Názory k článku Ochrana soukromí v eRoušce podrobně. Jaká data sbírá a jak čelí rizikům?

Požadovat po někom, aby hledal nevýhody řešení, pokud ho prezentuje jako lepší, je logický požadavek. Mimochodem, ten článek je snad psaný pro lidi, kteří si to nezjistí sami – takže je oprávněné, aby čtenář tu analýzu požadoval i tehdy, když sám žádné problémy navrhovaných řešení najít nedokáže.

Nicméně když si ty nevýhody neumíte dohledat, já vám je klidně zopakuju. Ten třetí alternativní přístup (decentralizovaný), který údajně nabízí vyšší ochranu soukromí, znamená, že se všichni uživatelé budou průběžně dozvídat seznam všech „infikovaných“ ID. Přičemž ta ID se dají „v terénu“ spárovat s konkrétním člověkem. Takže ta „vyšší ochrana soukromí“ znamená, že budete zveřejňovat, kdo je nakažen. Jak můžete věřit někomu, kdo se u jiného řešení obává možného úniku telefonních čísel, ale u vlastního řešení mu nevadí praktické zveřejňování seznamu nakažených lidí, a ani to nezmíní jako možný problém?

Nikoli, vývoj možností detekce v čase na té stránce napsaný není. Nebo pokud tam je, citujte ho zde – uveďte je, jaká je pravděpodobnost, že test odhalí nakaženého člověka 1. den od nakažení, 2. den, 3. den atd. Já tam tyhle údaje nevidím.

To že jsou i rychlejší způsoby otestování než za dva dny po odběru vzorku , se taky můžete dočíst na řadě míst.
Ano, o tom jsem psal, že tahle lhůta se podle mne dá zkrátit. Test samotný netrvá dva dny, převést vzorek z jakéhokoli místa v ČR do laboratoře trvá maximálně jednotky hodin, a informace o výsledku testu se dají předat elektronicky během vteřin.

To je ta realita které se dožadujete
Ne, realita, které se dožaduji, je doba mezi nakažením a okamžikem, kdy je možné nakažení s dostatečnou dávkou jistoty prokázat. Vy tvrdíte, že jsou to 4 dny, ale nijak jste to nedoložil – takže se domnívám, že jste si to číslo prostě vymyslel.

No, kdybych začal odzadu, nic jsem si nevymýšlel, ten vývoj detekce v čase u chytré karantény se závazně píše zde
https://koronavirus.mzcr.cz/chytra-karantena/
To že jsou i rychlejší způsoby otestování než za dva dny po odběru vzorku , se taky můžete dočíst na řadě míst. To je ta realita které se dožadujete, Ona prostě ta "chytrá karanténa" není vůbec rychlá ani chytrá je to prostě pouze jenom delší karanténa. Podotýkám nikoliv přímo nakažených, ale těch kteří se s nimi jen (podle eRoušky a dalších) v nějakém okruhu potkali. Tak aby s tím ti lidé počítali, když se tam tak masově registrují...

Takže doufám že budete souhlasit, že těchto 5 dní zpětně stačí, a není nutné přidávat další 4 navíc.
Ne, s tím souhlasit nebudu. Ten počet dní není daný vaším přáním, ale objektivními důvody – od kdy dokáže ten test s dostatečnou spolehlivostí nákazu rozeznat. Je možné, že to dokáže už po 5 dnech – ale vzhledem k tomu, že tenhle údaj neznám, nedovolil bych si kritizovat něco, co na tomhle údaji závisí. Pokud vy víte, jaké testy se v ČR používají a jaký je vývoj schopnosti detekce v čase, sem s těmi údaji. Pokud to nevíte a ta čísla jste si vymyslel, hledal bych problém v těch vymyšlených číslech a ne v realitě.

To se obávám že to nechápete Vy, takže to vysvětlím.
1) Ty testy se vůbec nedělají hned - po infikování - ale až po 5+4 = 9 dnech po možném infikování. Jak je to popsáno v pravidlech té takzvané rychlé karantény. Těch první 5 dní uplyne od doby kdy se nakažený s dotyčným setkal do doby kdy zpětně jeho kontakty prověřují hygienici. Takže doufám že budete souhlasit, že těchto 5 dní zpětně stačí, a není nutné přidávat další 4 navíc.
2) Vůbec nemusí jít o nakaženého, ale pouze o náhodného okolojdoucího, odchyceného eRouskou Jenže, ty další 4 dny do testu + další dva na jeho provedení musí jít provinně do karantény (tedy ztráta na výdělku, jestli měl nějaké další povinnosti či plány se škrtá,.atd.) Tedy nikoliv že bych byl proti testům, ale naopak - ten test by se měl provést ihned (tedy - znovu, vlastně 5 dní po kontaktu) a vyhodnocen - aby věděl jak na tom je, taky ihned...a do žádné karantény by jít nemusel,...

A žádné nevýhody opět nepíšete. Jestli ono to nebude tím, že žádné nejsou, respektive být mohou (a píše se o nich i v textu), ale ne z pohledu ochrany osobních údajů. Požadovat po někom, aby psal o tom, jak hledal nevýhody řešení a žádné nenašel je poněkud zvláštní požadavek.

Neuvádějí nevýhody z hlediska ochrany osobních údajů.

Pár nevýhod, které mne napadly jen tak od stolu, jsem psal v jiné diskusi. Ale mně nešlo o ty konkrétní nevýhody. Problém vidím v té neprofesionalitě, kdy autoři zkritizují stávající řešení a vytýkají mu z mého pohledu nepodstatné prkotiny, a pak přijdou s něčím, co se tváří jako protinávrh – a nepodrobí to ani základní analýze, natož aby to rozebrali stejně pečlivě, jako rozebrali to stávající řešení. Ono to pak vypadá, že zvolené řešení je nevhodné – jenže nic takového autoři nezjistili, protože to z žádným jiným řešením reálně neporovnali.

jak se původně slibovalo, tak čistě pro privátní info občanům
Nikoli, eRouška byla od začátku napojena na hygienu, bez ní žádný smysl nedává.

jak se i v článku píše, původně měla stačit sms nebo push
Nic takového se v článku nepíše.

DLouhej seznam lidí z různých zdrojů, zdravej, nemocnej, kdo to má sledovat, prostě na měsíc do karantény a je to,,,
Na to jste přišel jak? Řekl bych, že je to jen další váš výmysl.

tudíž ty testy by se měly udělat ihned
Co přesně nechápete na tom, že test udělaný krátce po infikování může vycházet negativní, i když dotyčný je nakažený? Např. testy na HIV se dělají 2 – 3 měsíce po té, co mohlo dojít k nakažení. Dřív tělo nevytvoří dostatečné množství protilátek, aby je test zachytil.

Kdyby se testy dělaly ihned, podle vašeho návodu, test by vyšel prakticky vždy negativní, což by ovšem neznamenalo, že dotyčný není nakažen, ale jen že to test ještě nedokázal rozpoznat. Takže by se po čtyřech dnech test opakoval.

Není tedy lepší rovnou přeskočit ten váš první test, který je k ničemu?

To nevypadá vůbec chytře, ani rychle..
On je ten virus mrcha, takže po vašem rizikovém kontaktu můžete sice být infekční velmi rychle, ale test bude mít vypovídací hodnotu až s odstupem (pokud jste nakažen, až se trochu pomnoží a bude mít význam určit jeho přítomnost i množství). Možná to váš imunitní systém zvládl a test bude negativní, možná proděláváte chorobu bez příznaků (ale jste nakažlivý) a pak jsou ty horší možnosti (nutná hospitalizace).

Víte, jen pro vysvětlení, hygienici si samozřejmě v rámci celkové chytré karantény ty údaje od banky i od operátora vyžádat mohou a nemusí mít souhlas soudu. To už jim plukovník Prymula zařídil. Ta e-Rouška (i mapy.cz ) měly fungovat mimo to, a jak se původně slibovalo, tak čistě pro privátní info občanům (jak se i v článku píše, původně měla stačit sms nebo push).
jenomže, vzhledem k tomu že se to všechno předalo a semlelo pod státní dozor, tak je z toho guláš, který ani hygienici nedokáží smysluplně využít. DLouhej seznam lidí z různých zdrojů, zdravej, nemocnej, kdo to má sledovat, prostě na měsíc do karantény a je to,,,

Víte, ono přece není o tom, že by se dělal ten test u podezřelého kontaktu hned po setkání s nakaženým. Jak se i uvádí, pracuje se s vzpomínkovou mapou nakaženého starou až 5 dní - tudíž ty testy (u těch nejstarších setkání) by se měly udělat ihned. A samozřejmě (když už se to dělá v tomto chytrém režimu) tak právě ty testy které odhalí co mají - ne "prostě nějake testy", jak se dovezly z Číny.. Protože pak to skutečně vypadá že ona "chytrá karanténa" dělá jen to co říká, že nažene všechny ty zjistěné kontakty do karantény a jestli jsou nakažené (a mají se třeba hned začít léčit) už se tak akutálně řešit nemusí...

Co máte přesně na mysli? Ty návrhy alternativních řešení přece uvádí i jejich nevýhody, jestli vás napadají další, tak proč je sem nenapíšete?

Je tam ta karanténa, což je to nejdůležitější. Je možné, že kdyby se ten odběr dělal hned na začátku, bude spousta falešně negativních testů – asi záleží na tom, jaký typ testů se používá. Nechci to hájit a rozhodně si nemyslím, že by v téhle krizi stát fungoval kdovíjak dobře, ale zrovna ten odklad testování může mít rozumné důvody. To, že jsou výsledky známé až do 48 hodin, už ale asi žádné rozumné vysvětlení nemá.

Jenomže, co jsem četl podrobnosti, tak tak vůbec není snaha potenciální nakažené co nejdřív otestovat. Takto je to psáno na webu https://koronavirus.mzcr.cz/chytra-karantena/. ..potenciálně ohrožené kontakty, jsou co nejrychleji informováni a izolováni v karanténě.
Následně jsou tito lidé v karanténě po 4-5 dnech navštíveni dvoučlenným odběrovým týmem, který odebere vzorek a zajistí, aby se dostal do laboratoře s volnou kapacitou. Tak aby byl otestovaný člověk v co nejrychlejším možném čase (ideálně do 48 hodin) zpraven o výsledku..."
Což nevypadá příliš rychle, "podezřelý kontakt musí do karantény (tedy nesmí do práce, ven.. atd..)ale teprve po zhruba týdnu v karanténě (proboha) se zjistí zda byl vůbec nakažený..
To nevypadá vůbec chytře, ani rychle..

nebo telefon vlastnit (tady doslo k brutalni dezinformacni masazi)
Mohl byste být konkrétnější? Žádnou masáž ohledně nutnosti vlastnit telefon jsem nezaznamenal.

nejlepe pohovor odlozit
Řekl bych, že jste úplně nepochopil význam trasování. Dělá se pro to, že covid-19 má dlouhou inkubační dobu, kdy je zároveň nakažlivý. Takže je snaha potenciální nakažené co nejdřív otestovat, aby nemoc dál nešířili. Odkládat to po pracovní neschopnosti by znamenalo, že už vůbec nemá smysl to dělat.

Připadá mi trochu zvláštní hodnotit způsob, jak se zachází s osobními údaji, zkritizovat ho, navrhnout jiný způsob – a ten už nijak kriticky nezkoumat. Taková hezká manipulace se čtenářem…

Na predstaveni, kdy na Vas u branky vyskace komando na zaklade toho, ze jste nezvedli telefon hygiene, na takove predstaveni bych si vzal prvni radu ...

Tak to jste možná nepostřehl jednu drobnost. Plukovník Prymula na svoz těchto podezřelých k odběrům nasadil armádní mediky. Až u Vás u branky vyskáče z gazíku vojenské komando, moc si s nima asi nepopovídáte..:))

JAsně, zvlᚍ Google je známý šmírák. Nakonec na to, že volba využití Googlích služeb není nejlepší volba, jemně upozorňuje i článek. Tvářit se, že když jsou data v USA pod Privacy Shieldem je z pohledu legislativy totéž jako je mít fyzicky v EU pod plným GDPR je lhaní si do kapsy (bohužel posvěcené Evropskou komisí). Jestli GDPR je kompromis mezi soukromím a zájmy zpracovatelů dat, pak Privacy Shield je kompromis mezi tímto kompromisem a zájmy amerických zpracovatelů dat a US vlády. Tedy určitě nejde o stejnou úroveň ochrany soukromí Evropanů. Tím nehodnotím technickou úroveň zabezpečení před útoky.

Jiste ale neni povinnost ucastnit se rozhovoru pres telefon, nebo telefon vlastnit (tady doslo k brutalni dezinformacni masazi). Rad se pohovoru zucastnim, kdyz se ohlasi doporucenym dopisem a uvitam je u zamcene branky (predpokladam pracovni neschopnost, samozrejme nejlepe pohovor odlozit az po pracovni neschopnosti).

Dobrý den, díky za článek.
Oceňuju, že eRouška deklaruje, že se bude o soukromí starat. Ale zajímalo by mne, co není tolik v článku rozvedeno, jaká jsou rizika spojená napojením na řešení Googlu a Applu? Obě společnosti jsou z povahy věci se soukromím na štíru, krom kauz s oosbními údaji svých klientů), navíc zcela mimo kontorlní dosah českých úřadů. Jak je zajištěno, že data opravdu smažou a nevyužijí jinak?

Uživatelům starších Android telefonů (nejde jen o ty, které nemají aktualizace, ale i ty, které v aktualizacích nemají nejnovější záplaty) bych používání důrazně nedoporučil. Některé ty chyby v bluetooth jsou opravdu fatální a vedou ke vzdálenému (na dosah bluetooth) ovládnutí telefonu bez vědomí uživatele.

Podlě mě by autoři měli omezit aplikaci na vyšší verze Android, což ale odmítají (ano, pak si to asi nenainstalovalo dost lidí, ale potichu (drobná zmínka ve FAQ, která se tváří spíš, že je všechno v pohodě) nechat lidi běhat se zapnutým bluetooth a děravým telefonem mi přijde horší varianta - být útočník, mnu si v tomhle období ruce).

A to co napsali v návodu pro Apple, to je z hlediska bezpečnosti pro uživatele totální průser:

"doporučujeme na rušnějších místech nechat aplikaci běžet na obrazovce a přístroj nezamykat"
K takovému návodu fakt nezbývá než se pokřižovat a pogratulovat

Mám několik dotazů. 1) Prošla serverová a administrační část nezávislým bezpečnostním auditem? 2) Prošla apka nezávislým bezpečnostním auditem? 3) Je build na Google Play reprodukovatelný abych si mohl udělat vlastní a ověřit, že se shodují a potvrdit tak, že s nim nebylo manipulováno (vložen backdoor,...) ? 4) Jaký stupeň prověrky mají lidé (admini, zaměstnanci hygienických stanic, ...), kteří s daty pracují? 5) Jak se autentizují (je tam nějaké solidní 2FA?), jak se logují jejich akce, je jejich práce monitorována?

Bohuzel nemate sanci poznat, ze Vam vola hygiena.

Jasně, hgiena primárně data stejně zjišťuje z rozhovorů, které s nakaženými vede. A povinnost se jich účastnit a odpovídat je zakotvená v zákoně.

Mylite se v uvaze, ze "Navíc tyhle údaje, které aplikace sbírá, by měl být schopný (s jistou mírou nepřesnosti) poskytnout operátor.". Operator je hygiene schopen poskytnout data s presnosti radove desitky metru a nikoliv uvnitr budov.

Naopak eRouska je schopna Vam poskytnout informace s presnosti jednoho metru az dvou (vcetne vnitrku budov). A jak jiste chapete, tak kdyz s nakazenym stravite 20 minut ve vzdalenosti 20 metru nebo 1 metr, tak to ma na trasovani docela velky dopad.

Naopak data od mobilnich operatoru nebo z mapy.cz zase mohou pomoci odhalit mistni zdroje nakazy.

Jinak operator data hygiene poskytne, kdyz to pri navolavani odsouhlasite.

Dekuji za potvrzeni.

Rozhodovani uzivatelu Androidu bych nechal na nich ...

Že to má minimální datový provoz a zabere prostor v paměti je mi relativně ukradené. Víc mi vadí, že to žere energii a můj tříletý Šamšung vydrží s puštěným WiFi, GPS, BT a daty asi tak půlden.
Pokud to nebudou mít zapnuté všichni (a hlavně ti nakažení), nemá aplikace význam.
Navíc tyhle údaje, které aplikace sbírá, by měl být schopný (s jistou mírou nepřesnosti) poskytnout operátor.
Jestliže data není operátor ochoten poskytnout ani krizovému štábu ani v době státní krize, je někde nějaká číhošť. Operátor je poskytne, až dyž rozhodne soud. A soud asi rozhodnout takhle plošně nechce.
Navíc - něco sbírají mapy.cz, něco eRouska, něco může poskytnost operátor. Zdroje se tříští a já nemám žádnou jistotu, že se sejdou a vypadne z toho něco smysluplného.
Takže jsem eRousku odinstaloval, vypnul všechny vysílače a hned se cítím bezpečněji. Fyzická rouška mi zase tolik nevadí, podle křečků by měla ochránit o 60% víc než bezrouška, a já nevěřím, že tenhle elektronický Velký bratr pokryje za základě dobrovolnosti 60% populace. Pokud mi to ale přikážou, bránit se nebudu.

Ano, ale když jsem koukal co je potřeba všechno udělat u některých telefonů na Androidu, aby se to taktéž nevypínalo, tak to nikdo dělat nebude. Navíc pokud to nefunguje na 100% u Apple, pak to ani pro Android uživatele nemá moc smysl.

Vzhledem k tomu, co píšete na sociálních sítích, tak jste asi zapoměl napsat před Váš příspěvek:

"Pro uživatele Apple platformy ..."

Odpovídal jsem na něco jiného, než se ptáte., proto nedorozumění

K Vaší otázce. Ano, sběr je dvoucestný. Může Vás zaevidovat i druhý telefon, nicméně vlastní ztotožnění telefonu s konkrétní osobou není (eRouška fuguje i na anonymních předplacených SIMkách ba i dokonce na stabilních telefonech, kam dokážete doručit SMS).

Hygiena dostane při trasování z eRoušky pouze seznam jiných telefonů s datumy a délkou kontaktu (samozřejmě pokud s tím dotyčná osoba souhlasí a obsah svojí eRoušku jim pošle).

"dosah az 10m", takze prumerne 3 -5m.

"presnost az 10m", takze prumerne 50m. To je desetkrat tolik.

Navic mimo budovy vas to "temer" nezajima - zajima vas to predevsim v uzavrenych prostorach, co jsou krome budov take dopravni prostredky (kde by to BT take melo merit lepe).

To jen z technickeho hlediska

GDPR se samozrejme tyka i hygieny
(napriklad co se tyka ucelu vyuziti tech dat).
Coz musi byt kontrolovatelne a melo by se to kontrolovat.

Vzhledem k tomu, jak obcas vypadaji realne kontroly cehokoli, tak jsem zadim se sdilenim svych dat mirne zdrzenlivy.

tedy nejsem si jistý, ale mám dojem že e-Rouška funguje dvoustranně. Tedy - Váš telefon s eRouskou sbira informace z okoli o okolnich telefonech (s ni), ale rovběž ty telefony okolo (s Erouskou) si stahuji taky informace o okolnich telefonech (s Erouškou). Kazdy mobil si buduje svůj seznam kontaktů?
Což jak předpokládám značí, že když je potom "odhalen" nějaký nakažený, tak ten potom dá souhlas k použití svého seznamu kontaktů - a pokud Vy jste v něm uložen, Vy už žádný souhlas dávat nemusíte, ale stát si Vás zaeviduje stejně. Je to tak?

Je to zcestné, protože pokud se do nějakého takového trasování chci zapojit, tak se do něj zapojím s vědomím toho, že omezím své soukromí a je tedy jedno, jestli bude sledována poloha nebo Bluetooth. Nevím co by mělo být přínosnějšího na sledování podle Bluetooth s dosahem až 10m, oproti GPS s přesností až 10m. Výsledek bude vždy stejný, buď jste se k někomu přiblížil nebo ne. Jediný přínos Bluetooth je tedy v budovách, kde se GPS nechytá. Ano, aplikace musí mít uživatele, aby měla výsledky a to právě mapy oproti eroušce mají, pokud se nic nezměnilo, tak eroušku požívá okolo 300 tis. lidí a myslím, že většina z těch co používají právě mapy, si už eroušku stahovat nebude, protože to bude považovat za zbytečné.

26. 5. 2020, 11:14 editováno autorem komentáře

Dobry den,
podle aktualniho pravniho vykladu nemusite hygiene pri trasovani predavat vystup ze zadne aplikace. Ostatne hygiena nema zadne nastroje ke zjisteni, zda eRousku vubec pouzivate (to, ze nekde lezi telefonni cislo pouzite pri registraci nemusi znamenat, ze jste to vy a take nemate povinnost tu aplikaci pouzivat).
MK

Proč je to scestné? Třeba Mapy.cz sledují každý váš pohyb s telefonem, ale vypovídací hodnota GPS pro účely epidemiologie je na rozdíl od Bluetooth kontaktu nižší. V prvním případě se přitom eviduje poloha , v druhém kontakt telefonů bez polohy. PR Mapy.cz je sice dobrá, ale přínosnost sledování polohy pro uživatele nižší, než sledování kontaktů telefonů. No ale vše se samozřejmě odvíjí od počtu uživatelů a jestli i 1,2 milionu uživatelů Mapy.cz znamená v nejlepším případě teoretickou identifikaci 1,44% problematických kontaktů nakaženého se zdravým (12 % populace a tedy i 12% nakažených aplikaci užívá), tak to na nějakou velkou pomoc nevypadá.

Určitě by bylo lepší, aby možnost využívat aplikaci bez registrace byla zachována alespoň jako možnost pro uživatele. Jinak to, jak se pracuje s daty na hygieně by samozřejmě taky stálo za zmapování, ale s nastavením zpracování dat na eRoušce to zas tak nesouvisí. Informace hygienikům musíte předávat tak jako tak podle zákona o ochraně veřejného zdraví. Ti se vás na žádný souhlas ptát nebudou. A zpracovávají samozřejmě mnohem podrobnější informace (o nakažených č jejich kontaktech), než eRouška.

Vzhledem k účelu aplikace mi přijde úplně zcestné řešit, jestli aplikace sleduje mou polohu nebo ne. Jinak si myslím, že ta aplikace i podle aktuálního počtu uživatelů nemá moc šanci přežít. Mapy.cz přišly s trasováním dříve, dobře to marketingově prodaly a dnes mají přes milión uživatelů, kteří tu polohu sdílí. Zatímco erouška má dost chabou propagaci, která je navíc spojená s naprosto nedůvěryhodným ministrem zdravotnictví.

Potíž s touhle analýzou je to, že kontroluje pouze vlastní aplikaci eRouška - a ta mohla být bezpečná. Taky proto je tam ona poznámka "..Aplikace by nemusela sbírat telefonní čísla .. namísto toho by mohla uživatele, kteří přišli do styku s nakaženou osobou, upozornit pomocí push notifikace ". Takhle to totiž přece bylo u aplikací tohoto typu slibováno, že pouze anonymně upozorní uživatele na nedávný kontakt s nakaženým a tečka.
Jenomže - jak se i v článku píše, ta data se (na vyžádání ) předávají hygienikům, potažmo tedy státní správě -a jak bylo několikrát opakováno,s hygieniky na tom pracuje armáda.
Tudíž, právě tohle rozhraní by se mělo zkontrolovat jako hlavní, zda k němu přistupuje jen kdo má, zda jsou i u hygieniků smazána či evidována nadále . Ono se totiž dá naopak předpokládat, že ti si naopak ta data - pro svou potřebu evidují, párují (po hovorech) se jmény i adresami, ukládají, určitě i po své linii předávají dál?

Dokud nebude použití COVID API přímo od Apple a Google, tak je aplikace k ničemu a rozhodně se ji nevyplatí používat.