Mengapa banyak warga negara India percaya bahwa pemerintah mereka berusaha menjual data mereka di aplikasi coronavirus

Kembali pada bulan Mei, ia mempertaruhkan hukuman penjara enam bulan atau denda $ 15 karena menolak untuk mengunduh aplikasi. Ghosh tidak peduli: Dia memiliki kekhawatiran yang lebih besar tentang penggunaan data di masa mendatang.

“Saya tidak yakin bagaimana pemerintah akan menggunakan data saya. Jika mereka mau, mereka bisa melakukan pengawasan terhadap saya selamanya melalui pelacakan lokasi pada aplikasi,” kata Ghosh.

Pemerintah India menyatakan bahwa sebagian besar data pribadi dan lokasi pengguna pada akhirnya dihapus, tetapi para kritikus mengatakan kurangnya undang-undang perlindungan data India membuat jutaan orang berpotensi melanggar privasi. Mereka juga khawatir bahwa informasi pribadi dapat dijual oleh pemerintah kepada perusahaan swasta, atau bahkan digunakan untuk pengawasan di luar kekhawatiran Covid-19.

Jutaan pengguna

Aplikasi Aarogya Setu dikembangkan oleh National Informatics Center, sebuah badan ICT dan e-governance di bawah Kementerian Elektronika dan Teknologi Informasi, bekerja sama dengan para pakar teknis sukarela dari industri swasta dan akademisi.

Pada awal Juni, sudah diunduh 120 juta kali.

Aplikasi pelacakan seharusnya membantu mengalahkan pandemi. Apa yang terjadi pada mereka?

Tidak seperti aplikasi pelacakan kontak banyak negara lain, Aarogya Setu menggunakan Bluetooth dan data lokasi GPS untuk memantau pergerakan pengguna aplikasi dan kedekatannya dengan orang lain.

Pengguna diminta untuk memasukkan nama, nomor telepon, usia, jenis kelamin, profesi, dan negara yang telah mereka kunjungi dalam 30 hari terakhir, serta kondisi kesehatan sebelumnya dan penilaian sendiri tentang gejala Covid-19 yang terkait.

ID digital unik (DID) dihasilkan untuk setiap pengguna, yang digunakan untuk semua transaksi terkait aplikasi di masa depan. Melalui GPS, aplikasi mencatat lokasi setiap pengguna setiap 15 menit.

Ketika dua pengguna terdaftar datang dalam jangkauan Bluetooth satu sama lain, aplikasi mereka secara otomatis bertukar DiD dan mencatat waktu dan lokasi. Jika salah satu pengguna tes positif untuk Covid-19, informasi tersebut diunggah dari ponsel mereka ke server pemerintah India dan digunakan untuk pelacakan kontak.

Dalam analisis 25 aplikasi, the Institut Teknologi Massachusetts (MIT) memberi Aarogya Setu adil dua dari lima bintang, sebagian besar karena ia mengumpulkan jauh lebih banyak data daripada itu n eeds. Sebagai perbandingan, aplikasi TraceTogether Singapura memperoleh 5 bintang dan menggunakan Bluetooth saja.

Pada 1 Juni, Aarogya Setu telah mengidentifikasi 200.000 orang berisiko dan 3.500 titik panas Covid-19, menurut pengembang utama Lalitesh Katragadda, pendiri Indihood, sebuah perusahaan swasta yang membangun platform crowdsourcing skala populasi, dan salah satu industri swasta relawan yang bekerja dengan lembaga pemerintah di app.

“Kami memiliki tingkat kemanjuran 24%, yaitu, 24% dari semua orang yang diperkirakan memiliki Covid-19 karena aplikasi tersebut dinyatakan positif,” kata Katragadda. Ini berarti bahwa hanya sekitar 1 dari 4 orang yang disarankan oleh aplikasi untuk mendapatkan tes yang benar-benar positif.

Subhashis Bannerjee, profesor ilmu komputer dan teknik di Institut Teknologi India, New Delhi, mengatakan kombinasi lokasi Bluetooth dan GPS kemungkinan akan mengembalikan tingkat positif palsu dan negatif palsu yang lebih tinggi. Sebagai contoh, GPS sering tidak tersedia atau tidak dapat diandalkan di dalam ruangan, dan Bluetooth melebih-lebihkan risiko di ruang terbuka besar, di seluruh dinding dan lantai, yang gelombang radio dapat menembus tetapi virus tidak bisa.

“Tampaknya ada lompatan keyakinan dari colocation GPS dan kedekatan radio Bluetooth untuk memperkirakan skor risiko untuk penularan infeksi,” katanya. tulis dalam laporan untuk Internet Freedom Foundation (IFF), sebuah organisasi non-pemerintah yang mengadvokasi hak-hak digital, yang telah memasang tantangan hukum terhadap perintah pengunduhan wajib di Pengadilan Tinggi Kerala.

Perlindungan pemerintah

Pemerintah India menyatakan bahwa parameter privasi dan perlindungan yang cukup telah dibangun untuk memastikan penghapusan permanen data aplikasi.

READ Rencana Indonesia untuk menutup pembangkit listrik tenaga batu bara selama 30 tahun ke depan berjuang untuk mendapatkan dukungan

“Semua pelacakan kontak dan data lokasi pada ponsel dihapus pada siklus 30 hari yang bergulir. Data yang sama pada server dihapus 45 hari dari unggahan kecuali Anda menguji positif. Dalam hal ini semua pelacakan kontak dan informasi lokasi dihapus setelah 60 hari setelah dinyatakan sembuh, “kata Abhishek Singh, CEO MyGov di kementerian TI India.

Namun demikian Aarogya Setu Akses Data dan Protokol Berbagi Pengetahuan menyatakan bahwa data yang tidak diidentifikasi (anonim) dapat dibagikan dengan kementerian atau lembaga pemerintah mana pun, selama itu untuk tujuan menangani Covid-19. Setiap data yang diterima harus dihapus secara permanen setelah 180 hari, kata protokol. Tetapi para juru kampanye privasi mengatakan tidak ada cara untuk mengetahui apakah itu terjadi.

“Tidak ada cara untuk memeriksa dan memverifikasi apakah kehancuran total data telah terjadi dan jika ada pihak ketiga yang berbagi data juga telah menghancurkannya,” kata Apar Gupta, seorang pengacara dan direktur eksekutif IFF.

Menanggapi seruan untuk transparansi lebih lanjut, pemerintah India membuka kode sumber aplikasi pada 27 Mei dan mengumumkan program karunia bug untuk memberi insentif kepada para pakar perangkat lunak untuk menemukan kerentanan keamanan dalam aplikasi, untuk memperbaiki kesalahan, jika ada.

“Ini adalah langkah ke arah yang benar tetapi untuk mengetahui gambaran lengkap tentang siapa yang memiliki akses ke data, kita juga memerlukan kode server,” kata Robert Baptiste, peretas etis yang menggunakan alias. dari Elliot Alderson dan kelemahan keamanan yang terbuka di aplikasi segera setelah diluncurkan. Kode server terbuka akan memungkinkan para ahli untuk melihat data warga apa yang disimpan di server pemerintah dan bagaimana data itu dibagi.

Pada 1 Juni, Singh dari MyGov, mengatakan pemerintah berencana untuk merilis kode server dalam beberapa minggu.

Namun, Katragadda mengatakan bahwa bahkan dengan kode server, akses ke informasi tentang berbagi data akan dibatasi.

“Tidak akan pernah mungkin untuk melihat secara tepat dengan siapa data dibagikan karena untuk itu kita harus membuka sumber seluruh pemerintah,” katanya.

READ Bette Midler menyebut Melania Trump sebagai 'alien ilegal' di tweetstorm RNC 2020

Tidak ada undang-undang perlindungan data

Salah satu kekhawatiran utama yang dimiliki para aktivis adalah bahwa India tidak memiliki undang-undang perlindungan data, meskipun undang-undang saat ini sedang ditinjau oleh komite pilih bersama dan bisa dilewati akhir tahun ini.

RUU Perlindungan Data Pribadi memberlakukan batasan pada bagaimana data pribadi penghuni digunakan, diproses dan disimpan. Jika disahkan, RUU tersebut juga akan membentuk badan pengawas baru – Otoritas Perlindungan Data (DPA) – untuk memantau kepatuhan. Para kritikus mengatakan RUU itu cacat karena sejumlah alasan, termasuk bahwa undang-undang itu memungkinkan pemerintah untuk membebaskan departemen-departemennya dari undang-undang berdasarkan keamanan nasional.

Tetapi saat ini, ada beberapa perlindungan untuk data di India.

“Tidak ada kerangka kerja legislatif yang berarti tidak ada tingkat akuntabilitas resmi. Jadi, jika terjadi kecelakaan data, tidak akan ada penalti, tidak akan ada perlindungan,” kata Gupta.

Ada juga insentif keuangan bagi pemerintah untuk berbagi informasi. Itu Survei Ekonomi Nasional India 2018-19 secara terbuka menyatakan bahwa pemerintah India akan memonetisasi data warga dan menjualnya kepada perusahaan swasta untuk menghasilkan pendapatan.

“India telah membuat strategi untuk menjual data warga dan dengan demikian menjadikannya komoditas dengan mengklaim kepemilikan atas data pribadi orang India, yang bertentangan dengan hak fundamental orang India atas privasi,” kata Kodali, ahli teknologi kepentingan publik.

Inisiatif penelusuran kontak Apple dan Google akan menghilangkan miliaran orang yang tidak memiliki ponsel cerdas

Tahun lalu, pemerintah Modi menjual data registrasi kendaraan dan SIM warga ke 87 perusahaan swasta seharga 65 rupee crore (sekitar $ 8,7 juta) tanpa persetujuan warga. Ini menyebabkan reaksi dengan partai oposisi mempertanyakan motif pemerintah dan harga jual di parlemen.

Terlepas dari jaminan pemerintah bahwa semua data Aarogya Setu akan dihapus, Katragadda mengatakan kepada CNN Business bahwa beberapa informasi dari aplikasi akan secara otomatis ditransfer ke National Health Stack (NHS). NHS adalah pendaftar kesehatan berbasis cloud, yang saat ini sedang dikembangkan, yang akan mencakup riwayat kesehatan warga negara, pertanggungan asuransi dan klaim.

“Setiap data residu dari aplikasi Aarogya Setu akan secara otomatis pindah ke National Health Stack dalam arsitektur persetujuan, segera setelah tumpukan kesehatan mulai berlaku,” kata Katragadda.

Data residual berarti setiap data yang masih ada di server pemerintah pada saat NHS menjadi aktif. Itu termasuk lokasi, kesehatan, dan data pribadi yang telah diunduh ke server tetapi belum dihapus dalam jangka waktu yang ditetapkan oleh pemerintah, kata Katragadda.

Belum ada tanggal yang ditetapkan untuk rilis NHS, tetapi Gupta dari IFF khawatir, sekali lagi, bahwa tidak ada kerangka hukum untuk melindungi data.

“Meskipun berulang kali dinyatakan bahwa persetujuan akan menjadi dasar berbagi informasi, penting untuk dicatat bahwa baik di aplikasi Aarogya Setu dan NHS, persetujuan dimasukkan ke dalam arsitektur yang merupakan kerangka teknis daripada sumber hukum yang jelas wewenang.”

READ Tagihan asisten sampo New York dipenuhi dengan minat khusus

Tiket untuk pindah

Seperti negara lain yang telah memperkenalkan aplikasi pelacakan kontak, India mengatakan teknologi ini sangat penting untuk menghentikan penyebaran virus. Pada 22 Juni, negara itu telah mengkonfirmasi lebih dari 410.000 kasus dan 13.254 kematian.

Penumpang udara didorong untuk mengunduh aplikasi sebelum penerbangan, penumpang kereta api memerlukannya untuk perjalanan kereta api, dan beberapa pekerja telah diberitahu bahwa mereka membutuhkannya untuk melakukan pekerjaan mereka.

Tetapi para aktivis hak digital mengatakan aplikasi tersebut memiliki risiko lebih besar daripada nilainya, terutama di negara di mana kurang dari 35% orang memiliki ponsel yang dapat mendukungnya.

Warga dan aktivis juga takut fungsi menjalar dari aplikasi, yang berarti bahwa informasi yang diperoleh melalui aplikasi dapat dihubungkan ke layanan lain.

“Di masa lalu kita telah melihat bahwa intervensi teknologi oleh pemerintah ini seperti program Aadhar, yang awalnya dibangun untuk memastikan bahwa setiap orang memiliki identitas digital, menjadi sistem yang meresap,” kata Gupta.

“Awalnya dibangun untuk tujuan mengakses tunjangan dan subsidi pemerintah, itu segera diamanatkan untuk membuka rekening bank, availing nomor ponsel dan melanjutkan bisnis Anda.”

Gupta mengacu pada Aadhaar, basis data biometrik diperkenalkan pada tahun 2009, awalnya sebagai program sukarela untuk mencegah penipuan manfaat. Sekarang, ini berisi sidik jari dan scan iris lebih dari satu miliar orang India. Pengguna menerima nomor identitas 12 digit yang digunakan untuk mengakses pembayaran kesejahteraan dan layanan yang dikendalikan pemerintah.

Namun, pada tahun 2018 seorang jurnalis menemukan pelanggaran keamanan yang mengungkapkan rincian pribadi warga. Pemerintah memperkenalkan langkah-langkah keamanan baru, tetapi skandal itu mengikis kepercayaan akan kemampuannya untuk menjaga data tetap aman.

Sebelum mengurangi pesanan unduhan wajibnya, India adalah satu-satunya negara demokratis yang mewajibkan jutaan warga negara untuk mengunduh aplikasi. Satu-satunya negara lain yang menerapkan aturan serupa adalah Turki dan Cina. Para pegiat mengatakan itu saja yang memprihatinkan.

“Dalam hal teknologi dan penggunaan publik, demokrasi terbesar di dunia mengambil dari buku pedoman Cina – menggunakan keamanan nasional atau krisis kesehatan masyarakat untuk membangun model digital pengumpulan, pengawasan, dan pengawasan data digital,” kata Vidushi Marda, seorang pengacara yang bekerja tentang teknologi baru dan hak asasi manusia.

Aplikasi Covid-19 Tiongkok, awalnya dirancang untuk pelacakan kontak selama pandemi, sekarang sedang dijahit menjadi sistem kredit sosial di beberapa tempat, di mana aplikasi ini digunakan untuk melacak latihan individu, konsumsi alkohol dan merokok, dan jam tidur.

“Saya akan mengatakan jenis arsitektur teknis yang rumit ini tidak terjadi secara kolektif di India, tetapi ada bahaya mereka akan dibangun melalui platform seperti National Health Stack,” kata Gupta.