Hur tjänstemän etablerar digitalt slaveri för medborgare

2024 Författare: Seth Attwood | [email protected]. Senast ändrad: 2023-12-16 16:17

Tills nyligen verkade ryssarna digitala pass för att ta sig runt i staden vara ett vilt inslag i en cyberpunk-dystopi. I dag är det dessutom en realitet: sedan i går i Moskva har de blivit obligatoriska för förflyttning med kollektivtrafik. Hur det gick till, varför många länder har skapat digitala kontrollsystem för medborgarnas rörelser och om sådan övervakning kommer att upphöra efter pandemins slut – i ett nytt material från forskare vid Center for Advanced Management Solutions.

Allmänt sammanhang

Den allmänna trenden i länders svar på coronavirusepidemin är att stärka kontrollen över medborgarna. Baserat på analysen av data från mobiloperatörer, banker, brottsbekämpande myndigheter, beräknar staten kontakterna för de smittade och övervakar också medborgarnas efterlevnad av självisolering och karantän. Många publikationer om detta ämne väcker frågor om integritet och iakttagande av medborgarnas rättigheter, och målar upp en dyster bild av ett "övervakningssamhälle".

Vi har samlat flera episoder av införandet av särskilda digitala kontrollåtgärder av olika stater och försökt förstå de risker som dessa åtgärder medför på grund av att tillgång till information om medborgarnas rörelse och personliga liv ges till flera byråkratiska avdelningar samtidigt.

Israel: polis, underrättelsetjänster, hälsoministeriet

Vad hände?

Den 19 mars införde den israeliska regeringen partiell karantän i hela landet. Som en del av de interimistiska åtgärderna några dagar tidigare, den 15 och 17 mars, utfärdade myndigheterna två nödbeslut som utökade polisens befogenheter att genomföra husrannsakningar och även tillät den israeliska säkerhetstjänsten (Shin Bet) att använda digital övervakning för att bekämpa coronavirusepidemin ….

Vem utövar kontroll och hur?

Alla medborgare i landet som smittats av coronaviruset, såväl som de som har kommit i kontakt med dem, sätts i obligatorisk två veckors karantän. Inom ramen för nödbeslut kommer polisen, som en interimistisk åtgärd, att kunna fastställa den aktuella geolokaliseringen av dessa personer på bekostnad av data från mobiltorn utan ytterligare domstolsbeslut. I sin tur kommer specialtjänsterna att kunna få tillgång inte bara till den aktuella platsen för en person, utan också till historien om hans rörelser. Dessutom har det israeliska hälsoministeriet släppt sin egen smartphoneapplikation som kontinuerligt uppdaterar platsdata för infekterade personer som erhållits från poliser och varnar användaren om han är i närheten av dem.

Å ena sidan tillåter detta inte bara att kontrollera hur samvetsgrant en person följer karantänsregimen, utan också att identifiera en ungefärlig kontaktkrets med andra människor som också kan bli smittade. Men å andra sidan, i normala tider, används sådana "dense digital tracking"-tekniker bara för att fånga brottslingar och terrorister.

Sådana extraordinära befogenheter från säkerhetsstyrkorna kommer att pågå till mitten av juni - efter det måste all mottagen data förstöras. Men hälsoministeriet kommer att kunna förlänga lagringstiden för de uppgifter som samlas in på detta sätt med två månader för ytterligare forskning.

Sydkorea: Polis och civil självkontroll

Vad hände?

I februari 2020 blev Republiken Korea ett av de snabbast växande länderna för coronavirusepidemin.

Myndigheterna kunde ganska snabbt och effektivt börja nivån och sedan minska spridningshastigheten av infektionen

Detta beror delvis på det faktum att Korea har stor erfarenhet av att bekämpa epidemin: 2015 stod landet inför ett utbrott av Middle East Respiratory Syndrome (MERS), varefter ett helt system av epidemiologiska åtgärder utvecklades. Den avgörande faktorn var dock organiseringen av massutskick av meddelanden om varje smittfall med detaljerad information om den smittade personen (ålder, kön, detaljerad beskrivning av hans senaste rörelser och kontakter; i vissa fall rapporterades om personen hade en mask etc.). Sådant utskick hade inte varit möjligt utan ett kraftfullt och storskaligt system för digital kontroll över sydkoreanska medborgares rörelser och kontakter.

Vem utövar kontroll och hur?

Det finns nu flera tjänster i landet som använder personuppgifter för att ge information om spridningen av coronaviruset. Till exempel publicerar Coroniatas webbplats information om det totala antalet fall, samt om de zoner där de största infektionsutbrotten registrerades. Den andra resursen, Coronamap, är en karta som visar när och på vilka platser alla enstaka fall av infektion registrerades. Den koreanska regeringen har också släppt en officiell smartphone-app för att spåra efterlevnaden av infekterade personer i karantän.

Republiken Korea har en högt utvecklad digital infrastruktur, så att spåra och verifiera data är inte ett problem för regeringen. För att förbättra analysens noggrannhet, förutom data från mobiltorn och GPS, används data om transaktioner gjorda med bankkort, stadsvideoövervakningssystem och ansiktsigenkänningstekniker.

Sådan påtvingad "öppenhet" visar å ena sidan sin effektivitet när det gäller att begränsa epidemin, men leder å andra sidan till negativa sociala effekter. Förutom att de som smittats av infektionen själva känner en känsla av ständig övervakning, faller även andra - "slumpmässiga" - in i kontrollzonen.

Eftersom varje fall av infektion visas på en karta, är vissa koreaner, även om de inte är smittade, men som motsvarar de spårade "punkterna", föremål för allmänhetens påtryckningar.

Således går proaktiva koreanska medborgare med polis och tjänstemän i digital övervakning av varandra.

Alternativ: Polen mot Europeiska kommissionen

I Europeiska unionen dök en av de första ansökningarna för övervakning av medborgare som måste följa en 14-dagars karantän upp i Polen. Myndigheterna kräver att applikationen installeras av friska medborgare som har kommit i kontakt med smittade eller potentiellt smittade personer, samt alla som återvänder från utlandet. Sedan början av april har installationen av applikationen blivit obligatorisk enligt lag.

Applikationen Home Quarantine (Kwarantanna domowa) skickar slumpmässigt ett meddelande flera gånger om dagen med kravet att ladda upp ditt eget foto (selfie) inom 20 minuter. Enligt den polska regeringens webbplats kontrollerar applikationen användarens plats (med GPS) och använder även ansiktsigenkänning. Om begäran om att ladda upp en bild inte uppfylls kan polisen komma till adressen. Enligt förordningen kommer digitaliseringsministeriet att lagra personuppgifter om användare i 6 år efter att applikationen har avaktiverats (i enlighet med civillagen), med undantag för foton som raderas omedelbart efter att kontot har avaktiverats.

Utöver Polen har deras egna applikationer dykt upp eller börjat utvecklas i andra europeiska länder, till exempel i Österrike (med deltagande av det lokala Röda Korset), Frankrike, Irland och Tyskland.

Mot denna bakgrund föreslog EU-kommissionen att göra en alleuropeisk ansökan för att spåra spridningen av coronavirus i enlighet med särskilda rekommendationer för dess utveckling, baserad på lagen om skydd av personuppgifter i EU

Bland de listade principerna för den framtida tillämpningen anges effektiviteten av att använda data ur medicinsk och teknisk synvinkel, deras fullständiga anonymitet och användning endast för att skapa en modell för spridningen av viruset. För att minska risken för läckage av personuppgifter måste applikationsutvecklare följa principen om decentralisering - information om en smittad persons rörelser kommer endast att skickas till enheterna hos personer som potentiellt kan kontakta honom. Separat framhölls att de åtgärder som vidtas bör vara motiverade och tillfälliga.

Deadline för att lämna förslag till genomförandet av dessa åtgärder är den 15 april. Dessutom måste EU:s medlemsländer senast den 31 maj informera Europeiska kommissionen om vidtagna åtgärder och göra dem tillgängliga för inbördes granskning av EU-medlemmarna och Europeiska kommissionen. Europeiska kommissionen kommer att utvärdera de framsteg som gjorts och kommer med jämna mellanrum att publicera rapporter från och med juni med ytterligare rekommendationer, inklusive att ta bort åtgärder som inte längre behövs.

Ryssland: ministeriet för telekom och masskommunikation, mobiloperatörer och regioner

Vad hände?

Från slutet av februari till början av mars, efter införandet av åtgärder för att motverka spridningen av coronaviruset, dök de första fallen upp i Ryssland av att stärka kontrollen över befolkningen med hjälp av tekniska medel. Enligt Mediazona kom poliser till karantänsöverträdaren med ett fotografi, troligen taget av en kamera, som var kopplat till ett ansiktsigenkänningssystem. Mikhail Mishustin instruerade ministeriet för telekom och masskommunikation att senast den 27 mars skapa ett system för att spåra kontakter med patienter med coronavirusinfektion baserat på data från mobiloperatörer. Enligt Vedomosti fungerade detta system redan den 1 april. Parallellt började Ryska federationens ingående enheter utveckla sina lösningar. I Moskva, i början av april, lanserade de ett övervakningssystem för patienter med coronavirus med hjälp av applikationen Social Monitoring, och förberedde också införandet av pass med speciella koder (dekretet om deras införande undertecknades den 11 april). I Nizhny Novgorod-regionen, den första av regionerna, introducerades kontroll med QR-koder, i Tatarstan - via SMS.

Vem utövar kontroll och hur?

Digital kontroll omfattar främst medborgare som är smittade eller är i officiell karantän. För att spåra deras rörelser begär ministeriet för telekom och masskommunikation "data om antal och datum för sjukhusvistelse eller datum för karantän." Dessa data överförs till mobiloperatörer som övervakar efterlevnaden av karantänvillkoren. Den som bryter mot villkoren får ett meddelande och vid upprepad överträdelse överförs uppgifterna till polisen. Enligt Vedomosti kommer ansvariga tjänstemän i Rysslands konstituerande enheter att lägga in data i systemet. Samtidigt anser Roskomnadzor att användningen av nummer utan att ange adresser och namn på abonnenter hos mobiloperatörer inte bryter mot lagen om personuppgifter.

Utöver dessa åtgärder övervakas patienternas geolokalisering i Moskva med hjälp av applikationen Social Monitoring installerad på smartphones speciellt utgivna för medborgare. För att bekräfta informationen om att användaren är hemma, bredvid telefonen, kräver applikationen med jämna mellanrum att ett foto tas

Enligt chefen för Moskvaavdelningen för informationsteknologi (DIT) regleras överföringen av data om användaren av ett avtal som han undertecknar när han väljer alternativ för behandling hemma. De lagras på DIT-servrar och kommer att raderas efter karantänens slut. Dessutom utövas kontroll över alla bilar för dem som är skyldiga att sitta i officiell karantän (patienter och deras nära och kära), samt genom stadens videoövervakningssystem.

Den 11 april undertecknade Moskvas borgmästare ett dekret om införande av digitala pass för resor i Moskva och Moskva-regionen med privat och kollektivtrafik. Passen började utfärdas den 13 april och blev obligatoriska den 15:e, de kan erhållas på webbplatsen för Moskvas borgmästare, via SMS eller genom att ringa informationstjänsten. För att utfärda ett pass måste du lämna personuppgifter, inklusive ditt pass, bilnummer eller kollektivtrafikkort (Troikakort), samt arbetsgivarens namn med TIN eller resväg. Passet krävs inte för att röra sig i staden till fots, med förbehåll för de tidigare införda restriktionerna.

Pass för att kontrollera medborgarnas rörelser har också införts i andra ryska regioner:

Den 30 mars undertecknade guvernören i Astrakhan-regionen Igor Babushkin en order om specialpass under karantänen. Den 13 april lanserades en elektronisk plattform för utfärdande av pass i regionen. Ansökan lämnas på en särskild hemsida, ett pass med QR-kod skickas till den sökandes e-post. Guvernören gav också i uppdrag att kontrollera de tidigare utfärdade passen enligt de listor som tillhandahållits av organisationerna.

I Saratov-regionen infördes den 31 mars ett passsystem. Inledningsvis bestämdes att pass för arbetande medborgare ska utfärdas i pappersform med krav på certifiering i förvaltningarna. Redan första dagen ledde detta till köer, som ett resultat av att lanseringen av accesssystemet försenades. Den regionala regeringen lade till möjligheten att erhålla pass elektroniskt. Införandet av passen sköts upp två gånger till.

Den 31 mars godkände Tatarstan förfarandet för att utfärda tillstånd för förflyttning av medborgare. Tillstånd utfärdas med hjälp av en SMS-tjänst: först måste du registrera dig och få en unik kod, sedan skicka in en begäran för varje rörelse. Dekretet definierar de fall för vilka tillstånd inte krävs. För arbetande medborgare tillhandahålls ett intyg från arbetsgivaren. Efter lanseringen gjordes ändringar i tjänsten: den 5 april begränsades listan över uppgifter som krävs för registrering och den 12 april utökades intervallet mellan utfärdande av tillstånd för att bekämpa missbruk av systemet.

I Rostov-regionen infördes kravet på utfärdande av certifikat till anställda i organisationer som fortsätter att arbeta under epidemin den 1 april av guvernör Vasily Golubev. Den 4 april skärptes kontrollen över bilar vid infarten till Rostov-on-Don, vilket ledde till många kilometer av trafikstockningar. Den 7 april rapporterade Rostovgazeta.ru att de regionala myndigheterna överväger möjligheten att införa ett "smart pass".

I Nizhny Novgorod-regionen godkändes kontrollmekanismen genom dekret av guvernör Gleb Nikitin den 2 april. En ansökan om ett pass görs med hjälp av tjänsten "Kort från en invånare i Nizhny Novgorod-regionen" på en speciell webbplats eller via en mobilapplikation för Apple-enheter, samt genom att ringa hjälpdesk. Efter att ha prövat ansökan får den sökande ett pass i form av en QR-kod för en smartphone eller ett ansökningsnummer. För juridiska personer finns ett förfarande för att utfärda bekräftelser på att de kan operera på arbetsfria dagar på grund av epidemin.

Den 12 april, mot bakgrund av skapandet av olika digitala lösningar för åtkomstkontroll på regional nivå, lanserade Ryska federationens ministerium för telekom och masskommunikation den federala applikationen "State Services Stopcoronavirus" (tillgänglig för Apple- och Android-enheter) i ett testformat. Enligt ministeriet kan ansökan anpassas till förhållandena i en specifik region, förutom Moskva, där en annan lösning är i kraft (se ovan). Utan relevanta beslut från de regionala myndigheterna är ansökan från ministeriet för telekom och masskommunikation inte obligatorisk. Den första regionen där denna lösning kommer att användas kommer att vara Moskvaregionen - guvernör Andrei Vorobyov meddelade detta på kvällen den 12 april.

Kommer staten att skydda personuppgifter?

Kommentar av informationssäkerhetsspecialisten Ivan Begtin

Det europeiska tillvägagångssättet för att försöka tillgodose rättsliga krav på dataskydd är generellt sett korrekt. EU ägnar dessa frågor mer uppmärksamhet och resurser än i Ryssland. Men vi måste förstå att ingen är skyddad från problemet med dataläckage, främst på grund av den mänskliga faktorn. Det har redan funnits prejudikat, till exempel läckor av väljardata i Turkiet, fall med privata företag. Nu, när system skapas på flykt, skulle jag inte utesluta en sådan möjlighet. Med data från "Gosuslug" har detta ännu inte hänt, men kanske allt har sin tid.

Orsakerna kan variera. Låt oss säga bristen på säkerhet i en databas som är fjärråtkomst. Hackare eller säkerhetsspecialister kan upptäcka detta och få all information. Det finns specialtjänster Censys och Shodan som används för att söka efter sådana tekniska sårbarheter.

Ett annat alternativ är när uppgifterna missbrukas med direkt avsikt. Det vill säga personer som har tillgång till databaser använder detta för att extrahera fördelar.

Det är vettigt att övervaka olika tjänster för att "bryta igenom" människor. I Ryssland, till exempel, finns det cirka fem sådana tjänster som erbjuder en tjänst för att kontrollera människor

Det vill säga, det är inte nödvändigt att hela databasen slås samman, utan personer som har fjärråtkomst till den kan "punch" folk och sälja denna information. Detta kan göras av tjänstemän, entreprenörer som deltagit i skapandet av dessa system. Det vill säga människor som har tillgång till dem. I Ryssland är detta ganska vanligt: om du söker på Internet efter "stansningstjänster" kan du hitta mycket. Ofta handlar det om uppgifter från inrikesministeriet, trafikpolisen, Federal Migration Service och andra statliga organisationer.

Farhågor för att staten ska kunna behålla infrastrukturen för kontroll över medborgarna är inte ogrundad. Alla som samlar in data vill i princip inte skilja sig från den. Detsamma är med sociala nätverk: om du kommer dit, så finns troligen information om dig fortfarande kvar, även om du raderade ditt konto. Offentliga tjänster har ett mycket brett intresse av att samla in data om medborgare och kommer att dra nytta av den nuvarande situationen. Samtidigt åtar de sig, inklusive under påtryckningar från offentliga organisationer, offentligt att radera uppgifterna efter pandemins slut. Men motivationen för att bevara denna infrastruktur är ändå mycket hög hos statliga myndigheter.

Varför händer det här?

För att säkerställa kontroll över spridningen av epidemin agerar statliga myndigheter i olika länder på liknande sätt: de utökar sina verktyg för att spåra medborgarnas rörelser och kontakter. Sådana ytterligare åtgärder går utöver vad som anses acceptabelt i vanliga tider, men dessa åtgärder från regeringar har mött litet motstånd från medborgarna. Detta kan förklaras med begreppet policyvärdepapperisering.

Värdepapperisering är en term som ursprungligen myntades av Copenhagen School of Security Studies Barry Buzan, Ole Wever och Jaap de Wilde. I en bok från 1998 definierar de värdepapperisering som "en handling som tar politiken utanför de etablerade spelreglerna och framställer frågan som något över politiken." Värdepapperiseringen börjar med att en aktör (t.ex. politisk ledare, regering) använder termer relaterade till säkerhet, hot, krig, etc. inom vanlig diskurs, och publiken accepterar den tolkningen. Framgången med en värdepapperisering består av tre delar:

användningen av "säkerhetsgrammatik" när man ställer en fråga - det vill säga på språknivå, framställer den som ett existentiellt hot (vid en coronavirusepidemi är detta till exempel användningen av militariserat ordförråd och att jämföra kampen mot den ena raden med landets historiska rättegångar);

skådespelaren har betydande auktoritet så att publiken uppfattar hans tolkning och "intrång i diskursen" (landets ledarskap, medicinsk personal, WHO);

kopplingen mellan det nuvarande hotet och något i det förflutna som verkligen utgjorde ett sådant hot (erfarenheterna från tidigare epidemier, inklusive historiska sådana, till exempel pesten i Europa, bidrar till uppfattningen som sådan av den nuvarande epidemin).

Den globala uppmärksamheten på coronavirusproblemet fungerar också som ett exempel på värdepapperisering: undersökningar i Ryssland och andra länder visar på en ökad rädsla för epidemin.

Samhällen accepterar tolkningen av värdepapperiseringsaktörer och legitimerar därmed ett avsteg från de vanliga reglerna för att bekämpa hotet, inklusive införandet av särskilda digitala kontroller som generellt bryter mot våra integritetsrättigheter

Ur ett krishanteringsperspektiv har värdepapperisering tydliga fördelar. Införandet av nödåtgärder kan påskynda beslutsfattande och genomförande och minska riskerna med hotet. Värdepapperiseringsprocessen är dock förknippad med negativa konsekvenser både för den offentliga förvaltningen och för hela samhället.

För det första minskar införandet av nya nödåtgärder myndigheternas ansvarsskyldighet. Under en kris kan instrumenten för civil kontroll, inklusive över nya säkerhetsåtgärder, vara begränsade eller helt enkelt ännu inte byggda. Brist på ansvarsskyldighet ökar sannolikheten för både oavsiktliga misstag och avsiktliga övergrepp från meniga tjänstemän. Ett exempel på detta är kränkningarna av amerikanska underrättelseofficerare, som är kända tack vare läckan som organiserats av Edward Snowden. Med hjälp av digitala kontrollverktyg som föll i deras händer använde ett antal NSA-anställda dem för att spionera på sina makar eller älskare. Dessutom missbrukade FBI under samma period tillgång till NSA-data rörande amerikanska medborgare, i många fall utan tillräcklig juridisk motivering.

För det andra är värdepapperiseringen av alla emissioner behäftad med risken att vissa av de åtgärder som införts i nödsituationer inte kommer att avbrytas omedelbart efter slutet av krisperioden och normaliseringen av situationen

Ett exempel på detta är Patriot Act, som antogs i USA i oktober 2001 efter attackerna den 11 september, som utökade regeringens förmåga att spionera på medborgare. Åtgärdsvillkoren för många bestämmelser i lagen var tänkta att löpa ut från slutet av 2005, men i verkligheten förlängdes de upprepade gånger - och lagen med ändringarna har överlevt till denna dag.