Bereits im Mai riskierte er eine sechsmonatige Haftstrafe oder eine Geldstrafe von 15 US-Dollar, weil er sich geweigert hatte, die App herunterzuladen. Ghosh tat es nicht Pflege: Er hatte größere Bedenken hinsichtlich der zukünftigen Verwendung seiner Daten.
„Ich bin nicht sicher, wie die Regierung meine Daten verwenden wird. Wenn sie wollen, können sie mich durch Standortverfolgung in der App für immer überwachen“, sagte Ghosh.
Die indische Regierung behauptet, dass die meisten persönlichen Daten und Standortdaten der Benutzer letztendlich gelöscht werden. Kritiker sagen jedoch, dass Indiens mangelnde Datenschutzgesetze Millionen von Menschen potenziellen Datenschutzverletzungen aussetzen. Sie befürchten auch, dass persönliche Informationen von der Regierung an private Unternehmen verkauft oder sogar zur Überwachung außerhalb der Bedenken von Covid-19 verwendet werden könnten.
Millionen von Benutzern
Die Aarogya Setu-App wurde vom Nationalen Informatikzentrum, einem IKT- und E-Governance-Gremium des Ministeriums für Elektronik und Informationstechnologie, in Zusammenarbeit mit freiwilligen technischen Experten aus der Privatwirtschaft und der Wissenschaft entwickelt.
Im Gegensatz zu den Kontaktverfolgungs-Apps vieler anderer Länder verwendet Aarogya Setu Bluetooth- und GPS-Standortdaten, um die Bewegung der App-Benutzer und die Nähe zu anderen Personen zu überwachen.
Benutzer werden gebeten, ihren Namen, ihre Telefonnummer, ihr Alter, ihr Geschlecht, ihren Beruf und die Länder, die sie in den letzten 30 Tagen besucht haben, sowie frühere Gesundheitszustände und eine Selbsteinschätzung aller Covid-19-bezogenen Symptome einzugeben.
Für jeden Benutzer wird eine eindeutige digitale ID (DiD) generiert, die für alle zukünftigen app-bezogenen Transaktionen verwendet wird. Über GPS zeichnet die App alle 15 Minuten den Standort jedes Benutzers auf.
Wenn zwei registrierte Benutzer in Bluetooth-Reichweite voneinander kommen, tauschen ihre Apps automatisch DiDs aus und zeichnen Zeit und Ort auf. Wenn einer der Benutzer positiv auf Covid-19 testet, werden die Informationen von seinem Telefon auf den Server der indischen Regierung hochgeladen und für die Kontaktverfolgung verwendet.
Bis zum 1. Juni hatte Aarogya Setu 200.000 gefährdete Personen und 3.500 Covid-19-Hotspots identifiziert, so der Hauptentwickler Lalitesh Katragadda, der Gründer von Indihood, einem privaten Unternehmen, das Crowdsourcing-Plattformen im Bevölkerungsmaßstab aufbaut, und einer der Privatunternehmen Freiwillige, die mit Regierungsbehörden an der App gearbeitet haben.
„Wir haben eine Wirksamkeitsrate von 24%, dh 24% aller Menschen, die aufgrund der App schätzungsweise Covid-19 haben, wurden positiv getestet“, sagte Katragadda. Dies bedeutet, dass nur etwa 1 von 4 Personen, denen die App geraten hat, einen Test durchzuführen, tatsächlich positive Tests durchführen.
Subhashis Bannerjee, Professor für Informatik und Ingenieurwesen am Indian Institute of Technology in Neu-Delhi, sagte, die Kombination von Bluetooth- und GPS-Standort würde wahrscheinlich eine höhere Rate an falsch positiven und falsch negativen Ergebnissen ergeben. Beispielsweise ist GPS in Innenräumen häufig nicht verfügbar oder unzuverlässig, und Bluetooth überschätzt die Risiken in großen offenen Räumen über Wände und Böden hinweg, in die Funkwellen eindringen können, das Virus jedoch nicht.
Schutzmaßnahmen der Regierung
Die indische Regierung gibt an, dass genügend Datenschutz- und Schutzparameter eingebaut wurden, um ein dauerhaftes Löschen der App-Daten zu gewährleisten.
„Alle Kontaktverfolgungs- und Standortdaten auf dem Telefon werden in einem fortlaufenden 30-Tage-Zyklus gelöscht. Dieselben Daten auf dem Server werden 45 Tage nach dem Upload gelöscht, sofern Sie keinen positiven Test durchführen. In diesem Fall werden alle Kontaktverfolgungs- und Standortinformationen danach gelöscht 60 Tage nach der Erklärung für geheilt „, sagte Abhishek Singh, CEO von MyGov im indischen IT-Ministerium.
„Es gibt keine Möglichkeit zu überprüfen, ob die vollständige Zerstörung von Daten stattgefunden hat und ob Dritte, mit denen die Daten geteilt werden, diese ebenfalls zerstört haben“, sagte Apar Gupta, Anwalt und Geschäftsführer der IFF.
Als Reaktion auf die Forderung nach mehr Transparenz hat die indische Regierung am 27. Mai den Quellcode der App geöffnet und ein Bug-Bounty-Programm angekündigt, mit dem Software-Experten dazu angeregt werden sollen, Sicherheitslücken in der App zu finden und etwaige Fehler zu beheben.
Am 1. Juni sagte Singh von MyGov, die Regierung habe geplant, den Servercode in wenigen Wochen freizugeben.
Katragadda sagte jedoch, dass selbst mit dem Servercode der Zugriff auf Informationen zum Datenaustausch eingeschränkt wäre.
„Es wird nie möglich sein, genau zu sehen, mit wem die Daten geteilt werden, da wir dafür die gesamte Regierung als Open Source anbieten müssen“, sagte er.
Keine Datenschutzgesetze
Das Gesetz zum Schutz personenbezogener Daten schränkt die Verwendung, Verarbeitung und Speicherung personenbezogener Daten der Einwohner ein. Im Falle einer Verabschiedung würde der Gesetzentwurf auch eine neue Regulierungsbehörde – die Datenschutzbehörde (DPA) – einrichten, um die Einhaltung zu überwachen. Kritiker sagen, dass die Gesetzesvorlage aus einer Reihe von Gründen fehlerhaft ist, einschließlich der Tatsache, dass die Regierung ihre Abteilungen aus Gründen der nationalen Sicherheit von der Gesetzgebung ausnehmen kann.
Derzeit gibt es in Indien jedoch nur wenige Sicherheitsvorkehrungen für Daten.
„Kein gesetzlicher Rahmen bedeutet keine offizielle Rechenschaftspflicht. Wenn also ein Datenunglück auftritt, wird es keine Strafe geben, es wird keine Schutzmaßnahmen geben“, sagte Gupta.
„Indien hat eine Strategie zum Verkauf von Bürgerdaten entwickelt und macht sie damit zu einer Ware, indem es das Eigentum an den persönlichen Daten der Indianer beansprucht, was gegen das Grundrecht der Indianer auf Privatsphäre verstößt“, sagte Kodali, der Technologe von öffentlichem Interesse.
Im vergangenen Jahr verkaufte die Regierung Modi ohne Zustimmung der Bürger die Fahrzeugregistrierungs- und Führerscheindaten der Bürger an 87 private Unternehmen für 65 Crore-Rupien (ca. 8,7 Millionen US-Dollar). Dies führte zu einer Gegenreaktion, bei der die Oppositionspartei die Motive der Regierung und den Preis des Verkaufs im Parlament in Frage stellte.
Trotz der Zusicherungen der Regierung, dass alle Aarogya Setu-Daten gelöscht werden, sagte Katragadda gegenüber CNN Business dass einige Informationen aus der App automatisch an den National Health Stack (NHS) übertragen werden. Das NHS ist ein Cloud-basiertes Gesundheitsregister, das derzeit entwickelt wird und die Krankengeschichte, den Versicherungsschutz und die Ansprüche der Bürger umfasst.
„Alle verbleibenden Daten aus der Aarogya Setu-App werden automatisch in den National Health Stack innerhalb der Zustimmungsarchitektur verschoben, sobald der Health Stack in Kraft tritt“, sagte Katragadda.
Restdaten sind alle Daten, die sich zum Zeitpunkt der Aktivierung des NHS noch auf dem Regierungsserver befinden. Dazu gehören Standort-, Gesundheits- und personenbezogene Daten, die auf den Server heruntergeladen, aber in den von der Regierung festgelegten Fristen noch nicht gelöscht wurden, sagte Katragadda.
Es wurde kein Datum für die Veröffentlichung des NHS festgelegt, aber Gupta von IFF befürchtet erneut, dass es keinen rechtlichen Rahmen zum Schutz der Daten gibt.
„Obwohl wiederholt angegeben wird, dass die Zustimmung die Grundlage für den Informationsaustausch sein wird, ist es wichtig zu beachten, dass sowohl in der Aarogya Setu-App als auch im NHS die Zustimmung in die Architektur eingebettet ist, die eher ein technischer Rahmen als eine klare Rechtsquelle ist Behörde.“
Ticket zum Umzug
Wie in anderen Ländern, die eine Kontaktverfolgungs-App eingeführt haben, ist laut Indien die Technologie von entscheidender Bedeutung, um die Ausbreitung des Virus zu verhindern. Bis zum 22. Juni hatte das Land mehr als 410.000 Fälle und 13.254 Todesfälle bestätigt.
Bürger und Aktivisten befürchten auch, dass sich die Funktion der App verschlechtert, was bedeutet, dass über die App erhaltene Informationen mit anderen Diensten verknüpft werden könnten.
„In der Vergangenheit haben wir gesehen, dass technologische Interventionen dieser Regierung wie das Aadhar-Programm, das ursprünglich entwickelt wurde, um sicherzustellen, dass jeder eine digitale Identität hat, zu einem allgegenwärtigen System wurden“, sagte Gupta.
„Ursprünglich für den Zugang zu staatlichen Leistungen und Subventionen gebaut, wurde es bald beauftragt, Bankkonten zu eröffnen, Handynummern zu nutzen und Ihr Geschäft zu betreiben.“
Im Jahr 2018 entdeckte ein Journalist jedoch eine Sicherheitsverletzung, bei der die persönlichen Daten der Bürger offengelegt wurden. Die Regierung führte neue Sicherheitsmaßnahmen ein, aber der Skandal untergrub das Vertrauen in ihre Fähigkeit, Daten sicher zu halten.
Indien war das einzige demokratische Land, in dem Millionen von Bürgern die App herunterladen mussten, bevor es die obligatorische Download-Bestellung aufgab. Die einzigen anderen Länder, die eine ähnliche Anordnung auferlegten, waren die Türkei und China. Aktivisten sagen, dass allein Anlass zur Sorge gibt.
„Wenn es um Technologie und öffentliche Nutzung geht, schöpft die größte Demokratie der Welt aus Chinas Spielbuch – indem sie die nationale Sicherheit oder eine Krise der öffentlichen Gesundheit nutzt, um ein digitales Modell für das Sammeln, Überwachen und Überwachen von Daten zu erstellen“, sagte Vidushi Marda, ein Anwalt, der arbeitet zu neuen Technologien und Menschenrechten.
„Ich würde sagen, dass solche komplexen technischen Architekturen in Indien nicht kollektiv stattfinden, aber es besteht die Gefahr, dass sie über Plattformen wie den National Health Stack eingebaut werden“, sagte Gupta.
+ There are no comments
Add yours