Două organizaţii nonguvernamentale, care au descoperit pe SEAP caietul de sarcini al unui proiect depus şi derulat de SRI din fonduri europene, relevă faptul că Serviciul Român de Informaţii va crea mega baze de date în care se vor stoca date electronice transmise de orice român. De la poze postate pe reţele sociale, la conversaţii pe chat-uri, până la informaţii deţinute despre români de instituţiile ale statului. Datele vor fi stocate pe timp nelimitat şi prelucrate în diverse scopuri. Toate acestea cu încălcarea dreptului la protecţia datelor personale. Și nu numai.
Proiectul SRI în valoare de 25 de milioane de euro, contestat de APADOR CH sub aspectul încălcării drepturilor omului, este denumit SII Analytics. În prezentarea oficială a proiectului se spune că este pentru promovarea eguvernării şi de combatere a fraudelor – “prevenţie, detectare şi luare de măsuri pentru reducerea redundanţei plăţilor în zona publică, prevenirea fraudei şi abuzurilor şi creşterea eficientei în actul guvernamental”. Dar el este un proiect cu potenţial de supraveghere generalizată a întregii populaţii a României – un software Big Brother – cu nicio măsură de limitare a accesului SRI sau al altor instituţii publice la datele personale colectate şi integrate în acest sistem. Această intepretare este confirmată şi de liderii altei organizaţii, Asociaţia pentru Tehhologie şi Internet (ApTI).
ApTI a analizat caietul de sarcini depus de SRI la SEAP şi a identificat trei zone mari de probleme punctuale.
Prima se referă la interceptarea comunicaţiilor. Caietul de sarcini prevede hardware şi software pentru scop precis de interceptare a traficului pentru monitorizare comunicaţiilor – trafic şi conţinut. SRI-ul vrea să achiziţioneze nu mai puţin de 4 dispozitive pentru interceptarea traficului de Internet. SRI mai vrea să achiziţioneze şi o „Soluţie de monitorizare a utilizării resurselor de comunicare colaborativă”.
Aceasta înseamnă un software, şi hardware-ul necesar pentru acesta, care ia traficul interceptat de dispozitivele menţionate mai sus şi îl analizează pentru a monitoriza comunicaţia prin servicii şi programe de instant messaging (cum ar fi Yahoo Messenger, Facebook Messenger, Skype etc.), e-mail sau orice alte mecanisme similare de comunicaţie electronică.
Text original “identificarea protocoalelor specifice de comunicare colaborativă în tehnologie Web, inclusiv a mesageriei electronice “instant” şi a celei tradiţionale (de tip e-mail şi asimilată), precum şi a tehnologiilor conexe de schimb de informaţie nestructurată, indiferent dacă serviciile de acest tip vor fi accesate şi utilizate prin aplicaţii dedicate, sau prin pagini Web, în instanţe de tip browser”.
Din analiza textului caietului de sarcini, rezultă că vorbim inclusiv de accesul la conţinut conform scopului („identificarea, decodarea şi salvarea, la cerere, precum şi vizualizarea artefactelor asociate (inclusiv a fişierelor text şi multimedia ataşate)”, „analiza şi retenţia selectivă a sesiunilor de comunicare respective” şi merge până la „reconstrucţia şi vizualizarea contextului comunicării […] pentru identificarea rapidă a secvenţei operaţiilor şi, respectiv, a relaţiilor între participanţi”).
Aceste dispozitive şi programe nu au nici un rost în cadrul proiectului de Big Data sau e-guvernare, pentru datele transmise legal – acestea au un rol doar pentru interceptarea comunicaţiilor fără acordul utilizatorilor.
Mai mult, în mod normal supravegherea comunicaţiilor se poate face doar în contextul stabilit de Codurile de procedură penală, deci cu autorizarea judecătorului, altfel aceste activităţi sunt ilegale. Unde va instala SRI-ul aceste echipamente, ce date doresc să intercepteze şi cu ce autoritate vor analiza şi stoca datele şi informaţiile rezultate în urma acestei monitorizări?
Dacă un astfel de dispozitiv este instalat oriunde la un furnizor de acces Internet (ISP) sau într-un nod de interconectare (gen RoNIX), acesta ar putea intercepta tot traficul de Internet. Prin capacitatea de 10GB/s x patru dispozitive s-ar putea intercepta cam tot traficul din România prin RoNIX.
Prin software-ul de analiză, se poate identifica un anumit tip de conţinut – de exemplu:
• e-mailuri trimise de la tribunalulbucuresti.ro
• e-mailuri cu fişier video ataşat de dimensiune între 10MB şi 25MB
• convorbiri pe Facebook/Yahoo chat între X şi Y (s-ar putea ca întreg conţinutul să fie mai greu de depistat, dar cel puţin faptul că 2 persoane au discutat se poate identifica).
Pentru analiza comportamentală a oricui, SRI vrea să creeze baze de date uriaşe, în care va corela informaţii despre o persoană atât de la instituţiile statului cât şi de la utilizatorii individuali. Apoi, informaţiile vor putea fi căutate în orice mod – de la un căutări simple (text, arii geografice) sau chestiuni mai complexe (bazate pe analiza legăturilor dintre persoane, obiecte (maşini, telefoane etc.), evenimente sau orice alt fel de informaţie, plasarea în timp şi spaţiu a acestor legături şi chiar estimarea comportamentului ”ţintelor” pornind de la aceste informaţii şi analize.
Mai mult, caietul de sarcini precizează că datele colectate nu vor fi şterse probabil niciodată (“vor fi stocate pe termen indefinit numai la nivelul componentelor offline ale sistemului.”
Cel puţin 45 de persoane vor fi utilizatori finali /formatori, fiind instruiţi în sistem, dar probabil în jur de 1000 de persoane vor avea acces la sistem.
SRI cere 750 de terminale mobile cu acces la sistem şi un număr nespecificat de terminale fixe. Se cere „să asigure o medie a timpului de răspuns de sub 5 secunde, în condiţiile în care 500 de utilizatori concurenţi vor efectua regăsiri într-un interval de 60 minute” pentru toate tipurile de căutări.
APADOR CH şi ApTI avertizează: colectarea datelor în acest mod este ilegală. Cum deja a precizat Curtea Europeană de Justiţie în cazul Bara vs CNAS şi ANAF în interpretarea Legii 677/2001 privind protecţia datelor cu caracter personal, o instituţie publică nu poate da datele colectate unei alte instituţii publice doar pentru că “ar putea să fie de folos”, ci trebuie să se bazeze fie pe consimţământ, fie pe informarea persoanei vizate dacă existe restul de limitări conform legii.
Datele de mai sus – punctul D ne arată că cel puţin următoarele baze de date ar putea fi cumulate: declaraţii către ANAF cu privire la veniturile personale; credite bancare acordate; bunuri imobile cumpărate; automobile achiziţionate.
Practic SRI îşi creează un sistem (unde s-ar putea ca şi alţii să aibă acces conform descrierii generale), unde ar putea căuta orice informaţie despre orice persoană fizică ce apare într-o bază de date a autorităţilor publice, nerespectând în mod flagrant legislaţia privind protecţia datelor cu caracter personal şi neaplicând nicio măsură de protecţie a acestor date.
În varianta soft, spun autorii analizei, scenariul cel mai negru ar însemna faptul că o persoană ce are acces la sistem îl foloseşte în interes propriu – de exemplu:
• vecinul tău dintr-o dată pare că ştie preţul cu care ai cumpărat apartamentul sau că mai ai 2 maşini pe numele tău; sau
• poliţistul care te opreşte află instantaneu că ai cumpărat 4 maşini de-al lungul vieţii; sau
• se rulează o cerere de tipul – care este persoana care a vândut un apartament cel mai ieftin/cel mai scump în cartierul Militari; sau
• o firmă cunoscută ca “apropiată serviciilor” va găsi întotdeauna elemente pentru a şicana alte firme concurente.
Dacă la aceste informaţii de alătură şi alte baze de date – gen cele accesate prin cardul electronic de sănătate sau informaţiile dorite recent de ANAF cu privire la plăţile cu cardul, problemele pot fi mult mai complicate.
În varianta hard, ar fi creat automat câte un director (folder) pentru fiecare CNP identificat în vreo bază de date, astfel încât SRI şi ceilalţi care au acces la baza de date pot afla orice informaţie despre orice persoană dacă doresc.
Interoperabilitatea datelor personale în zona de eguvernare trebuie să se bazeze pe transparenţă (cetăţeanul să poate vedea în orice moment cine, când şi de ce cineva a accesat datele lui) şi respectarea principiilor colectării datelor cu caracter personal (limitarea scopului, bază legală, necesitate şi proporţionalitate, perioada de păstrare, respectarea drepturilor subiecţilor, notificarea încălcărilor de securitate, analiză de impact a datelor personale, angajarea unui responsabil privind protecţia datelor personale etc.).
Dar SRI nu se opreşte aici. Serviciul doreşte recunoaştere facială! Deci sistemul conceput are inclusă şi o componentă de recunoaştere facială (adică de recunoaştere a unei persoane dintr-o poză) care să poată opera cu o bază de date de zeci de milioane de imagini.
Autorii analizei spun că de recunoaştere facială (face recognition) nu are vreo legătură cu niciunul din scopurile proiectului – de prevenire şi combatere a fraudei, e clar că scopul trebuie să fie altul. Este neclar în ce condiţii SRI are acces la pozele din paşapoarte şi buletine şi cu ce scop le foloseşte. În plus, se pare că imaginile de referinţă sunt doar începutul, ele urmând să creeze o bază de date cât mai largă. „Numărul şi varietatea depozitelor de date comune este prevăzut să crească în continuare”– deci nu se va limita la pozele din buletine.
Prin corelarea acestor informaţii cu cele din analiza comportamentală se pot identifica nu doar imaginile persoanelor, ci şi alte detalii despre ele din restul bazelor de date.
ApTI oferă şi exemple:
– SRI îşi face o aplicaţie astfel încât să „citească” în mod automat Facebook, astfel încât să integreze date de acolo în baza de date de recunoaştere facială: – de exemplu dacă aveţi o poză reală la profilul de Facebook, chiar dacă sub alt nume sau un nume incomplet sau comun, SRI poate să conexeze restul de informaţii din bazele de date proprii cu acel cont de Facebook, pentru a şti că dvs sunteţi acel Ion Popescu pe care îl urmăreşte.
– SRI/Jandarmeria filmează (şi preia apoi) sau fotografiază 5000 de participanţi la un protest din Piaţa Universităţii. Înregistrarea foto/video poate fi, după aceea, procesată şi apoi analizată cu software-ul de recunoaştere facială pentru a identifica exact ce persoane au participat pentru a fi contactaţi ulterior şi amendaţi.
Precizare:
Ziarul Cotidianul își propune să găzduiască informații și puncte de vedere diverse și contradictorii. Publicația roagă cititorii să evite atacurile la persoană, vulgaritățile, atitudinile extremiste, antisemite, rasiste sau discriminatorii. De asemenea, invită cititorii să comenteze subiectele articolelor sau să se exprime doar pe seama aspectelor importante din viața lor si a societății, folosind un limbaj îngrijit, într-un spațiu de o dimensiune rezonabilă. Am fi de-a dreptul bucuroși ca unii comentatori să semneze cu numele lor sau cu pseudonime decente. Pentru acuratețea spațiului afectat, redacția va modera comentariile, renunțînd la cele pe care le consideră nepotrivite.