ΠΩΣ ΕΝΑ ΓΕΥΜΑ ΜΠΟΡΕΙ ΝΑ ΔΙΑΚΙΝΔΥΝΕΥΣΕΙ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ ΣΑΣ

Σε μία προσπάθεια για την παρεμπόδιση της εξάπλωσης του Covid-19, οι χώροι εστίασης αντικαθιστούν σταδιακά τα κλασικά τυπωμένα μενού με ψηφιακά, στα οποία παρέχεται εύκολη πρόσβαση  μέσω QR κωδικών (Quick Response codes). Δεδομένου ότι οι κωδικοί QR επιτρέπουν την γρήγορη απεικόνιση των μενού, διευκολύνοντας τη διαδικασία της παραγγελίας, γίνονται ολοένα και πιο δημοφιλείς. Μήπως όμως αυτή η «ανέπαφη» τεχνολογία προκαλεί περισσότερο κακό παρά καλό, ειδικότερα αναφορικά με την ιδιωτικότητα και την ασφάλεια των πελατών;

Ένας QR κωδικός μπορεί να συνδεθεί με οτιδήποτε αυξάνει την ικανότητα μίας επιχείρησης να εντοπίσει και να αναλύσει τη συμπεριφορά των πελατών της, συλλέγοντας προσωπικά δεδομένα όπως δεδομένα τοποθεσίας, τηλεφωνικούς αριθμούς και emails, ακόμα και πληροφορίες πιστωτικών καρτών. Τα δεδομένα αυτά θα μπορούσαν εύκολα να τροφοδοτήσουν βάσεις δεδομένων χωρίς την ενημέρωση ή τη συγκατάθεση των χρηστών για διαφημιστικούς και προωθητικούς σκοπούς, εγείροντας έντονα ζητήματα ιδιωτικότητας αλλά και κινδύνους ασφαλείας.

Οι QR κωδικοί είναι προγραμματιζόμενοι κι έτσι μπορούν να χρησιμοποιηθούν εύκολα για να παρακολουθήσουν τις επιλογές των πελατών, όπως για παράδειγμα πότε, πού και πόσο συχνά σκανάρονται οι κωδικοί. Επιπλέον, ενεργοποιούν τα λεγόμενα και ευρέως διαδεδομένα “cookies”, τα οποία έχουν τη δυνατότητα να εντοπίσουν και να αποθηκεύσουν σε βάσεις δεδομένων στοιχεία όπως το ιστορικό παραγγελιών του πελάτη, το όνομα και την τοποθεσία του.

Επιπρόσθετα, η χρήση των κωδικών αυτών δημιουργεί αμφιβολίες για την ασφάλεια των δεδομένων, αφού μπορεί να αποτελούν ανοικτή δίοδο για την εισροή ιών ή άλλου κακόβουλου λογισμικού απευθείας στο κινητό τηλέφωνο του πελάτη. Η φασαρία και οι περισπασμοί του χώρου είναι πιθανό να καταλήξουν σε μη ασφαλή κλικ, αφού ο πελάτης δεν είναι διατεθειμένος να ελέγξει την ασφάλεια της σελίδας στην οποία εισέρχεται. Είναι επίσης γνωστό ότι ορισμένοι χάκερς επικολλάνε το δικό τους αυτοκόλλητο κωδικού QR πάνω από τον πραγματικό κωδικό του εστιατορίου που ενδεχομένως υπάρχει σε ένα μενού. Με αυτόν τον τρόπο μπορούν να ανακατευθύνουν τον πελάτη σε ένα διαφορετικό, δικό τους ιστότοπο που φιλοξενεί κακόβουλο λογισμικό.

Η παρουσίαση ενός διαδικτυακού μενού στο τηλέφωνο του πελάτη δεν σημαίνει βέβαια ότι αυτός παραδίδει κατευθείαν σε κακόβουλους χάκερς τα προσωπικά του δεδομένα, ωστόσο δίνει τη δυνατότητα στο εστιατόριο να γνωρίζει τις προτιμήσεις του, τις οποίες μπορεί στη συνέχεια να αξιοποιήσει για να πουλήσει καλύτερα τα προϊόντα του. Άλλωστε, η πλειοψηφία των συστημάτων QR κωδικών δεν διαθέτει σαφείς δικλείδες ασφάλειας απορρήτου. Δεν υπάρχει διαφάνεια ως προς τη συλλογή των δεδομένων κινητού και τη νομική βάση επεξεργασίας των δεδομένων του πελάτη, καθώς ούτε και αναφορικά με τις τρίτες ιστοσελίδες με τις οποίες μπορεί να συνδέεται η σελίδα του εστιατορίου ή τους πιθανούς αποδέκτες των δεδομένων των πελατών. Αν υποτεθεί για παράδειγμα ότι επισκεφτήκατε πρόσφατα ένα γαλλικό εστιατόριο, μη σας φανεί περίεργο τον επόμενο καιρό να σας εμφανίζονται διαφημίσεις για άλλα γαλλικά εστιατόρια κοντά σας.

Για τον μετριασμό των κινδύνων που σχετίζονται με τα ίχνη που μένουν πίσω μετά από μία έξοδο σε ένα εστιατόριο, υπάρχουν κάποιες προφυλάξεις που θα μπορούσαν να λάβουν οι πελάτες. Το σημαντικότερο είναι να αντιμετωπίζουν τους QR κωδικούς με τον ίδιο τρόπο που διαχειρίζονται ένα συνημμένο αρχείο σε ένα email. Οι άγνωστοι υπερσύνδεσμοι και οι ιστοσελίδες θα πρέπει να αποφεύγονται, ενώ οι πελάτες δεν θα πρέπει να κατεβάζουν κανένα αρχείο στο κινητό τους τηλέφωνο. Επιπρόσθετα, θα πρέπει να κρατούν τα μάτια τους ανοιχτά για τυχόν αυτοκόλλητα πάνω από τους πραγματικούς QR κωδικούς.

Από την πλευρά των εστιατορίων, αυτά χρειάζεται να επενδύουν σε αξιόπιστα λογισμικά QR κωδικών, με τεκμηριωμένα και αυστηρά τεχνικά μέτρα ασφαλείας, που να διασφαλίζουν πως τα προσωπικά δεδομένα των πελατών τους θα παραμένουν ασφαλή και εμπιστευτικά.

Μπορεί εν τέλει οι ψηφιακές εκδόσεις των μενού στα εστιατόρια να εμποδίζουν την εξάπλωση των μικροβίων, χωρίς όμως την δέουσα προσοχή, ίσως κοστίσουν την ιδιωτικότητα των πελατών.

ΤΕΧΝΟΛΟΓΙΕΣ ΑΝΑΓΝΩΡΙΣΗΣ ΠΡΟΣΩΠΟΥ ΚΑΙ ΕΙΔΙΚΟΤΕΡΟΙ ΠΡΟΒΛΗΜΑΤΙΣΜΟΙ ΓΙΑ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ

Τον τελευταίο καιρό παρατηρείται έντονη αναταραχή σχετικά με την άνοδο και την εκτεταμένη χρήση τεχνολογιών αναγνώρισης προσώπου, αφού αξιοποιούνται όλο και περισσότερο από τις δημόσιες αρχές των χωρών, μεταξύ άλλων για την αναγνώριση και τη δίωξη πιθανών εγκληματιών. Η χρήση τέτοιων τεχνολογιών χωρίς τη συγκατάθεση των πολιτών θα μπορούσε να έχει πιθανά οφέλη για την ασφάλειά τους, ωστόσο, εκτός από τους ηθικούς προβληματισμούς που εμφανώς εγείρει, αναμφίβολα αποτελεί μία περίπτωση πιθανής παραβίασης της ιδιωτικότητας των πολιτών, η οποία απαιτεί προσεκτική προηγούμενη εκτίμηση των επιπτώσεων αλλά και διασφάλιση λήψης κατάλληλων μέτρων για τον περιορισμό των αρνητικών αυτών επιπτώσεων στην προσωπική τους ζωή.

Τέτοια εργαλεία δεν είναι πάντα απαραίτητα για την εύρεση υπόπτων, ωστόσο η χρήση γίνεται όλο και πιο συχνή. Η αναγνώριση προσώπου χρησιμοποιείται ευρέως πλέον σε τράπεζες, αεροδρόμια και ιδρύματα υγειονομικής περίθαλψης για να προσδιοριστεί με ακρίβεια εάν ένα άτομο είναι πράγματι αυτό που δηλώνει, πρακτική που απαιτεί σίγουρα μία ευαίσθητη εξισορρόπηση μεταξύ των δικαιωμάτων των οποίων η προστασία επιδιώκεται.

Μία από τις πιο σοκαριστικές, θα έλεγε κανείς, εφαρμογές της τεχνολογίας αυτής παρακολούθησης, αποτελεί το σύστημα παρακολούθησης της Κίνας, η οποία διαθέτει το μεγαλύτερο δίκτυο καμερών στον κόσμο, χρησιμοποιώντας πάνω από τις μισές κάμερες που υπάρχουν σε ολόκληρο τον κόσμο.Το σύστημα αυτό θα μπορούσε να παρομοιαστεί με το γνωστό «Πανοπτικόν», ένα κτήριο φυλακής που σχεδιάστηκε μόλις το 1785 από τον φιλόσοφο και κοινωνιολόγο Jeremy Bentham και ο σχεδιασμός του επιτρέπει την πλήρη και συνεχή επίβλεψη όλων των κρατούμενων. Στην πραγματικότητα της Κίνας, το σύστημα παρακολούθησης σαρώνει μέσω των καμερών τα χαρακτηριστικά του προσώπου των ανθρώπων στους δρόμους από διάφορα καρέ βίντεο σε πραγματικό χρόνο, δημιουργώντας έναν εικονικό χάρτη του προσώπου. Οι κάμερες αναγνώρισης προσώπου αξιοποιούνται σε πλήθος δραστηριοτήτων, όπως με σκοπό την παρακολούθηση των τουριστών σε πολιτιστικά μνημεία, τον έλεγχο σε αεροδρόμια, μέχρι την αστυνόμευση βάσει των προφίλ των πολιτών ή με στόχο την άσκηση πολιτικών πιέσεων. Με τον τρόπο αυτό, τελικά οι άνθρωποι υποχρεούνται να υπακούουν στους νόμους της χώρας, ακριβώς επειδή αισθάνονται ότι παρακολουθούνται διαρκώς.

Ένα άλλο πρόσφατο παράδειγμα που καταδεικνύει την εκτεταμένη χρήσης συστημάτων αναγνώρισης προσώπου αποτελεί η υπόθεση του FBI, το οποίο χρησιμοποίησε τέτοιες τεχνολογίες για τον εντοπισμό ενός ταραχοποιού των γεγονότων του Καπιτωλίου στις Η.Π.Α. από τις δημοσιεύσεις της φίλης του στο Instagram. Οι ομοσπονδιακοί πράκτορες έψαξαν ένα συγκεκριμένο άτομο στο διαδίκτυο, αξιοποιώντας εικόνες από τα γεγονότα στο Καπιτώλιο, συμπεριλαμβανομένων εκείνων των εικόνων που είχαν κοινοποιηθεί στο Twitter, με τη χρήση ενός εργαλείου αναγνώρισης προσώπου ανοιχτού κώδικα, «γνωστού για την εξαγωγή αξιόπιστων αποτελεσμάτων», όπως χαρακτηριστικά ανέφεραν. Η έρευνα αυτή οδήγησε σε ένα δημόσιο προφίλ στο Instagram, το οποίο άνηκε στη φίλη του υπόπτου και περιείχε πλήθος φωτογραφιών του.

Οι φωτογραφίες στον λογαριασμό έδειξαν ότι ο ύποπτος φορούσε τα ίδια ρούχα με εκείνα που τραβήχτηκαν σε φωτογραφίες στο Καπιτώλιο. Κατόπιν, οι ομοσπονδιακοί πράκτορες εντόπισαν τους λογαριασμούς Facebook που ανήκαν στα μέλη της οικογένειάς του, αποκαλύπτοντας τελικά το πλήρες όνομα του υπόπτου. Στη συνέχεια, αφού συσχέτισαν την ταυτότητά του με τα αρχεία αδειών οδήγησης του κράτους, τον παρακολούθησαν στο σπίτι και στον χώρο εργασίας του, όπου εντοπίστηκε ακόμη και από το χαρακτηριστικό καπέλο του, το οποίο φορούσε την ημέρα των γεγονότων στις Η.Π.Α.

Γίνεται έτσι απολύτως σαφές ότι όλες οι βιομετρικές πληροφορίες που συλλέγονται μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός ανυποψίαστου ατόμου στο μέλλον. Σε συνδυασμό μάλιστα με το ενδιαφέρον  των κορυφαίων εταιρειών της βιομηχανίας, όπως η IBM, το Facebook και η Amazon, προβλέπεται η ευρεία εφαρμογή τέτοιων τεχνολογιών στο μέλλον, τόσο για λόγους πρόσβασης όσο και ασφάλειας των συναλλαγών. Αυτές οι πληροφορίες μπορούν επιπλέον να χρησιμοποιηθούν ακόμη και κατά λάθος ή για σκοπό διαφορετικό από τον οποίο συλλέχθηκαν εξ αρχής. Για αυτό και η μακροζωία αυτών των τεχνολογιών σε δημόσιο περιβάλλον θα πρέπει να διασφαλιστεί με κάθε τρόπο..

Όσον αφορά τη συγκατάθεση των ίδιων των ατόμων, πιθανές συμφωνίες παροχής συγκατάθεσης αποτελούν μάλλον ένα σαθρό ρυθμιστικό εργαλείο που σε καμία περίπτωση δεν μπορεί να εξασφαλίσει τη νομιμότητα μίας τέτοιου μεγέθους επεξεργασίας ευαίσθητων προσωπικών δεδομένων. Η ατομική συγκατάθεση για τη χρήση τεχνολογιών αναγνώρισης προσώπου αποδεικνύεται ιδιαίτερα ακανθώδης, αφού θέτει σε κίνδυνο τη συλλογική ιδιωτικότητα.

Ενώ οι νεότεροι κανονισμοί, όπως ο GDPR και ο CCPA, αποτελούν ισχυρές βάσεις για την προστασία της ιδιωτικής ζωής των πολιτών, υπάρχει ανάγκη για αυστηρότερη ρύθμιση των τεχνολογιών αυτών, με πρόβλεψη αυστηρότερων μέτρων αλλά και κυρώσεων. Οι άνθρωποι κινδυνεύουν να συμφιλιωθούν με την ιδέα της μόνιμης και διαρκούς παρακολούθησης, ως μίας πρακτικής αναμενόμενης και φυσιολογικής. Ακόμη περισσότερο, όσα παιδιά γεννιούνται και μεγαλώνουν σε τέτοια περιβάλλοντα παρακολούθησης είναι πιθανό να μην προβάλλουν καμία αντίσταση στην χρήση των εικόνων τους για οποιανδήποτε σκοπό, ενώ είναι ήδη διατεθειμένα να εκχωρήσουν σε οποιοδήποτε μέσο τα προσωπικά τους δεδομένα.

Με την ανοχή και την αποδοχή τέτοιων πρακτικών αναγνώρισης και καταχώρισης προσωπικών χαρακτηριστικών, τελικά ο άνθρωπος αλλοιώνεται και λησμονεί τα δικαιώματά του προς την ελεύθερη επιλογή συμπεριφοράς. Οι παρεμβάσεις στην προσωπική ζωή θεωρούνται πλέον μέρος της καθημερινότητας και οποιοδήποτε ψήγμα ελευθερίας και μοναδικότητας κινδυνεύει να χαθεί διά παντός.

ΔΕΔΟΜΕΝΑ ΤΟΠΟΘΕΣΙΑΣ: ΜΙΑ ΠΛΟΥΤΟΠΑΡΑΓΩΓΙΚΗ ΠΗΓΗ ΠΟΥ ΧΡΕΙΑΖΕΤΑΙ ΠΕΡΙΟΡΙΣΜΟΥΣ

Καθημερινά αλληλεπιδρούμε με πλήθος ψηφιακών υπηρεσιών, όπως όταν χρησιμοποιούμε το τηλέφωνό μας, πληρώνουμε με την πιστωτική μας κάρτα ή αξιοποιούμε τις δημόσιες συγκοινωνίες με τη χρήση των έξυπνων εισιτηρίων. Σε όλες αυτές τις αλληλεπιδράσεις, η ευρεία συλλογή δεδομένων τοποθεσίας είναι δεδομένη και πραγματοποιείται σε μεγάλη κλίμακα, αποτελώντας επεξεργασία προσωπικών δεδομένων που γεννά σίγουρα ερωτήματα ιδιωτικότητας, ειδικά αν αναλογιστεί κανείς τη θεματική αύξηση της αξίας των δεδομένων που μαρτυρούν την ανθρώπινη κινητικότητα και διαθεσιμότητα ανά πάσα στιγμή.

Τα δεδομένα τοποθεσίας περιλαμβάνουν πληροφορίες σχετικά με τον τρόπο με τον οποίο οι συσκευές και οι χρήστες τους μετακινούνται και συμπεριφέρονται με την πάροδο του χρόνου σε διαφορετικές τοποθεσίες. Οι περισσότερες από αυτές τις πληροφορίες προέρχονται από τις συσκευές που έχουμε μαζί μας, με τα έξυπνα κινητά να αποτελούν την κύρια πηγή δεδομένων τοποθεσίας στη σύγχρονη εποχή, με σκοπό -κατ’ αρχάς- τη βελτίωση του πολεοδομικού σχεδιασμού και του δικτύου ή ακόμα και την παρακολούθηση και εξάπλωση των πανδημιών, όπως αυτή του κορωνοϊού. Για παράδειγμα, από μόνη της η εταιρεία τηλεπικοινωνιών Vodafone διατηρεί τις τροχιές τοποθεσίας σχετικά με το ένα τρίτο σχεδόν του πληθυσμού του Ηνωμένου Βασιλείου.

Και φυσικά, δεν υπάρχουν μόνο τα έξυπνα τηλέφωνα. Παρόμοιοι κίνδυνοι σχετίζονται και με άλλες συσκευές που αποστέλλουν και λαμβάνουν ασύρματα σήματα, συμπεριλαμβανομένων των φημισμένων πλέον συσκευών Internet of Things (IoT), όπως ανιχνευτές φυσικής κατάστασης, ιατρικός εξοπλισμός και έξυπνες οικιακές συσκευές. Γενικότερα, οποιοδήποτε αντικείμενο ή συσκευή μπορεί να συνδεθεί στο διαδίκτυο, εκτός των υπολογιστών και των κινητών τηλεφώνων, μπορεί να αποτελέσει συσκευή IoT.

Στην πλευρά αυτή της τεχνολογίας, ίσως μάλιστα εγείρονται κρισιμότερα ερωτήματα, αφού σε αντίθεση με τα έξυπνα κινητά, οι περισσότερες ΙοΤ συσκευές δεν παρέχουν στον χρήστη την επιλογή απενεργοποίησης των υπηρεσιών εντοπισμού και συλλογής της τοποθεσίας του, γεγονός που αφήνει την ιδιωτικότητα και την ασφάλεια των φυσικών προσώπων που τις χρησιμοποιούν στα κατώτατα επιθυμητά επίπεδα. Για αυτό, αξίζει να αναφερθούν τα πλεονεκτήματα που παρουσιάζει η εκτεταμένη αξιοποίηση των δεδομένων τοποθεσίας από τις IoT συσκευές, κάποια από τα οποία αποτελούν: η στόχευση χρηστών/καταναλωτών σε πραγματικό χρόνο, η κατάτμηση των δεδομένων και των υπηρεσιών, η συλλογή και η ανάλυση ακριβών πληροφοριών των καταναλωτών, καθώς και η εκθετική αύξηση της απόδοσης των συσκευών, που οδηγεί αναλόγως και στην αύξηση των κερδών.

Επομένως, τα δεδομένα τοποθεσίας αποτελούν πηγή πληροφοριών και πρέπει να προστατεύονται επαρκώς, αφού ενδέχεται να αποκαλύψουν λεπτομέρειες σχετικά με τον αριθμό των χρηστών σε μία τοποθεσία, τις κινήσεις τους, την καθημερινές τους ανάγκες και συνήθειες, ενώ μπορούν να προβούν σε περίπλοκους συσχετισμούς χρηστών και τοποθεσιών.  Η Υπηρεσία Εθνικής Ασφάλειας των Ηνωμένων Πολιτειών (γνωστή ως NSA) μάλιστα δημοσίευσε πρόσφατα οδηγίες σχετικά με τον τρόπο μείωσης των κινδύνων που απορρέουν από την παρακολούθηση της τοποθεσίας των χρηστών έξυπνων τηλεφώνων και συσκευών IoT. “Παρ’ όλο που δεν είναι πάντα δυνατό να αποφευχθεί εντελώς η έκθεση πληροφοριών τοποθεσίας, είναι δυνατό – μέσω προσεκτικής διαμόρφωσης και χρήσης – να μειωθεί ο όγκος των δεδομένων τοποθεσίας που διαμοιράζονται”, δήλωσε η NSA. Για το σκοπό αυτό, πρότεινε μια σειρά από συμβουλές που περιλαμβάνουν: την απενεργοποίηση των ρυθμίσεων υπηρεσιών τοποθεσίας στη συσκευή του χρήστη, την απενεργοποίηση όλων των ραδιοφωνικών πομπών που δεν βρίσκονται σε χρήση (Bluetooth και Wi-Fi), τη χρήση εικονικού ιδιωτικού δικτύου (VPN) για την απόκρυψη της τοποθεσίας, την παροχή όσο το δυνατόν λιγότερων δικαιωμάτων στις εφαρμογές, καθώς και συμβουλές για τον διαμοιρασμό πληροφοριών στα κοινωνικά δίκτυα.

Οι νομοθέτες από την άλλη έχουν κάνει σημαντικά βήματα για τον περιορισμό της αλόγιστης συλλογής δεδομένων τοποθεσίας, αποσκοπώντας στην προστασία της ιδιωτικότητας των φυσικών προσώπων. Πάντοτε όμως για τη λήψη οποιουδήποτε μέτρου, χρειάζεται να λαμβάνονται υπόψιν ορισμένες παράμετροι.

Η αρχή του περιορισμού του σκοπού πρέπει να τηρείται με ευλάβεια σε όλες τις διαδικασίες συλλογής δεδομένων τοποθεσίας, αποτελώντας μία εκ των θεμελιωδών αρχών του GDPR. Ιδιαίτερα σε περιόδους κρίσης, όπως αυτή της πανδημίας του κορωνοϊού, σοβαρές ανησυχίες εγείρονται σχετικά με την δυνατότητα χρήσης των δεδομένων τοποθεσίας που συγκεντρώθηκαν -για παράδειγμα από μια δημόσια υπηρεσία υγείας για την παρακολούθηση των κρουσμάτων της πανδημίας- για άλλους σκοπούς. Οι κυβερνήσεις θα πρέπει να εξετάσουν πώς συλλέχθηκαν τα δεδομένα τοποθεσίας σε πρώτη φάση και να επαναπροσδιορίσουν τις πολιτικές και τις πρακτικές επεξεργασίας των δεδομένων για διαφορετικούς σκοπούς, λαμβάνοντας επιπρόσθετα μέτρα.

Η δυσκολία της ανωνυμοποίησης των δεδομένων τοποθεσίας αποτελεί ακόμη ένα μείζον ζήτημα, αφού για τη χρήση τους από δημόσιους και ιδιωτικούς φορείς θα πρέπει να διασφαλίζεται ένα υψηλό επίπεδο προστασίας των χρηστών. Για μεγάλο χρονικό διάστημα, βασικό βιομηχανικό πρότυπο αποτελούσε η πλήρης ανωνυμοποίηση των δεδομένων, η τροποποίησή τους δηλαδή με τέτοιο τρόπο ώστε να καθίσταται αδύνατη η αναγνώρισή τους κι έπειτα η χρήση τους από τους φορείς. Ωστόσο, η ανωνυμοποίηση των δεδομένων τοποθεσίας είναι εξαιρετικά δύσκολη, αφού δεν εξασφαλίζεται η επιθυμητή ισορροπία μεταξύ του απορρήτου του χρήστη και της χρησιμότητας των δεδομένων που προκύπτουν για γενική χρήση. Ακόμα κι αν χρησιμοποιούνται μοναδικά αναγνωριστικά αντί για ονόματα, η συμπεριφορά των περισσότερων χρηστών μπορεί εύκολα να εντοπιστεί, για παράδειγμα από την τοποθεσία του σπιτιού τους (όπου η συσκευή “κατοικεί” τη νύχτα).

Πράγματι, έρευνες έχουν αποδείξει ότι αυτά τα δεδομένα είναι εξαιρετικά αναγνωρίσιμα. Μόλις τέσσερα τυχαία σημεία τροχιάς κάποιου ατόμου, όπως πότε και πού αγοράζει τον πρωινό του καφέ, είναι αρκετά για να αναγνωριστεί μοναδικά αυτό ένα άτομο σε ποσοστό 95% των περιπτώσεων σε ένα σύνολο δεδομένων 1,5 εκατομμυρίων ανθρώπων. Επιπλέον, ακόμη και τα πλήρως “συγκεντρωτικά” δεδομένα τοποθεσίας μπορεί να είναι αποκαλυπτικά, αφού λίστες με τέτοια ανωνυμοποιημένα δεδομένα σχετικά με μοτίβα μεγάλων ομάδων ατόμων (όπως χάρτες θερμότητας υψηλού επιπέδου) μπορούν να αποκαλύψουν περισσότερες πληροφορίες από αυτές που επιδιώκουν με την πρώτη ματιά.

Αυτές οι προκλήσεις δεν είναι ανυπέρβλητες, αλλά οι υπεύθυνοι χάραξης πολιτικής θα πρέπει να είναι πολύ προσεκτικοί ώστε να μην υπερεκτιμούν τις τεχνολογικές δυνατότητες, αντιμετωπίζοντας τα δεδομένα τοποθεσίας ως προσωπικά δεδομένα που χρήζουν αυξημένης προστασίας. Αν και φαίνεται να βαδίζουμε στον σωστό δρόμο, υπάρχουν ακόμα πολλά βήματα για την επίτευξη του στόχου.

ΕΓΚΑΤΑΣΤΑΣΗ ΣΥΣΤΗΜΑΤΩΝ CCTV ΓΙΑ ΟΙΚΙΑΚΗ ΧΡΗΣΗ

Καθημερινά όλο και περισσότεροι οργανισμοί αποφασίζουν να εγκαταστήσουν συστήματα βιντεοεπιτήρησης (συστήματα CCTV) προκειμένου να διασφαλίσουν την ασφάλεια των αγαθών που διαθέτουν αλλά και των φυσικών προσώπων που εξυπηρετούν. Ωστόσο, πολλές φορές τέτοια συστήματα χρησιμοποιούνται και από ιδιώτες για οικιακή χρήση, με σκοπό να αποτραπεί οποιαδήποτε κακόβουλη ενέργεια ή να αναγνωριστεί στη συνέχεια ο δράστης κάποιου εγκλήματος.

Στο πεδίο εφαρμογής του GDPR, υπάγεται κάθε επεξεργασία που αφορά δεδομένα φυσικών προσώπων. Επομένως, εφαρμόζεται και στην επεξεργασία που πραγματοποιείται μέσω των οικιακών συστημάτων CCTV, από τη στιγμή που καταγράφεται ή/και αποθηκεύεται σε αρχείο εικόνα ή βίντεο στο οποίο απεικονίζονται φυσικά πρόσωπα εκτός των χώρων της περιμέτρου ιδιοκτησίας του χειριστή του συστήματος.

Ως χώροι εκτός της ιδιοκτησίας του χειριστή νοούνται για παράδειγμα οι χώροι γειτονικών σπιτιών (π.χ. οι κήποι και οι πυλωτές τους), τα πεζοδρόμια και οι δρόμοι γύρω από το σπίτι όπου έχει εγκατασταθεί το σύστημα CCTV.

Ίσως σκέφτεστε να χρησιμοποιήσετε ένα σύστημα CCTV ως απαραίτητο μέσο για την προστασία της περιουσίας σας από πράξεις εγκληματικότητας και αντικοινωνική συμπεριφορά. Ένα οικιακό σύστημα CCTV όμως θα πρέπει να λειτουργεί με υπεύθυνο τρόπο που σέβεται την ιδιωτικότητα των άλλων.

Ακολουθούν μερικές οδηγίες που θα σας βοηθήσουν να μειώσετε τον κίνδυνο παραβίασης της ιδιωτικότητας των φυσικών προσώπων, οι οποίοι ενδεχομένως ελλοχεύουν στη χρήση ενός συστήματος CCTV.

ΚΥΒΕΡΝΟΕΠΙΘΕΣΗ ΣΤΗΝ COSMOTE ΜΕ ΔΙΑΡΡΟΗ ΜΕΓΑΛΟΥ ΟΓΚΟΥ ΔΕΔΟΜΕΝΩΝ ΣΥΝΔΡΟΜΗΤΩΝ

  • Το περιστατικό παραβίασης

Η COSMOTE, ίσως η μεγαλύτερη Εταιρεία σταθερής και κινητής τηλεφωνίας στην Ελλάδα, δέχτηκε μεγάλων διαστάσεων κυβερνοεπίθεση το διάστημα 1-5 Σεπτεμβρίου του 2020, με αποτέλεσμα τη διαρροή δεδομένων τηλεφωνικών κλήσεων χιλιάδων χρηστών. Πιο συγκεκριμένα, πρόκειται για μία μη εξουσιοδοτημένη εξαγωγή αρχείου από το σύστημα της Εταιρείας, η οποία έγινε αντιληπτή μετά από έλεγχο στα συστήματα της COSMOTE.

Η Εταιρεία στο δελτίο τύπου που εξέδωσε σχετικά με το συμβάν αναφέρει μεταξύ άλλων ότι:

«Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI , ηλικία, φύλο, ARPU , συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών.»

Όπως απαιτείται, η Εταιρεία απέκλεισε άμεσα οποιαδήποτε περαιτέρω πρόσβαση στα συτήματά της και προέβη στη λήψη όλων των απαραίτητων μέτρων για να περιορίσει τον κίνδυνο και να ελαχιστοποιήσει τις επιπτώσεις του περιστατικού αυτού παραβίασης δεδομένων. Ενημέρωσε επίσης τις αρμόδιες Αρχές, όπως άλλωστε προβλέπεται από το εθνικό κι ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Γιατί αποτελεί μείζον ζήτημα παραβίασης δεδομένων; Πόσο πολύ επηρεάζει την κατάσταση το γεγονός ότι δεν υπεκλάπησαν ονοματεπώνυμα συνδρομητών;

Η τεραστίων διαστάσεων αυτή πρόσβαση μη εξουσιοδοτημένων προσώπων σε αρχείο συνδρομητών της Εταιρείας αφορά τον αριθμό τηλεφώνου, την ημέρα και ώρα πραγματοποίησης της κλήσης και τη διάρκειά της, τον τύπο της συσκευής που χρησιμοποιήθηκε, την IMSI, την ηλικία και το φύλο του συνδρομητή, το ARPU, τις συντεταγμένες σταθμού βάσης και το πρόγραμμα κινητής τηλεφωνίας του συνδρομητή.

Ωστόσο, ακόμα κι εάν στις πληροφορίες που υπεκλάπησαν δεν αναγράφεται το ονοματεπώνυμο του κάθε συνδρομητή, όταν οι υπόλοιπες πληροφορίες που αφαιρέθηκαν συνδυαστούν, μπορούν να επιτρέψουν τον έμμεσο προσδιορισμό του συνδρομητή. Πολλές φορές δε η ταυτοποίηση ενός υποκειμένου εξαρτάται από το ποιος μπορεί να έχει πρόσβαση ακόμα και σε ελάχιστα δεδομένα για αυτόν, αλλά και σε οποιεσδήποτε άλλες πληροφορίες μπορούν να συνδυαστούν με αυτά, οι οποίες εκ πρώτης όψεως δεν οδηγούν στην ταυτοποίηση του υποκειμένου.

Επομένως, συχνά δεν είναι άμεσα προφανές εάν ένα υποκείμενο δεδομένων μπορεί να αναγνωριστεί ή όχι. Στην περίπτωση της COSMOTE λοιπόν, όπου κάποιος υπέκλεψε πληροφορίες από τις οποίες είχαν αφαιρεθεί τα ονόματα και τα επώνυμα των συνδρομητών, θα μπορούσε να είναι εξίσου εύκολο για τον μη εξουσιοδοτημένο πλέον κάτοχο των πληροφοριών να ταυτοποιήσει τον συνδρομητή και την τοποθεσία του, συνδυάζοντας τις υπόλοιπες πληροφορίες που συνέλεξε για αυτόν.

Επομένως, το γεγονός ότι υπάρχει ακόμα και η παραμικρή υποθετική πιθανότητα κάποιος να μπορεί να ανακατασκευάσει τα δεδομένα που διαθέτει με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να ταυτοποιηθεί, αναδεικνύει έντονα την σημαντικότητα του περιστατικού που έλαβε χώρα.

Δεν θα πρέπει να λησμονηθούν τέλος και οι κοινωνικές συνέπειες μίας τέτοιας παραβίασης, τα στοιχεία των συνδρομητών της οποίας θα μπορούσαν είτε να χρησιμοποιηθούν για διαφημιστικούς σκοπούς είτε να πωληθούν στο σκοτεινό διαδίκτυο (dark web) για πολλές χιλιάδες Ευρώ, όπως συνέβη με τα δεδομένα χρηστών της δημοφιλούς πλατφόρμας Zoom . Για τον σκοπό αυτό, οι συχνοί έλεγχοι σωστής λειτουργίας των συστημάτων ενός οργανισμού, η συνεχής εκπαίδευση των εργαζομένων αλλά και η λήψη επίκαιρων και βέλτιστων ανά περίπτωση μέτρων, αποτελεί το κλειδί για την επίτευξη ενός επαρκούς επιπέδου ασφαλείας.

ΕΘΙΣΜΟΣ ΣΤΗΝ ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΤΟΥ TIKTOK

Η μακρά περίοδος της καραντίνας λόγω της έξαρσης της πανδημίας του κορωνοϊού οδήγησε εκατομμύρια χρήστες να κατεβάσουν στις έξυπνες συσκευές τους τη διαδεδομένη πλέον κινεζική εφαρμογή “TikTok”, με σκοπό να “γεμίζουν” τις ώρες που έμεναν σπίτι. Έτσι, αμέτρητα δημιουργικά και ευφάνταστα βίντεο αναρτήθηκαν στην εφαρμογή, με σκοπό μεταξύ άλλων την διασκέδαση, αλλά και την απόκτηση φήμης και αναγνωρισιμότητας.

Τα βίντεο αυτά όμως κρύβουν σίγουρα περισσότερα ζητήματα ιδιωτικότητας από όσα μπορεί εκ πρώτης όψεως κάποιος να διακρίνει. Όπως σχεδόν όλες οι τεχνολογικές πλατφόρμες, το TikTok αποθηκεύει όχι μόνο το περιεχόμενο που δημιουργούν οι χρήστες σε αυτό, αλλά και σημαντικά μεταδεδομένα αυτών. Αυτό μπορεί να σημαίνει ονόματα χρήστη, πώς και πότε οι χρήστες εγγράφηκαν στην υπηρεσία, αριθμούς τηλεφώνου, τύπους συσκευών αλλά και σημαντικά δεδομένα τοποθεσίας.

Το γεγονός της εκτεταμένης αυτής συλλογής δεδομένων χρηστών, σε συνδυασμό με τη γενικότερη κόντρα των Η.Π.Α. με την Κίνα, ενδέχεται να οδηγήσει σε πιθανή απαγόρευση της εφαρμογής στις Η.Π.Α.

Η ίδια η εταιρεία έχει απαντήσει στις ανησυχίες των Η.Π.Α. για τη συλλογή δεδομένων Αμερικανών πολιτών, διευκρινίζοντας ότι τα δεδομένα των Αμερικανών χρηστών αποθηκεύονται σε servers στις Η.Π.Α. και τη Σιγκαπούρη και όχι στην Κίνα. Ωστόσο, στην πολιτική προστασίας δεδομένων και στους όρους χρήσης της εφαρμογής, αναφέρεται ότι η εφαρμογή TikTok ενδέχεται να μοιραστεί πληροφορίες με τη μητρική της εταιρεία ή και άλλες συνδεόμενες εταιρείες.

Οι απειλές για μία ενδεχόμενη απαγόρευση της εφαρμογής –κάτι που σύμφωνα με ορισμένες αρχές των ΗΠΑ μπορεί να οδηγήσει σε διαβίβαση δεδομένων χρηστών με την κινεζική κυβέρνηση– σόκαραν την κοινότητα του TikTok, με πολλούς δημιουργούς περιεχομένου να σπεύδουν να ξεκινήσουν ζωντανές ροές για να κατευθύνουν τους ακόλουθους σε εναλλακτικές εφαρμογές.

Ωστόσο, οι αντιδράσεις των χρηστών σε αυτή την απαγόρευση ίσως δεν ήταν οι αναμενόμενες.

«Δεν με νοιάζει πραγματικά εάν αυτές οι εταιρείες έχουν τα δεδομένα μου, αρκεί να ξέρω ότι τα έχουν» σχολιάζει ένας χρήστης.

Κάποιος άλλος χρήστης αστειευόμενος αναρωτιέται «Είμαι ο μόνος που δεν με νοιάζει αν η Κίνα συλλέγει τα δεδομένα μου; Ας έχει τα δεδομένα μου. Με ξέρουν καλύτερα απ’ ότι ξέρω τον ίδιο μου τον εαυτό».

Η συζήτηση για το μέλλον της TikTok φαίνεται να καταδεικνύει πλέον ξεκάθαρα το γενικότερο χάσμα που υφίσταται μεταξύ της μεγάλης προσπάθειας των τελευταίων ετών για νομοθετική προστασία των δεδομένων που διαμοιράζονται μέσω εφαρμογών και διαδικτύου (όπως ο GDPR, η CCPA κ.α.) και των ανθρώπων που χρησιμοποιούν τις εφαρμογές αυτές. Ιδιαίτερα για τους νεότερους ανθρώπους (την λεγόμενη γενιά “Generation Z”), οι οποίοι έχουν μεγαλώσει με εφαρμογές όπως το Facebook, το Snapchat και το Instagram, η συλλογή των προσωπικών τους δεδομένων θεωρείται κάτι παραπάνω από δεδομένη. «Αυτή τη στιγμή, είμαι τόσο συνηθισμένος ότι όλα τα κοινωνικά δίκτυα έχουν όλα μου τα δεδομένα, που πλέον αισθάνομαι ότι είναι ακριβώς αυτό το τίμημα που πρέπει να πληρώσω για να συνδεθώ με άλλους», αναφέρει χαρακτηριστικά ένας χρήστης του TikTok.

Και αυτό είναι το τρομακτικό ζήτημα της υπόθεσης TikTok. Είναι πράγματι οι χρήστες τόσο εθισμένοι στην χρήση της εφαρμογής, που όχι μόνο παραδίδουν «απλόχερα» τα δεδομένα τους, αλλά αδιαφορούν πλήρως και για το γεγονός ότι αυτό οδηγεί στην συστηματική τους παρακολούθηση;

«Εάν δώσατε στους περισσότερους νέους μια επιλογή μεταξύ της προστασίας της ιδιωτικής ζωής τους με το να αποσυρθούν από τα μέσα κοινωνικής δικτύωσης ή να παραμείνουν σε αυτά, είναι σίγουρο ότι θα παραμείνουν», σχολιάζει ο Josh Golin, εκτελεστικός διευθυντής της μη κερδοσκοπικής  Εταιρείας “Campaign for a Commercial Free Childhood”.

Είναι φανερό τελικά ότι όσο αναπτύσσεται η τεχνολογία και δημιουργούνται νέες, «σύγχρονες ανάγκες», τόσο περισσότερα δεδομένα θα συλλέγονται και θα αποθηκεύονται, με σκοπό την παρακολούθηση των ανθρώπων, την κατάρτιση προφίλ και εν τέλει την δημιουργία εκστρατειών στοχευμένου μάρκετινγκ. Πολλές είναι οι χώρες που προσπαθούν τα τελευταία χρόνια να περιορίσουν το φαινόμενο αυτό, ή τουλάχιστον να θέσουν όρια στον τρόπο συλλογής των δεδομένων, αλλά και μέτρα προστασίας της ιδιωτικότητας των ατόμων που παρακολουθούνται. Στην Ελλάδα, το ίδιο το Σύνταγμα κατοχυρώνει την προστασία των προσωπικών μας δεδομένων (άρθρο 9Α), ενώ ο GDPR έχει θέσει γερά θεμέλια ώστε η επεξεργασία των δεδομένων να πραγματοποιείται με περισσότερες εγγυήσεις ασφαλείας.

Όμως, όταν τα ίδια τα υποκείμενα των δεδομένων είναι αυτά που αδιαφορούν για την προστασία τους, θέτοντας την αναγνωρισιμότητά τους πάνω από την ιδιωτικότητά τους, είναι σίγουρο ότι ο δρόμος για την θεσμοθέτηση και εδραίωση ενός ασφαλούς νομοθετικού πλαισίου προστασίας, είναι ακόμα μακρύς.

Top