Standardy techniczne paszportów biometrycznych - jak wyinterpretować normy prawne?

Departament Stanu USA rozpoczął wydawanie nowych paszportów, zawierających chip RFID. Eksperci od bezpieczeństwa ostrzegają jednak, że taki system może być narażany na ataki. Na stronie naszego, rodzimego MSWiA można przeczytać, że "paszporty biometryczne wchodzą w życie 28 sierpnia 2006 roku". To taki skrót myślowy, bo przecież paszport w życie nie wchodzi, a jedynie przepisy, które pozwalają na jego wydanie. Pogrzebałem trochę w poszukiwaniu aktów prawnych związanych z zagadnieniem. Również w tym przypadku jawi się nam dość zagmatwany system prawny, na końcu którego trafiamy do "technicznego" standardu jakiejś organizacji.

Nowe paszporty wydawane w USA spełniają ponoć wymagania Międzynarodowej Organizacji Lotnictwa Cywilnego oraz standardy akceptowane przez 27 krajów. Pisało o tym IDG (tu: za serwisem Gazeta.pl): "Odpowiednia ustawa w tej sprawie został zatwierdzona przez Kongres USA w roku 2002, a Departament Bezpieczeństwa sprecyzował w roku 2005 wymagania określające, że nowe paszporty mają zawierać fotografię cyfrową i spełniać międzynarodowe standardy paszportów elektronicznych. Zdaniem przedstawicieli Departamentu Stanu, nowe paszporty zapewnią dużo większe zabezpieczenie przed podrabianiem lub fałszowaniem zawartości dokumentu. Wszystkie informacje osobowe zawarte w układzie RFID muszą precyzyjnie odpowiadać tym, jakie zawarte są w drukowanej części dokumentu. Ponadto, chip ma unikatowy numer identyfikacyjny, który w wypadku kradzieży takiego dokumentu, może być śledzony przez organy ścigania na całym świecie". O testowaniu nowych paszportów pisałem w tekście RFID wciąż na fali - testowane są paszporty z tagami (tam również o zasięgach takich urządzeń).

W Europie trwają konsultacje dotyczące stosowania RFID (por. Twój głos w Europie nt. RFID oraz RFID to nie tylko wygoda, ale też zagrożenia...). Skoro mowa o RFID (Radio-Frequency IDentification), to warto jeszcze przywołać tekst opublikowany przez NetWorld (to również tytuł IDG), RFID - weryfikacja optymistycznych prognoz: "Amerykańska grupa analityczna ABI Research przyznała, że podawane przez nią wcześniej przewidywania dotyczące przyszłorocznych przychodów z rynku usług RFID (Radio Frequency IDentification) są zawyżone. Specjaliści dodają jednocześnie, iż nie oznacza to, że sama technologia skazana jest na porażkę". W tekście raczej prognozy biznesowe, bo ABI Research odniosło się do przychodów z usług RFID w 2007 r., które zostały zredukowane w stosunku do poprzednich prognoz o 15 proc. - do poziomu 3,1 mld USD. Dla zainteresowanych tym zagadnieniem odsyłam do RFID Research Service (chociaż tam bezpłatnie publikuje się raczej spisy treści raportów). Na temat bezpieczeństwa i wyzwań dotyczących prywatności można również przeczytać nieco w dziale RFID Privacy and Security serwisu RSA Security.

A jeśli chodzi o nasze paszporty biometryczne, to na wspomnianej wyżej stronie Ministerstwa Spraw Wewnętrznych i Administracji czytamy: "Istotną zmianą jest wprowadzenie do paszportów zabezpieczeń elektronicznych w postaci chipu z zakodowana informacją o posiadaczu paszportu. Wprowadzenie nowego wzoru paszportu, poza spełnieniem zobowiązań wynikających z członkostwa w UE, służyć ma przede wszystkim zminimalizowaniu strat materialnych, jakie niesie ze sobą przestępczość związana z kradzieżą tożsamości i fałszerstwami dokumentów. Dokument ten podnosi także prestiż Polski na arenie międzynarodowej, ponieważ jest jednym z najnowocześniejszych w świecie".

Niedawno nasz Parlament znowelizował ustawę o dokumentach paszportowych, pojawiło się też pewne zamieszanie dotyczące zdjęć do biometrycznych paszportów (por. Biometryka w paszportach coraz bliżej).

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentów paszportowych oraz trybu postępowania w przypadku ujawnienia fałszerstw lub wad w tych dokumentach lub ich zniszczenia będzie m.in. określało sposób pobierania danych biometrycznych i zamieszczania ich w dokumentach paszportowych. Na podstawie projektu rozporządzenia:

§ 10.
1. Organ paszportowy, przed wydaniem dokumentu paszportowego w celu potwierdzenia tożsamości, umożliwia osobie ubiegającej się o ten dokument, sprawdzenie czy dane osobowe zawarte we wniosku paszportowym są zgodne z danymi osobowymi i biometrycznymi zawartymi w dokumencie paszportowym i w mikroprocesorze dokumentu paszportowego, za wyjątkiem przypadków określonych w art. 15 ust. 4 ustawy o dokumentach paszportowych.

2. Osoba odbierająca dokument paszportowy potwierdza jego odbiór własnoręcznym podpisem, składanym na wniosku paszportowym.

Rozporządzenie zatem posługuje się określeniem "mikroprocesor".

Z uzasadnienia do projektu rozporządzenia:

Zgodnie z przepisami rozporządzenia Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie – dane biometryczne w postaci wizerunku twarzy muszą być zamieszczane w dokumentach paszportowych nie później niż po upływie 18 miesięcy od określenia specyfikacji technicznej norm zabezpieczeń i danych biometrycznych w dokumentach paszportowych i dokumentach podróży.

Uzupełniająca specyfikacja do rozporządzenia Rady (WE) nr 2252/2004 została określona w załączniku do Decyzji Komisji z dnia 28 lutego 2005r. ustanawiającej specyfikacje techniczne dla norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie (C(2005)409 final), notyfikowanej przez Komisję Wspólnot Europejskich zgodnie z art. 254 traktatu ustanawiającego Wspólnotę Europejską.

Rozporządzenie Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004r. obowiązuje bezpośrednio wszystkie państwa członkowskie, a terminy w nich określone są bezwzględnie obowiązujące. Z powyższych powodów od dnia 28 sierpnia 2006r. muszą być wydawane paszporty nowego wzoru zawierające dane biometryczne z wizerunkiem twarzy.

Wspomniane wyżej dokumenty dostępne są w serwisie Komisji Europejskiej, w części Making EU visa and residence documents more secure. Tam m.in. Council Regulation (EC) No 2252/2004 of 13 December 2004 on standards for security features and biometrics in passports and travel documents issued by Member States (PDF , 56 KB). Official Journal L 385 , 29/12/2004 P. 0001 - 0006.

Tu również wspomina się o standardzie the International Civil Aviation Organisation (ICAO), a konkretnie o Document 9303. O tym standardzie mowa w preambule Rozporządzenia. Informacje dotyczące tego standardu dostępne są na stronie ICAO: Doc 9303. Wracając do rozporządzenia - dalej, w jego treści można przeczytać m.in: "Member States shall also include fingerprints in interoperable formats" - tu zwrócono uwagę na interoperacyjny format, tak więc również tematyka paszportów ociera się o wykorzystywanie standardów (otwartych?) i neutralności technologicznej. Co więcej - w standardzie ICAO mowa też o wykorzystaniu infrastruktury klucza publicznego, tak więc nowe paszporty związane są również z podpisem elektronicznym. Swoją drogą warto może poszukać polskiej wersji tego rozporządzenia oraz przetłumaczonych na j. polski wersji standardów Międzynarodowej Organizacji Lotnictwa Cywilnego? Czy standardy tej organizacji są przetłumaczone?

Przekopując się przez protokoły Rady Informatyzacji natknąłem się na następujący fragment związany z nieco innym tematem, ale będzie chyba pasował: "Rada ponownie zwróciła uwagę na niedopuszczalność powoływania się w aktach legislacyjnych na nie przetłumaczone normy i standardy obcojęzyczne, (...). W przygotowaniu tego typu rozporządzenia należy się kierować zasadami, korzystania i przytaczania norm i standardów, opracowanymi przez Polski Komitet Normalizacji na podstawie ustawy o normalizacji."

A więc właśnie. Powraca pytanie o technikę legislacyjną, o odwoływanie się w powszechnie obowiązujących przepisach (normach prawnych) do istniejących standardów organizacji. To trudny problem, a - jak pisze prof. Lessig - coraz częściej kod staje się prawem (The Code Is the Law: "The architectures of cyberspace are as important as the law in defining and defeating the liberties of the Net"). Dlatego coraz istotniejszym zagadnieniem jest kontrola konstytucyjna nad aktami prawnymi (por. Informatyzacja, akty wykonawcze, delegacje i ich konstytucyjność; tam stawiam pytanie: co by się stało, gdyby wydane na podstawie ustawy "o informatyzacji" lub na podstawie ustawy o podpisie elektronicznym rozporządzenia "techniczne" trafiły do Trybunału Konstytucyjnego, który miałby ocenić ich zgodność lub niezgodność z postanowieniami Konstytucji. To samo musi dotyczyć również "innych standardów" i "kodów" nowego prawa społeczeństwa informacyjnego).

Czytaj również:

• Sprytny pomysł na portal biometryczny Komisji Europejskiej
• Elektroniczne paszporty w Europie
• Odciski MSWiA bez przetargu
• Ewidencja ludności i prawa człowieka
• Paszporty biometryczne w Polsce
• Dane biometryczne a ochrona prywatności
• Patenty biometryczne?
• Paszporty z chipami w Polsce
• Obywatela zmierzyć, zważyć, zidentyfikować
• Organy ścigania winny pamiętać o prywatności
• Dane w systemie....