Tämän tekstin tarkoitus on selittää mistä SARS-CoV-2 -koronaviruksen aiheuttaman epidemian taltuttamisyrityksissä teknologia-avusteisesti käyttämällä ns. contact tracing -menetelmää on kyse ja mitä teknologisia ja erityisesti yksityisyydensuojaan liittyviä haasteita siihen liittyy. Tekstin on kirjoittanut tietosuojaan erikoistunut Electronic Frontier Finland – Effi ry:n varapuheenjohtaja Elias Aarnio. Tavoitat Eliaksen osoitteesta elias.aarnio@effi.org
Miksi tartuntaketjujen jäljittäminen on tärkeää?
SARS-CoV-2 -virus on aiheuttanut epidemian siksi, että se tarttuu nykytiedon valossa ihmisestä toiseen jo ennen taudin oireiden ilmaantumista. Oireeton tartunnan saanut levittää helposti tarttuvaa tautia verraten pitkän ajan. Taudin itämisajaksi eli ajaksi tartunnasta oireiden alkuun arvioidaan tällä hetkellä enintään 14 vuorokautta. Tähän perustuu mitä ilmeisimmin käytössä oleva 14 vuorokauden karanteeniaika infektoituneille. Kiinalaistutkijoiden mukaan itämisaika voi olla kuitenkin jopa 24 vuorokautta.
On selvää että jos keneltä tahansa – olkoonkin terävältä ja hyvämuistiselta – kysytään että missä kaikkialla hän on ollut lähikontaktissa muiden ihmisten kanssa viimeisen 14 vuorokauden aikana ja milloin, vastaus ei voi olla kovin tarkka. Siten sen relevanssi on kyseenalainen. Lisäksi tällaisten haastattelujen tekemiseen vaaditaan paljon ihmistyötä. Vaikka oletettaisiin että haastatteleminen onnistuisi, jää vielä ongelma siitä miten mahdollisesti tartunnan saaneet tavoitetaan. Epidemiaan liittyvän tiedonvälityksen määrä on jo nyt valtava. Siksi esimerkiksi tieto siitä, että tietyllä yleisellä paikalla, esimerkiksi kioskilla tai huoltoasemalla tietyllä hetkellä vieraillut infektoitunut henkilö on saattanut tartuttaa muita, hukkuu tietovirtaan. Lisäksi tällaisten haastattelujen tekemiseen vaaditaan paljon ihmistyötä.
Tartuntaketjujen jäljittämisen tehostamisella päästään nähdäkseni kahteen tulokseen:
1) akuutissa tilanteessa hoitohenkilökunnan ja terveysviranomaisten työtaakkaa voidaan helpottaa ja tartuntojen jäljitys nopeutuu ja infektoituneet saadaan näin nopeammin karanteeniin
2) voidaan varautua SARS-CoV-2 -viruksen toiseen aaltoon, joka käytössä olevan epidemologisen tiedon mukaan on mitä todennäköisimmin tulossa ennen kuin virusta vastaan on kehitetty rokote.
Mitä contact tracing tarkoittaa?
Kontaktijäljitys, contact tracing, tarkoittaa menetelmää, jossa tietotekniikan avulla pidetään “luetteloa” tilanteista, joissa henkilö on ollut riittävän kauan toisen henkilön lähellä jotta tartunnan riski on olemassa. Kun jollakulla todetaan tartunta, hänen kontaktilistaansa voidaan tarkastella ja varoittaa hänen kanssaan kontaktissa olleita henkilöitä mahdollisesta tartunnasta. Tähän voidaan yhdistää myös tartuntaa koskevan tiedon jakaminen epidemologiseen tutkimukseen. Tällä tarkoitetaan sitä että viranomainen voi käyttää tietoja taudin leviämisen mallintamiseen ja seuraamiseen sekä tilannekuvan muodostamiseen.
Menetelmän kannalta syytä huomata että ihmisten GPS-satelliittipaikantamiseen perustuvat menetelmät eivät ratkaise ongelmaa. Syitä on kaksi:
1) Paikannuksen tarkkuus on usein riittämätön. 5 metrin maksimitarkkuus ei riitä tarkoitukseen mitenkään. Lisäongelmia tuovat huonot GPS-signaalin vastaanotto-olosuhteet: sillä tiedolla että peltikattoisen ja -seinäisen marketin sisällä ovat olleet tietyt 200 ihmistä samaan aikaan ei tee juuri mitään jos ei tiedä miten he ovat liikkuneet rakennuksen sisäpuolen signaalikatveessa.
2) Vaikka paikannus onnistuisi, 3 metrin päässä oleva saattaa olla betoniseinän takana viereisessä rapussa sijaitsevassa kerrostalohuoneistossa ja väärien tulosten määrä on ilmeinen etenkin kun ottaa miten GPS-paikannuksen tarkkuus heittelee rakennusten sisällä.
Lisäksi ihmisten liikkumisen seuraamiseen ja tallentamiseen liittyy vakavia yksityisyys- ja laillisuusongelmia joihin tässä yhteydessä ei kannata edes puuttua koska se ei edes ratkaise käsillä olevaa ongelmaa.
Kontaktijäljitys on kuitenkin mahdollista toteuttaa käyttäen kaikissa matkapuhelimissa olevaa tekniikkaa: Bluetooth-radioyhteyttä. Vaikka “radiosignaalietäisyys” on eri asia kuin fyysinen etäisyys, Bluetooth-signaalin voimakkuuden mittaaminen antaa kohtalaisen tarkan kuvan laitteiden välisestä etäisyydestä ja kun puhelin on yleensä taskussa tai mukana olevassa laukussa, tämä on henkilön liikkuessa jotakuinkin sama kuin puhelinten omistajien etäisyys. Väärien positiivisten määrä on olemassa tässäkin menetelmässä, koska Bluetooth-radiosignaali kyllä matkaa tavanomaisten huoneistojen väliseinärakenteiden läpi. Toisaalta tässä virhelähteessä väärät positiiviset ovat useimmiten toistuvasti samoja seinän takana asuvia tai oleilevia henkilöitä.
Yksityisyydestään kiinnostuneet henkilöt tietävät ennestään että kauppakeskuksissa seurataan melko tavanomaisesti asiakkaiden liikkumista ns. Bluetooth-majakoilla. Niillä saadaan kohtalaisen tarkka kuva siitä, miten henkilö liikkuu rakennuksen sisäpuolella. Tästä syystä yksityisyydestään tarkat henkilöt eivät pidä yleensä Bluetooth-yhteyttä päällä kuin tarvittaessa.
Kaikissa tiedossa olevissa vakavasti otettavissa toteutuksissa ja suunnitelmissa kontaktijäljitys on toteutettu käyttäen Bluetooth-teknologiaa mukaan lukien Singaporessa käytössä oleva TraceTogether, sveitsiläisen pankin ja Googlen yhdessä toteuttamassa Wetrace sekä eurooppalaisten tieteenharjoittajien tekemä PEPP-PT, jonka alaprojekti D3-PT on tällä hetkellä ainoa julkinen dokumentaatio projektista. Tietojeni mukaan jokin PEPP-PT:n variantti on se, minkä lähdekoodin Reaktor- ja Futurice -yritysten ja Business Finlandin muodostama konsortio on saanut käyttöönsä. Se on siis se, mikä on todennäköisimmin tulossa käyttöön Suomessa “valtion hyväksymänä virallisena” sovelluksena.
Onko kontaktijäljitys väistämättä massavalvontaa?
Lyhyt vastaus: ei, jos se tehdään kunnolla.
Pitkä vastaus: se on vaikeaa ja toteutuksessa on helppo sössiä.
Euroopan arvostetuinta tietoturva-asiantuntijoiden vuosittaista konferenssia järjestävä Chaos Computer Club on toissa päivänä julkaissut erinomaisen listan vaatimuksista, joita kontaktijäljityssovelluksen pitäisi täyttää ollakseen hyväksyttävä.
Vaatimukset lyhyesti lueteltuna:
1. Sovelluksia ja dataa käytetään vain ja ainoastaan SARS-CoV-2 -tartuntaketjujen jäljittämiseen. Muu käyttö on kielletty.
2. Osallistumisen on oltava vapaaehtoista ja kieltäytymisestä ei saa seurata sanktioita.
3. Yksityisyydestä ei tingitä.
4. Läpinäkyvyyden ja verifioitavuuden vuoksi sovelluksen ja taustaohjelmistojen on oltava vapaasti saatavilla.
5. Ei keskusorganisaatiota, johon on pakko luottaa.
6. Dataa kerätään vain välttämätön määrä.
7. Anonyymiys: käytetty teknologia ei saa mahdollistaa sitä käyttävien yksilöiden tunnistamista.
8. Ei keskitettyä liikkumisen tai kontaktien tallennusta.
9. Linkittämättömyys: käyttäjän kontaktijäljityksessä käytettävää yksilöivää tunnistetta (ID) ei saa johtaa mistään muusta tiedosta tai linkittää sellaiseen, esimerkiksi käyttäjätileihin muissa palveluissa.
10. Tiedonsiirron salaaminen: sovelluksesta siirrettävästä tiedosta ei ulkopuolinen saa pystyä päättelemään mitään terveydentilasta tai muustakaan sovelluksen tallentamista tiedoista.
D3-PT täyttää pitkälti nämä vaatimukset. Se täyttää myös vaatimuksen 7 elegantilla tavalla: sovelluksen toimintalogiikka on se, että se ilmoittaa käyttäjälleen mahdollisesta infektiosta ja kehottaa ottamaan yhteyttä terveydenhuoltoon. Tämä tapahtuu ilman, että koko ketjuun tarvitaan viranomaista. Tämä on tärkeää ymmärtää. Tästä syystä sovellukseen on ollut myös mahdollista toteuttaa se vaihtoehto että sitä voi käyttää luovuttamatta tietojaan tutkimukseen. Painotus on vahvasti sovellusta käyttävissä yksilöissä eikä viranomaisten kontrollissa. Tämä lisää tietysti luottamusta sovelluksen toteutusta kohtaan.
Niille, jotka miettivät että miten tämä on mahdollista, on syytä kertoa että kyse melko arkisten kryptografisten menetelmien käytöstä. Tässä ei ole mitään erityisen vaikeaa salausmenetelmien osaajille.
Miksi tietoturvan ja tietosuojan pitää olla niin tiukkaa?
Jotta kontaktijäljityksestä olisi todellista hyötyä, sovellus pitäisi saada ymmärtääkseni yli puolelle väestöstä. Ministeri Timo Harakka on blogikirjoituksessaan asettanut tavoitteeksi yli 60% tason ylittämisen. Jotta tämä taso saavutetaan, kansalaisilla ei tietenkään saa olla mitään epäilystä tietoturvan ja -suojan tasosta.
Kaltaiseni tiukan linjan yksityisyysihmiset, jotka eivät käytä esimerkiksi tiettyjä some-palveluita niiden harjoittaman henkilötietojen ryöstöviljelyn vuoksi ovat harvinaisia. En edes väitä että olisimme mielipidejohtajia. Väitän kuitenkin että meillä on hyvät perusteet toiminnallemme ja ääntämme kannattaa kuulla erityisesti tässä asiassa jos kaikki halutaan mukaan. Olemme kuitenkin miettineet näitä asioita, joista “kukaan ei ole kiinnostunut” jatkuvasti. Meidätkin kannattaa ottaa mukaan talkoisiin paitsi kuuntelemalla myös siten että tiedon keruusta tehdään sellaista että tietosuojasuitsia tiukalla pitäväkin voi sen hyväksyä.
Tämän pienentää lisäksi ongelmaa, joka kaiken kiireen keskellä on vielä hankalampi: käytetyn menetelmän ja siihen liittyvän teknisen protokollan pitäisi olla sama ainakin mahdollisimman monessa Euroopan maassa. Syy tähän on yksinkertainen: emme tee mitään sovelluksella tai järjestelmällä, joka ei pysty toimimaan ihmisten liikkuessa sulkutilan loppumisen jälkeen maan rajojen yli, olipa kulkuväline sitten lentokone, auto tai laiva. Sulkutilan aikanakin on käytännössä pakko sallia esimerkiksi rahtiliikenteen ajoneuvojen kuljettajien tuleminen ja lähikontaktit ovat näin väistämättömiä. On tärkeää että toteutus mahdollistaa esimerkiksi naapurimaasta toiseen ajavan rekkakuskin kontaktien jäljittämisen jos hän sen sallii.
Jotta tähän tavoitteeseen päästään, sovelluksen on kelvattava naapurillemme Ruotsille, aina niin tarkoille ja perusteellisille saksalaisille kuin myös EU:sta eroavan Iso-Britannian kansalaisille, koska normaalitilan lentoliikennettä Iso-Britanniaan on kuitenkin paljon. Suomalaisesta “kyllä se varmaan hyvin on kun viranomaiset hoitavat asiaa” -luottamusyhteiskunnasta on asennetasolla todella pitkä matka Iso-Britannian kulttuuriin, jossa jo Suomen henkilötunnuksen kaltaisen tunnisteen käyttöönottoa vastustetaan isovelivaltion holhouksena ja valtion kontrollipyrkimyksinä.
Jotta järjestelmä toimii siten, että tietojen välittämiseen ei tarvita väliin mitään viranomaista tai muutakaan tietoa keskitetysti keräävää tahoa, yhteisesti käytetty kännykkäsovelluksen käyttämä kontaktien tunnistamisprotokolla vaikuttaa toimivalta ratkaisulta. Se, että sen pitäisi kelvata kaikille on iso haaste. Toisaalta – jos joku sen ratkaisee niin suomalaiset sen ratkaisevat. Erään edesmenneen suomalaisyhtiön mainoslause Connecting People ei ole koskaan ollut sisällöllisesti katteeton. Nyt on aika lunastaa se uudestaan.
Jäljittämistä – ei kartoittamista
Tätä tekstiä kirjoittaessa tuli ilmi että paikoin Suomessa käytetään Contact Tracingista käännöstä “kontaktien kartoitus”. Englannin kielen verbi “trace” tarkoittaa kuitenkin jäljittämistä. Tietosuojasyistä tulee olla täysin selvää että kyse ei ole sovelluksen käyttöön liittyvien sosiaalisten kontaktien kartoittamisesta vaan nimenomaan tartuntaketjujen jäljittämisestä.
On alarmistista vain väittää, että korona tarttuisi yleisesti ennen oireiden ilmaantumista kvantifioimatta asiaa tarkemmin. Tällainen tartuntakomponentti on toki olemassa mutta sen merkitys on asetettava mittasuhteisiinsa. Oman käsitykseni mukaan tartuttavuus on kuitenkin suurimmillaan oireiden ollessa puhkeamassa ja niiden puhjettua, ja jatkuu koko sairastamisen ajan. Tästä huolimatta Italiankaan oloissa tartuttavuusluku R0 ei ollut juuri suurempi kuin 3, ts. sairastunut tartutti kolme muuta.
Kuinka merkittävä komponentti oireeton tartuttaminen on yleisesti, etenkin sellainen, jossa tartuttaja ei itse sairastu päivän parin kuluessa? Jos se on verraten harvinaista, sillä ei ole oleellista merkitystä epidemiantorjunnan kannalta. Jos tartuttaja itse sairastuu päivän parin kuluessa, kontaktit on varsin helppoa selvittää. On huomattava, että koronan tartuntamekanismeista on muutenkin epävarmuutta esim. aerosolien osalta, eikä kaikki alustavat päätelmät välttämättä ole oikeita.
Epidemian rajoittamisessa on olennaista puuttua todennäköisiin asioihin, eikä käyttää liikaa energiaa todennäköisyysjakaumien marginaalisiin häntiin. On toki muistettava, että epätodennäköistäkin sattuu joskus. Todennäköiset aikajänteet tartuntasukupolvien välillä on huomattavasti kahta viikkoa lyhyempiä. Tyypillinen aika tartunnasta oireisiin on viiden päivän luokkaa. Ei ole ehkä yleisesti kovin olennaista selvittää esim. yli viikon takaisia satunnaiskontakteja.
En ole vakuuttunut teknisen ratkaisun merkittävistä hyödyistä tartuttajien jäljittämisessä. Ilmeisenä heikkoutena on, että oireetonta tartuttajaa ei löydetä missään vaiheessa, koska oireeton tai vähäoireinen ei koskaan itse päädy testattavaksi. Toinen ongelma on suuri väärien hälytysten määrä. Erittäin suuressa osassa satunnaiskontakteja tartunta ei siirry – eikä sairastunut ei ole voinut tartuttaa ketään ennen kuin on itse saanut tartunnan. Bluetooth pystyy ehkä toteamaan kontaktin mutta ei arvioimaan tartuntariskin suuruutta. Henkilöresurssien tarve siirtyy altistuneiden jäljittämisestä varoituksen saaneiden yhteydenottoihin, testaamiseen ja mahdollisiin karanteeneihin.
Yksityisyydensuojan kannalta ongelmallista on jäljitysinfran rakentaminen sinänsä. Vaikka ensimmäiset versiot toteutettaisiinkin yksityisyydensuojaa kunnioittaen, infralla on taipumus löytää uusia käyttötarkoituksia, joissa yksityisyydensuojaa nakerretaan pala palalta. Vapaaehtoinen muuttuu pakolliseksi yhdellä lainmuutoksella. Tällaiselle teknologian käytölle ei pidä antaa pikkusormeakaan, ja toivoisin Effin suhtautuvan siihen torjuvasti. Erityisen torjuvasti on syytä suhtautua, jos teknologian käyttöönottoa perustellaan yliampuvin väittein.
Sananvapauden yksi olennainen piirre on se, että kukin saa tuoda esiin ajattelunsa piirteet ja puutteet. Keskustelu jatkukoon!
Mitäpä jos metakeskustelun sijasta pureutuisit itse asiaan:
– onko ongelma, jota yritetään teknologian avulla ratkaista ylipäänsä merkittävä kokonaisuuden kannalta? Miksi teknologinen ratkaisu olisi parempi kuin tilapäisten jäljitysapulaisten työllistäminen?
– miten ratkaistaan teknologian ongelmat, kuten se, että oireettomia ei kuitenkaan löydetä mutta saadaan suuri määrä turhia hälytyksiä? Onko teknologisesta ratkaisusta sittenkään ratkaisevaa hyötyä?
Itse menetelmästä, DP-3T ei näyttäisi sisältävän Bluetooth-signaalinvoimakkuuden analysointia. Se ilmeisesti logittaisi kaiken mitä kuulee. Onko jossain osoitettu, että signaalinvoimakkuuden analysointi edes olisi tehokas keino määrittää altistuksen suuruutta?
Loistava kirjoitus. Tällä tavalla saadaan yhteiskunta auki nopeasti ja valtavat vahingot vältettyä. Priceless.
Automaation tarve tracingissä on myös erinomaisesti selitetty. Onneksi itämisaika on tyypillisesti keskimäärin esimerkiksi influenssaa pidempi, joten sairastuneen tavoittaminen ja testaaminen ehditään automaation avulla tehdä ennen kuin sairastunut tartuttaa tautia edelleen.
Massakontrollia on mikä tahansa menetelmä, joka on yksisuuntainen hallinnaltaan ja jossa datan keruu on keskitetty. Lisäksi on huomioitava, että sovellus ei tule välttämättä erillisenä pandemian hallintaan, vaan sen luonne määräytyy myös siitä, mitä muita käytäntöjä sen kohteina olevien hallintaan käytetään. Yksityisyys on vain yksi kulma sen arviointiin, onko sovellus eettisesti hyväksyttävä. Pandemian hallinta on tietysti hyvin ongelmallinen asetelma, koska yhteiskunnan ja yksilön etua on punnittava rinnakkain.
Ehkä enemmän olen kuitenkin huolissani siitä, mitä kontrollin mekanismeja otetaan käyttöön seuraavassa vaiheessa, kun rokote on tarjolla.