22 lipca 2020

Polska aplikacja do walki z COVID-19 bez „epidemiologicznych zębów”

„Aplikacja ProteGo Safe, mająca chronić nas przed zakażeniem koronawirusem, na wiele się nie zda. Chyba że założy ją ok. 60 procent obywateli, czyli ponad 20 milionów Polaków. To nierealne” - mówi profesor informatyki Stanisław Matwin, pracujący w Kanadzie  

Ulga po pierwszej fali zakażeń jest tylko złudzeniem. I może być fatalna w skutkach. W Polsce dzienna liczba nowych zakażonych oscyluje wciąż między 300 a 400 przypadków. 22 lipca według ministerstwa zdrowia wynosiła 380 osób, kolejne 6 osób zmarło.

Dlatego ważne są wszelkie środki ograniczające zasięg epidemii, maseczki, dezynfekcja, dystans społeczny. I także specjalna aplikacja na smartfona ProteGo Safe, udostępniana przez polski rząd, która ma wspomóc ograniczanie kontaktów z osobami zarażonymi.

Podobne aplikacje stosowane sa w wielu krajach na świecie. Czy są skuteczne - rozmawiamy z profesorem informatyki Stanisławem Matwinem*, doradcą rządu Kanady.

Sławomir Zagórski, OKO.press: Od jakiegoś czasu w Polsce można założyć sobie na smartfonie aplikację ProteGo Safe. „Informuje ona o potencjalnym zagrożeniu zakażenia koronawirusem” – przekonuje ministerstwo cyfryzacji. Jestem jedną z ok. 150 tys. osób, które ją sobie założyły. Dobrze zrobiłem?

Prof. Stanisław Matwin: Myślę, że tak. Choć przyznam się, że nie znam tej konkretnej aplikacji i nie wiem jakie informacje ona zbiera. Choć ty też możesz tego nie wiedzieć.

Te aplikacje często mają to do siebie, że zbierają więcej danych niż jest to zadeklarowane.

Nie próbuję naturalnie posądzać ministerstwa cyfryzacji o złe intencje, ale do takich instrumentów trzeba jednak podchodzić z pewną ostrożnością.

Inwazyjne, ale czasem uzasadnione

ProteGo Safe nie śledzi naszej lokalizacji, nie wie z kim i kiedy się widzieliśmy – tłumaczą urzędnicy. Nie ma dostępu do żadnych danych, które mamy w telefonie. Aplikacja wyłącznie monitoruje nasze otoczenie w poszukiwaniu innych urządzeń (nie użytkowników), w których także zainstalowana jest ProteGO Safe.

W jakim celu to robi? Po to, by w sytuacji, gdy ktoś z użytkowników aplikacji zakaził się koronawirusem, mógł na telefony innych napotkanych osób wysłać stosowne powiadomienie.

Rozumiem więc, że ta aplikacja jest dobrowolna. I osoby, które ją sobie założą, godzą się jednak na śledzenie, by w razie czego zostać ostrzeżone przed możliwym zakażeniem.

Powiem od razu coś ideologicznego. Nie jestem osobą, która jest z gruntu przeciwna istnieniu takich aplikacji. I choć zdaję sobie sprawę, że potencjalnie mogą być one szalenie inwazyjne, to jednak wyobrażam sobie, że w pewnych sytuacjach ich użycie byłoby jak najbardziej uzasadnione.

Od stycznia do marca tego roku przebywałem na urlopie naukowym we Włoszech. To był najgorszy czas dla Włoch. Co prawda nie byłem w epicentrum epidemii, bo mieszkałem pod Pizą, a więc w pewnej odległości od Lombardii i Piemontu. Ale gdy jesteś w kraju, w którym w wieczornych wiadomościach widzisz zdjęcia ciężarówek wywożących trumny z Bergamo, to zaczynasz nieco inaczej patrzeć na sprawy prywatności niż powiedzmy w Szwajcarii, czy nawet dziś w Kanadzie.

Dlatego w pewnych sytuacjach użycie takich aplikacji – i to w sposób obowiązkowy, a nie dobrowolny jak ProteGo Safe – ma naprawdę głęboki sens.

Co więcej, uważam, że sięgnięcie po takie technologie to właściwie jedyna metoda ograniczenia infekcji. Do dzisiaj nikt nic innego nie wymyślił i nie wygląda, żeby do czasu wyprodukowania szczepionki lub też skutecznego leczenia, cokolwiek innego powstało.

Dotychczas śledzenie odbywało się za pomocą metod ręczno-policyjnych. To znaczy ktoś do zarażonego przychodził, rozmawiał i zapisywał z kim widział, i te osoby były potem wzywane na badania albo poddawane kwarantannie. Tylko, że to - jak mówimy w informatyce – nie skalowało, czyli nie dawało się zrobić na dużą skalę.

Jest taka piękna historia z Francji z początku epidemii. Uważa się, że COVID-19 został przywieziony do tego kraju w momencie ewakuacji 200 obywateli francuskich z Chin. Poleciał po nich specjalnie do Wuhan samolot wojskowy, a następnie wszyscy pasażerowie zostali skierowani na kwarantannę.

Ale ponieważ był to samolot wojskowy, z wojskową obsługą nie tylko lotniczą, ale też sanitarną, tych ludzi z obsługi już kwarantanną nie objęto. Bo to wojsko i mają własne przepisy. Dopiero po jakimś czasie ktoś się obudził i zaczęto ich przesłuchiwać, a także członków ich rodzin. Okazało się, że pewien gentelman z obsługi medycznej był przesłuchiwany razem z żoną, więc „zapomniał” wspomnieć o wizycie u przyjaciółki zaraz po powrocie. No i epidemia poszła.

To świetnie obrazuje niedomogi ręczno-policyjnych metod. Ludzie, jak wiadomo, nie zawsze mówią prawdę. W ten sposób nie wychwyci się wszystkich kontaktów. Podobnie nie da się też wszystkich przetestować.

Nie da się odłączyć od śledzących systemów

W Polsce śledzenie kontaktów zrzucono na niedofinansowany, zupełnie nieprzygotowany do tak ogromnego zadania, Sanepid.

Wracając do ryzyka zakładania aplikacji i udostępniania swoich danych myślę, że ludzie mają do tego różne podejście. Niektórzy bardzo się tego boją. Np. niektórzy moi znajomi ze Stanów nie chcą się ze mną kontaktować przez Messengera z obawy, że ktoś niepowołany ma do tego dostęp. Są tacy, którzy dbając o anonimowość w sieci, chcą korzystać tylko z pewnych komunikatorów. A mnie to w ogóle nie rusza.

Pamiętaj, że liczy się tu nie samo zbieranie informacji o człowieku, ale przede wszystkim łączenie ich ze sobą. Innymi słowy łączenie danych daje znacznie więcej informacji niż ich proste zsumowanie ze sobą.

Bo jeśli np. z telefonu komórkowego wynika, że jakiś pan chodzi regularnie do pewnego baru, a ty połączysz to z informacją, że to bar LGBT, możesz od razu coś wywnioskować o tej osobie.

A zatem korzystanie z każdej aplikacji może być inwazyjne. Mam takie zawodowe cyniczne przekonanie, że to jest coś za coś. A więc z jednej strony bez przerwy korzystamy z tego, że ten świat jest tak bardzo połączony, a z drugiej w pewnym sensie za to płacimy.

Powinniśmy sobie z tego zdawać sprawę i rozumieć co robimy. Mogę cię zapewnić, że dziś nie ma takich zabezpieczeń, które są nie do złamania. I jeśli ktoś ci mówi, że jest jakiś komunikator, którego nie można podsłuchiwać, to nie ma racji. Bo hakerzy się prawdopodobnie do niego nie dobiorą, ale już służby mogą włamać się do wszystkiego. Także do twojego konta bankowego, mimo, że bank zapewnia cię, że to niemożliwe.

Mogą zrobić wiele i my możemy o tym nic nie wiedzieć. Wszystko zależy od tego, kto i do jakiego stopnia będzie chciał cię śledzić. No może poza sytuacją, kiedy odmówisz w ogóle używania komórki, karty kredytowej, metra, a gdybyś mieszkał w Londynie, to nawet nie będziesz chodzić po ulicach, bo tam identyfikują cię natychmiast tysiące kamer.

Ale co byś miał za życie, gdybyś chciał mieć 100-procentową pewność, że jesteś odłączony od tych systemów śledzących albo potencjalnie śledzących? A ponieważ tak się żyć nie da, więc pozostaje nam być świadomym tego, co jest zbierane i co się dzieje. I dlatego twórcom takiego systemu jak ten polski do walki z koronawirusem warto zadać publicznie kilka pytań.

Co konkretnie masz na myśli?

Zasadnicze pytanie dotyczy czegoś, co po angielsku nazywa się „use limitation principle”, a po polsku „zasadą ograniczonego użytku”. To podstawowa zasada gospodarowania danymi (data management), którą Polska z pewnością podpisała, bo to jest standard OECD.

Chodzi w niej o to po pierwsze, jak te informacje są zbierane, a po drugie jak będą używane. Zwykle jest to zapisane na iluś tam stronach, nikt tego nie czyta, tylko klika, że wyraża zgodę. Tymczasem w tym momencie dochodzimy do najważniejszego pytania, a mianowicie co zapewnia, że ta deklaracja zbierającego dane będzie przestrzegana. Innymi słowy, że w żadnym wypadku te dane nie będą użyte do niczego innego.

Uważam, że ludzie powinni wymyślić techniczne metody zapewniania takich gwarancji. Bo dzisiaj nie można tego od nikogo wymagać, ale to powinno być celem badań informatycznych. Powinniśmy myśleć, jak sprawić, by w przyszłości móc to kontrolować.

Nie wiem na ile dotyczy to Polski, ale tu problem polega na tym, że te dane mogą być np. zbierane przez urząd państwowy. A potem ten urząd za jakiś czas przekaże ich część jakiejś firmie. Ta firma z kolei zrobi sobie kopię, której do niczego nie używa, ale za 2 lata jakaś inna firma kupi tę pierwszą z dobrodziejstwem inwentarza. W efekcie za pewien czas te dane mogą się znaleźć w najbardziej nieoczekiwanym miejscu.

A zatem trzeba zwracać uwagę na zasadę ograniczonego użytku. Żeby to było dobrze opisane, zadeklarowane.

No i druga sprawa – i tego prawdopodobnie nie ma w polskiej aplikacji - żeby te dane miały z góry określaną żywotność. W kwestii COVID-19 taka żywotność powinna wynosić 14 dni, ponieważ uważa się, że jeśli człowiek nie ma w sobie wirusa 14 dni po kontakcie z osobą potencjalnie zakażoną, to już nikomu nie zagraża.

Mogę się założyć, że aplikacja ProteGo Safe tego nie przewidziała i że te dane będą tam dalej siedzieć po 14 dniach.

Rzeczywiście o żywotności danych nie ma ani słowa. Za to w polityce prywatności jest następujące stwierdzenie: „Zaprojektowaliśmy ProteGO Safe zgodnie z zasadami Privacy by Default oraz Privacy by Design. Oznacza to, że domyślnie stosujemy ochronę Twojej prywatności i staraliśmy się ograniczyć przetwarzanie Twoich danych już na etapie projektowania i tworzenia aplikacji. Staramy się nie pozyskiwać od Ciebie informacji, które umożliwią Twoją identyfikację, ale może się zdarzyć tak, że podczas korzystania z Aplikacji podasz nam tyle informacji, że będziemy w stanie Cię zidentyfikować.”

Przyznam, że nie brzmi to bardzo uspokajająco. „Staraliśmy się”, ale się nam nie udało. Choć – jak mówiłem – ja sobie tę aplikację założyłem i ochroną swoich danych – może niesłusznie – się nie przejmuję.

A kto zbiera te informacje? Sanepid?

Trudno powiedzieć. W opisie aplikacji pojawia się „Centrum Kontaktu”.

Po otrzymaniu pozytywnego wyniku testu na koronawirusa, z osobą, która robiła badanie skontaktuje się pracownik Centrum Kontaktu, który przekaże mu numer PIN umożliwiający przesłanie informacji na telefony innych użytkowników aplikacji, z którymi miał kontakt w ostatnich 14 dniach.

Czyli to taki bardzo łagodny system. Usługa, która wyłącznie ostrzega ludzi, że mogli być w kontakcie z innymi. Ten ktoś zakażony może w ogóle nie wysłać tego PIN-u. Jeśli nawet wyśle, to osoby, które go dostaną wcale nie muszą się zgłaszać na test, ewentualnie poddawać się dobrowolnej kwarantannie. Nie mówiąc już o tym, że 150 tys. użytkowników to tyle co nic.

A zatem pies pogrzebany jest w tym, że może to nawet fajna aplikacja, ale całkowicie pozbawiona „zębów epidemiologicznych”.

Korea i Singapur - tu aplikacje zadziałały

To znaczy trudno oczekiwać, by miała ona szczególnie ograniczyć liczbę zakażeń?

Być może w polskiej sytuacji epidemiologicznej to nie jest konieczne.

Z pewnością by się to przydało. Polsce się stosunkowo udało na początku epidemii, ale teraz mamy wciąż liczne ogniska zakażeń i nie możemy zejść z 300-400 nowych przypadków dziennie.

Mamy też od początku problem z testowaniem. Zakładając aplikację chciałbym się np. dowiedzieć, że jeśli dostanę ostrzeżenie, to test wykonam za darmo. A tego nie jestem pewien.

Z pewnością coś takiego by się przydało.

A jeśli chodzi szybkie wykrywanie ognisk zakażeń, aplikacje które zbierają dane na temat miejsca przenoszenia wirusa mogą być szczególnie przydatne. Wiemy z historii tej epidemii, że zanim nie wprowadzono lockdownu ludzie zakażali się masowo w pewnych miejscach.

W Europie na samym początku takim szczególnym ogniskiem był mecz piłki nożnej w północnych Włoszech pomiędzy drużyną włoską a hiszpańską. Przyjechało kilka tysięcy Hiszpanów, potem się z tymi Włochami obejmowali, poszli na piwo, itd. Uważa się, że właśnie tą drogą wirus dostał się do Hiszpanii.

Gdyby dziś zdarzyła się taka sytuacja – choć na razie mecze toczą się przy pustych trybunach – i ludzie mieliby stosowną aplikację, można by było poinformować wszystkich kibiców, by natychmiast zrobili sobie testy.

Rząd specjalnie tej polskiej aplikacji nie promuje. Jakby sam nie wierzył w jej skuteczność. Była wprawdzie konferencja prasowa w ministerstwie zdrowia, ale zaraz potem pojawiło się wiele dziwnych wpisów na Twitterze. Nowy produkt promowały nieznane osoby z tytułami naukowymi, które świeżo założyły sobie konta.

No ale wydano publiczne pieniądze – ok. 2 mln zł. Sam pomysł nie jest zły. Z wirusem będziemy żyć jeszcze długo.

Na razie ta aplikacja na wiele się nie zda. Chyba, że założy ją ok. 60 proc. obywateli, czyli ponad 20 milionów Polaków. To nierealne.

A gdzieś te aplikacje faktycznie zadziałały?

W Korei i Singapurze. W Korei to było dość makabrycznie zrobione. Dla nas, prawdę mówiąc, nie do przyjęcia. Jeśli ktoś był pozytywny, jego dane były oficjalnie publikowane w Internecie i kontaktowano się z wszystkimi znajomymi tej osoby, które miała zapisane w telefonie.

W Singapurze zrobiono to dużo bardziej dyskretnie. Ale system miał jednak te wspomniane „zęby epidemiologiczne”. Centrum informacji miało dane kto jest zakażony i można było takich ludzi szybko wyłapać, odizolować.

Wydawało się, że początkowo Singapur prawie wybronił się przed epidemią, potem jednak liczba zakażeń wzrosła.

To bardzo rozwarstwione społeczeństwo. Największą grupą etniczną są Chińczycy, oprócz tego mieszkają tam biali i Malajczycy. Oni są bardzo dumni, że to tak harmonijnie działa, ale te grupy są kompletnie rozdzielone – biali na górze, potem Chińczycy, na dole Malajczycy.

Ci ostatni to są tacy migranci dzienni, nawet bez prawa pobytu. Przychodzą z Malezji na dzień, pracują, sprzątają, czyszczą, a na noc wracają do siebie. I oni nie byli objęci tym systemem, bo ci miejscowi uznali, że to w zasadzie nie są ludzie, więc po co się nimi zajmować. No i efekt był taki, że liczba zakażeń bardzo im skoczyła.

Liczy się zaufanie

Mówisz, że coś, co rzeczywiście świetnie zadziałało jest dla ludzi z Zachodu nie do przyjęcia. Jednak w Kanadzie aż dwie trzecie mieszkańców jest skłonna zrezygnować z prywatności w sytuacji zagrożenia epidemiologicznego.

To prawda. Wykonano takie badanie opinii publicznej, przeprowadził je zresztą poważny instytut, więc można mieć do tych wyników zaufanie. Dwie trzecie Kanadyjczyków wyraziła teoretycznie zgodę na rezygnacje z części lub całości prywatności na rzecz takich technologii.

W Kanadzie 85 proc. populacji ma smartfony. Zwracam uwagę, że powinny to być smartfony, a nie zwykłe telefony komórkowe, bo do śledzenia miejsca pobytu i kontaktowania się z innymi smartfonami muszą mieć wbudowany bluetooth. W Polsce smartfony ma ok. 60 proc. obywateli.

Zasadnicza różnica pomiędzy Polską a Kanadą jest jednak taka, że ludzie tutaj mają zaufanie do rządu. Znacznie większe niż w Stanach. Kanada to kraj oparty na dobrym rządzie i ludzie wierzą, że on działa na ich korzyść. I stąd te dwie trzecie akceptacji.

Poza Polską swoje aplikacje wprowadzają Włochy, Szwajcaria, Francja, Niemcy. Unia chciałaby je zunifikować, co miałoby głęboki sens.

Niemcy swój produkt robili w porozumieniu z Deutsche Telekom i zdecydowali, że dane będą przechowywane lokalnie na urządzeniach, w odróżnieniu od scentralizowanego systemu, który początkowo planowali, ale teraz to zarzucili. To dobry pomysł?

Zdecydowanie. Jak wspomniałeś, jest europejski ruch w kierunku wspólnego standardu. Zdecydowanie popieram by dane były wyłącznie w telefonie a nie zbierane centralnie. To wzmaga zaufanie użytkowników.

A nie odnosisz czasem wrażenia, że dwa kraje azjatyckie nie oglądając się na zastrzeżenia obywateli poszły rzeczywiście w tej sprawie na ostro. Tymczasem reszta świata dyskutuje, wprowadza półśrodki, które nie będą miały większego znaczenia, i tak będą dyskutować, póki epidemia sama się nie skończy, bo pojawi się szczepionka?

Może się tak zdarzyć. Pewnie też rozmawiasz z biologami. Oni uważają, że w połowie przyszłego roku to się skończy.

Nie wszyscy są takimi optymistami. Poza tym to z pewnością nie ostatnia epidemia, z jaką się konfrontujemy.

Niestety, to prawda. Jeżeli nie będzie szczepionki, ten wirus pozostanie na lata, może też mutować i stać się jeszcze groźniejszym.

A na razie mowa jest o drugiej fali, są nowe zakażenia w Chinach. Więc z pewnością warto pracować nad aplikacjami, nad zabezpieczeniami, nad myśleniem o tym, co powinno być takim minimum minimorum odpowiedzialnej praktyki posiadania tych danych.

Ale wracam do tego, co już w tej rozmowie padło.

Coś za coś. Nieprawdopodobnie szybki dostęp do informacji w zamian za utratę prywatności. Oddawanie w czyjeś ręce potencjalnie naszych decyzji, a z drugiej strony możliwość podejmowania najbardziej optymalnych decyzji na podstawie takiej ilości danych, jakimi nikt wcześniej nie dysponował.

Epidemia koronawirusa spowodowała niesamowite przyspieszenie pewnych badań i rozwój niektórych technologii. Trzeba mieć nadzieję, że będziemy potrafili mądrze z nich skorzystać.

*Stanisław Matwin – profesor informatyki w programie badawczym rządu Kanady Canada Research Chair, dyrektor Institute for Big Data Analytics na Dalhousie University w Halifaksie w Nowej Szkocji. Profesor w Instytucie Podstaw Informatyki PAN

Udostępnij:

Sławomir Zagórski

Biolog, dziennikarz. Zrobił doktorat na UW, uczył biologii studentów w Algierii. 20 lat spędził w „Gazecie Wyborczej”. Założył tam dział nauki i wypromował wielu dziennikarzy naukowych. Pracował też m.in. w Ambasadzie RP w Waszyngtonie, zajmując się współpracą naukową i kulturalną między Stanami a Polską. W OKO.press pisze głównie o systemie ochrony zdrowia.

Komentarze

Komentarze będą wkrótce dostępne