Co z pytaniami o prywatność, gdy Big Tech uwalnia paszporty szczepionek?


Fani Brooklyn Nets z NBA, wchodząc do Barclays Center, błyskają czymś więcej niż tylko biletami na mecz.

“Vaccine Passport”

Muszą również okazać ostatni negatywny wynik testu Covid-19, kartę szczepień lub swój Excelsior Pass - pierwszy w Nowym Jorku "paszport szczepionkowy", który wykorzystuje kody QR na smartphone, aby udowodnić wyniki testu lub szczepienia przeciwko chorobie.

Stworzony przez IBM Excelsior Pass, który zadebiutował w zeszłym miesiącu, jest jedną z rosnącej liczby aplikacji, które mogą pomóc Amerykanom bezpiecznie wrócić na imprezy sportowe, do teatrów, restauracji i na loty.


Budzą one jednak również obawy dotyczące prywatności.

"To bardzo ważne, gdy ponownie otwieramy społeczności i gospodarki, że istnieje poziom zaufania do organizacji, takich jak stan Nowy Jork i IBM," powiedział Eric Piscini, globalny wiceprezes IBM ds. nowych sieci biznesowych, który prowadzi projekt. "Jesteśmy tu po to, aby służyć społecznościom, a nie tylko wypychać kawałek technologii".

Obawy o prywatność związane z publicznym pokazywaniem statusu szczepienia grożą zahamowaniem rozwoju technologii, która mogłaby odegrać ważną rolę w ponownym otwarciu społeczeństwa i powstrzymaniu rozprzestrzeniania się Covid-19. Ale bez rządowej koordynacji lub regulacji - a administracja Bidena nieugięcie twierdzi, że nie będzie się w to bezpośrednio angażować - sektorowi prywatnemu pozostaje budowanie zaufania konsumentów i poruszanie się po przepisach, które dyktują, jak zachować bezpieczeństwo i poufność danych.

Rola firm technologicznych

Debata toczy się w momencie, gdy narodowy wysiłek szczepień jest już bardzo zaawansowany. Według danych Bloomberg vaccine tracker w USA podano już ponad 200 milionów dawek szczepionek.


"Istnieje wiele pytań bez odpowiedzi z perspektywy prawnej," powiedział Sean Sullivan, adwokat opieki zdrowotnej w Alston & Bird LLP w Atlancie. "Nie ma tego samego rodzaju ram prywatności dla tego rodzaju rzeczy".

Paszport szczepionkowy firmy IBM Corp. wykorzystuje zaszyfrowany portfel cyfrowy na komputerze smartphone, dzięki czemu użytkownicy mogą potwierdzić swój stan zdrowia bez konieczności udostępniania podstawowych informacji medycznych lub osobistych. Technologia blockchain eliminuje potrzebę istnienia centralnej bazy danych, tworząc w zamian "skrót" danych używanych do weryfikacji.

Microsoft Corp. jest partnerem w inicjatywie Vaccination Credential Initiative, która opracowuje "przewodnik wdrożeniowy szczegółowo opisujący wykorzystanie otwartych, interoperacyjnych i chroniących prywatność standardów", powiedział rzecznik firmy.

Wiodące standardy, które się pojawiły, oparte na kryptografii z kluczem publicznym i kodach QR, są "bardzo bezpieczne", powiedział Mike Joyce, kierownik ds. zaangażowania w firmie Theorem LLC, zajmującej się inżynierią i innowacjami. "To daje możliwość skali, że kawałek papieru nie może zapewnić".

Stan gry

Decyzja rządu federalnego o usunięciu się z tworzenia cyfrowych paszportów została podjęta w celu uniknięcia wahań szczepionek od tych, którzy "obawiają się, że rząd będzie odgrywał zbyt ciężką rolę w monitorowaniu ich szczepień", powiedział w zeszłym miesiącu Andy Slavitt, starszy doradca Białego Domu w odpowiedzi na Covid-19.

Ale agencje zdrowia spotykają się, aby ustalić ogólne wytyczne dotyczące tego, co chciałyby zobaczyć w paszportach szczepionek prywatnych firm, które powinny być bezpłatne, dostępne w wielu językach i dostępne dla osób niechętnych technologii, powiedział Slavitt.

Za oceanem, unijni regulatorzy danych powiedzieli, że plany dotyczące cyfrowych certyfikatów muszą wykluczać dostęp do danych pacjentów i ich wykorzystanie przez rządy po pandemii. Wielka Brytania będzie testować swój własny system wymagający od ludzi wykazania, że są wolni od wirusa. A Izrael już wprowadził swoją wersję paszportu szczepionkowego, zwaną "Zieloną przepustką", którą mieszkańcy używają, aby wejść do zatłoczonych miejsc, takich jak koncerty czy wesela.

Międzynarodowe Zrzeszenie Przewoźników Powietrznych testuje własną aplikację, która mogłaby potwierdzić, czy ktoś został zaszczepiony lub ostatnio testowany negatywnie na Covid-19, zanim zostanie wpuszczony na pokład samolotu. Virgin Atlantic i Qatar Airways są wśród linii lotniczych prowadzących próby na przepustce IATA.


W Stanach Zjednoczonych niektórzy republikańscy przywódcy stanów sprzeciwiają się wymaganiu przenośnych kartotek szczepień.

Gubernator Florydy Ron DeSantis podpisał 2 kwietnia rozporządzenie wykonawcze zabraniające firmom, które otrzymują dotacje państwowe lub kontrakty, wymagać od patronów wyświetlania paszportów Covid-19, nazywając poświadczenia "całkowicie nie do przyjęcia" i wyrażając obawy dotyczące wymiany prywatnych informacji. W Teksasie, Gov. Greg Abbott podpisał podobne zarządzenie 5 kwietnia. Przeczytaj tutaj.

DeSantis i Abbott nie próbowali zablokować mandatu szczepionkowego w miejscu pracy poprzez wykonawcze fiat, co byłoby posunięciem, które najprawdopodobniej przekroczyłoby ich prawne uprawnienia. Ale kilka legislatur stanowych rozważa projekty ustaw, które mogłyby to zrobić, w tym Floryda, Ohio i Missouri. Zobacz pdf na końcu postu.

Luka w prawie zdrowotnym

Wymogi dotyczące prywatności i bezpieczeństwa zawarte w Health Insurance Portability and Accountability Act mogą utrudnić uzyskiwanie i udostępnianie statusu szczepień. Ale to, czy paszporty szczepionek wchodzą w zakres HIPAA, zależy od tego, w jaki sposób uzyskuje się dostęp do informacji medycznych i czy dostawca usług medycznych jest zaangażowany w aplikację, powiedział Savera Sandhu, partner w biurze Newmeyer & Dillion LLP w Las Vegas.

HIPAA ma zastosowanie do podmiotów świadczących usługi opieki zdrowotnej, pracodawców, którzy sponsorują plany ubezpieczeń zdrowotnych oraz medycznych centrów rozliczeniowych. Ma również ogólne zastosowanie do partnerów biznesowych, takich jak dostawcy technologii informacyjnych, którzy pomagają podmiotom objętym ubezpieczeniem w wykonywaniu ich obowiązków.

Twórcy aplikacji mogą znaleźć się poza ramami HIPAA, jeśli nie współpracują ze szpitalem i wymagają od użytkowników bezpośredniego przesyłania własnych informacji medycznych, w tym statusu szczepień, powiedział Sandhu.

"Niekoniecznie podpadają pod kategorię dostawcy lub współpracownika opieki zdrowotnej" - powiedziała. "Te firmy następnie mogą nie podlegać wymaganiom HIPAA".

Niektóre firmy mogą zdecydować się na takie podejście - użytkownicy wprowadzający swoje własne informacje - podczas gdy inne mogą uzyskać status szczepienia od dostawcy usług medycznych.

"Z punktu widzenia zaufania, ważne jest, aby konsumenci byli odpowiedzialni za to, jakie informacje podają do paszportu szczepionki", powiedziała Lauren Groebe, adwokat w Morgan Lewis & Bockius LLP w Chicago, która koncentruje się na zdrowiu, prywatności i cyberbezpieczeństwie.

Prywatność przede wszystkim

Twórcy aplikacji oraz linie lotnicze, restauracje itp., które korzystają ze szczepionkowych paszportów, mogłyby przyjąć się na szerszą skalę i zmniejszyć ryzyko naruszenia danych poprzez gromadzenie tylko niezbędnych informacji, powiedział Sullivan.

"Mądra organizacja, która zbiera te informacje, chciałaby opracować jasną politykę prywatności i pozwolić ludziom wiedzieć, jak te informacje są traktowane" - powiedział. "Niektórzy mogą zdecydować się na przeglądanie przepustek, ale nie zachowują ani nie zbierają tych danych".

Zdrowie lub inne dane osobowe powinny być szyfrowane w aplikacjach i kiedy są wysyłane gdzie indziej, powiedział Alon Kaufman, pochodzący z Izraela dyrektor generalny i współzałożyciel Duality Technologies. "Musimy mieć bezpieczeństwo, prywatność i bezpieczeństwo wbudowane w te narzędzia".

Podobnie jak wszystkie rzeczy cyfrowe, aplikacje paszportów szczepionek mogą teoretycznie zostać zhakowane, co oznacza, że jeden lub kilka standardów w USA i na arenie międzynarodowej może pomóc, powiedział Marijus Briedis, dyrektor ds. technologii w NordVPN na Litwie.

"Jeśli każdy z nas ma 20 różnych aplikacji, jak zamierzamy z nich korzystać?" powiedział Briedis. "Obawy dotyczące bezpieczeństwa i prywatności są potęgowane wraz z większą liczbą aplikacji w telefonie, ponieważ obszar ataku wzrasta wykładniczo".

Obowiązki pracodawcy

Firmy generalnie mają prawo nakazać pracownikom poddanie się szczepieniom, choć muszą rozważyć prośby o udogodnienia związane ze zdrowiem zgodnie z Americans With Disabilities Act oraz sprzeciw religijny zgodnie z Tytułem VII Ustawy o Prawach Obywatelskich z 1964 roku. Przeczytaj tutaj.

Biorąc pod uwagę ten krajobraz prawny, ADA nie powinna uniemożliwiać firmom zlecania pracownikom lub kandydatom udowodnienia, że zostali zaszczepieni przeciwko Covid-19, powiedzieli prawnicy zajmujący się zatrudnieniem.

Jednak ADA wymaga od pracodawców zachowania w tajemnicy informacji o szczepieniach swoich pracowników. Może to ograniczyć możliwość udostępniania danych o paszportach stronom trzecim, takim jak usługodawcy, którzy mogą chcieć zapewnić klientów, że pracownicy udający się do ich domów lub firm otrzymali szczepionki.

A uzyskanie zgody pracowników na ujawnienie ich paszportów szczepionkowych nie wyeliminowałoby zagrożenia odpowiedzialnością w ramach ADA, ponieważ sądy mogłyby uznać to za przymus lub dyskryminację - powiedział Peter Blanck, profesor prawa z Uniwersytetu Syracuse, autor książek na temat uprzedzeń wobec osób niepełnosprawnych.

Żadna firma nie może zagwarantować, że ma całkowicie zaszczepioną siłę roboczą ze względu na wyjątki od ADA i Title VII, powiedziała Karla Grossenbacher, adwokat ds. zatrudnienia w Seyfarth Shaw LLP. Zamiast dostarczać indywidualne paszporty szczepionkowe, pracodawca może po prostu powiedzieć klientowi, że jego pracownicy są zdolni do pracy i przedstawić swoje kryteria zdolności do pracy, powiedziała.

Mimo to obserwatorzy prawa nie są jednomyślni co do tego, czego ADA wymaga od firm w kwestii udostępniania pracownikom ich paszportów szczepionkowych.

Zezwolenie Equal Employment Opportunity Commission na uzyskiwanie przez pracodawców informacji o szczepieniach sugeruje, że mogą one być ujawniane, powiedziała Myra Creighton, prawnik Fisher & Phillips LLP, która doradza pracodawcom.

"Jeśli pytanie o to, czy dana osoba jest zaszczepiona, nie jest pytaniem związanym z niepełnosprawnością, to jeśli powiem komuś, że 'Tak, Joe Smith został zaszczepiony', to nie jest to naruszenie ADA" - powiedziała.

Załączniki

1. Florida State Legislatures


2.Ohio State Legislatures


3.Missouri State Legislatures