Działacze anti-choice zdobyli dane ludzi odwiedzających kliniki aborcyjne, niemieccy dziennikarze – dane osób związanych z bezpieczeństwem narodowym. Jakie informacje posiadają brokerzy danych i z kim się nimi dzielą?
Four Women Health Services to klinika świadcząca usługi w zakresie zdrowia reprodukcyjnego kobiet. Znajduje się w Attleboro – i jest jedyną placówką w południowo-wschodnim Massachusetts (USA) oferującą możliwość chirurgicznej terminacji ciąży.
Miejsce to siłą rzeczy budzi zainteresowanie – nie tylko wśród szukających pomocy kobiet, ale też wśród przedstawicieli ruchów anti-choice. Najwięcej problemów i samej klinice, i jej pacjentkom sprawia organizacja Abundant Hope Pregnancy Resource Center Inc., prowadząca Attelboro Women’s Health Center (ATWC).
Nazwa i lokalizacja centrum (organizacja ma obecnie lokal w pobliżu Four Women, oba miejsca posiadają wspólny parking) wprowadzają w błąd osoby szukające pomocy medycznej, które chcą terminować ciążę.
Dodatkowo, centrum reklamuje usługi, takie jak np. USG, których nie ma prawa oferować (brak licencji), a kobiety potrzebujące aborcji, które przez przypadek trafiają do ATWC, nie są wyprowadzane z błędu. Mogą za to liczyć na wzbudzanie u nich wyrzutów sumienia czy inne metody mające na celu odwiedzenie pacjentki od decyzji (jednej z kobiet powiedziano, że musi wrócić za 2 tygodnie na USG – a w przypadku ciąży 2 tygodnie mogą zadecydować o tym, czy zabieg w ogóle będzie legalny).
Działaczom anti-choice takie metody zdają się jednak nie wystarczać, postanowili więc sięgnąć po technologię.
Przechwycono komunikację pacjentek z kliniką
Pacjentki Four Women zaczęły otrzymywać telefony od ATWC. Dzwoniący znali ich dane, numer telefonu i szczegóły wizyty. Czasami telefon następował w parę minut po ustaleniu szczegółów lub w momencie, gdy pacjentka znajdowała się już w klinice – jakby dzwoniący wiedzieli, że tam jest.
W maju jedna z kobiet chciała się umówić na otrzymanie leków aborcyjnych w Four Woman – dwie minuty po przesłaniu swoich danych ubezpieczeniowych otrzymała telefon od “Pregnancy Crisis Center” z informacją, że – aby w ogóle otrzymać lek – musi przyjść na badanie USG.
Do odwoływania wizyt w podobny sposób miało dochodzić częściej. Klinika zwraca uwagę, że o sprawie dowiedziała się od samych pacjentek – tych, które zdecydowały się podzielić swoimi wątpliwościami. Nie wiadomo więc, ile kobiet zostało wprowadzonych w błąd i pozbawionych pomocy medycznej, ale skala problemu jest prawdopodobnie znacznie większa.
Sprawa znalazła swój finał w sądzie: aktywiści anti-choice zostali oskarżeni o “uniemożliwianie kobietom korzystania z usług opieki zdrowotnej w zakresie reprodukcji” oraz naruszenie lokalnych przepisów dot. prywatności i oszustw komputerowych (Ustawy o oszustwach komputerowych i nadużyciach, Ustawy o prywatności komunikacji elektronicznej i ustawy o podsłuchach w Massachusetts).
Nie wiadomo, w jaki dokładnie sposób sprawcy uzyskali dostęp do danych pacjentek i ich komunikacji z placówką. Jak podaje w swoim oświadczeniu firma Rapid7, zajmująca się cyberbezpieczeństwem i jego analizą, najprawdopodobniej działacze uzyskali dostęp do danych wrażliwych za pośrednictwem usług chmurowych “Klara” i “Athena” – oprogramowania zewnętrznych firm, z którego korzysta klinika. Klara Health służy do planowania i umawiania wizyt, zaś w Athena Health to system do przechowywania i zarządzania dokumentacją medyczną.
Zdaniem Daly Barnett, technolożki zajmującej się zdrowiem reprodukcyjnym kobiet w Electronic Frontier Foundation, powyższy przypadek, chociaż nietypowy, pokazuje, dlaczego powinno się zwracać baczną uwagę na kwestie prywatności osób poszukujących takich usług. Zwłaszcza w sytuacji, w których opieka medyczna w zakresie zdrowia reprodukcyjnego jest kryminalizowana.
Antyaborcyjny przekaz w social mediach
Ta już kolejna sytuacja budząca pytania o prywatność i bezpieczeństwo w zakresie danych dot. zdrowia reprodukcyjnego – ale także w zakresie prawa kobiet do decydowania o sobie.
Na początku 2024 r. ponownie zrobiło się głośno o antyaborcyjnej kampanii reklamowej, w której organizacja anti-choice Veritas Society wykorzystała dane o lokalizacji, by wyświetlić swoje reklamy osobom odwiedzającym kliniki aborcyjne Planned Parenthood.
„Wzięłaś pierwszą pigułkę w klinice? Być może nie jest jeszcze za późno, by uratować ciążę” – czytały pacjentki placówek na swoich kontach na Facebooku, Instagramie czy Snapchacie.
Dostawca usług lokalizacyjnych, broker danych Near Intelligence dostarczył organizacji informacje o użytkowniczkach znajdujących się we wspomnianych placówkach, a skala kampanii obejmowała prawie 600 klinik w 48 stanach USA.
O sprawie rozpisywały się media, angażowali się w nią politycy, a jeden z senatorów wezwał do działania Federalną Komisję Handlu oraz Komisję Papierów Wartościowych i Giełd.
Broker danych miał się reklamować posiadaniem informacji na temat 1,6 mln użytkowników w 44 krajach i oferować możliwość wykorzystania ich do kampanii reklamowych wedle kryteriów lokalizacyjnych.
Według informacji serwisu Politico, jedna z firm już w 2015 r. chwaliła się możliwością otagowania wszystkich smartfonów, które znajdą się na terenie prawie 700 klinik Planned Parenthood w całym USA.
To największa i najbardziej znana historia tego typu, ale nie jedyna.
Przy okazji zamieszania związanego z upadłością Near Intelligence i ryzyka przejęcia przez następcę, wraz z firmą, zgromadzonych przez nią danych wrażliwych, media przypomniały dwie podobne sprawy. FTC zajmowała się już brokerami danych Outlogic (X-Mode Social) czy Kochava, którzy gromadzili informacje o osobach odwiedzających kliniki zdrowia reprodukcyjnego.
Niebezpieczeństwo nie tylko dla kobiet
Powyższe przypadki dotyczą USA, ale problem, w szerszej skali, ma charakter globalny. Dziennikarze z netzpolitik.org i Bayerischer Rundfunk postanowili zbadać temat na gruncie niemieckim, czego efektem był cykl artykułów (można je znaleźć pod hasłem “Data Broker Files”).
Dane wykorzystane w dziennikarskim śledztwie miały zawierać 11 mln identyfikatorów urządzeń (ich faktyczna liczba mogła być mniejsza) i pochodzić z okresu ok. dwóch miesięcy pod koniec 2023 r.
Uzyskano je przy pomocy berlińskiego pośrednika od brokera danych z Florydy – w ramach bezpłatnej próbki reklamowej. W ramach miesięcznej subskrypcji za 14 tys. USD dostawca oferuje ciągły strumień danych lokalizacyjnych z milionów smartfonów, “niemal w czasie rzeczywistym”.
Dane lokalizacyjne pokazują informacje o ruchach milionów ludzi i pozwalają wysnuć z tego wnioski dotyczące ich miejsca zamieszkania, pracy, spacerów czy zakupów. Pokazują, czy – i jak regularnie – odwiedzają lekarza, szpital, dom publiczny, przedszkole czy kościół.
Dziennikarze dzięki połączeniu z publicznie dostępnymi informacjami – jak np. profile zawodowe w social mediach – byli w stanie powiązać z danymi konkretnych ludzi. Udało im się zidentyfikować pracownika zajmującego się bezpieczeństwem w jednym z ministerstw federalnych, osobę pracującą w służbach specjalnych, a także poznać “profile przemieszczania się w lokalizacjach niemieckich agencji wywiadowczych”.
Dane pochodzą z popularnych aplikacji – m.in. pogodowych, randkowych czy nawigacyjnych.
Teoretycznie, przynajmniej w Europie – użytkownicy muszą wyrazić zgodę na ich gromadzenie i przetwarzanie. W praktyce, zwłaszcza w Polsce, nieraz robią to mechanicznie i bezrefleksyjnie. Czytanie polityk prywatności cieszy się dużo mniejszą popularnością, niż oddawanie swoich danych za promocję w dyskoncie – panuje bowiem dość powszechne przekonanie, że “nasze dane i tak nic nie znaczą, bo i tak wszyscy je mają“.
Instalowanie naruszających prywatność aplikacji uchodzi społecznie za objaw bycia “postępowym i nowoczesnym”, a bardziej ostrożne podejście – za przejaw zacofania lub popadania w paranoję.
Tymczasem, dane lokalizacyjne to istotne źródło informacji o pojedynczych ludziach, grupach czy populacjach. Mogą zostać wykorzystanie przez przedsiębiorców do sprzedaży produktów, przez różne organizacje – do prześladowania swoich przeciwników, przez przedstawicieli państwa – do stosowania inwigilacji z ominięciem nakazów sądowych.
Mogą być także pozyskiwane przez zagraniczne służby wywiadowcze – do szpiegostwa, sabotażu i operacji wpływu. A to stanowi realne zagrożenie już nie tylko dla pojedynczej kobiety, ale też dla bezpieczeństwa narodowego.
Źródła:
Suzanne Smalley, “Anti-abortion group accused of electronically intercepting patients’ exchanges with clinic” – The Record, 10 października 2024
Pozew Four Women Health Services, LLC v. Abundant Hope Pregnancy Resource Center Inc., United States Disctrict Court Disctrict of Massachusetts
Sebastian Meineck i Ingo Dachwitz, “Die große Datenhändler-Recherche im Überblick” – netzpolitik.org, 16 lipca 2024
Byron Tau, “Antiabortion Group Used Cellphone Data to Target Ads to Planned Parenthood Visitors” – The Wall Street Journal, 18 maja 2023
Charlie Savage, “Intelligence Analysts Use U.S. Smartphone Location Data Without Warrants, Memo Says” – The New York Times, 22 stycznia 2021 (aktualizacja 25 stycznia 2021)
“FTC Sues Kochava for Selling Data that Tracks People at Reproductive Health Clinics, Places of Worship, and Other Sensitive Locations” – ftc.gov, 29 sierpnia 2022
Alfred Ng, “In the fight over abortion rights, the government bans its first company from tracking medical visits” – Politico, 9 stycznia 2024
Alfred Ng, “A company tracked visits to 600 Planned Parenthood locations for anti-abortion ads, senator says” – Politico, 13 lutego 2024
