Konrad BIAŁOSZEWSKI: "Dowód osobisty z elektroniczną wkładką. O projekcie pl.ID raz jeszcze"

"Dowód osobisty z elektroniczną wkładką. O projekcie pl.ID raz jeszcze"

Photo of Konrad BIAŁOSZEWSKI

Konrad BIAŁOSZEWSKI

Pułkownik dypl. Ekspert kryminalistyki i biegły sądowy, ekspert narodowy w UE, były doradca Ministra Cyfryzacji; Współautor Paszportowego Systemu Informacyjnego, autor założeń do systemu pl-ID, współautor Systemu Wiza Konsul, konsultant systemu NATO-SOFA. Uczestniczył i kierował wdrożeniami systemu paszportowego oraz systemu Wiza Konsul w Polsce i w 42 innych krajach.

Ryc.: Fabien Clairefond

zobacz inne teksty Autora

Polacy otrzymali dowody osobiste nowego wzoru i zaczęły się pojawiać problemy z funkcjonowaniem tych dokumentów. Zadawano często pytanie, czy nie lepiej byłoby wyrzucić je do kosza i wrócić do poprzednich dowodów osobistych. Padło też pytanie, jak się ma wprowadzone rozwiązanie do pierwotnych planów, gdy rozpoczynano projekt pl.ID.

Wdrożone do użytkowania rozwiązanie postawiło nas dokładnie w połowie drogi pomiędzy tym, co chciano zrobić, a tym, co zrobiono dotychczas.

Zaproponowany wzór dowodu osobistego nie jest dla ekspertów zajmujących się projektem pl.ID zaskoczeniem, ponieważ taki wzór planowano wdrożyć od początku prac nad projektem, czyli od 2007 roku. Jednakże wydawanemu dokumentowi zabrakło zasadniczego elementu, który był w projekcie: tzw. inletu, czyli wkładki. Wkładka miała zawierać mikroprocesor (do rozstrzygnięcia, jaki ma być: czy stykowy, czy bezstykowy, a może mieszany), w którym zamieszczano by informacje, takie jak np.: adres zamieszkania (by przy każdorazowym przemeldowaniu nie było konieczności wymieniania dowodu osobistego), profil zaufany, podpis kwalifikowany, a także dane biometryczne analogiczne do tych zawartych w dokumentach paszportowych.

Ponieważ dane biometryczne zawsze budzą wiele emocji, należy podkreślić, że odczyt danych biometrycznych byłby możliwy w takich przypadkach jak kontrola paszportów, natomiast pozostałe informacje, wykorzystywane w kontaktach z administracją publiczną, służbą zdrowia lub niezbędne w obiegu gospodarczym, czyli: profil zaufany i podpis kwalifikowany, byłyby dostępne dla uprawnionych podmiotów na podstawie odpowiednich certyfikatów im udostępnianych. Nie będę się rozpisywał o trybie udostępniania tych certyfikatów, poprzestanę tylko na stwierdzeniu, że certyfikat miałby gwarantować obywatelom, że wymienionych danych nie odczyta osoba nieuprawniona, lecz będą mogły zrobić to tylko uprawnione podmioty, tylko za naszą wiedzą i w wyniku celowego działania.

Zaplanowano, by informacje raz zapisane w mikroprocesorze nie ulegały usunięciu, lecz by były nadpisywane nowymi, czyli mielibyśmy np. w dowodzie osobistym nie tylko obecny adres zamieszkania, ale również i poprzedni. Gdybyśmy zatem przyszli np. do banku z informacją o zmianie adresu zamieszkania, pracownik banku mógłby odczytać nie tylko nowy adres, ale również i poprzedni, który już się znajduje w systemie bankowym. Taka procedura zwiększyłaby wiarygodność obywatela w kontakcie np. z bankiem lub innym urzędem i zmniejszyłaby uciążliwość wyjaśniania zmian adresowych.

Kolejna kwestia to wykorzystanie dowodu osobistego w kontakcie ze służbą zdrowia. Ponieważ w okienku rejestracji też musimy potwierdzić swoją tożsamość, więc profil zaufany, który otrzymujemy przecież za darmo, byłby w całości wystarczający i byłby takim cyfrowym odpowiednikiem numeru PESEL.

.Dowód osobisty z wkładką elektroniczną byłby również znakomitym narzędziem, które doprowadziłoby bezstronnie i niezależnie od działań administracji publicznej do referencyjności bazy PESEL. Warunkiem jest odstąpienie od dotychczasowej praktyki tymczasowego przechowywania danych biometrycznych pobieranych w procedurze paszportowej i utworzenie Centralnej Bazy Danych Biometrycznych (dalej w tekście: CBDB). Baza CBDB mogłaby się komunikować z bazą PESEL, ale nie stanowiłaby jej integralnej części. CBDB nie zawierałaby danych osobowych, lecz wyłącznie obrazki odbitek linii papilarnych i zdjęć posiadaczy dokumentów. Zapewniłoby to maksymalne bezpieczeństwo danych, ponieważ same obrazki bez danych osoby ich właściciela są bezużyteczne. Konieczne byłoby bronienie wyłącznie bazy PESEL oraz mechanizmu kojarzącego informacje znajdujące się w bazach CBDB i PESEL.

Koncepcja opisana powyżej została opracowana na przełomie lat 2007/2008 i miała gwarantować prawdziwość danych osobowych, na które wystawiono dokument. Posługiwanie się takim dokumentem przez osoby trzecie byłoby bardzo trudne, gdyż zweryfikowanie autentyczności danych z tożsamością posiadacza byłoby natychmiastowe. Osoba nieuprawniona nie byłaby w stanie wykorzystać profilu zaufanego lub podpisu kwalifikowanego.

Pozbawienie dokumentu warstwy elektronicznej zamiast pomóc obywatelom w walce ze złodziejami tożsamości, obecnie otworzyło tym ostatnim szeroką autostradę, a wydawca dokumentu poinformował obywateli, że jeśli nie chcą mieć kłopotów ze złodziejami tożsamości, to niech się sami bronią.

Zawsze pada pytanie: Kiedy i kto miałby dostęp do połączonych informacji z CBDB i PESEL? Dostęp taki miałby przede wszystkim urząd wydający nowy dokument tożsamości w procedurach: wydawania nowego dokumentu, zmian meldunkowych oraz umieszczania w dokumencie profilu zaufanego. Są to sytuacje wyjątkowe i kluczowe dla ochrony danych osobowych, bo to przecież urząd wydający dokument gwarantuje jego autentyczność i to, że otrzymała go osoba uprawniona do jego posiadania. Ba, urząd ten podpisuje się na dokumencie jako gwarant rzetelności danych! Nie będę również w tym miejscu opisywał procedury wydawania dokumentu, ale zapewniam, że jest ona nie tylko przygotowana, ale również częściowo przetestowana ze skutkiem pozytywnym.

Opisany dotychczas zarys procedury związanej z wydaniem dowodu osobistego pozwoliłby na stworzenie sytuacji, w której dane osobowe byłyby maksymalnie bezpieczne, natomiast wykradanie informacji na temat danej osoby byłoby maksymalnie utrudnione. Wynika to stąd, że dane osobowe znajdowałyby się wyłącznie w zbiorze PESEL, a z wszystkich pozostałych zbiorów danych, takich jak: ZUS, służba zdrowia, system podatkowy itp., możliwe byłoby usunięcie danych osobowych, gdyż sam numer PESEL skorelowany z profilem zaufanym znajdującym się w dowodzie osobistym wystarczałby do potwierdzenia tożsamości obywatela. Ponadto do danych osobowych w trybie wyjątkowym, czyli w związku z działaniami mającymi na celu ustalenie tożsamości w przypadku np. ratowania życia miałyby dostęp pogotowie ratunkowe oraz w przypadku konieczności ustalenia tożsamości osoby zatrzymanej w związku z realizacją sprawy — policja, a także Straż Graniczna, Żandarmeria Wojskowa, Służba Celna lub Agencja Bezpieczeństwa Wewnętrznego. Często z różnych przyczyn przez długi czas nie mogą zostać zidentyfikowane osoby z zanikiem pamięci, co jest stresem zarówno dla nich, jak i dla ich bliskich.

.Dostęp do danych osobowych, jaki powinny mieć służby, i ich weryfikacja przy użyciu danych biometrycznych muszą się odbywać na ściśle określonych zasadach, być może pod nadzorem sądowym. Rozwiązanie to pozwoliłoby również na wprowadzenie np. głosowania drogą internetową w wyborach powszechnych nie tylko w kraju, ale również poza jego granicami; biorąc pod uwagę skład Państwowej Komisji Wyborczej, nadzór nad wykorzystaniem danych osobowych ex definitione sprawowałaby władza sądownicza.

Wprowadzenie pełnego rozwiązania dla dowodu osobistego w wersji pierwotnej stanowiłoby znaczne ułatwienie funkcjonowania obywatela w kontakcie z otoczeniem zarówno administracyjnym, jak i gospodarczym. Ponadto pokazałoby ścisły związek ze źródłem finansowania w ramach funduszy Unii Europejskiej: VII oś priorytetowa Innowacyjna Gospodarka. Przy obecnym rozwiązaniu trudno się dopatrzyć innowacyjnej gospodarki, a obywatele często odnoszą wrażenie, że utrudnia im ono właściwe funkcjonowanie.

Dowód osobisty nowego wzoru należy utrzymać w obecnym kształcie z jednoczesnym uzupełnieniem go o warstwę elektroniczną. Czy jest to trudne? Na pewno nie.

Już w latach 2005 – 2008 w ramach Rady Unii Europejskiej i Komisji Europejskiej opracowano standardy zarówno dla dokumentów takich jak dowód osobisty oraz karta pobytu, jak i dla ich warstwy elektronicznej w różnych stopniach rozwinięcia. Jest to tzw. EU-ID. Cały zbiór standardów został nie tylko opracowany, ale również i wdrożony np. w Niemczech. Tam takie dokumenty już od kilku lat funkcjonują i należy zaznaczyć, że powstały one w wyniku współpracy polskich ekspertów z ekspertami z Niemiec, z Wielkiej Brytanii oraz Francji w ramach BIG, czyli Brussels Interoperability Group (powołane przez Komisję Europejską specjalnie w tym celu).

.Uważam, że już czas najwyższy, by dokończyć projekt pl.ID i pozwolić obywatelom polskim na normalne funkcjonowanie we współczesnym świecie. Na etapie przygotowań do opracowania projektu pl.ID odbyło się kilka spotkań dotyczących uzgodnień z wieloma podmiotami zarówno z administracji publicznej, jak i służby zdrowia, Zakładu Ubezpieczeń Społecznych, banków itp. Wszyscy uznali, że jest to bardzo dobry projekt. Ciąg dalszy – mam nadzieje – nastąpi.

Konrad Białoszewski

Materiał chroniony prawem autorskim. Dalsze rozpowszechnianie wyłącznie za zgodą wydawcy. 18 czerwca 2015
Fot.Shutterstock