Pamokos iš JAV: kaip viešasis saugumas tampa masiniu sekimu

Jungtinėse Amerikos Valstijose (JAV) įsiplieskė vieni aštriausių pastarojo dešimtmečio debatų dėl technologijų ir privatumo. Pretekstu tapo atvejis, kai Teksaso policija vienos bylos tyrimo metu patikrino daugiau nei 100 tūkst. automobilių valstybinių numerių. Paaiškėjo, kad visa ši informacija buvo saugoma ne valstybės, bet privačios bendrovės serveriuose. Tai nėra distopinio filmo scenarijus, tai – šiandienos realybė.

Kilusio pasipiktinimo centre – 7,5 mlrd. dolerių vertinamas amerikietiškas startuolis „Flock Safety“. Per kelerius metus bendrovė sukūrė didžiausią privačią transporto priemonių stebėjimo infrastruktūrą šalyje. Jos kameros automatiškai atpažįsta automobilių numerius, buferio lipdukus ir kitus požymius, ir patikrina duomenis realiuoju laiku teisėsaugos bazėse. Sistema jau naudojasi daugiau nei 12 tūkst. klientų, pusė jų – teisėsaugos institucijos.

Šis atvejis – ne tik „amerikietiška“ problema. Į jį verta atkreipti dėmesį ir su šiais klausimais susiduriantiems specialistams Lietuvoje.

Kaip viena technologija tapo „politine bomba“

„Flock“ sprendimas iš pirmo žvilgsnio paprastas ir pigus, tai lėmė žaibišką jo populiarumą – kamerų tinklas išaugo iki nacionalinio masto greičiau, nei įstatymų leidėjai spėjo susivokti. Reguliacija, nustatanti tokių duomenų rinkimą ir saugojimą, atsiliko keleriais metais, startuolių principas „nedraudžiama, vadinasi, darome“ aplenkė teisinius saugiklius.

Situacija greitai eskalavosi, kai paaiškėjo, kad „Flock“ sistemos buvo pasitelktos vykdant masines imigracijos operacijas ir sulaikant neteisėtus migrantus. Nors pati bendrovė tvirtina neturinti tiesioginių sutarčių su JAV Imigracijos ir muitinės vykdymo tarnyba (ICE) ir teigia, kad prieigą prie duomenų kontroliuoja klientai, reakcija buvo greita. Poveikis verslui – taip pat: 53 miestai 20 JAV valstijose jau atsisakė „Flock“ kamerų, dėl kilusios visuomenės reakcijos planuotą partnerystę atšaukė „Amazon“ dukterinė bendrovė „Ring“.

Debatai iškėlė fundamentinį klausimą: ar privačios įmonės netampa faktiniais nacionalinių stebėjimo tinklų šeimininkais, kurių veiklos teisinė kontrolė nespėja paskui technologijas?

Amerikos pilietinių laisvių sąjungos (ACLU) ekspertai priminė dar vieną faktą – iki šiol nėra nepriklausomai atliktų tyrimų, įrodančių, kad tokios sistemos iš tiesų mažina nusikalstamumą. Ar proporcinga tuomet masiškai rinkti duomenis, siekiant sugauti pavienius asmenis?

Kodėl tai aktualu Lietuvai?

Vilniuje jau veikia šimtai vaizdo stebėjimo kamerų viešosiose erdvėse, policija naudojasi automatinio numerių atpažinimo (ANPR) sistemomis keliuose, Kaunas investuoja į išmaniosios stebėsenos sprendimus. Kitos savivaldybės taip pat vis aktyviau svarsto naujų technologijų diegimą.

Tokios technologijos nėra savaime blogai – jei užtikrinamos tinkamos techninės ir organizacinės saugumo priemonės, atliekama teisėtumo analizė ir nustatomos aiškios ribos. JAV patirtis atkreipia dėmesį į tris svarbius aspektus, kuriuos verta įvertinti ir mums, kol dar tik diegiame panašias technologijas ir jų mastai dar nepasiekė nacionalinio tinklo lygmens.

Duomenų apsauga nėra formalumas

Pagal ES Bendrąjį duomenų apsaugos reglamentą (BDAR), automobilių valstybinių numerių fiksavimas atpažinimo sistemomis yra laikomos asmens duomenų tvarkymu. Tai svarbi fundamentali teisės į privatumą dalis. Juk automatizuota automobilių stebėsena reiškia, kad galima atsekti ir jungti į visumą kelionės maršrutus, nustatyti darbo, darželio, mokyklos vietas, vairavimo įpročius, kitą asmeninio pobūdžio informaciją.

Kai technologija leidžia fiksuoti kiekvieno automobilio judėjimą, riba tarp viešojo saugumo ir masinio sekimo tampa itin trapi. Tai reiškia labai konkrečias pareigas duomenų valdytojui:

• tinkamai parinktas teisėtas pagrindas – ne kiekvienas „saugumo tikslas“ automatiškai jį suteikia,
• tinkamai identifikuotas duomenų tvarkymo tikslas – turi būti konkretus ir aiškiai apibrėžtas, o ne abstraktus ar neapibrėžtai platus,
• užtikrintas proporcingumas – duomenų kiekis turi atitikti tikslą, o ne viršyti jį,
• įgyvendintas saugojimo ribojimas – duomenys negali būti saugomi neribotą laiką,
• būtinas poveikio duomenų apsaugai vertinimas (DPIA), kai stebimos viešosios erdvės.

Ignoruojant šiuos principus, duomenų bazės tampa autonominėmis sekimo sistemomis, kurias sunku kontroliuoti. Centralizuotose bazėse kaupiama informacija apie žmonių judėjimą tampa patraukliu taikiniu tiek kibernetinėms atakoms, tiek piktnaudžiavimui institucijų viduje.

Kibernetinio saugumo rizikos

Tai dar vienas Lietuvai svarbus aspektas. ES NIS2 direktyva nustato griežtus kibernetinio saugumo reikalavimus skaitmeninės infrastruktūros subjektams, ypač akcentuodama tiekimo grandinės saugumą.

Centralizuotai duomenis kaupiančios stebėjimo sistemos kelia konkrečius klausimus:

• Kas nutinka kibernetinės atakos atveju – ar užpuolikas gali gauti prieigą prie gyventojų judėjimo duomenų?
• Ar privatus tiekėjas užtikrina pakankamą atsparumą ir incidentų valdymą?
• Kas yra atsakingas – tiekėjas ar duomenis valdanti institucija?

Šie klausimai turėtų būti užduodami prieš pasirašant sutartis su tiekėjais.

Kas iš tikrųjų valdo duomenis?

„Flock“ istorija parodė, kad demokratinė kontrolė gali susilpnėti, kai viešojo saugumo funkcijos perduodamos privačioms įmonėms. Neužtikrinus pakankamos institucijų ar visuomenės priežiūros privatus subjektas tampa itin svarbių duomenų faktiniu valdytoju.

Lietuvoje viešojo ir privataus sektoriaus bendradarbiavimas saugumo srityje taip pat plečiasi. Todėl sutartyse su tiekėjais būtina aiškiai apibrėžti, kas yra duomenų valdytojas, kokią prieigą prie duomenų turi tiekėjas ir kaip užtikrinama institucinė priežiūra.

Turime gerą bazę

Skirtingai nei JAV, Lietuva veikia aiškiai apibrėžtoje ES teisinėje sistemoje. BDAR nustato griežtas ribas, kaip galima rinkti ir naudoti stebėjimo duomenis, o NIS2 direktyva reikalauja užtikrinti aukštus kibernetinio saugumo standartus. Valstybinės priežiūros institucijos – Valstybinė duomenų apsaugos inspekcija ir Nacionalinis kibernetinio saugumo centras – turi įgaliojimus atlikti patikrinimus ir teikti privalomus vykdyti nurodymus, o esant poreikiui ir stabdyti neteisėtą duomenų tvarkymą.

Tai suteikia puikų pagrindą veikti aktyviai: aiškiai apibrėžti stebėjimo technologijų ribas, priežiūros mechanizmus ir atskaitomybę dar prieš kylant problemoms, o ne reaguoti į jau įvykusius incidentus. Jei nepasinaudosime turima teisine ir institucine baze dabar, technologijų plėtra neišvengiamai aplenks reguliavimą.

Komentaro autorė: advokatų kontoros „Ellex Valiunas“ asocijuotoji teisininkė Diana Laura Ločinska