Καθώς καταρρέει ἡ ἐμπιστοσύνη τῶν πολιτῶν στήν ἱκανότητα καί τήν πρόθεση τῆς κυβέρνησης νά ἐγγυηθεῖ τήν ἀσφάλεια τῶν ἐπικοινωνιῶν μέσῳ τῶν κινητῶν τηλεφώνων, ἐξαιτίας τῆς... χρήσης πληθώρας κακόβουλων ἐφαρμογῶν (βλ. καί σχέδιο νόμου πού... νομιμοποιεῖ παρακολουθήσεις μέ τέτοια λογισμικά ἀπό τήν ΕΥΠ), διαπιστώνουμε ὅτι «θηρευτές» προσωπικῶν δεδομένων καί ἐν δυνάμει μηχανές «ἀξιοποίησης» τῶν δραστηριοτήτων τοῦ ἀνυποψίαστου χρήστη φαίνεται ὅτι εἶναι καί οἱ κρατικές ἐφαρμογές γιά κινητά τηλέφωνα ἀπό τό GOV.GR.
Δέν εἶναι πρωτοτυπία στά κινητά τηλέφωνα, πολλές ἐφαρμογές κάνουν τά ἴδια καί χειρότερα, ἀλλά ἀπό τόσο μαζικές ἐφαρμογές περιμέναμε κάτι καλύτερο. Καί εἶναι προφανές ὅτι δέν πρέπει νά συγχέουμε τή δυνατότητα μέ τή χρήση της. Οἱ περισσότερες ἀπό τίς ἄδειες ἐνεργοποίησης πού ἐξετάσαμε εἶναι συμβατές μέ τόν σκοπό τῶν ἐφαρμογῶν, ἄλλες πάλι ἀνοίγουν τεράστιες «τρῦπες» ἀσφαλείας, ἰδίως σέ ἀνύποπτους χρῆστες ἤ σέ τηλέφωνα μέ παλαιότερο λειτουργικό σύστημα.
Ἐνδεικτικά, στό Play Store τῆς Google καταγράφονται περισσότερες ἀπό 1.000.000 ἐγκαταστάσεις γιά κάθε μία ἀπό τίς ἐφαρμογές «COVID Free GR» καί «COVID Free GR Wallet», 500.000+ ἐγκαταστάσεις γιά τίς ἐφαρμογές «GOV.GR» καί «GOV GR Wallet», 100.000+ γιά τήν ἐφαρμογή «MyHealth» καί τοὐλάχιστον 1.000 γιά τήν ἐφαρμογή «MyAttica» (γιά τήν Περιφέρεια Ἀττικῆς), δηλαδή περισσότερες ἀπό 3.500.000 ἐγκαταστάσεις, ἐάν προστεθοῦν καί κινητά ἤ tablet τῆς Apple. Τά δεδομένα ἀπό ἑκατομμύρια κινητά τηλέφωνα μπορεῖ νά μήν ἀφοροῦν μόνο (ὅπως δηλώνεται ἀπό τόν κατασκευαστή τῶν ἐφαρμογῶν στήν παραχώρηση δικαιωμάτων πού ζητεῖται πρίν τήν ἐγκατάσταση) π.χ. τυχόν δυνατότητα ἐνεργοποίησης τῆς κάμερας γιά λήψη φωτογραφιῶν καί video, ἤ τόν πλήρη ἔλεγχο τοῦ ἐπιλεγμένου ἀποθηκευτικοῦ χώρου (ἐσωτερική μνήμη ἤ κάρτα SD) γιά τροποποίηση ἤ διαγραφή καί ἀνάγνωση περιεχομένου, ἤ ἀκόμη τήν πλήρη πρόσβαση στό δίκτυο καί τίς συνδέσεις δικτύου, τήν ἀκριβή,ἀκριβῆ θέση τοῦ κινητοῦ τηλεφώνου, ἤ τήν ἐπικοινωνία χωρίς κρυπτογράφηση (!), ἀλλά καί τήν ἀδιανόητη παραχώρηση ἄδειας... ἀναγνωριστικοῦ διαφήμισης, ἀπό τήν ὁποία παράγονται «πλούσια» δεδομένα.
Ἡ προσπάθεια web ὑλοποίησης τοῦ MyHealth στό gov.gr παραπέμπει σέ... μή ἀσφαλῆ ἱστοσελίδα (http -χωρίς κρυπτογράφηση), γιά διαχείριση εὐαίσθητων προσωπικῶν δεδομένων!
Ἡ ὑπόθεση μέ τά «Big Data» πού συγκεντρώθηκαν τούς τελευταίους μῆνες ἀπό τίς ἐφαρμογές παραπέμπει σέ ἀντίστοιχη (στατιστική ἔστω) ἀξιοποίηση τῶν εὐαίσθητων προσωπικῶν δεδομένων πού ἐπεξεργάστηκε ἡ ἀμφιλεγόμενη Palantir καί στήν Ἑλλάδα, μέ ἀφορμή τήν πανδημία (καί τήν ἀντίστοιχη τῆς Cisco ἀπό τήν ἐξ ἀποστάσεως ἐκπαίδευση τῶν μαθητῶν) -συμβάσεων πού ἀκόμη παραμένουν ἀδιαφανεῖς ὡς πρός τόν σκοπό καί τά ἀποτελέσματα, τό οἰκονομικό σκέλος ἤ τίς δυνατότητες στόχευσης τῶν χρηστῶν. Ἐδῶ νά θυμίσουμε ὅτι πέραν τῆς ἐμπλοκῆς τῆς ἀμερικανικῆς Palantir σέ ζητήματα «κοινωνικῆς μηχανικῆς» στό Meta/Facebook στίς ἀμερικανικές ἐκλογές, πρόκειται γιά μιά ἑταιρεία πού στήν ἀρχική της φάση εἶχε συγχρηματοδοτηθεί καί ἀπό τή CIA, ἐνῶ στό πελατολόγιό της συγκαταλέγονται ἀμερικανικές καί ἄλλες δυτικές μυστικές ὑπηρεσίες.
Follow the money
Ἡ ἄδεια ἀναγνωριστικοῦ διαφήμισης δίνει στόν διαχειριστή τῶν ἐφαρμογῶν τή δυνατότητα νά παρακολουθεῖ τή δραστηριότητα τοῦ χρήστη τοῦ κινητοῦ τηλεφώνου στό διαδίκτυο, συλλέγοντας προσωπικά δεδομένα -μερικές φορές εὐαίσθητα, ἄλλες φορές ἁπλῶς στατιστικά- τά ὁποῖα ἐμφανῶς ἀξιοποιεῖ, ἀφοῦ ζητᾶ τή σχετική ἄδεια κατά τή διάρκεια τῆς ἐγκατάστασης. Πίο πρακτικοί ἄνθρωποι οἱ διαφημιστές, προτιμοῦν τόν ὅρο «monetize» (νομισματοποίηση) -καί δέν ἀναφερόμαστε μόνο σέ ἀδιαφανῆ ἔσοδα, ἀλλά καί στήν κάθε εἴδους ἀξιοποίηση «Big Data» στήν Οἰκονομία, τήν Κοινωνία καί τήν Πολιτική.
Ἀποτυπώνοντας τήν ἀξία τῶν προσωπικῶν δεδομένων κάθε χρήστη π.χ. στά 30 εὐρώ (δεδομένα ἀγοράς), σέ μερικά ἑκατομμύρια ἐγκαταστάσεις αὐτῶν τῶν ἐφαρμογῶν ἡ ἀξία πού δημιουργεῖται (δυνητικά πάνω ἀπό 90-100 ἑκατ. εὐρώ ἐτησίως) εἶναι... ἐνδιαφέρουσα, καθώς δέν ἔχουμε ἀντιληφθεῖ νά ἔχει ἀποτυπωθεῖ λογιστικά, οὔτε νά συνάδει πρός τόν δημοσιευμένο σκοπό δημιουργίας αὐτῶν τῶν ἐφαρμογῶν.
Ὀπως σημειώνει ἡ Google στόν ἀναλυτικό ὁδηγό της, «τό ἀναγνωριστικό διαφήμισης εἶναι ἕνα μοναδικό ἀναγνωριστικό γιά διαφημίσεις, τό ὁποῖο παρέχεται ἀπό τίς ὑπηρεσίες Google Play (καί τίς ἀντίστοιχες στό AppStore τῆς Apple). Προσφέρει στούς χρῆστες καλύτερα στοιχεῖα ἐλέγχου καί παρέχει στούς προγραμματιστές ἕνα ἁπλό, τυποποιημένο σύστημα γιά νά συνεχίσουν νά δημιουργοῦν ἔσοδα ἀπό τίς ἐφαρμογές τους». Ἡ Google φυσικά ἐπιτρέπει στούς χρῆστες νά ἐπαναφέρουν τό ἀναγνωριστικό τους ἤ νά ἐξαιρεθοῦν ἀπό τήν προβολή ἐξατομικευμένων διαφημίσεων (παλαιότερα γνωστές ὡς «διαφημίσεις βάσει ἐνδιαφέροντος») καί ἀποσυνδέει μερικῶς τόν χρήστη, τά στοιχεῖα ὅμως ἐξακολουθοῦν νά συγκεντρώνονται καί παραμένουν στατιστικῶς σημαντικά.
Εἶναι προφανές ὅτι κάποιες ἀπό αὐτές τίς ἐφαρμογές, ὅπως π.χ. αὐτή μέ τίς... λιγότερες ἐγκαταστάσεις (MyHealth) μπορεῖ νά παρέχουν ἐξαιρετική πληροφόρηση στούς πιό εὐάλωτους συμπολῖτες μας, ὅμως εἶναι ἀδιανόητο νά φορτώνονται μέ δυνατότητες πού εὔκολα μπορεῖ νά «παρεξηγηθοῦν». Καθώς περνᾶμε σέ ἕνα στάδιο ὡρίμανσης τῆς ψηφιακῆς γραφειοκρατίας, τέτοιες προσχεδιασμένες «τρῦπες» ἀσφαλείας σέ τόσα μαζικά application-ἐφαρμογές εἶναι ἀπαράδεκτες καί προβληματικές γιά τόν ἐμπνευστή τους.
Συγκατάθεση
Τό ὑπουργεῖο Ψηφιακῆς Διακυβέρνησης δηλώνει ὅτι δέν διαβιβάζει δεδομένα προσωπικοῦ χαρακτῆρα τῶν χρηστῶν σέ τρίτη χώρα ἤ διεθνῆ ὀργανισμό (βλ. Πολιτική Προστασίας Προσωπικῶν Δεδομένων) -πάντως, νομικοί μέ τούς ὁποίους μιλήσαμε θεωροῦν ὅτι πρέπει νά συμπληρωθεῖ αὐτή ἡ δήλωση, γιά φυσικά πρόσωπα ἤ ἑταιρεῖες.
Στή σύμβαση συναίνεσης (End User License Agreement-EULA) πού ἀπαιτοῦν οἱ ἐφαρμογές γιά νά ἐγκατασταθοῦν καί νά λειτουργήσουν, ὁ κατασκευαστής δίνει τά πλήρη στοιχεῖα τοῦ Ὑπεύθυνου Ἐπεξεργασίας, τούς σκοπούς ἐπεξεργασίας καί τή σχετική νομική βάση. Ἐτσι, ὁ κάτοχος τοῦ τηλεφώνου ἔχει δικαίωμα ἐναντίωσης στήν ἐπεξεργασία τῶν δεδομένων, ἀνακαλῶντας τή συγκατάθεσή του στήν ἐγκατάσταση, χωρίς ἡ ἀνάκληση αὐτή νά ἐπηρεάζει τή νομιμότητα τῆς ἐπεξεργασίας γιά τό χρονικό διάστημα πού μεσολάβησε πρό τῆς ἀνάκλησης τῆς συγκατάθεσης - σέ ἁπλά ἑλληνικά, ἐκτός ἀπό τήν ἔγγραφη ἀνάκληση, πρέπει νά ἀπεγκαταστήσει τήν ἐφαρμογή.
Γιά τίς συγκεκριμένες ἐφαρμογές τά αἰτήματα ἀνάκλησης ἐξετάζονται μέσα σέ προθεσμία πού δέν πρέπει νά ξεπερνᾶ 1-3 μῆνες καί πρέπει νά ἀπευθύνονται στόν Ὑπεύθυνο Προστασίας Δεδομένων τοῦ ὑπουργείου Ψηφιακῆς Διακυβέρνησης (Data Protection Officer -DPO), στή διεύθυνση dpo@mindigital.gr ἤ στό τηλέφωνο 210-9098000 ἤ στήν ταχυδρομική διεύθυνση Φραγκούδη 11 & Ἀλεξάνδρου Πάντου, Τ.Κ. 10163, Καλλιθέα, μέ σημείωση στόν φάκελο «Γιά τόν Ὑπεύθυνο Προστασίας Δεδομένων».
Ἐπίσης, οἱ χρῆστες ἔχουν δικαίωμα νά προσφύγουν στήν Ἀρχή Προστασίας Δεδομένων Προσωπικοῦ Χαρακτῆρα γιά ζητήματα πού ἀφοροῦν τήν ἐπεξεργασία προσωπικῶν τους δεδομένων, στήν ταχυδρομική διεύθυνση λεωφ. Κηφισίας 1-3, Τ.Κ. 115 23, Ἀθήνα, τηλ. 210 6475600 (e-mail: contact@dpa.gr).
«Homo Digitalis»
Προβληματική ἡ διαφημιστική προώθηση
Ὁ κ. Λευτέρης Χελιουδάκης, γραμματέας τῆς «Homo Digitalis» (Μή Κερδοσκοπική Ὀργάνωση) τονίζει ὅτι τά προσωπικά δεδομένα πού ἐπιλέγονται γιά ἐπεξεργασία πρέπει νά εἶναι ἄρρηκτα συνδεδεμένα μέ τόν σκοπό τῆς ἐπεξεργασίας. Ἄν χρησιμοποιοῦνται προσωπικά δεδομένα γιά ἄλλες χρήσεις, θά πρέπει καί αὐτοί οἱ σκοποί νά φαίνονται στήν πολιτική ἀπορρήτου (π.χ. τά διαφημιστικά cookies). Ἐάν ἡ ἐφαρμογή δέν ἔχει κάποιο σκοπό ὁ ὁποῖος νά δικαιολογεῖ τή χρήση π.χ. τοποθεσίας ἤ ἀναγνωριστικοῦ διαφήμισης κ.λπ. καί ὁ χρήστης δέν μπορεῖ νά τήν ἀπενεργοποιήσει, τότε ὑπάρχει πρόβλημα. Τό νά συμπεριλαμβάνεις σέ μιά ἐφαρμογή τῆς διοίκησης καί ζητήματα διαφημιστικῆς προώθησης, δημιουργεῖ πρόβλημα γι' αὐτόν πού ἐπωφελεῖται αὐτῆς τῆς γνώσης γιά νά στοχεύσει διαφημιστικά κάποιον ἀνάλογα μέ τήν τοποθεσία του ἤ τίς ἐφαρμογές πού χρησιμοποιεῖ ἤ τό ἱστορικό περιήγησης.
Τί ἀπαντᾶ τό ἁρμόδιο ὑπουργεῖο Ψηφιακῆς Διακυβέρνησης
Τά βασικά εὑρήματα τέθηκαν ὑπόψη του ὑπουργείου Ψηφιακῆς Διακυβέρνησης τή Δευτέρα 21/11 καί ζητήθηκαν συγκεκριμένες ἀπαντήσεις:
Ποιά ἡ χρησιμότητα καί ἡ ἀξιοποίηση τῆς ἄδειας ἀναγνωριστικοῦ διαφήμισης σέ mobile ἐφαρμογές τοῦ GOV.GR;
Γιατί ζητεῖται ἄδεια πρόσβασης στήν ἀκριβῆ τοποθεσία τοῦ κινητοῦ;
Ἐχει ἐλεγχθεῖ ὁ κώδικας τῶν ἐφαρμογῶν ἀπό ἀνεξάρτητη ὑπηρεσία γιά τήν ἀσφάλεια τῶν προσωπικῶν δεδομένων;
Οἱ ἀπαντήσεις τοῦ κ. Κώστα Χαμπίδη, διευθυντῆ τοῦ γραφείου τοῦ ὑπουργοῦ Ψηφιακῆς Διακυβέρνησης, ἔχουν ἐνδιαφέρον (καί εἰδήσεις):
- Γιά τό ἀναγνωριστικό διαφήμισης, ὁ κ. Χαμπίδης ἐπιφυλάχτηκε νά ἀπαντήσει. Μέχρι χθές τό βράδυ δέν ὑπῆρξε κάποια ἀπάντηση.
- Οἱ πληροφορίες γιά τήν ἀκριβή,ἀκριβῆ θέση τοῦ κινητοῦ (geolocation) ἀξιοποιοῦνται ἀπό τήν Πολιτική Προστασία, μέσῳ δυνατότητας ἀποστολῆς μηνύματος ἀπό τήν ἐφαρμογή GOV.GR πρός τό 112 μέ πληροφορίες γιά τήν ἀκριβή,ἀκριβῆ γεωγραφική θέση τοῦ χρήστη, σέ περίπτωση πού ἀναζητᾶ βοήθεια. Γιά τήν καταγραφή τῶν πληροφοριῶν θέσης ἀπό τηλέφωνα Apple σέ ὅλες τίς ἐφαρμογές, ἐπιφυλάχθηκε νά ἀπαντήσει ὁ κ. Χαμπίδης.σε πρώτη ἀνάγνωση καί ὑπό τήν προϋπόθεση τῆς συναίνεσης τοῦ χρήστη, δείχνει ἐνδιαφέρουσα λειτουργία ἰδίως σέ μαζικά αἰτήματα, ἐνδεχομένως συναισθηματικά φορτισμένη. Ἐρωτηματικό γιά ἐμᾶς παραμένει ἐάν τό 112 βρίσκει τήν τοποθεσία τοῦ χρήστη σέ ἁπλή κλήση (ὅπως διαφημίζει) καί ἐάν θά ἦταν πιό ἀποτελεσματική μιά λιτή ἀποστειρωμένη ἐφαρμογή τύπου «Panic Button» πού δέν ἀξιοποιεῖ προσωπικά δεδομένα.
- Ὁ πυρῆνας τῶν ἐφαρμογῶν τοῦ GOV.GR ὑλοποιεῖται κυρίως ἀπό τό Ἐθνικό Δίκτυο Ὑποδομῶν Τεχνολογίας καί Ἐρευνας (ΕΔΥΤΕ) καί τήν Ἠλεκτρονική Διακυβέρνηση Κοινωνικῆς Ἀσφάλισης (ΗΔΙΚΑ), ἐνῶ ἡ ὑλοποίηση τῆς ἐπικοινωνίας μέ τόν χρήστη (User Interface) γίνεται ἀπό ἐξειδικευμένες ἑταιρεῖες -π.χ. στό GOV.GR WALLET τό ἔγγραφο παράγεται μέ εὐθύνη τοῦ δημόσιου τομέα καί ἀπεικονίζεται στό περιβάλλον πού ἔχει ἀναπτύξει ἡ ἑταιρεία-συνεργάτης. Ὁ κώδικας τῆς ἐφαρμογῆς ἀργά ἤ γρήγορα ἐλέγχεται ἀπό τά δύο μεγάλα ἀποθετήρια ἐφαρμογῶν. Ὁ κ. Χαμπίδης τονίζει ὅτι οἱ σημαντικές πληροφορίες παραμένουν στόν ἔλεγχο τοῦ δημοσίου τομέα καί ἀκόμη ὅτι οἱ ἀνεξάρτητες ἀρχές δέν ἔχουν διαδικασίες ἐλέγχου κώδικα ἐφαρμογῶν.
Ἀπό τή συζήτηση προέκυψε ἡ πρόθεση νά ἀνοίξει σέ μεσοπρόθεσμο χρονικό ὁρίζοντα ὁ κώδικας τῶν βασικῶν ἐφαρμογῶν στό GitHub, γιά νά βοηθήσει καί στήν αὔξηση τῆς ἐμπιστοσύνης τῶν χρηστῶν.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου