Warum viele indische Bürger glauben, dass ihre Regierung versucht, ihre Daten über die Coronavirus-App zu verkaufen

Bereits im Mai riskierte er eine sechsmonatige Haftstrafe oder eine Geldstrafe von 15 US-Dollar, weil er sich geweigert hatte, die App herunterzuladen. Ghosh tat es nicht Pflege: Er hatte größere Bedenken hinsichtlich der zukünftigen Verwendung seiner Daten.

„Ich bin nicht sicher, wie die Regierung meine Daten verwenden wird. Wenn sie wollen, können sie mich durch Standortverfolgung in der App für immer überwachen“, sagte Ghosh.

Die indische Regierung behauptet, dass die meisten persönlichen Daten und Standortdaten der Benutzer letztendlich gelöscht werden. Kritiker sagen jedoch, dass Indiens mangelnde Datenschutzgesetze Millionen von Menschen potenziellen Datenschutzverletzungen aussetzen. Sie befürchten auch, dass persönliche Informationen von der Regierung an private Unternehmen verkauft oder sogar zur Überwachung außerhalb der Bedenken von Covid-19 verwendet werden könnten.

Millionen von Benutzern

Die Aarogya Setu-App wurde vom Nationalen Informatikzentrum, einem IKT- und E-Governance-Gremium des Ministeriums für Elektronik und Informationstechnologie, in Zusammenarbeit mit freiwilligen technischen Experten aus der Privatwirtschaft und der Wissenschaft entwickelt.

Zu Beginn von Juni war es über heruntergeladen worden 120 Millionen Mal.

Im Gegensatz zu den Kontaktverfolgungs-Apps vieler anderer Länder verwendet Aarogya Setu Bluetooth- und GPS-Standortdaten, um die Bewegung der App-Benutzer und die Nähe zu anderen Personen zu überwachen.

Benutzer werden gebeten, ihren Namen, ihre Telefonnummer, ihr Alter, ihr Geschlecht, ihren Beruf und die Länder, die sie in den letzten 30 Tagen besucht haben, sowie frühere Gesundheitszustände und eine Selbsteinschätzung aller Covid-19-bezogenen Symptome einzugeben.

Für jeden Benutzer wird eine eindeutige digitale ID (DiD) generiert, die für alle zukünftigen app-bezogenen Transaktionen verwendet wird. Über GPS zeichnet die App alle 15 Minuten den Standort jedes Benutzers auf.

Wenn zwei registrierte Benutzer in Bluetooth-Reichweite voneinander kommen, tauschen ihre Apps automatisch DiDs aus und zeichnen Zeit und Ort auf. Wenn einer der Benutzer positiv auf Covid-19 testet, werden die Informationen von seinem Telefon auf den Server der indischen Regierung hochgeladen und für die Kontaktverfolgung verwendet.

In einer Analyse von 25 Apps wurde die Massachusetts Institute of Technology (MIT) gab Aarogya Setu gerade zwei von fünf Sternen, vor allem, weil es sammelt weit mehr Daten als es n eeds. Zum Vergleich: Die TraceTogether-App in Singapur wurde mit 5 Sternen ausgezeichnet und verwendet ausschließlich Bluetooth.

Bis zum 1. Juni hatte Aarogya Setu 200.000 gefährdete Personen und 3.500 Covid-19-Hotspots identifiziert, so der Hauptentwickler Lalitesh Katragadda, der Gründer von Indihood, einem privaten Unternehmen, das Crowdsourcing-Plattformen im Bevölkerungsmaßstab aufbaut, und einer der Privatunternehmen Freiwillige, die mit Regierungsbehörden an der App gearbeitet haben.

„Wir haben eine Wirksamkeitsrate von 24%, dh 24% aller Menschen, die aufgrund der App schätzungsweise Covid-19 haben, wurden positiv getestet“, sagte Katragadda. Dies bedeutet, dass nur etwa 1 von 4 Personen, denen die App geraten hat, einen Test durchzuführen, tatsächlich positive Tests durchführen.

Subhashis Bannerjee, Professor für Informatik und Ingenieurwesen am Indian Institute of Technology in Neu-Delhi, sagte, die Kombination von Bluetooth- und GPS-Standort würde wahrscheinlich eine höhere Rate an falsch positiven und falsch negativen Ergebnissen ergeben. Beispielsweise ist GPS in Innenräumen häufig nicht verfügbar oder unzuverlässig, und Bluetooth überschätzt die Risiken in großen offenen Räumen über Wände und Böden hinweg, in die Funkwellen eindringen können, das Virus jedoch nicht.

„Es scheint einen Vertrauenssprung zwischen GPS-Colocation und Bluetooth-Funknähe zu geben, um einen Risikowert für die Übertragung von Infektionen abzuschätzen“, sagte er schrieb in einem Bericht für die Internet Freedom Foundation (IFF), eine Nichtregierungsorganisation, die sich für digitale Rechte einsetzt und eine rechtliche Anfechtung der obligatorischen Download-Anordnung vor dem Kerala High Court eingeleitet hat.

Schutzmaßnahmen der Regierung

Die indische Regierung gibt an, dass genügend Datenschutz- und Schutzparameter eingebaut wurden, um ein dauerhaftes Löschen der App-Daten zu gewährleisten.

„Alle Kontaktverfolgungs- und Standortdaten auf dem Telefon werden in einem fortlaufenden 30-Tage-Zyklus gelöscht. Dieselben Daten auf dem Server werden 45 Tage nach dem Upload gelöscht, sofern Sie keinen positiven Test durchführen. In diesem Fall werden alle Kontaktverfolgungs- und Standortinformationen danach gelöscht 60 Tage nach der Erklärung für geheilt „, sagte Abhishek Singh, CEO von MyGov im indischen IT-Ministerium.

Die Aarogya Setu-Protokoll für Datenzugriff und Wissensaustausch gibt an, dass nicht identifizierte (anonyme) Daten an jedes Ministerium oder jede Institution der Regierung weitergegeben werden können, sofern dies zum Zweck der Bekämpfung von Covid-19 dient. Alle empfangenen Daten sollten nach 180 Tagen endgültig gelöscht werden, heißt es im Protokoll. Aber Datenschutzkämpfer sagen, dass es keine Möglichkeit gibt zu wissen, ob das passiert ist.

„Es gibt keine Möglichkeit zu überprüfen, ob die vollständige Zerstörung von Daten stattgefunden hat und ob Dritte, mit denen die Daten geteilt werden, diese ebenfalls zerstört haben“, sagte Apar Gupta, Anwalt und Geschäftsführer der IFF.

Als Reaktion auf die Forderung nach mehr Transparenz hat die indische Regierung am 27. Mai den Quellcode der App geöffnet und ein Bug-Bounty-Programm angekündigt, mit dem Software-Experten dazu angeregt werden sollen, Sicherheitslücken in der App zu finden und etwaige Fehler zu beheben.

„Dies ist ein Schritt in die richtige Richtung, aber um das vollständige Bild darüber zu erhalten, wer Zugriff auf die Daten hat, benötigen wir auch den Servercode“, sagte Robert Baptiste, ein ethischer Hacker, der den Alias verwendet von Elliot Alderson und aufgedeckte Sicherheitslücken in der App kurz nach ihrem Start. Ein offener Servercode würde es Experten ermöglichen, zu sehen, welche Bürgerdaten auf dem Regierungsserver gespeichert sind und wie die Daten gemeinsam genutzt werden.

Am 1. Juni sagte Singh von MyGov, die Regierung habe geplant, den Servercode in wenigen Wochen freizugeben.

Katragadda sagte jedoch, dass selbst mit dem Servercode der Zugriff auf Informationen zum Datenaustausch eingeschränkt wäre.

„Es wird nie möglich sein, genau zu sehen, mit wem die Daten geteilt werden, da wir dafür die gesamte Regierung als Open Source anbieten müssen“, sagte er.

Keine Datenschutzgesetze

Eines der Hauptprobleme von Aktivisten ist, dass Indien kein Datenschutzgesetz hat, obwohl ein Gesetzesentwurf derzeit von einem gemeinsamen Auswahlausschuss geprüft wird könnte bestanden werden später in diesem Jahr.

Das Gesetz zum Schutz personenbezogener Daten schränkt die Verwendung, Verarbeitung und Speicherung personenbezogener Daten der Einwohner ein. Im Falle einer Verabschiedung würde der Gesetzentwurf auch eine neue Regulierungsbehörde – die Datenschutzbehörde (DPA) – einrichten, um die Einhaltung zu überwachen. Kritiker sagen, dass die Gesetzesvorlage aus einer Reihe von Gründen fehlerhaft ist, einschließlich der Tatsache, dass die Regierung ihre Abteilungen aus Gründen der nationalen Sicherheit von der Gesetzgebung ausnehmen kann.

Derzeit gibt es in Indien jedoch nur wenige Sicherheitsvorkehrungen für Daten.

„Kein gesetzlicher Rahmen bedeutet keine offizielle Rechenschaftspflicht. Wenn also ein Datenunglück auftritt, wird es keine Strafe geben, es wird keine Schutzmaßnahmen geben“, sagte Gupta.

Es gibt auch einen finanziellen Anreiz für die Regierung, Informationen auszutauschen. Das National Economic Survey of India 2018-19 erklärt offen, dass die indische Regierung die Daten der Bürger monetarisieren und an private Unternehmen verkaufen wird, um Einnahmen zu generieren.

„Indien hat eine Strategie zum Verkauf von Bürgerdaten entwickelt und macht sie damit zu einer Ware, indem es das Eigentum an den persönlichen Daten der Indianer beansprucht, was gegen das Grundrecht der Indianer auf Privatsphäre verstößt“, sagte Kodali, der Technologe von öffentlichem Interesse.

Die Kontaktverfolgungsinitiative von Apple und Google würde Milliarden auslassen, die kein Smartphone besitzen

Im vergangenen Jahr verkaufte die Regierung Modi ohne Zustimmung der Bürger die Fahrzeugregistrierungs- und Führerscheindaten der Bürger an 87 private Unternehmen für 65 Crore-Rupien (ca. 8,7 Millionen US-Dollar). Dies führte zu einer Gegenreaktion, bei der die Oppositionspartei die Motive der Regierung und den Preis des Verkaufs im Parlament in Frage stellte.

Trotz der Zusicherungen der Regierung, dass alle Aarogya Setu-Daten gelöscht werden, sagte Katragadda gegenüber CNN Business dass einige Informationen aus der App automatisch an den National Health Stack (NHS) übertragen werden. Das NHS ist ein Cloud-basiertes Gesundheitsregister, das derzeit entwickelt wird und die Krankengeschichte, den Versicherungsschutz und die Ansprüche der Bürger umfasst.

„Alle verbleibenden Daten aus der Aarogya Setu-App werden automatisch in den National Health Stack innerhalb der Zustimmungsarchitektur verschoben, sobald der Health Stack in Kraft tritt“, sagte Katragadda.

Restdaten sind alle Daten, die sich zum Zeitpunkt der Aktivierung des NHS noch auf dem Regierungsserver befinden. Dazu gehören Standort-, Gesundheits- und personenbezogene Daten, die auf den Server heruntergeladen, aber in den von der Regierung festgelegten Fristen noch nicht gelöscht wurden, sagte Katragadda.

Es wurde kein Datum für die Veröffentlichung des NHS festgelegt, aber Gupta von IFF befürchtet erneut, dass es keinen rechtlichen Rahmen zum Schutz der Daten gibt.

„Obwohl wiederholt angegeben wird, dass die Zustimmung die Grundlage für den Informationsaustausch sein wird, ist es wichtig zu beachten, dass sowohl in der Aarogya Setu-App als auch im NHS die Zustimmung in die Architektur eingebettet ist, die eher ein technischer Rahmen als eine klare Rechtsquelle ist Behörde.“

Ticket zum Umzug

Wie in anderen Ländern, die eine Kontaktverfolgungs-App eingeführt haben, ist laut Indien die Technologie von entscheidender Bedeutung, um die Ausbreitung des Virus zu verhindern. Bis zum 22. Juni hatte das Land mehr als 410.000 Fälle und 13.254 Todesfälle bestätigt.

Fluggäste werden aufgefordert, die App vor Flügen herunterzuladen, Bahnpassagiere benötigen sie für Zugreisen und einige Arbeiter wurde gesagt, dass sie es brauchen, um ihre Arbeit zu erledigen.

Aktivisten für digitale Rechte sagen jedoch, dass die App mehr Risiken birgt, als es wert ist, insbesondere in einem Land, in dem weniger als 35% von Menschen haben die Handys in der Lage, es zu unterstützen.

Bürger und Aktivisten befürchten auch, dass sich die Funktion der App verschlechtert, was bedeutet, dass über die App erhaltene Informationen mit anderen Diensten verknüpft werden könnten.

„In der Vergangenheit haben wir gesehen, dass technologische Interventionen dieser Regierung wie das Aadhar-Programm, das ursprünglich entwickelt wurde, um sicherzustellen, dass jeder eine digitale Identität hat, zu einem allgegenwärtigen System wurden“, sagte Gupta.

„Ursprünglich für den Zugang zu staatlichen Leistungen und Subventionen gebaut, wurde es bald beauftragt, Bankkonten zu eröffnen, Handynummern zu nutzen und Ihr Geschäft zu betreiben.“

Gupta bezieht sich auf Aadhaar, eine biometrische Datenbank im Jahr 2009 eingeführtzunächst als freiwilliges Programm zur Verhinderung von Leistungsbetrug. Jetzt enthält es die Fingerabdrücke und Iris-Scans von mehr als einer Milliarde Indern. Benutzer erhalten eine 12-stellige Identifikationsnummer, mit der sie auf Sozialleistungen und andere von der Regierung kontrollierte Dienste zugreifen können.

Im Jahr 2018 entdeckte ein Journalist jedoch eine Sicherheitsverletzung, bei der die persönlichen Daten der Bürger offengelegt wurden. Die Regierung führte neue Sicherheitsmaßnahmen ein, aber der Skandal untergrub das Vertrauen in ihre Fähigkeit, Daten sicher zu halten.

Indien war das einzige demokratische Land, in dem Millionen von Bürgern die App herunterladen mussten, bevor es die obligatorische Download-Bestellung aufgab. Die einzigen anderen Länder, die eine ähnliche Anordnung auferlegten, waren die Türkei und China. Aktivisten sagen, dass allein Anlass zur Sorge gibt.

„Wenn es um Technologie und öffentliche Nutzung geht, schöpft die größte Demokratie der Welt aus Chinas Spielbuch – indem sie die nationale Sicherheit oder eine Krise der öffentlichen Gesundheit nutzt, um ein digitales Modell für das Sammeln, Überwachen und Überwachen von Daten zu erstellen“, sagte Vidushi Marda, ein Anwalt, der arbeitet zu neuen Technologien und Menschenrechten.

Chinas Covid-19 AppDas ursprünglich für die Kontaktverfolgung während der Pandemie entwickelte Programm wird jetzt an einigen Stellen in ein soziales Kreditsystem integriert, in dem die App verwendet wird, um die Bewegung, den Alkohol- und Rauchkonsum sowie die Schlafstunden einer Person zu erfassen.

„Ich würde sagen, dass solche komplexen technischen Architekturen in Indien nicht kollektiv stattfinden, aber es besteht die Gefahr, dass sie über Plattformen wie den National Health Stack eingebaut werden“, sagte Gupta.