QR kodovi se koriste već duže vremena u mnogim oblastima života i rada, od kojih je za pojedinca veoma bliska interakcija sa aplikacijama na telefonu, gde određene aplikacije, kao što je WhatsApp, koriste ovu tehnologiju kao sredstvo za potvrdu identiteta, što se postiže sa jednostavnim otvaranjem kamere i fokusiranjem QR koda u njen okvir. Sličnu tehnologiju koriste i banke, osiguravajuće kuće, prodavnice, restorani, ministarstva, festivali itd.
Ova tehnologija je našla i primenu u borbi protiv pandemije COVID-19, i to preko korišćenja QR koda na kovid sertifikatima.
QR kodovi, Vlada Republike Srbije i kovid sertifikati
Vlada Republike Srbije je u okviru kovid krize donela više puta dopunjavanu Uredbu o merama za sprečavanje i suzbijanje zarazne bolesti COVID-19, na osnovu odredbe iz Zakona o zaštiti stanovništva od zaraznih bolesti koja kaže da u slučaju pojave pandemije ili epidemije zarazne bolesti od većeg epidemiološkog značaja, pojave nove ili nedovoljno poznate zarazne bolesti, Vlada može, između ostalog, odrediti odgovarajuće mere za zaustavljanje epidemije, odnosno pandemije.
U ovoj uredbi je definisan kovid sertifikat kao dokument koji sadrži mašinski čitljivu grafičku oznaku – matrični kod (QR kod), odnosno dvodimenzionalni bar-kod. Ovaj kod služi za lakšu elektronsku proveru dokaza o tome da pojedinac ima negativan rezultat PCR testa na SARS-CoV-2, negativan rezultat testa za detekciju antigena SARS-CoV-2, dokaz o primljenoj drugoj, odnosno trećoj dozi vakcine protiv COVID-19, pozitivan rezultat serološkog testiranja na SARS-CoV-2 ili dokaz o preležanom koronavirusu.
U Srbiji tzv. „digitalni sertifikat”, pored ličnih podataka, kao što su ime, prezime, JMBG, pol, broj pasoša, sadrži i podatke da li je lice vakcinisano, broj primljenih doza, kao i datum primanja prve, druge i treće doze, rezultate određenih kovid testova, kao i podatak da li je lice preležalo COVID-19.
Kada se očita QR kod na ovom sertifikatu, mogu se dobiti zeleni (za lica koja imaju imaju negativan PCR rezultat u poslednja 72 sata, negativan antigenski test u poslednjih 48 sati, pozitivan test na antitela u poslednjih 90 dana, ili drugu/treću dozu vakcine ili podatak o preležanoj bolesti u poslednjih 7 meseci) i crveni status (za lica koja imaju pozitivan PCR ili antigenski rezultat u poslednjih 14 dana, kao i za lica kojima je prošlo više od 7 meseci od primanja druge doze vakcine ili preležane bolesti).
Pitanja u vezi sa ljudskim pravima
Mere kao što je ova, odnosno skeniranje QR koda i pristup određenim podacima građana, svakako pokreću različita pitanja u vezi sa ljudskim pravima u toku i nakon prestanka epidemije.
Naime, građanima je srpskim Ustavom garantovana i zaštita podataka o ličnosti, dok im je Konvencijom za zaštitu ljudskih prava i osnovnih sloboda, kao i Međunarodnim paktom o građanskim i političkim pravima osigurano poštovanje prava na poštovanje privatnog i porodičnog života. Javnoj vlasti je određeno da se može mešati u ova prava ukoliko je takvo mešanje predviđeno zakonom, odnosno ako je legalno i ako je to neophodna, odnosno legitimna mera u demokratskom društvu u interesu, između ostalog, zaštite zdravlja ili prava ostalih građana. Svako mešanje, pri tome, treba da bude proporcionalno svrsi, kao i da ne zadire preko mere u prava pojedinca.
Takođe, Zakonom o zaštiti podataka o ličnosti detaljnije je uređena oblast vezana za pravo na zaštitu podataka o ličnosti, a kao sami podaci o ličnosti su određenê informacije kojima se može utvrditi identitet jednog lica, kao što su to npr.: ime i prezime, broj telefona, broj lične karte, JMBG itd.
U vezi sa svim ovim naročito je bitna praksa u očitavanju QR kodova u Srbiji. Za očitavanje QR koda na digitalnom sertifikatu Srbije potrebno je samo da pojedinac ima mobilni telefon i na njemu instaliranu neku od aplikacija za očitavanje QR kodova.
Nakon očitavanja QR koda svako ko je očitao QR kod može da putem linka koji vodi na sajt euprave dobije podatke o imenu i prezimenu pojedinca na čije ime je izdan sertifikat, datumu njegovog rođenja, njegov JMBG, pol, podatke o vakcinaciji sa tipom primljenih vakcina, serijskim brojevima, datumom vakcinacija, mestom i proizvođačem vakcina, uz naznaku da li je dokument validan i da li lice ima zeleni/crveni status.
Primera radi, ovo znači da svako, bez preterane aparature ili uređaja može da skenirajući QR kod na digitalnom sertifikatu pristupi velikom broju ličnih podataka pojedinca. Kovid redar u ugostiteljskom objektu kojem bi pojedinac dozvolio da skenira QR kod na njegovom sertifikatu, tako može da prostim skeniranjem dobije ime i prezime, JMBG i datum rođenja potpuno nepoznate osobe.
Dok se za podatke kao što je onaj da li lice ima zeleni ili crveni status može naći opravdanje, ili ime i prezime kada je u pitanju nadzor od strane nadležnih javnih organa, nije jasno zašto se praktično svakome ko skenira QR kod na sertifikatu daje mogućnost da pristupi mnogim drugim ličnim podacima građana.
QR kodovi se mogu skenirati i putem posebnih čitača, čak i na određenoj udaljenosti od koda. Ovo nosi brige vezane za nadzor, odnosno praćenje pojedinca na svakom mestu na kome se nalazi, što deluje pomalo zastrašujuće i može da izgleda kao postavka iz nekog sci-fi filma u kome ljudi treba da skeniraju svoj kod na više čekpointa, dok ih vlast konstantno prati.
U trgovini kod proizvoda na čijim ambalažama se nalaze QR kodovi njihova upotreba može da bude veoma korisna, međutim, QR kodovi koji građani nose sa sobom, a sadrže linkove na portale na kojima se nalaze njihovi podaci o ličnosti, mogu da budu predmet zloupotrebe.
Podaci o ličnosti: resurs i laka zloupotreba
U sklopu primene prikupljanja i obrade podataka na ovaj način, odnosno očitavanja QR kodova u praksi, može da dođe do ozbiljnih problema za pojedinca. Pre svega, kao što sam rekao, u sklopu izrade sertifikata, prikuplja se određen broj podataka o ličnosti velikog broja ljudi, a tako masovno prikupljeni podaci, mogu biti iskorišćeni u različite svrhe: od marketinških do političkih.
Pored toga, problemi za pojedinca mogu da nastanu u okviru samog prikupljanja i korišćenja podataka kroz ovaj QR sistem, od toga kako se konkretno koriste podaci i ko sve ima pristup podacima i za koju tačno svrhu, do toga koje mere se preduzimaju za obezbeđivanje podataka i koji je period u kome će se podaci čuvati.
Ako pristup podacima imaju i neovlašćena lica, lični podaci mogu da budu zloupotrebljeni, a ako se podaci nakon pandemije ne budu obrisali iz baza u kojima su prikupljeni, sasvim je moguća i njihova dalja eksploatacija, takođe u različite svrhe. Tu je svakako i praćenje fluktuacije stanovništva na određenim mestima gde se skeniraju QR kodovi, pa tako može da se dobije slika na kojim mestima se okuplja veći broj ljudi, što takođe može da se koristi u različite svrhe.
Problemi mogu da nastanu i u gore spomenutom slučaju kada npr. kovid redar očita sertifikat pojedinca i sa njega kopira lične podatke ili ih jednostavno printskrinuje, kako fotografija ekrana nije zabranjena na portalu euprava. Ukoliko bi lični podaci kroz skeniranje QR koda i pristup istima na portalu euprave, došli u nedobronamerne ruke, mogla bi da se desi i pojedinačna krađa podataka o ličnosti, preuzimanje nečijeg identiteta, falsifikovanje određenih isprava, prevara u vidu lažnog predstavljanja ili potpisivanja u ime druge osobe, kopiranje QR koda i podataka koje on daje, zbog daljeg iskorišćavanja ili čak radi prodaje koda, itd.
Pored toga, u celokupnoj kovid krizi, postoji i već standardan problem ukazivanja na to da li je neka osoba preležala ili nije COVID-19, odnosno uvida u to ko je vakcinisan a ko nije od strane npr. kontrolora na ulazima u u određene objekte.
Sam Evropski sud za ljudska prava je bio stava, u ranijim svojim slučajevima, kao što su bili Z. protiv Finske i Mockute protiv Litvanije, da je zaštita tajnosti podataka o osobama koje su zaražene virusom veoma bitna, a da otkrivanje takvih podataka može dramatično uticati na privatni i porodični život te osobe, kao i na njen status u društvu i zaposlenje ukoliko se ta osoba izvrgne sramoti i riziku da bude proganjana, kao i da bi se bez pružanja zaštite privatnosti, oni kojima je lekarska pomoć neophodna mogli odvratiti od otkrivanja ličnih podataka koji su potrebni da bi se primilo odgovarajuće lečenje, te tako ugroziti svoje zdravlje i, u slučaju zaraznih bolesti, zdravlje zajednice.
Mimo toga, pored dosadašnjih restrikcija, veliko pitanje postavlja se i u vezi sa dozvoljenim kretanjem građana, odnosno sa time da li će javna ali i privatna mesta biti sve više zatvarana za građane koji ne poseduju sertifikat sa QR kodom kojeg je moguće skenirati. Ovim se ograničava pravo na kretanje građana i može se pokrenuti pitanje moguće nedozvoljene diskriminacije u tom pogledu, a pitanje je i koliko je proporcionalno i potrebno u demokratskoj državi to eventualno buduće veće ograničavanje prava.
Nije zgoren ni spomenuti i da postoje rizici za sajber bezbednost, odnosno ranjivost ove tehnologije na npr. hakerske napade, izvlačenje podataka ili preusmeravanje skenera na druge URL adrese. To znači da je neophodno da vlasti posvete i vreme i resurse kako bi predupredili takve napade i da zaštite bezbednost i privatnost podataka građana.
Moguće je isto tako da se pojave i lažni kovid QR kodovi, koji nisu izdani od strane javnih vlasti, a koji će npr. kovid redare voditi na internet adrese koje mogu imati maliciozan sadržaj, ali i koje mogu da budu u stvari adrese sa lažnim podacima o osobi koja se nije vakcinisala, ali je na takvom sajtu prikazano kao da jeste. Kako QR kodovi otvaraju pretraživač, zanimljivo je i pitanje koje sve podatke skuplja sajt euprave na koji upućuje skenirani QR kod.
Dakle, određena pitanja se sa pravôm postavljaju u vezi sa QR kodovima, ali i sertifikatima generalno, a ona su vezana za to:
- na koji način će se svi podaci koji su prikupljeni koristiti,
- ko će sve imati pravo pristupa bazama snimljenih podataka,
- koliko i kako će se te baze čuvati,
- da li će u praksi možda tim bazama pristup imati privatna lica koja nemaju službenih ovlašćenja da im pristupaju,
- na koji način će službenici postupati sa podacima,
- da li će se poštovati zakonske i podzakonske procedure,
- da li će održavanje sistema vršiti direktno nadležni organi ili privatne kompanije,
- koliki nivo pristupa podacima imaju privatna lica koja npr. nadziru sertifikate putem skeniranja i koliko je taj nivo pristupa uopšte neophodan i proporcionalan,
- kako se sprečavaju eventualne zloupotrebe i koliko su uopšte efikasni mehanizmi tog sprečavanja i sl.
Digitalni sertifikat EU
U Evropskoj uniji digitalni kovid sertifikat takođe sadrži QR kod sa digitalnim potpisom, koji ga štiti od eventualnog falsifikovanja, a koji je usaglašen sa Opštom uredbom o zaštiti podataka o ličnosti EU (GDPR). Ovaj sertifikat označava digitalni dokaz da je određeno lice vakcinisano, ima negativan rezultat testa ili je prebolelo COVID-19. Nacionalna tela su zadužena za izdavanje ovog sertifikata, a svako telo koje izdaje serifikat, kao što su npr. zdravstvene ustanove ili centri za testiranje, ima svoj specifičan ključ za digitalni potpis. Uz to, u svakoj državi EU bi trebalo da se sve ovo čuva u bezbednoj bazi podataka.
Digitalni sertifikat EU sadrži nužne osnovne informacije kao što su ime i prezime, datum rođenja, datum izdavanja, relevantne informacije o vakcini, testiranju ili prebolevanju COVIDA-19 i jedinstveni identifikator. Ti podaci ostaju na sertifikatu i ne bi trebalo da se pohranjuju, niti zadržavaju kad se potvrda proverava u drugoj državi članici EU. Dakle, sertifikat treba da uključuje samo ograničene nužne, strogo potrebne informacije, a države članice koje se posećuju, ne treba da zadrže te informacije. Za potrebe provera kontroliše se valjanost i verodostojnost sertifikata tako što se proverava ko ga je izdao i potpisao, te svi zdravstveni podaci ostaju u državi članici koja je izdala digitalni sertifikat.
U Srbiji se takođe odnedavno izdaje i poseban EU digitalni sertifikat koji je namenjen srpskim građanima prilikom putovanja u neku od država Evropske unije, kao i u zemlje izvan EU koje koriste standard sertifikata EU Digital COVID Certificate. EU digitalni zeleni sertifikat, za razliku od standardnog srpskog, kreira se za svaki događaj (vakcinu, test ili oporavak) pojedinačno. U praksi to znači da ukoliko je neko primio tri doze vakcine, dobiće ukupno tri sertifikata za svaku vakcinu, a svaki dokument imaće svoj QR kod koji je zaštićen i sadrži kompletne informacije o tom testu.
Struktura ovog QR koda je drugačija od one koja se koristi u „običnom” digitalnom sertifikatu Srbije, a sama EU ima i pravila koja se razlikuju od srpskih po pitanju učitavanja QR koda. U EU se za svaku vakcinaciju dobija poseban kod kojim se štite lični podaci, i u EU nije neophodno da se znaju svi podaci kada se neko prvi ili drugi put vakcinisao te se prilikom učitavanja, u zavisnosti od pravila pojedinačne države, povlači podatak koji je potreban da bi sertifikat bio validan.
Upotreba QR kodova za pristup određenim informacijama, lakšu i bržu proverljvost određenih podataka, kao i efikasnije kretanje građana u doba pandemije, može da bude veoma korisna stvar. Međutim, neke od opasnosti možemo da vidimo na prošlogodišnjem primeru Kine koja je u borbi protiv kovida koristila QR kodove koji su prikazivali individualni status građana, što je u krajnjem slučaju određivalo koliko je neko mogao da se kreće, uz najave još većeg nadzora od strane vlasti i aplikacija koje bi putem skeniranja QR kodova dodeljivale određene rezultate građanima na osnovu njihove istorije bolesti, zdravstvenih pregleda i životnih navika.
Tako dolazimo do toga da država u stvari, prikupljanjem podataka o građanima, isuviše autoritatno odlučuje o tome koliko prava oni smeju da uživaju, a koliko sloboda će im biti uskraćeno.
Sa takvim nadzorom u budućnosti postoji realna šansa da završimo u nekom Trumanovom šou pod patronatom države, ali sa mnogo većim ulozima.
Naslovna fotografija: Smartphone Digital Vaccination Record, [Autor: Wilfried Pohnke, fotografija preuzeta sa: Pixabay]