Com els funcionaris estableixen l'esclavitud digital per als ciutadans

2024 Autora: Seth Attwood | [email protected]. Última modificació: 2023-12-16 16:00

Fins fa poc, els passis digitals per moure's per la ciutat semblaven als russos com un element salvatge d'una distòpia ciberpunk. Avui és una realitat, a més: des d'ahir a Moscou s'han convertit en obligatoris per a la circulació en transport públic. Com va passar, per què molts països han creat sistemes de control digital per al moviment dels ciutadans i si aquesta vigilància s'aturarà després del final de la pandèmia, en un nou material d'investigadors del Centre de Solucions de Gestió Avançada.

Context general

La tendència general de la resposta dels països a l'epidèmia de coronavirus és reforçar el control sobre els ciutadans. A partir de l'anàlisi de les dades d'operadors mòbils, bancs, agències d'aplicació de la llei, l'estat calcula els contactes dels infectats i també supervisa el compliment dels ciutadans amb l'autoaïllament i la quarantena. Moltes publicacions sobre aquest tema plantegen qüestions sobre la privadesa i l'observança dels drets dels ciutadans, dibuixant un panorama desolador d'una “societat de vigilància”.

Hem recollit diversos episodis de la implantació de mesures especials de control digital per part de diferents estats i hem intentat entendre els riscos que comporten aquestes mesures pel fet que l'accés a la informació sobre el moviment i la vida personal dels ciutadans es facilita a diversos departaments burocràtics alhora..

Israel: policia, agències d'intel·ligència, Ministeri de Salut

Què va passar?

El 19 de març, el govern israelià va introduir la quarantena parcial a tot el país. Com a part de les mesures provisionals uns dies abans, els dies 15 i 17 de març, les autoritats van emetre dues ordres d'emergència que ampliaven els poders policials per dur a terme escorcolls i també van permetre al Servei de Seguretat d'Israel (Shin Bet) utilitzar la vigilància digital per combatre l'epidèmia de coronavirus. … …

Qui exerceix el control i com?

Tots els ciutadans del país infectats amb el coronavirus, així com els que han entrat en contacte amb ells, es posen en quarantena obligatòria de dues setmanes. En el marc de les ordres d'emergència, la policia, com a mesura provisional, podrà determinar la geolocalització actual d'aquestes persones a costa de les dades de les torres mòbils sense una decisió judicial addicional. Al seu torn, els serveis especials podran accedir no només a la ubicació actual d'una persona, sinó també a la història dels seus moviments. A més, el Ministeri de Salut d'Israel ha llançat la seva pròpia aplicació per a telèfons intel·ligents que actualitza contínuament les dades d'ubicació de les persones infectades rebudes dels agents de l'ordre i avisa l'usuari si està a prop d'ells.

D'una banda, això permet no només comprovar amb quina consciència una persona compleix el règim de quarantena, sinó també identificar un cercle aproximat de contactes amb altres persones que també es podrien infectar. Però, d'altra banda, en temps normals, aquestes tecnologies de "seguiment digital dens" només s'utilitzen per atrapar delinqüents i terroristes.

Aquests poders extraordinaris de les forces de seguretat duraran fins a mitjans de juny; després d'això, totes les dades rebudes s'han de destruir. No obstant això, el Ministeri de Sanitat podrà allargar dos mesos el període d'emmagatzematge de les dades recollides d'aquesta manera per a investigacions addicionals.

Corea del Sud: Policia i autocontrol civil

Què va passar?

El febrer de 2020, la República de Corea es va convertir en un dels països de més ràpid creixement per a l'epidèmia de coronavirus.

Les autoritats van poder fer el primer nivell de manera bastant ràpida i eficaç i després reduir la taxa de propagació de la infecció

Això es deu en part al fet que Corea té una gran experiència en la lluita contra l'epidèmia: el 2015, el país es va enfrontar a un brot de la síndrome respiratòria de l'Orient Mitjà (MERS), després del qual es va desenvolupar tot un sistema de mesures epidemiològiques. No obstant això, el factor decisiu va ser l'organització de l'enviament massiu de notificacions sobre cada cas d'infecció amb informació detallada sobre la persona infectada (edat, sexe, descripció detallada dels seus moviments recents i contactes; en alguns casos, s'informava si la persona tenia una màscara, etc.). Aquest correu no hauria estat possible sense un sistema potent i a gran escala de control digital sobre el moviment i els contactes dels ciutadans de Corea del Sud.

Qui exerceix el control i com?

Actualment funcionen al país diversos serveis que utilitzen dades personals per tal de proporcionar informació sobre la propagació del coronavirus. Per exemple, el web de Coroniata publica informació sobre el nombre total de casos, així com sobre les zones on es van registrar els brots d'infecció més grans. El segon recurs, Coronamap, és un mapa que mostra quan i en quins llocs es van registrar tots els casos aïllats d'infecció. El govern coreà també ha llançat una aplicació oficial per a telèfons intel·ligents per fer un seguiment del compliment de la quarantena de les persones infectades.

La República de Corea té una infraestructura digital molt desenvolupada, de manera que el seguiment i la verificació de dades no és un problema per al govern. Per millorar la precisió de l'anàlisi, a més de les dades de torres mòbils i GPS, s'utilitzen dades de transaccions realitzades amb targetes bancàries, sistemes de videovigilància de la ciutat i tecnologies de reconeixement facial.

Aquesta "obertura" forçada, d'una banda, demostra la seva eficàcia per contenir l'epidèmia, però, de l'altra, comporta efectes socials negatius. A més del fet que els mateixos infectats amb la infecció senten una sensació de vigilància constant, altres persones -"atzars"- també cauen a la zona de control.

Com que cada cas d'infecció es mostra en un mapa, alguns coreans, fins i tot no estar infectats, però corresponents als "punts" rastrejats, estan subjectes a pressió pública.

Així, els ciutadans coreans proactius s'uneixen a la policia i als funcionaris en la vigilància digital entre ells.

Alternativa: Polònia vs Comissió Europea

A la Unió Europea, va aparèixer a Polònia una de les primeres aplicacions per controlar els ciutadans obligats a complir amb una quarantena de 14 dies. Les autoritats exigeixen la instal·lació de l'aplicació per part dels ciutadans sans que hagin entrat en contacte amb persones infectades o potencialment infectades, així com per a tothom que torni de l'estranger. Des de principis d'abril, la instal·lació de l'aplicació esdevé obligatòria per llei.

L'aplicació Home Quarantine (Kwarantanna domowa) envia una notificació aleatòriament diverses vegades al dia amb el requisit de pujar la teva pròpia foto (selfie) en 20 minuts. Segons el lloc web del govern polonès, l'aplicació comprova la ubicació de l'usuari (per GPS) i també utilitza el reconeixement facial. Si no es compleix la petició de pujar una foto, la policia pot acudir a l'adreça. Segons el reglament, el Ministeri de Digitalització emmagatzemarà les dades personals dels usuaris durant 6 anys després de la desactivació de l'aplicació (d'acord amb el Codi Civil), a excepció de les fotos que s'eliminen immediatament després de la desactivació del compte.

A més de Polònia, han aparegut o es van començar a desenvolupar aplicacions pròpies en altres països europeus, per exemple a Àustria (amb la participació de la Creu Roja local), França, Irlanda i Alemanya.

En aquest context, la Comissió Europea va proposar fer una aplicació paneuropea per al seguiment de la propagació del coronavirus d'acord amb les recomanacions especials per al seu desenvolupament, basades en la llei de protecció de dades personals a la UE

Entre els principis enumerats de la futura aplicació, s'indica l'eficiència de l'ús de les dades des del punt de vista mèdic i tècnic, el seu complet anonimat i l'ús només per crear un model de propagació del virus. Per reduir el risc de filtració de dades personals, els desenvolupadors d'aplicacions hauran d'adherir-se al principi de descentralització: la informació sobre els moviments d'una persona infectada només s'enviarà als dispositius de les persones que podrien contactar amb ell. Per separat, s'ha subratllat que les mesures que es facin han de ser justificades i temporals.

La data límit per presentar propostes per a l'aplicació d'aquestes mesures és el 15 d'abril. A més, abans del 31 de maig, els estats membres de la UE hauran d'informar la Comissió Europea de les accions realitzades i posar-les a disposició per a la revisió per parells dels membres de la UE i la Comissió Europea. La Comissió Europea avaluarà el progrés realitzat i publicarà periòdicament informes a partir del juny amb noves recomanacions, inclosa l'eliminació de les mesures que ja no són necessàries.

Rússia: el Ministeri de Telecomunicacions i Comunicacions de masses, operadors mòbils i regions

Què va passar?

Des de finals de febrer fins a principis de març, després de la introducció de mesures per contrarestar la propagació del coronavirus, a Rússia van aparèixer els primers casos de reforç del control de la població mitjançant mitjans tècnics. Segons Mediazona, els policies van acudir al violador de la quarantena amb una fotografia, probablement feta per una càmera, que estava connectada a un sistema de reconeixement facial. Mikhail Mishustin va ordenar al Ministeri de Telecomunicacions i Comunicacions Massives que creï abans del 27 de març un sistema per rastrejar els contactes de pacients amb infecció per coronavirus basat en les dades dels operadors cel·lulars. Segons Vedomosti, l'1 d'abril aquest sistema ja funcionava. Paral·lelament, les entitats constitutives de la Federació Russa van començar a desenvolupar les seves solucions. A Moscou, a principis d'abril, van posar en marxa un sistema de seguiment de pacients amb coronavirus mitjançant l'aplicació Social Monitoring, i també van preparar la introducció de passis amb codis especials (el decret sobre la seva introducció es va signar l'11 d'abril). A la regió de Nizhny Novgorod, la primera de les regions, es va introduir el control mitjançant codis QR, a Tatarstan, per SMS.

Qui exerceix el control i com?

El control digital cobreix principalment els ciutadans infectats o en quarantena oficial. Per fer un seguiment dels seus moviments, el Ministeri de Telecomunicacions i Comunicacions Masses demana "dades de números i dates d'hospitalització o data de quarantena". Aquestes dades es transmeten als operadors mòbils, que controlen el compliment de les condicions de quarantena. El infractor de les condicions rep un missatge i, en cas de violació reiterada, les dades es transfereixen a la policia. Segons Vedomosti, els funcionaris responsables de les entitats constitutives de Rússia introduiran dades al sistema. Al mateix temps, Roskomnadzor creu que l'ús de números sense especificar adreces i noms dels subscriptors dels operadors mòbils no viola la llei de dades personals.

A més d'aquestes mesures, a Moscou es controla la geolocalització dels pacients mitjançant l'aplicació Social Monitoring instal·lada als telèfons intel·ligents específicament destinats als ciutadans. Per confirmar la informació que l'usuari es troba a casa, al costat del telèfon, l'aplicació requereix periòdicament que es faci una foto

Segons el cap del Departament de Tecnologia de la Informació de Moscou (DIT), la transferència de dades sobre l'usuari està regulada per un acord que signa en triar l'opció de tractament a casa. S'emmagatzemen als servidors DIT i s'eliminaran després del final de la quarantena. A més, s'exerceix el control de tots els cotxes dels que estan obligats a seure en quarantena oficial (pacients i els seus éssers estimats), així com a través del sistema de videovigilància de la ciutat.

L'11 d'abril, l'alcalde de Moscou va signar un decret sobre la introducció de passis digitals per viatjar a Moscou i la regió de Moscou amb transport públic i privat. Els abonaments es van començar a emetre el 13 d'abril i es van fer obligatoris el 15, es poden obtenir al web de l'alcalde de Moscou, per SMS o trucant al servei d'informació. Per emetre un abonament, heu de proporcionar dades personals, com ara el passaport, el número de cotxe o el carnet de transport públic (targeta Troika), així com el nom de l'empresari amb NIF o ruta de viatge. El passi no és necessari per moure's per la ciutat a peu, subjecte a les restriccions introduïdes anteriorment.

També s'han introduït passis per controlar el moviment dels ciutadans a altres regions russes:

El 30 de març, el governador de la regió d'Astrakhan, Igor Babushkin, va signar una ordre sobre passis especials durant la quarantena. El 13 d'abril es va posar en marxa una plataforma electrònica per a l'emissió de passis a la regió. Les sol·licituds es presenten en un lloc web especial, s'envia un passi amb un codi QR al correu electrònic del sol·licitant. El governador també va donar instruccions per comprovar els passis emesos anteriorment segons les llistes facilitades per les organitzacions.

A la regió de Saratov el 31 de març es va introduir un sistema de passades. Inicialment, es va determinar que els abonaments per a la ciutadania treballadora s'emetran en paper amb la necessitat de certificació a les administracions. El primer dia, això va provocar cues, com a conseqüència, el llançament del sistema d'accés es va retardar. El govern autonòmic ha afegit l'opció d'obtenir els abonaments per via telemàtica. La introducció dels passis es va ajornar dues vegades més.

El 31 de març, Tatarstan va aprovar el procediment per a l'emissió de permisos per a la circulació de ciutadans. Els permisos s'emeten mitjançant un servei d'SMS: primer cal registrar-se i rebre un codi únic, després enviar una sol·licitud per a cada moviment. El decret defineix els casos per als quals no cal autorització. Per als ciutadans que treballen, es proporciona un certificat de l'empresari. Després del llançament, es van fer canvis al servei: el 5 d'abril es va limitar la llista de dades necessàries per al registre i el 12 d'abril es va augmentar l'interval entre l'emissió de permisos per combatre l'abús del sistema.

A la regió de Rostov, el governador Vasily Golubev va introduir l'1 d'abril el requisit per a l'emissió de certificats als empleats de les organitzacions que continuen operant durant l'epidèmia. El 4 d'abril es va reforçar el control dels cotxes a l'entrada de Rostov-on-Don, fet que va provocar molts quilòmetres d'embussos. El 7 d'abril, Rostovgazeta.ru va informar que les autoritats regionals estan considerant la possibilitat d'introduir un "pass intel·ligent".

A la regió de Nizhny Novgorod, el mecanisme de control va ser aprovat pel decret del governador Gleb Nikitin el 2 d'abril. La sol·licitud d'un passi es fa mitjançant el servei "Targeta d'un resident de la regió de Nizhny Novgorod" en un lloc web especial o mitjançant una aplicació mòbil per a dispositius Apple, així com trucant al servei d'assistència. Després de considerar la sol·licitud, el sol·licitant rep una passada en forma de codi QR per a un telèfon intel·ligent o un número d'aplicació. Per a les persones jurídiques, hi ha un procediment per emetre confirmacions que poden operar en dies inhàbils a causa de l'epidèmia.

El 12 d'abril, en el context de la creació de diverses solucions digitals per al control d'accés a nivell regional, el Ministeri de Telecomunicacions i Comunicacions Massives de la Federació de Rússia va llançar l'aplicació federal "State Services Stopcoronavirus" (disponible per a dispositius Apple i Android) en format de prova. Segons el ministeri, l'aplicació es pot adaptar a les condicions d'una regió específica, excepte Moscou, on hi ha una solució diferent (vegeu més amunt). Sense les decisions pertinents de les autoritats regionals, la sol·licitud del Ministeri de Telecomunicacions i Comunicacions de Mass no és obligatòria. La primera regió on s'utilitzarà aquesta solució serà la regió de Moscou - ho va anunciar el governador Andrei Vorobyov la tarda del 12 d'abril.

L'Estat protegirà les dades personals?

Comentari de l'especialista en seguretat de la informació Ivan Begtin

L'enfocament europeu per intentar adaptar-se als requisits legals de protecció de dades és, en general, correcte. La UE presta més atenció i recursos a aquestes qüestions que a Rússia. Però hem d'entendre que ningú està protegit del problema de la fuga de dades, principalment pel factor humà. Ja hi ha hagut precedents, per exemple, filtracions de dades de votants a Turquia, casos amb empreses privades. Ara, quan es creen sistemes en marxa, no descartaria aquesta possibilitat. Amb les dades de "Gosuslug" això encara no ha passat, però, potser, tot té el seu moment.

Els motius poden variar. Posem per cas la manca de seguretat d'una base de dades a la qual s'accedeix de forma remota. Els pirates informàtics o especialistes en seguretat poden detectar-ho i obtenir tota la informació. Hi ha serveis especials Censys i Shodan que s'utilitzen per cercar aquestes vulnerabilitats tècniques.

Una altra opció és quan les dades s'utilitzen malament amb intenció directa. És a dir, les persones que tenen accés a bases de dades ho fan servir per extreure beneficis.

Té sentit supervisar diferents serveis per a la gent que "s'ha de trencar". A Rússia, per exemple, hi ha uns cinc serveis d'aquest tipus que ofereixen un servei de control de persones

És a dir, no és necessari que es fusioni tota la base de dades, però les persones que hi tinguin accés remot poden "punxar" persones i vendre aquesta informació. Això ho poden fer els funcionaris, els contractistes que van participar en la creació d'aquests sistemes. És a dir, persones que hi tenen accés. A Rússia, això és força comú: si cerqueu a Internet serveis de "perforació", en podeu trobar molts. Sovint es tracta de dades del Ministeri de l'Interior, la policia de trànsit, el Servei Federal de Migració i altres organitzacions governamentals.

Els temors que l'estat pugui mantenir la infraestructura de control sobre els ciutadans no són infundats. En principi, tothom que recull dades no vol separar-s'hi. El mateix passa amb les xarxes socials: si hi arribeu, el més probable és que la informació sobre vosaltres encara hi romangui, encara que hàgiu esborrat el vostre compte. Els serveis públics tenen un interès molt ampli per recollir dades sobre la ciutadania i aprofitaran la situació actual. Al mateix temps, ells, fins i tot sota la pressió d'organitzacions públiques, es comprometen públicament a eliminar les dades després del final de la pandèmia. Però, de totes maneres, la motivació per preservar aquesta infraestructura és molt alta per part de les agències governamentals.

Per què passa això?

Per garantir el control de la propagació de l'epidèmia, les agències governamentals de diferents països estan actuant de manera similar: estan ampliant les seves eines per fer un seguiment dels moviments i contactes dels ciutadans. Aquestes mesures addicionals van més enllà del que es considera acceptable en temps normals, però aquestes accions dels governs han trobat poca resistència per part dels ciutadans. Això es pot explicar pel concepte de titulització política.

La titulització és un terme encunyat originalment per l'Escola d'Estudis de Seguretat de Copenhaguen Barry Buzan, Ole Wever i Jaap de Wilde. En un llibre de 1998, defineixen la titulització com "una acció que porta la política fora de les regles de joc establertes i presenta el tema com una cosa per sobre de la política". La securitització comença amb un actor (per exemple, líder polític, govern) que utilitza termes relacionats amb seguretat, amenaça, guerra, etc., dins del discurs ordinari, i l'audiència accepta aquesta interpretació. L'èxit d'una titulització consta de tres elements:

l'ús de la "gramàtica de seguretat" a l'hora de presentar una pregunta, és a dir, a nivell lingüístic, presentar-la com una amenaça existencial (en el cas d'una epidèmia de coronavirus, això és, per exemple, l'ús de vocabulari militaritzat i la comparació de la lluita). contra l'única fila amb els judicis històrics del país);

l'actor té una autoritat significativa perquè l'audiència percebi la seva interpretació i “intrusió en el discurs” (lideratge del país, professionals de la medicina, OMS);

la connexió de l'amenaça actual amb alguna cosa del passat que realment representava aquesta amenaça (l'experiència d'epidèmies anteriors, incloses les històriques, per exemple, la pesta a Europa, contribueix a la percepció com a tal de l'epidèmia actual).

L'atenció global al problema del coronavirus també serveix com a exemple de titulització: les enquestes a Rússia i altres països mostren un augment de les pors sobre l'epidèmia.

Les societats accepten la interpretació dels actors de la titulització, legitimant així una desviació de les regles habituals per combatre l'amenaça, inclosa la introducció de controls digitals especials que en general violen els nostres drets de privadesa

Des d'una perspectiva de gestió de crisi, la titulització té clars beneficis. La introducció de mesures d'emergència pot accelerar la presa de decisions i la implementació i reduir els riscos que suposa l'amenaça. Tanmateix, el procés de titulització s'associa amb conseqüències negatives tant per al sistema d'administració pública com per al conjunt de la societat.

En primer lloc, la introducció de noves mesures d'emergència redueix la responsabilitat de les autoritats. Durant una crisi, els instruments de control civil, incloses les noves mesures de seguretat, poden estar limitats o simplement no estar construïts. La manca de responsabilitat augmenta la probabilitat d'errors accidentals i d'abús deliberat per part dels funcionaris de base. Un exemple d'això són les violacions per part d'oficials d'intel·ligència nord-americans, que es coneixen gràcies a la filtració organitzada per Edward Snowden. Utilitzant eines de control digital que van caure a les seves mans, diversos empleats de la NSA les van utilitzar per espiar els seus cònjuges o amants. A més, durant el mateix període, l'FBI va abusar de l'accés a les dades de la NSA sobre ciutadans nord-americans, en molts casos sense una justificació legal suficient.

En segon lloc, la titulització de qualsevol emissió comporta el risc que algunes de les mesures introduïdes amb caràcter d'urgència no s'anul·lin immediatament després del final del període de crisi i de la normalització de la situació

Un exemple d'això és la Patriot Act, aprovada als Estats Units l'octubre de 2001 després dels atemptats de l'11 de setembre, que va ampliar la capacitat del govern per espiar els ciutadans. Els termes d'acció de moltes disposicions de la llei havien de caducar a partir de finals de 2005, però en realitat es van ampliar repetidament, i la llei amb les esmenes ha sobreviscut fins als nostres dies.