Czy dane wrażliwe z naszych urządzeń mobilnych są bezpieczne
Dane wrażliwe, codziennie przesyłane są za pomocą naszych urządzeń mobilnych, które często nie są w sposób bezpieczny przechowywane.
Technologia noszona – smartwatche, pierścienie monitorujące zdrowie, opaski fitness i inne – rejestruje dane dotyczące naszego ciała, takie jak tętno, liczba kroków czy spalone kalorie. Może także śledzić nasze lokalizacje, monitorować sen i poziom aktywności, tworząc szczegółowe profile zdrowotne. W dobie rosnącej popularności takich technologii coraz więcej pytań dotyczy tego, co naprawdę dzieje się z tymi danymi.
Technologia noszona oraz aplikacje zdrowotne zyskały na popularności po pandemii COVID-19, dając konsumentom nadzieję na lepsze zrozumienie swojego zdrowia i stylu życia. Jednak brak nadzoru nad tym, jak dane zdrowotne są wykorzystywane i udostępniane osobom trzecim, budzi niepokój. Eksperci ds. prywatności ostrzegają, że takie informacje mogą zostać sprzedane lub utracone w wyniku naruszeń danych, a następnie wykorzystane do podnoszenia składek ubezpieczeniowych, dyskryminacji na rynku pracy lub nieruchomości.
Raport Fundacji Mozilla, zatytułowany „From Skin to Screen: Bodily Integrity in the Digital Age”, wskazuje, że obecne przepisy prawne oferują niewielką ochronę konsumentom, którzy często nie zdają sobie sprawy, ile informacji na ich temat jest zbieranych i udostępnianych przez firmy. Technologia skupiła się na naszym ciele, co wpływa na wszystkie dziedziny życia – mówi Júlia Keserű, specjalistka Fundacji Mozilla.
Jednym z kluczowych powodów, dla których dane zdrowotne są tak cenne dla firm, jest możliwość wykorzystania ich do celów marketingowych. Nawet jeśli informacje nie są bezpośrednio powiązane z imieniem i nazwiskiem, reklamodawcy mogą używać tych danych do wysyłania spersonalizowanych reklam do osób na podstawie szczegółów dotyczących ich zdrowia czy stylu życia. W miarę łączenia tych profili z innymi zestawami danych, na przykład lokalizacyjnymi, możliwe jest wycelowanie w konkretne osoby – zauważa Keserű.
Przykładem, jak lokalizacyjne dane mogą zdradzić stan zdrowia danej osoby, są wizyty w szpitalach czy klinikach aborcyjnych, które mogą zostać zarejestrowane przez aplikacje na telefonie. Takie informacje mogą mieć ogromny wpływ na życie prywatne, a raporty wskazują, że firmy, takie jak Google, przechowują dane lokalizacyjne, mimo że obiecywały je usuwać.
W 2023 roku raport Uniwersytetu Duke ujawnił, że brokerzy danych sprzedawali wrażliwe informacje dotyczące zdrowia psychicznego na otwartym rynku. Choć wiele firm usuwało osobiste identyfikatory, niektóre dostarczały nazwiska i adresy osób szukających pomocy psychologicznej. W badaniach opinii publicznej przeprowadzonych przez Keserű uczestnicy byli oburzeni i czuli się wykorzystani, gdy dowiedzieli się, że ich dane zdrowotne były sprzedawane bez ich zgody.
Problem jest szczególnie poważny w kontekście przepisów prawnych. W Stanach Zjednoczonych informacje zdrowotne przekazywane szpitalom, lekarzom czy ubezpieczycielom są chronione przez HIPAA (Health Insurance Portability and Accountability Act), ale dane zbierane przez urządzenia noszone i aplikacje zdrowotne nie są objęte tymi samymi regulacjami – zauważa Suzanne Bernstein z Electronic Privacy Information Center.
Brak kompleksowej federalnej ustawy o ochronie prywatności w USA sprawia, że regulacje dotyczące danych zdrowotnych pozostają w gestii poszczególnych stanów. Nie wszystkie stany podjęły decyzje w tej sprawie, co prowadzi do znacznych luk prawnych. Niektóre stany, takie jak Waszyngton, Nevada i Connecticut, wprowadziły przepisy chroniące dane zdrowotne konsumentów, jednak nie jest to standard obowiązujący w całym kraju.
W Kalifornii ustawa o ochronie prywatności (California Privacy Rights Act) reguluje, w jaki sposób firmy mogą wykorzystywać określone rodzaje wrażliwych informacji, w tym dane biometryczne, oraz wymaga od firm oferowania konsumentom możliwości rezygnacji z udostępniania tych danych. Mimo to wiele firm nadal wymienia dane z brokerami, co pozwala na tworzenie zaawansowanych profili konsumentów.
Dane zdrowotne stały się również celem hakerów. Cyberataków na sektor ochrony zdrowia, mających na celu wyłudzenie wrażliwych danych, było w latach 2009-2023 o ponad 4000% więcej. Rynek danych dotyczących naszego ciała ma do 2030 roku osiągnąć wartość przekraczającą 500 miliardów dolarów, co czyni go atrakcyjnym celem dla przestępców.
Wielu konsumentów korzysta z nowych technologii bez pełnej świadomości, jakie mogą być tego konsekwencje. W zeszłym miesiącu Elon Musk zasugerował, aby użytkownicy platformy X przesyłali zdjęcia rentgenowskie, skany PET, MRI i inne obrazy medyczne do Grok – chatbota opartego na sztucznej inteligencji – w celu uzyskania diagnozy. Pomimo ostrzeżeń ekspertów ds. prywatności, wielu użytkowników udostępniło swoje dane medyczne chatbotowi, co stanowi potencjalne ryzyko dla prywatności.
Brak świadomości konsumentów w połączeniu z lukami w istniejących przepisach prawnych sprawia, że dane biometryczne i inne informacje zdrowotne są szeroko udostępniane, a ich ochrona pozostawia wiele do życzenia. Nawet jeśli firmy deklarują, że nie sprzedają danych użytkowników, często udostępniają je partnerom biznesowym, co może prowadzić do nieprzewidzianych konsekwencji.
Raport Fundacji Mozilla zaleca doprecyzowanie istniejących przepisów dotyczących ochrony danych, aby obejmowały wszystkie formy danych dotyczących ciała. Proponuje również rozszerzenie krajowych przepisów o ochronie zdrowia na informacje zbierane przez aplikacje zdrowotne i urządzenia fitness oraz ułatwienie użytkownikom rezygnacji z udostępniania tych danych.
Coraz więcej państw podejmuje kroki w celu wprowadzenia bardziej rygorystycznych regulacji dotyczących danych zdrowotnych. W lipcu 2023 roku Waszyngton D.C. wprowadził ustawę, która zobowiązuje firmy technologiczne do przestrzegania wzmocnionych przepisów dotyczących gromadzenia, udostępniania, wykorzystywania lub sprzedaży danych zdrowotnych konsumentów. W Europie, Unia Europejska dąży do zaostrzenia regulacji dotyczących danych zdrowotnych w ramach RODO, co ma na celu zwiększenie ochrony konsumentów.
W miarę rozwoju technologii noszonej, coraz bardziej zacierają się granice między tym, co prywatne, a tym, co cyfrowe. Dane dotyczące naszego ciała stają się cennym towarem, który może być wykorzystany zarówno dla naszego dobra, jak i przeciwko nam. Kluczowe jest zatem, aby nasze przepisy i praktyki nadążały za wyzwaniami tej ery. Konsumenci powinni mieć prawo do świadomej zgody na to, jak ich dane są wykorzystywane, a także prawo do ich usunięcia, gdy tego chcą.
Szymon Ślubowski