфиденциальностью и эффективностью. Нам не стоит отдавать абсолютный контроль над этим процессом программистам или государству. Вместо этого, нам следует привлечь к нему представителей частного сектора, государства, науки и гражданского общества.

Пандемия Covid-19 требует от нас переосмысления устоявшихся норм, касающихся сбора данных и защиты конфиденциальности. Бороться с чрезвычайной эпидемической ситуацией с минимальным цифровым вмешательством – трудная задача. Грантодатели, финансирующие компьютерную науку, должны срочно переориентировать свои приоритеты, сосредоточив усилия на разработке практичных, но ответственных методов сбора данных о близости устройств, а также необходимых мер защиты этих данных.

Полную версию статьи читайте на сайте НВ

Підписуйся на сторінки UAINFO у Facebook, Twitter і YouTube