In Nederland beschikken we inmiddels over de CoronaCheck-app, waarmee een QR-code voor binnenlandse toegang tot evenementen en internationaal reizen gegenereerd kan worden. Zoals ik in een eerder artikel beschreef had China in februari 2020 al iets vergelijkbaars met zijn Health Code-apps. Tijdens de piek van de coronacrisis in China bepaalde de kleur van de Health Code, een door een app gegenereerde QR-code, of je kon gaan en staan waar je wilde (groen), of je 7 dagen verplicht (!) in quarantaine moest (geel) of dat je 14 dagen binnen moest blijven (rood).
Maar daar waar wij precies weten welke data in de CoronaCheck-app worden gebruikt is dat bij de Health Code altijd schimmig gebleven. MIT Technology Review verzamelde in mei 2020 een database met 49 verschillende COVID-19 tracing-apps. Over de Health Code-app schreef MIT: “Er is heel weinig openbare informatie beschikbaar over hoe de Chinese technologie werkt.” Inmiddels zijn we een jaar verder en probeer ik in dit artikel te achterhalen welke data werden en worden gebruikt ten behoeve van de Health Code.
Honderden varianten
Het is niet eenvoudig de Health Code-apps te doorgronden. Niet alleen zijn er honderden regionale varianten en hebben individuele steden vaak een eigen app, de specificaties veranderen ook continu en apps maken gebruik van verschillende soorten data.
De South China Morning Post beschreef vorig jaar hoe steden verschillende methoden voor contactonderzoek gebruikten. Sommige apps vereisten het delen van GPS-gegevens, die, zoals we zullen zien, accurater zijn dan data van GSM-masten via telecomproviders. Of die GPS-gegevens ook daadwerkelijk uitgelezen werden en welke steden het betrof meldt SMCP echter niet. Andere apps namen genoegen met de locatie, reishistorie en lichaamstemperatuur die gebruikers (dagelijks) zelf invoerden. Hoe de verzamelde data werden geïnterpreteerd kon ook verschillen.
Een bezoek aan een risicogebied als Wuhan, bepaald aan de hand van telecom- en transportdata, en gegevens van de woongemeenschap waarin men leeft werden in 2020 klaarblijkelijk automatisch vertaald naar code geel of rood. De Shanghai Health Code gaf volgens een analyse uit juni 2020 bijvoorbeeld een rode code aan mensen die:
- arriveren uit risicolanden of –gebieden, of deze langer dan 4 uur hebben bezocht
- onder medische behandeling staan
- vermoedelijk besmet waren
- nog waren opgenomen in het ziekenhuis
Contact met besmette personen werd, net als bij het GGD-contactonderzoek bij ons, uitgevoerd door overheidspersoneel en niet vastgesteld met behulp van bluetooth- of GPS-tracking.
Regulering
Rond het moment van de lancering van de eerste Health Code-apps in februari 2020 kwam de Cyberspace Administration of China (CAC), die in het land het internet en de cyberveiligheid reguleert, al heel snel met instructies om dataverzameling ter preventie van de pandemie te beperken tot het absolute minimum. Dit gebeurde mede naar aanleiding van een aantal ernstige datalekken. Zo circuleerden er in WeChat-chatgroepen lijsten met de gegevens van besmette personen.
Ook zou data alleen verzameld mogen worden om de mobiliteit van burgers weer op gang te brengen en daarbij omslachtige gezondheidscontroles (b.v. temperatuurmetingen) overbodig te maken. Bedrijven die Health Code-apps ontwikkelden zouden transparant moeten zijn over wanneer de gebruiker een rode, gele of groene code krijgt en ervoor moeten zorgen dat de data na de uitbraak verwijderd zouden worden. De vraag is echter in hoeverre lokale overheden zich aan deze instructies houden. De aandrang om goed voor de dag te komen bij de centrale overheid is soms sterker dan de wil om regels strikt op te volgen.
Een analyse van Wanshu Cong op de website van Frontiers beschrijft hoe de centrale overheid, bij gebrek aan passende wetgeving, een aantal richtlijnen heeft opgesteld voor de Health Code-apps. Nadat zowel Tencent en Alibaba – de ontwikkelaars van de eerste en meest gebruikte Health Code-apps – in maart en april 2020 beiden hun eigen standaard hadden opgesteld, werkten beide techbedrijven samen met de Chinese National Standardization Administration aan het opstellen van een serie nationale standaarden die op 29 april 2020 verschenen.
De standaard voor dataverzameling t.b.v. Health Code-apps beschreef 4 soorten data die verzameld konden worden:
- Persoonlijke gegevens: naam, geslacht, nationaliteit, ID-type en -nummer, gebied van registratie van huishouden (‘hukou’), huisadres, telefoonnummer, gezondheidsgeschiedenis;
- Persoonlijke gezondheidsinformatie: lichaamstemperatuur, actuele symptomen, informatie over wonen en verblijven in risicogebieden, contact met mensen uit risicogebieden, tijdstip van gezondheidsverklaring en overige informatie;
- Reisgeschiedenis: locaties waar de persoon in de afgelopen 14-30 dagen heeft gewoond en voor een bepaalde tijd is verbleven, inclusief huidige locatie- en reisinformatie;
- Informatie over gezondheidscertificering: beoordeling van de huidige gezondheid door betrokken instanties, inclusief beoordeling van gezondheidsrisico’s, tijdstip en redenen voor de beoordeling, testresultaten, details van instellingen voor gezondheidstests, testtijd en gegevensbronnen.
Hoewel deze standaarden een adviserend en geen verplicht karakter hebben verwijzen ze voor wat betreft privacy wel naar bestaande regelgeving zoals de Cybersecurity Law. De wetgeving in China loopt wat achter de feiten en snelle ontwikkelingen aan. De invoering van een burgerlijk wetboek (Civil Code) en de komst van een wet bescherming persoonsgegevens (zie dit recente artikel) brengen echter verbeteringen in het wettelijke kader voor privacybescherming.
Centralisering
In mei 2020 publiceerde de centrale overheid adviezen voor COVID-19-bestrijding. In artikel 16 is in de vertaling van China Law Translate te lezen hoe overheidsorganen gestimuleerd worden om gezamenlijk gebruik te maken van ‘National Unified Government Services Platform Health Information’. Door gebruik van een centrale uitwisseling tussen verschillende lokale databases zouden steden elkaars Health Codes-apps makkelijker kunnen accepteren in plaats van gebruik van de eigen Health Code-app af te dwingen.
Het centrale platform bevat verwijzingen naar data over:
- Bevestigde en vermoede besmettingen
- Contactonderzoek
- Uitslagen van medische testen
- Data over koorts
- Locatiedata op basis van telecomgegevens (hierover later meer)
- Transportdata (b.v. reizen met treinen en vliegtuigen)
- Data van grenscontroles
- Data van lokale woongemeenschapbureaus en sociale gelegenheden
- Temperatuurmeting van diverse checkpoints
- Informatie gedeeld door gebruikers
- Andere gerelateerde epidemische informatie
Sommige data komen uit een combinatie van bronnen. Zo worden reisgegevens deels zelf opgegeven en zijn ze deels afkomstig uit centrale databases, zoals die van treinkaartjes en vliegtickets, die in China beide gebonden zijn aan vaste stoelnummers.
In een artikel op lexatlas-c19.org, een wereldwijd academisch project, dat juridische reacties op COVID-19 in kaart brengt, analyseerde Dr. June Wang van de Western Sydney University de databronnen van de Health Code-apps. Data waren volgens haar onder andere afkomstig uit burgerluchtvaart, spoorwegen, snelwegen, elektronische tolheffing, lokale bussystemen en telecommunicatie-exploitanten. Opmerkelijk genoeg noemt ze ook betalingsgegevens in het bezit van banken en andere financiële instellingen als bron.
To scan or to be scanned, that’s the question
Veel van wat we weten is dus gebaseerd op vastgelegde standaarden die veelal een adviserend karakter hebben. Maar dat zegt niet noodzakelijk iets over de data die daadwerkelijk door lokale overheden verzameld en gebruikt worden.
Lange tijd heb ik mij afgevraagd in hoeverre er nauwkeurige locatiedata worden vastgelegd via de Health Code-apps zelf. In de media verschenen schijnbaar tegenstrijdige berichten. In sommige plaatsen zou men QR-codes van locaties moeten scannen, terwijl men elders zijn persoonlijke QR-code uit de Health Code-app moest laten scannen. Volgens andere geluiden hoefde alleen de huidige status van de Health Code getoond te worden, zonder dat er gescand wordt. Dit lijkt misschien een arbitrair detail, maar zegt veel over de mogelijke werking van een app.
Laat ik voor degenen die er minder bekend mee zijn even uitleggen hoe het scannen van QR-codes werkt. Bij de invoering van mobiel betalen met QR-codes in China stelde men vaak de vraag ‘ni sao wo ma’ (scan jij mij?) of ‘wo sao ni ma’ (scan ik jou?). Je kon dan ofwel:
a) jouw persoonlijke QR-Code, die je opvroegtin een app, laten scannen door een ander
of
b) met een QR-codescanner (b.v in WeChat) een andere QR-code, van een persoon of organisatie, scannen. Dat kon een vaste QR-code op een bordje of printje zijn of een QR-code gegenereerd in een app.
