June 22, 2021

CNIL varoittaa mahdollisesta lääketieteellisen tiedon altistumisesta terveystodistuksen valvonnan aikana

Yksinkertainen “punainen” tai “vihreä” signaali, jolla varmistetaan Covid-19-kävijöiden vähäinen tarttuvuusriski yli tuhannen ihmisen kokousten sisäänkäynnillä: Ranskassa keskiviikkona 9. kesäkuuta aloitetun terveyskortin esittelystä lähtien , hallitus on sitoutunut minimoimaan asiakirjojen valvonnan aikana saatavissa olevat tiedot henkilötietojen väärinkäytön riskin rajoittamiseksi.

TousAntiCovid-Verified-virallinen sovellus, joka vihittiin tiistaina Ranskan ja Bulgarian välisen ystävällisen jalkapallo-ottelun aikana, johon osallistui 5000 ihmistä Stade de Francessa, ei salli näyttöä terveystodistuksen tarkastuksessa (negatiivinen virologinen testi alle 72 tuntia) , täydellinen rokotustodistus tai palautustodistus), vain merkinnällä “voimassa oleva” tai “virheellinen”. Käyttäjän etunimi, sukunimi ja syntymäaika näytetään myös nominatiivisen pääsylipun tai henkilöllisyystodistuksen vertailemiseksi.

Salauksen purku: TousAntiCovid: mitä hyötyä on löytää ystäviä, käydä ravintolassa, katsella peliä, matkustaa?

Mahdollisuus tietää, onko henkilöllä negatiivinen testi, positiivinen testi vai rokotustodistus, näyttää olevan suljettu pois tällä tavalla. Tällainen mahdollisuus olisi “Lääketieteellisen luottamuksellisuuden loukkaaminen, joka ei kunnioita käyttäjien oikeuksia”, oli varoittanut 20. huhtikuuta Covid-19: n yhteys- ja tiedotuskomiteaa. Hallituksen neuvonnasta terveyden kriisin teknisissä haasteissa vastaava elin vaati jo tietojen yhdistämisen hyvää refleksiä Ranskan kansallisen tietotekniikan ja vapauksien komission (CNIL) noudattamien periaatteiden ja määräysten mukaisesti. Tietosuoja (GDPR) Euroopan tasolla.

Tiedot “pidetty selvillä”

Ensimmäisen 2D-DOC-datamatriisin esittelyn jälkeen – samanlainen kuin QR-koodi, eräänlainen viivakoodi – useat tietoturva-asiantuntijat ovat kuitenkin huomanneet, että yleisen mobiilin viivakoodinhallintasovelluksen käyttö mahdollisti pääsyn kaikkiin tietokantaan sisältyviin tietoihin. terveystodistus: päiväys, rokotetyyppi ja saatujen annosten määrä ovat luettavissa esimerkiksi TousAntiCovid -Check-sovelluksen ulkopuolella.

”Komitea toteaa, että todisteisiin liittyvät tiedot pidetään selkeinä [de manière non chiffrée] viivakoodien sisällä ”, korostaa myös CNIL: ää 7. kesäkuuta päivätyssä keskustelussa. Teksti osoittaa, että tällainen käytäntö voi olla “Hyväksytty ottaen huomioon tekniset rajoitteet ja tarve ottaa käyttöön järjestelmä asiakirjojen tarkastamiseksi lyhyellä varoitusajalla”, mutta rohkaisee hallitusta tiedottamaan käyttäjille rohkaisemaan heitä olemaan näyttämättä terveystodistustaan ​​niiden puitteiden ulkopuolella, joissa ne on asetettu.

Tutkimus: Mittaamattomien kontaktien jäljityssovellusten hyödyllisyys

Toimenpiteen ehdoista yksityiskohtaisesti annettu asetus, julkaistu Virallinen sanomalehti 7. kesäkuuta, tee selväksi, että “Tositteet luetaan TousAntiCovid -Check-nimisellä mobiilisovelluksella” ja että mikä tahansa muu todentaminen on laitonta. Riski, jonka parlamentaarikot odottavat keskusteluissa terveyden kriisinhallintalakista – “Pitää [ces] asiakirjoja ja käyttää niitä uudelleen muihin tarkoituksiin “ että valvonnasta rangaistaan ​​yhden vuoden vankeusrangaistuksella ja 45 000 euron sakolla – mutta luettelo ihmisistä, jotka on rokotettu tai testattu positiivisesti tapahtuman aikana, on teknisesti mahdollista.

Hallitukselle päätetty oikeudellinen kehys riittää estämään terveystodistuksen väärinkäytön. Rekisteri “Yksityiskohtaisesti näin valtuutetut henkilöt ja heidän valtuutuksensa päivämäärä sekä näiden henkilöiden suorittamien tarkastusten päivät ja kellonajat” tulee koostua kaikista tapahtuman järjestäjistä ja tapahtuman järjestäjistä. Lista on myös täsmennetty: Erityisesti mainitaan stadionit, teltat, kokoushuoneet, kasinot, joissa on yli 1000 ihmistä. Eläin-, huvi- tai teemapuistot, kuten julkinen liikenne, elokuvateatterit ja teatterit, on vapautettu verosta.

Selitykset: Terveyslippu: paikat, joissa sitä tarvitaan

“Pakotteet on suunniteltu”, Cédric O varoittaa

“Epäilen, että jos väärinkäytöksiä esiintyisi esimerkiksi ravintoloitsijoiden toimesta, jotka yrittivät pakottaa sen asiakkailleen, olisimme tietoisia siitä, vain sosiaalisten verkostojen kautta. Ja sanktioita suunnitellaan ”, varoitti digitaalivaltiosihteeri Cédric O: ta vuonna 2004 julkaistussa haastattelussa Pariisilainen, le 24 mai.

Kaikille mobiilisovellusten latausportaaleille (PlayStore Androidilla, AppStore iOS: lle) pääseviin TousAntiCovid-Verifiediin liittyy myös muita CNIL: n kommentteja. Erityisesti se, että sen on kehittänyt Imprimerie Nationale ToryAntiCovidin muista ominaisuuksista vastaavan tietotekniikan ja automaation tutkimuslaitoksen (Inria) muodostaman yhteenliittymän ulkopuolella ja että sen koodi ja sen tekniikat eivät ole ole julkistettu.

Lisäksi kaikki 2D-DOC: n sisältämät tiedot lähetetään jokaisen tarkastuksen aikana keskuspalvelimelle, joka on Imprimerie Nationale -ryhmän vastuulla tarkistamaan sen pätevyys, jonka hallitus selittää tarpeella sopeutua erilaisiin sääntöihin, jotka muuttuvat Euroopan maiden välillä – laitetta on käytettävä myös Euroopan komission käynnistämään digitaaliseen Covid-sertifikaattiin, jonka julkaisun on tarkoitus tapahtua heinäkuun alussa.

Synteesi: Eurooppa muuttuu hajautetuksi järjestykseksi terveyskortilla

Voit saavuttaa a “Suojaavin mahdollinen arkkitehtuuri” CNIL kehottaa hallitusta erityisesti terveystodistuksen kansallisen käytön aikana “Tutki hajautetumman version käyttöönottoa” jotta “Rajoita tietojen lähettämistä tälle palvelimelle ja taata samalla päivitettyjen sääntöjen soveltaminen”.

Voisit kokeilla näitä