Polityka i prawo
Rządowe aplikacje na smartfonach. Najważniejsze pytania bez odpowiedzi
Ministerstwo Spraw Wewnętrznych i Administracji (MSWiA) odpowiedziało na nasze pytania w sprawie obowiązkowych aplikacji alarmowych na smartfony, których instalację na nowych urządzeniach przewidziano w projekcie Ustawy o ochronie ludności oraz stanie klęski żywiołowej.
Niestety, odpowiedzi resortu nie wyjaśniają wszystkich kwestii, o które pytaliśmy, a które z punktu widzenia bezpieczeństwa obywateli oraz zaufania do rządu są kluczowe.
W korespondencji przesłanej do MSWiA zapytaliśmy o następujące sprawy:
- jak resort chce gwarantować bezpieczeństwo urządzeń elektronicznych, których modyfikacja przez operatorów (zobowiązanych na mocy projektowanych przepisów do instalacji aplikacji) może je obniżać;
- w jaki sposób MSWiA planuje obejść trudności techniczne wynikające z braku możliwości modyfikacji telefonów przed uruchomieniem przez docelowego użytkownika;
- czy planowane są regularne audyty bezpieczeństwa kodu aplikacji, jeśli tak – jak często, a jeśli nie – dlaczego;
- w jaki sposób oraz jak długo przechowywane będą dane gromadzone przez aplikację przy rejestracji;
- czy aplikacje będą gromadziły metadane użytkowników, a jeśli tak, to jakie oraz po co i gdzie będą przechowywane;
- czy przy pracy nad tym rozwiązaniem planowane jest włączenie strony społecznej.
Czy są jakieś pytania, a czy są jakieś odpowiedzi?
W mailu przesłanym nam przez ministerstwo dowiedzieliśmy się, dlaczego MSWiA w ogóle chce wdrożyć obowiązkowe aplikacje na smartfony.
„Zgodnie z art. 110 Europejskiego Kodeksu Łączności Elektronicznej państwa członkowskie UE są zobowiązane do wdrożenia publicznego systemu ostrzegania" – napisał resort.
„Preinstalacja aplikacji RSO jest uprawnieniem danym użytkownikowi telefonu, z którego nie musi on korzystać przez zastosowanie odpowiednich ustawień telefonu. Nie ma on obowiązku korzystania z aplikacji, a projekt ustawy nie wyklucza odinstalowania aplikacji przez użytkownika" – czytamy dalej.
Resort nie odnosząc się do przesłanych mu pytań poinformował, że „według proponowanych przepisów zadaniem operatorów będzie wyłącznie preinstalacja aplikacji alarmowych". Jak dodał: „operatorzy będą mieli obowiązek zainstalowania obu aplikacji – RSO i Alarm 112".
Na pytanie dotyczące audytowania aplikacji otrzymaliśmy bardzo krótką odpowiedź: „Podkreślamy, że MSWiA planuje prowadzenie regularnych audytów bezpieczeństwa kodu aplikacji".
Sprawy dotyczące ochrony danych osobowych i prywatności wciąż jednak rodzą wiele wątpliwości, a odpowiedź resortu nie wyjaśnia np. kwestii metadanych.
Jak czytamy w przesłanym nam mailu, „MSWiA nie gromadzi danych użytkowników aplikacji RSO. Natomiast dane zarejestrowanych użytkowników aplikacji Alarm 112 są gromadzone i przetwarzane w Systemie Teleinformatycznym Centrów Powiadamiania Ratunkowego (STCPR) przez administratpra systemu, tj. ministra właściwego do spraw administracji publicznej".
Ministerstwo wyjaśniło dalej, że „STCPR na potrzeby funkcjonowania aplikacji Alarm 112 gromadzi dane osobowe użytkowników zebrane w procesie rejestracji oraz wszystkie informacje zebrane podczas obsługi, niezbędne do udzielenia pomocy, np. dane lokalizacyjne".
Jak dodaje resort, „dane przekazane przez użytkowników w trakcie rejestracji oraz zgłoszenia przez aplikację Alarm 112 przechowywane są przez 3 lata".
Rządowa aplikacja w każdym nowym telefonie
Przypomnijmy: w listopadowej wersji proponowanych przepisów Ustawy o ochronie ludności i o stanie klęski żywiołowej znalazł się zapis, w myśl którego to operatorzy będą odpowiedzialni za instalowanie na telefonach Polaków dwóch aplikacji alarmowych: RSO i Alarmu 112.
Pomysł ten wcześniej był krytykowany przez stronę społeczną (o której włączenie zapytaliśmy MSWiA w naszym mailu, lecz na to pytanie nie otrzymaliśmy odpowiedzi) i środowiska skupione wokół telekomunikacji i branży technologicznej, które wskazywały m.in. na problemy związane z zaufaniem do rządowego oprogramowania instalowanego odgórnie na telefonach, jak i obiektywne trudności techniczne, które mogą utrudnić, a nawet uczynić pomysł resortu niewykonalnym.
Tekst na łamach naszego serwisu na ten temat można przeczytać tutaj.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].