Právě uvolněná aplikace eRouška 2.0 je hezkým důkazem toho, že ačkoliv jsou někteří přesvědčeni o opaku, všechny problémy lidstva nelze vyřešit mobilní aplikací. Je také dobrou příležitostí rekapitulovat krátkou, leč výživnou historii covidových trackovacích aplikací.

Základní princip všech aplikací tohoto druhu je, že se snaží uživatele upozornit, že byl v blízkosti nakažené osoby. Toho lze docílit dvěma způsoby. 

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Prvním je sledování absolutní polohy mobilního telefonu. To je technologicky docela jednoduché zařídit, prostě se jednou za čas zjistí aktuální poloha zařízení a pošle se na server, kde se uloží. Pokud některý z uživatelů zjistí, že je nakažený, sdělí to provozovateli aplikace, který dokáže ze záznamů vybrat ty uživatele, již byli v blízkosti nakaženého, a informovat je. Tímto způsobem funguje třeba "sdílení polohy" v aplikaci Mapy.cz, které používá skoro 1,9 milionu lidí.

Zásadní výhodou tohoto postupu je široká technická kompatibilita, protože od zařízení požaduje pouze GPS a mobilní připojení. Zásadní nevýhodou je snadná zneužitelnost a narušení soukromí, protože provozovatel aplikace (v případě Mapy.cz jím je Seznam.cz) má informace o poloze všech uživatelů v reálném čase včetně historie.

O odstranění tohoto problému se pokusila druhá generace aplikací, jejímž zástupcem byla i první verze eRoušky. Ta nesleduje polohu absolutně, ale relativně. Využívá přitom Bluetooth – každé zařízení s nainstalovanou aplikací vysílá náhodný identifikátor (který se navíc jednou za čas mění) a zároveň sleduje, jaké identifikátory vidí v okolí. Současně je publikován seznam identifikátorů uživatelů, kteří byli nakaženi. Aplikace sama vyhodnotí, zda se její uživatel setkal s některým z nakažených, a informuje ho o tom. Provozovatel centrálně nesleduje, kdo se s kým potkal (data se nikam neposílají), jenom publikuje seznam nakažených ID.

Hlavní výhodou je vyšší ochrana soukromí uživatelů, protože se data nenacházejí v žádném centrálním úložišti. Nevýhodou pak je, že to celé rozumně funguje pouze na novějších telefonech s Bluetooth LE. Starší telefony s klasickým Bluetooth mají funkčnost v lepším případě omezenou, v horším žádnou. Navíc se aplikace typu eRouška 1.0 potýkaly s problémy ze strany operačního systému, který se snaží různým způsobem omezovat aplikace běžící na pozadí, zejména kvůli výdrži baterie. 

Současná eRouška 2.0 je zástupcem třetí generace, která využívá Exposure Notification System (ENS), dříve známý pod zkratkou PPCTP (Privacy Preserving Contact Tracing Project). To je standard, který společně vyvinul Google a Apple a který přímo na úrovni API operačního systému dělá to, o co se pokoušely aplikace předchozí generace, tedy sledování kontaktů přes Bluetooth LE. Odstraňuje tak jednu z dříve zmíněných nevýhod, tedy omezení pro aplikace běžící na pozadí.

Blízkost není všechno

Všechny uvedené aplikace sledují pouze fyzickou blízkost dvou osob, což samo o sobě nemusí být významným parametrem. U aplikací založených na sledování absolutní polohy (Mapy.cz) je jejich preciznost omezena přesností lokalizace polohy v telefonu, která zejména v uzavřených prostorách není vysoká a pohybuje se v okruhu desítek metrů. Uzavřené prostory jsou přitom z hlediska šíření viru nejrizikovější. Aplikace tohoto typu dokážou relativně spolehlivě zjistit, že se dvě osoby nacházely ve stejné budově, ale to je asi tak všechno. Neumí třeba detekovat překážku mezi nakaženými a jako nebezpečný kontakt mohou třeba vyhodnotit i to, když za někým pojedete v koloně, každý ve svém autě.

Aplikace využívající Bluetooth LE mohou vzdálenost teoreticky sledovat lépe. Autoři eRoušky 2.0 tvrdí, že pro vyhodnocení kontaktu jako rizikového cílí na kontakt trvající alespoň 15 minut na vzdálenost menší než dva metry. Jenomže přes BLE nelze zjistit vzdálenost zařízení, pouze sílu signálu, pro kterou je vzdálenost jenom jedním z mnoha ovlivňujících parametrů. Dalšími jsou třeba umístění telefonu na těle, typ a materiál použitého pouzdra nebo třeba zavazadla… Při stejné reálné vzdálenosti bude síla signálu dramaticky jiná ve chvíli, kdy uživatelé budou mít nechráněné telefony v ruce v přímé viditelnosti a ve chvíli, kdy je budou mít v kapse v kovovém obalu a stíněné tělem.

Autoři eRoušky se s tím snaží vyrovnat tím, že na základě síly signálu dělí kontakty do čtyř skupin (košů) a čas pak násobí empiricky stanovenými koeficienty. Lépe se to dělat nedá, ale výsledek je stejně poněkud nepřesvědčivý. Podobné aplikace dávají okolo 20 procent falešně negativních a 20 procent falešně pozitivních výsledků.

Soukromí skutečné i vnímané

Mnoho lidí vnímá aplikace tohoto typu jako ohrožení svého soukromí – částečně oprávněně. Přesto dochází k absurdní situaci. Sdílení polohy na Mapy.cz, které je z hlediska ochrany soukromí asi nejhorší možnou variantou, má zapnuto téměř 1,9 milionu uživatelů. První verzi eRoušky si podle posledních údajů, které jsem dokázal najít, nainstalovalo asi 160 tisíc uživatelů, tedy méně než desetina. Přičemž reálně ji používalo podstatně méně lidí. Že si aplikaci někdo nainstaloval, ještě neznamená, že ji také používá. Části lidí nefungovala pro nekompatibilitu hardwaru (starší levné telefony bez BLE), části proto, že ji omezil operační systém, další lidé ji vypnuli a odinstalovali.

Aplikace z hlediska soukromí technicky riziková, provozovaná soukromou firmou Seznam.cz, bez jakékoliv podpory a spolupráce se státem, má tedy více než řádově větší důvěru než technicky bezpečnější aplikace provozovaná úřady. Ukazuje to na absolutní nedostatek důvěry, který občané ke státu mají. A bohužel oprávněný, protože neschopnost vlády v oblasti IT je v Česku konstantou a chaos, který veřejná správa předvádí v souvislosti s covidem, situaci jenom zhoršuje.

Žijeme v zemi, kde se opatření označená za vyloučená o pár dní později plošně zavedou jako závazná. Ve státě, jehož premiér prohlásí, že závazné nařízení ministerstva zdravotnictví pouze doporučuje a nikoho nenutí nosit roušku, a o pár dní později vyzve policii, aby nošení roušek přísně kontrolovala. V takové zemi se nelze obyvatelstvu divit, že k jakékoliv státní trasovací aktivitě přistupuje s velkým podezřením se vcelku realistickou obavou, že se nazítří premiér špatně vyspí a všechny aplikací označené pošle do gulagu.

Důvěřovat takové aplikaci je akt víry a odevzdání. Její kód je sice open source, ale v žádném případě není jisté, že jde o tentýž kód, který reálně běží na vašem zařízení. To je velice obtížné ověřit i u běžných aplikací (reproducible builds nejsou nic jednoduchého) a zhola nemožné u aplikací mobilních, instalovaných přes App Store.

Reálné dopady nejisté

Užitečnost aplikací na sledování kontaktu je přímo závislá na počtu uživatelů, kteří aplikaci používají. Nejlepší pozici v tomto směru má sdílení polohy v Mapy.cz, které používá zhruba 17 procent populace. Počet uživatelů (resp. počet zařízení s aktivovanou funkcí sdílení polohy) je ale jediná metrika, kterou firma zveřejňuje. Nepodařilo se najít žádné informace o počtu známých nakažených nebo notifikovaných. Z toho lze dovozovat, že to asi nebude žádná sláva, protože jinak by se provozovatel pochlubil.

Je známo, že první eRouška byla v tomto ohledu velkolepým neúspěchem. Při 160 tisíc instalacích ji nejspíš používalo méně než procento obyvatelstva, což je pro praktické účely zanedbatelné. Navíc ji státní hygienické stanice odmítaly používat. Na souzení verze 2.0 je ještě příliš brzo a chování hygienických stanic je také ve hvězdách. Nedávno zveřejnily, že by měly mít možnost komunikovat s praktickými lékaři e-mailem. Což lze vnímat jako pokrok nebo jako tragédii, uvážíme-li, že e-mail jako technologie letos v létě oslavila 49 let existence. Můj odhad nicméně je, že promořenost populace aplikací dosáhne nejvýše jednotek procent.

Rouška místo modlitby

Aplikace eRouška 2.0 nastupuje do hodně nepříznivé situace. Jakýsi smysl by měla v době, kdy nakažených bylo málo a dali se jednotlivě sledovat. Tehdy ovšem neexistovala. Dnes je nakažených tolik, že je všechno věcí náhody. Vypadá to, že mnoho nakažených je bezpříznakových, takže ani oni sami nezjistí, že byli přenašeči, a tak jsou zcela mimo systém. Víme, že stát nestíhá testovat. Víme, že se získanými informacemi nedovede pracovat a už vůbec je nedovede zpracovat a vyvodit z nich důsledky dostatečně rychle.

Jakou hodnotu má informace "v blíže neurčené době jste se možná vyskytovali poblíž blíže neurčeného nakaženého" s pětinovou šancí, že je falešná? Jaká je očekávaná reakce? Půjdete si na základě takové zprávy stoupnout do několikahodinové fronty na testování, které si budete muset nejspíš sami zaplatit?

Existuje jedovatá poznámka, že modlitba je způsob, jak nic nedělat, ale mít dobrý pocit, že pomáháte. Aplikace eRouška je na tom úplně stejně. Pod heslem "chráním sebe, chráním tebe" dává lidem falešnou iluzi, že pomáhají sobě a jiným. Ve skutečnosti je to placebo, které reálně nepomůže. V kontextu tragické státní reakce na koronavirus je snad jediným pozitivním aspektem to, že na rozdíl od jiných opatření aspoň pravděpodobně neškodí.