Projekt ustawy o pl.ID po Radzie Ministrów

W trakcie dzisiejszego posiedzenia Rady Ministrów rząd przyjął projekt ustawy o dowodach osobistych, przedłożony przez ministra spraw wewnętrznych i administracji. Projekt został przygotowany na podstawie przyjętych przez rząd 28 grudnia zeszłego roku założeń (por. Kto zostawia odciski na projekcie założeń projektu ustawy o dowodach osobistych). W dowodach osobistych będzie podpis elektroniczny, chociaż - jak się to "sprzedaje" - podpis taki pozwoli raczej tylko na "dokonywanie czynności prawnych w urzędach administracji publicznej", chociaż nie przewidziano zakazu stosowania takiego podpisu w innych celach. Jeśli chodzi o biometrię - na razie nie przewiduje się dodatkowych elementów, ale... Jest też kwestia udostępniania "w trybie pełnej teletransmisji danych"...

W BIP MSWiA dostępne są: Projekt założeń projektu ustawy o dowodach osobistych (jak czytamy na tej stronie - "w brzmieniu przyjętym przez Radę Ministrów w dniu 28 grudnia 2009 r.", chociaż sam załączony plik PDF datowany jest na 29 grudnia) oraz Projekt ustawy o dowodach osobistych (skierowany do rozpatrzenia przez Radę Ministrów) (jest też wcześniejsza wersja projektu).

Ustawa ma określić:

  • osoby uprawnione lub obowiązane do posiadania dowodu osobistego;
  • zakres danych zawartych w dowodzie osobistym;
  • zasady funkcjonowania warstwy elektronicznej dowodu osobistego;
  • zasady wydawania dowodu osobistego;
  • zasady wymiany i unieważniania dowodu osobistego;
  • zakres danych gromadzonych w rejestrach dowodów osobistych oraz zasady prowadzenia tych rejestrów;
  • zasady postępowania z dokumentacją dotyczącą dowodów osobistych;
  • zasady udostępniania danych gromadzonych w rejestrach dowodów osobistych;
  • kompetencje ministra właściwego do spraw wewnętrznych, wojewodów, organów gmin oraz konsulów Rzeczypospolitej Polskiej, w zakresie wydawania dowodów osobistych.

W projekcie zdefiniowano m.in. pojęcie "certyfikat dowodu osobistego", które oznaczać ma "elektroniczne zaświadczenie przyporządkowujące dane do weryfikacji informacji uwierzytelniającej do dowodu osobistego". "Certyfikat ograniczonej identyfikacji" to - wedle projektu - "elektroniczne zaświadczenie nieujawniające tożsamości posiadacza dowodu osobistego, ale gwarantujące, że uwierzytelnienia dokonano za pomocą dowodu osobistego". Jest też pojęcie "certyfikat podpisu osobistego", rozumiane jako "elektroniczne zaświadczenie przyporządkowujące dane do weryfikacji podpisu osobistego do posiadacza dowodu osobistego". Projekt przewiduje ogółem 17 różnych definicji, z czego interesująca jest definicja pojęcia "podpisu osobistego":

podpis osobisty – dane w postaci elektronicznej złożone za pomocą danych do składania podpisu osobistego zawartych w ważnym dowodzie osobistym, które:

a) wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane pozwalają na identyfikację posiadacza dowodu osobistego,

b) są przyporządkowane wyłącznie do posiadacza dowodu osobistego,

c) są powiązane z danymi, do których się odnoszą w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna,

d) są uzupełnione przez ministra właściwego do spraw wewnętrznych danymi pozwalającymi na określenie czasu złożenia tego podpisu;

Taki podpis - wedle uzasadnienia - ma "ułatwić i usprawnić kontakt obywatela z organami administracji". Pytanie, czy będzie mógł również być wykorzystany w relacjach horyzontalnych między obywatelami (por. również Zapowiada się wojna o podpis elektroniczny (Przyjazne Państwo vs. Ministerstwo Gospodarki))? Jeśli taki podpis wystarczy do tego, by opatrzeć nim przesyłany drogą elektroniczną do organu administracji dokument, to właściwie dlaczego nie miałby być wykorzystany również w innych celach? Otóż jest tu problemik, chociaż MSWiA i legislatorzy próbują wybrnać z niego dopuszczając:

zapewnienie możliwości implementacji kwalifikowanego podpisu elektronicznego przez podmiot zewnętrzny w warstwie elektronicznej dowodu osobistego;

Firmy na rynku podpisu elektronicznego trochę zainwestowały, więc dlaczego im teraz psuć rynek? "Do rozwiązań przyjętych w niniejszym projekcie nie będzie się stosowało przepisów ustawy z dnia 18 września 2001 r. o podpisie elektronicznym pisze MSWiA w uzasadnieniu. I dalej:

Jako generalną zasadę należy przyjąć, że jakkolwiek nie jest nakładany zakaz wykorzystania podpisu osobistego poza obszarem publicznym, to Państwo nie bierze na siebie żadnej odpowiedzialności za użytkowanie podpisu osobistego w tym obszarze. Podejście to wynika z zastosowania odmiennej oceny ryzyka w stosunkach cywilno-prawnych niż w stosunkach pomiędzy osobą fizyczną a podmiotami publicznymi (art. 21 projektu).

Być może jednak da się obejść firmy działające na rynku "bezpiecznego podpisu elektronicznego weryfikowanego za pomocą ważnego, kwalifikowanego certyfikatu"... Przypuszczam, że w Sejmie będzie na ten temat duża dyskusja. Zgodnie z art. 13 ust. 1 projektu:

Warstwa elektroniczna dowodu osobistego zawiera:

1) dane zamieszczone w warstwie graficznej dowodu osobistego zapisane w formie elektronicznej wraz z danymi je uwierzytelniającymi;

2) dane służące do składania informacji uwierzytelniającej opatrzonej certyfikatem dowodu osobistego, dane służące do składania podpisu
osobistego opatrzonego certyfikatem podpisu osobistego oraz dane służące do dokonania ograniczonej identyfikacji opatrzone certyfikatem ograniczonej identyfikacji;

3) przestrzeń umożliwiającą zamieszczenie danych służących do składania bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy
kwalifikowanego certyfikatu na podstawie ustawy z dnia 18 września 2001 r. o podpisie elektronicznym;

4) przestrzeń umożliwiającą zamieszczenie danych służących do wykorzystania dowodu osobistego jako karty ubezpieczenia zdrowotnego w rozumieniu ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz.U. z 2008 r Nr 164, poz. 1072 z późn. zm.)

Odnośnie biometrii w uzasadnieniu czytamy:

Wydawanie dowodu osobistego wyłącznie dla jednej osoby oraz zawierającego dane wyłącznie tej osoby stanowi realizację zasady jedna osoba – jeden dokument. Wzór dla przyjętego rozwiązania stanowi rozporządzenie Rady (WE) Nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie (...) Nie oznacza to jednak obowiązku wprowadzenia danych biometrycznych do dowodów osobistych. Na gruncie powołanego wyżej rozporządzenia kategoria dokumentów podróży nie jest tożsama z kategorią dowodów osobistych. Wprawdzie dowód osobisty będzie dokumentem uprawniającym obywateli polskich do przekraczania granic państw trzecich, które na podstawie jednostronnych decyzji uznają ten dokument za wystarczający do przekraczania ich granicy (np. Chorwacja, Bośnia i Hercegowina), jednakże nie jako dokument podróży, ale jako narodowy dokument potwierdzający tożsamość i obywatelstwo osoby.

Nie ma obowiązku. Czy jest możliwość? Obowiązek a możliwość to nie to samo.

Proponując lekturę całości projektu ustawy (30 stron), oceny skutków regulacji (10 stron; tu na uwagę zasługuje fakt, że wśród wymienionych w OSR podmiotów, na które oddziałuje projekt aktu prawnego, nie wymienia się działających na "rynku podpisu elektronicznego" firm) oraz całości uzasadnienia (19 stron) zacytuję jeszcze jeden fragment z tego ostatniego:

Znacznie zawężono, w stosunku do obecnie obowiązujących przepisów ustawy o ewidencji ludności i dowodach osobistych, katalog podmiotów, które będą miały bezpośredni dostęp do danych zgromadzonych w Rejestrze Dowodów Osobistych, wyłącznie do organów czy służb, którym dane zamieszczone w tym rejestrze będą niezbędne do prowadzenia postępowań dotyczących dowodu osobistego (przede wszystkim związanych z prowadzonym śledztwem, czy dochodzeniem). Przyjęte rozwiązanie jest konsekwencją zapisów projektu ustawy o ewidencji ludności, który umożliwia innym podmiotom uzyskanie danych dotyczących osoby, w tym danych dotyczących ostatniego wydanego dowodu osobistego z rejestru PESEL. W celu usprawnienia prowadzonych postępowań dotyczących dowodów osobistych przewidziano także dostęp określonych organów do dokumentacji związanej z wydawaniem dowodów osobistych zgromadzonej w organach gmin, placówkach konsularnych Rzeczypospolitej Polskiej i urzędach stanu cywilnego w postaci papierowej i elektronicznej. Odmowa udostępnienia danych nastąpi w drodze decyzji administracyjnej.

W tym kontekście odwołuje czytelników do materiału opublikowanego w serwisie pod tytułem: Seminarium o publicznych bazach danych przy okazji pl.ID (wideo). Tam m.in. nagrania wypowiedzi Dyrektora Departamentu Informatyzacji MSWiA, dr Wojciecha Wiewiórowskiego, w trakcie seminarium zorganizowanego przez Fundacje Panoptykon.

OK. Zacytuję jeszcze jeden projektowany przepis, tj. art. 70:

Art. 70. 1. W trybie pełnej teletransmisji danych udostępnia się nieodpłatnie, za pomocą urządzeń teletransmisji danych, dane zawarte w Rejestrze Dowodów Osobistych.

2. Udostępnianie danych w trybie pełnej teletransmisji danych odbywa się na podstawie decyzji ministra wydanej na jednorazowy wniosek złożony przez uprawniony podmiot, jeżeli uzyskanie danych jest uzasadnione zakresem wykonywanych zadań, po spełnieniu następujących wymogów:

1) posiadania i stosowania mechanizmów umożliwiających identyfikację i rejestrację osób uzyskujących dostęp do danych oraz rejestrujących zakres udostępnionych danych i datę udostępnienia danych;

2) posiadania i stosowania zabezpieczeń technicznych i organizacyjnych chroniących przed uzyskaniem dostępu do danych przez inne osoby i podmioty.

3. Do korzystania z danych udostępnianych w trybie pełnej teletransmisji, w zakresie niezbędnym do realizacji zadań określonych w ustawach szczególnych, uprawnione są:

1) organy prokuratury;
2) organy Policji;
3) Komendant Główny Straży Granicznej;
4) Szef Służby Wywiadu Wojskowego;
5) Szef Służby Kontrwywiadu Wojskowego;
6) organy Służby Celnej;
7) Żandarmeria Wojskowa;
8) Szef Agencji Bezpieczeństwa Wewnętrznego;
9) Szef Agencji Wywiadu;
10) Szef Centralnego Biura Antykorupcyjnego;
11) Szef Krajowego Centrum Informacji Kryminalnych;
12) wywiad skarbowy;
13) minister właściwy do spraw finansów publicznych;
14) organy informacji finansowej.

W projekcie jest wiele interesujących przepisów i pewnie nie wszystkie mogłyby być zgrabnie opisane w komunikacie po dzisiejszym posiedzeniu rządu, w którym czytamy:

Projekt ustawy przewiduje wprowadzenie elektronicznego dokumentu tożsamości. Dowód elektroniczny będzie miał taki sam status prawny, jak tradycyjny dowód osobisty.

Nowy dokument zostanie wprowadzony w celu zapewnienia bezpieczeństwa transakcji zawieranych drogą elektroniczną. Taki dowód osobisty, jako dokument potwierdzający tożsamość, przyczyni się do wzrostu bezpieczeństwa obrotu prawnego oraz usprawni kontakt obywatela z administracją publiczną.

Zaproponowane przepisy przewidują, że każdy obywatel będzie miał możliwość posługiwania się dowodem osobistym w celu składania podpisu elektronicznego, pozwalającego na dokonywanie czynności prawnych w urzędach administracji publicznej. Z podpisu nie będą mogły skorzystać m.in. osoby małoletnie, które nie posiadają zdolności do czynności prawnych.

Nowy dowód osobisty będzie uwierzytelniał posiadacza w systemach teleinformatycznych podmiotów publicznych oraz przy dostępie do rejestrów publicznych, np. rejestru usług medycznych prowadzonego przez Narodowy Fundusz Zdrowia.

Zgodnie z projektem, obywatele będą mogli złożyć wniosek o wydanie dowodu osobistego w dowolnej gminie na terenie kraju, jak również drogą elektroniczną. Nowy system wydawania dowodów osobistych zapewni spójność i bezpieczeństwo systemu, wiarygodność dokumentów, współpracę rejestrów publicznych oraz zgodność dowodu ze standardami międzynarodowymi. Równocześnie z dowodem będą wydawane dane służące do składania podpisu elektronicznego.

Zaproponowano, aby prawo do dowodu osobistego przysługiwało obywatelowi polskiemu z chwilą urodzenia. Nowe rozwiązanie umożliwi weryfikację danych dzieci w rejestrach państwowych, np. związanych z ochroną zdrowia, nauką czy ubezpieczeniem społecznym. Ponadto, dzieci poniżej 13 lat będą mogły przebywać na terenie pozostałych państw Unii Europejskiej i grupy Schengen bez paszportu. Zaproponowano 10-letni termin ważności dla dokumentów wydawanych dzieciom powyżej 5 lat oraz 5-letni termin dla dzieci poniżej 5 lat.

Organy uczestniczące w wydawaniu dowodów osobistych będą miały dostęp do centralnego rejestru dowodów osobistych. Przyjmuje się, że dokumenty osób, które zmieniły dane zostaną wycofane z obiegu prawnego. Określone mają być zasady unieważniania dowodów osobistych. Przepływ informacji będzie się odbywać w drodze bezpiecznej transmisji teleinformatycznej, z uwzględnieniem wykorzystania internetu, a ich przetwarzanie ma być oparte o formularze elektroniczne.

Projekt przewiduje także, że firma zewnętrzna będzie mogła zapisać kwalifikowany podpis elektroniczny w warstwie elektronicznej dowodu osobistego. Zgodnie z założeniami, system ma zapewniać ochronę warstwy elektronicznej dowodu osobistego przed nieuprawnionym dostępem oraz próbami utworzenia funkcjonalnej kopii jego warstwy elektronicznej.

Zaproponowano, aby nowe przepisy dotyczące elektronicznego dowodu osobistego zaczęły obowiązywać od początku 2011 r.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Ciekawe jaka będzie praktyka.

Z perspektywy regulacji obecnego podpisu kwalifikowanego mam wątpliwości nie tyle o poszanowanie prywatności (biometrii) czy bezpieczeństwa, ale przede wszystkim możliwości korzystania z rozwiązania w praktyce.

Obawiam się szczególnie kolejnych wymagań typu: "bezpiecznego urządzenia", które mogą dość skutecznie ograniczyć możliwości implementacji tego podpisu w aplikacjach przeznaczonych dla obywateli, w tym w innych niż Windows systemy operacyjne. Obecna ustawa w praktyce uniemożliwia stosowanie podpisu elektronicznego inaczej niż jako czarną skrzynkę, której wnętrze nie może być ujawnione.

Wszystko ładnie, tylko co chcemy osiągnąć..

Po przeczytaniu jeszcze raz komentarza Vagli i komentarze poniżej naszło mnie pytanie - co jest tak naprawdę celem nowelizacji. Mam wrażenie, że ustawodawca chce upiec przynajmniej dwie pieczenie na jednym ruszcie (ustawie):

  • Wprowadzić elektroniczne przesyłanie dokumentów przez obywateli (w celu obniżenia kosztów), bez jednoczesnego podkopywania pozycji firm oferujących obecnie podpis kwalifikowany.
  • Rozwiązać częściowo problem informatyzacji i gromadzenia danych o obywatelu jak i ich wymiany pomiędzy instytucjami.

Nie jest to najlepszy sposób stanowienia prawa i niesie zagrożenie powstania kolejnego potworka prawnego. Umieszczenie regulacji wielu rzeczy w jednej ustawie utrudnia zadanie obserwatorowi, ułatwiając jednocześnie dorzucenie swoich 3 groszy grupom wpływów i interesów. Samo w sobie nie jest to złe, ale w natłoku poprawek trudno będzie ustawodawcy zapanować nad kształtem ustawy. Sądzę, że obserwując tą ustawę warto wyróżnić trzy kwestie, które będą ostatecznie funkcjonować oddzielnie:

  1. Dowód jako element systemu uwiarygodnienia obywatela w systemie - w tej chwili karta zawiera jedynie elementy tekstowo graficzne. Dodanie warstwy elektronicznej i umożliwienie również innym podmiotom niż instytucje państwowe dostępu do tych danych mogłoby usprawnić obsługę.
  2. Podpis elektroniczny zapewniany przez dowód osobisty - w zasadzie jest to umożliwienie dowodowi pełnienia funkcji tokena uwierzytelniającego w świecie elektronicznym. Pojawiają się jednak istotne pytania - na ile będzie to sposób uniwersalny, inter-operacyjny i na ile będą z niego mogły korzystać inne podmioty (zarówno w kontaktach horyzontalnych, jak i w kontaktach z państwem). Nie chodzi tu nawet o gwarancje ustawowe, ale o techniczną możliwość korzystania z infrastruktury, a w dalszej perspektywie również praktykę sądów.
  3. Kwestia systemów informatycznych zbierających dane o obywatelu i co nie mniej ważne do czego mają one służyć. Co będzie zbierane i na jakich zasadach będą z nich mogły korzystać instytucje jak i inne podmioty. Czy dalej będą potrzebne zaświadczenia, czy może wystarczy, że obywatel zjawiający się w urzędzie wyrazi zgodę na dostęp do danych.

Czy chcemy używać e-dowodu?

Pojawia się jeszcze jedno pytanie. Czy ja - jako obywatel - naprawdę chcę używać elektronicznego dowodu osobistego? Czy nie stanowi to nadmiernego zagrożenia choćby dla prywatności?

Prywatność?

Zastanawiam się, co nowego pojawia się w e-dowodzie co byłoby większym zagrożeniem dla naszej prywatności niż rozwiązania stosowane już obecnie.

Dowód już mamy, dodanie warstwy elektronicznej zmienia niewiele (państwo te dane i tak już posiada), gdyby ustawodawca postanowił bardzo poszerzyć katalog danych dostępnych bezpośrednio z dowodu (rodzicie, dziadkowie itd.) byłoby to zagrożenie dla bezpieczeństwa, ale nadal niewielkie dla prywatności.

Z podpisu raczej nie będzie trzeba korzystać - za dużo osób w ogóle nie posiada komputera by dało się to wymusić.

Rejestry - cóż, już istnieją, poza tym są czymś odrębnym od dowodu osobistego.

Prywatność - to nie takie proste, jak sie wydaje

Rejestry - gromadzą równiez dane wrażliwe,np. informację o diagnozie i wykonanej procedurze medycznej (to rejestr NFZ, o którym mowa w ustawie).Dane o chorobach, w tym psychicznych. O odwyku. Może jednak nie każdy chciałby aby dostęp do tych danych był ułatwiony dla instytucji przechowującej kopie kluczy. Cóż prostszego, jak wejście do systemu i zautentykowanie się jako właściciel dowodu? Czysto i bez śladów.

Ułatwienie w kontakcie z urzędami - pieknie. Ale czy na pewno nie pójdzie to w stronę radosnej beztroski? Czy np. po kradzieży dowodu każdy będzie mógł lege artis zgromadzić pełną informację o człowieku? Teraz jednak stosowane security by obscurity znacznie utrudniało sprawę. Rozumiem też, że w kontaktach z urzędami będzie obowiązywał certyfikat dowodu, bo podpis jest opcjonalny...

W stosunku do urzędów stosuje zasadę ograniczonego zaufania - jak na jezdni. I nie chodzi nawet o złą wolę czy weszenie spisku, ale najzwyklejsza ignorancje i brak wyobrażni urzędnika, który zostawi kartke z hasłem na monitorze. Nie słychać było jeszcze o karze dla urzędnika nawet za ewidentne błędy, a dzień, w którym urzędnik zostanie ukarany za skutki swojej głupoty powinien zostać ogloszony świętem narodowym - bo to dopiero będzie przełom pozwalający na informatyzację społeczeństwa. Wcześniej - trzeba jednak uważać na tę brzytwę.

A szyfrowanie?

Z czystej ciekawości pytam: co będzie z możliwością szyfrowania (danych, korespondencji i innych takich) za pomocą "dowodu osobistego"?

Organa ścigania rekwirują komputer (albo dysk) osoby podejrzanej o popełnienie przestępstwa i tu okazuje się, że dane zostały zaszyfrowane... A podejrzany/oskarżony odmawia ich odszyfrowania?

Czy dostaniemy prawdziwy podpis czy raczej będzie to taka zabawa ("Ja wiem, a Pan rozumi").

"co będzie z możliwością

"co będzie z możliwością szyfrowania (danych, korespondencji i innych takich) za pomocą "dowodu osobistego"?

Jeśli będzie, to zapewne zrobiona tak jak w czipie Clipper.
Zresztą, kogo to obchodzi ? Do szyfrowania danych i korespondencji pomoc państwa chyba nie jest potrzebna.

Mnie niezmiennie interesuje, kto i jak będzie generował klucz prywatny do tego podpisu. Jeśli obywatel ma dostać gotowy dokument z kluczem prywatnym w środku, to skąd pewność, że nikt inny go nie zna? Czy można ten problem jakoś podnieść publicznie?
Temat był już tu kilkakrotnie poruszany, ale bez większego echa.

Bo w ogóle niewiele wiadomo o technologii e-dowodu

Tak naprawdę, to latają sobie różne plotki i spekulacje. Są dwie opcje które mają jakiś-tam sens

  1. RFID
  2. karta kryptograficzna

Jak zwykle jest to spór pomiędzy bezpieczeństwem a wygodą oraz - niestety - kosztami i umiejętnościami administracji.
Według mnie jedynie prawdziwa karta kryptograficzna ma sens, a wtedy klucz prywatny byłby generowane przez jej procesor.
Natomiast znając życie wszystko wygeneruje nam urząd gminy w x i nagra na kartę z czipem RFID, który każdy (kto ma niecne zamiary) będzie sobie mógł odczytać i w ten sposób przełamać zabezpieczenia.
Nie sądzę, abyśmy mieli na to większy wpływ.

Ciekawi mnie natomiast, jak będzie wyglądała zaprzeczalność w przypadku gdy technologia nie będzie naprawdę bezpieczna - na pewno pojawią się przypadki nadużyć i zwiększy się zapotrzebowanie na biegłych z zakresu kryptografii :-)

Zderzenie oczekiwań z faktami

Moje oczekiwania wobec nowego dowodu wyglądały mniej więcej tak:

Przychodzę do dowolnego urzędu, wkładam dowód do czytnika, wpisuję PIN i urząd pobiera sobie z centralnej bazy wszystkie te potrzebne mu dane, które do tej pory musiałem przynosić ze sobą w postaci kilkunastu załączników, zbieranych przeze mnie, w godzinach mojej pracy, w kilkunastu innych urzędach.

Jeżeli zaś urząd, do którego przyszedłem z owym dowodem nie może uzyskać jakiejś informacji z centralnej bazy, oznacza to, że nie jest mu ona potrzebna do wydania orzeczenia. W takim wypadku, nie może żądać ode mnie dodatkowych pisemnych zaświadczeń, a gdyby jednak wysuwał takie sugestie, mogę go zaskarżyć i nawet wszcząć postępowanie roszczeniowe, gdyby odmowa załatwienia sprawy spowodowała moje straty materialne.

Równocześnie, w momencie załatwienia sprawy, urzędnik informuje mnie o tym ustnie i dokonuje odpowiedniego zapisu w centralnej bazie. Mogę dostać zaświadczenie "na papierze", ale muszę za nie osobno zapłacić, tyle co za ksero.

Teraz, czytając wykaz podmiotów uprawnionych do korzystania z danych w trybie pełnej teletransmisji, zaczynam zastanawiać się, co właściwie oznacza zapis art.70:

  • Czy pełna teletransmisja oznacza nieskrępowany dostęp do całej bazy, podczas gdy nie wymienione w art.70 podmioty mają dostęp jedynie do danych cząstkowych, odpowiednio do swojego zakresu kompetencji. Czyli np. fiskus ma dostęp do moich dochodów, ale już nie do danych zdrowotnych.
    Ta opcja jest zgodna z tymi moimi oczekiwaniami, o których wspomniałem.
  • Czy też:

  • Czy wymienione w art.70 podmioty są jedynymi, jakie mogą uzyskać jakiekolwiek dane z centralnej bazy.
    Co jakby mało wnosi w porównaniu z całym medialnym szumem.

"Czyli np. fiskus ma dostęp

"Czyli np. fiskus ma dostęp do moich dochodów, ale już nie do danych zdrowotnych."

WTF ? Czy mi coś umknęło, czy w rejestrze dowodów osobistych mają być informacje o dochodach i "dane zdrowotne" ?

A może ciut organizacji i pragmatyzmu?

Witam.

Dla mnie najgorszym zderzeniem jest fakt, że obywatel musi latać z dziesiątkami załączników, podczas gdy cały aparat biurokratyczny dysponuje stosownymi rozwiązaniami technicznymi aby zrobić to za obywatela! A gadanie o ochronie danych osobistych czy innych tam przepisach jakoś nie znajduje uzasadnienia w obrocie dokumentami urzędowymi. Bo czym różni się sytuacja w której sam dostarczam do urzędu "X" swoje dane osobowe i akta sprawy wydobyte w urzędzie "Y" od sytuacji gdy te same informacje urząd "X" uzyska od urzędu "Y"? Moje dane osobowe i inne informacje i tak uzyskają urzędnicy obu urzędów! To niby czym uzasadnić konieczność osobistego "załatwiania" załączników przez interesanta? A wystarczy jedynie umocowanie prawne aby urząd "X" mógł żądać od urzędu "Y". informacji niezbędnych do rozpatrzenia sprawy! A może taka regulacja już jest? O ile prostsze byłoby załatwianie spraw! I idea jednego okienka zarazem spełniona. A bezpieczeństwo danych? A niby czemu urzędy nie mają funkcjonować na bezpiecznych szyfrowanych łączach albo wręcz wydzielonych fizycznie łączy? Jedyną uciążliwością takiego rozwiązania byłby brak dostępu do różnych stron www przez pracowników urzędów.

Pozdrawiam

Czy aby to uciązliwość ?

"...Jedyną uciążliwością takiego rozwiązania byłby brak dostępu do różnych stron www przez pracowników urzędów..."

Moim zdaniem urzędnikowi nie jest potrzebne przeglądanie "innych" stron www zwłaszcza podczas pracy a jeśli zajdzie taka konieczność (w jakiejś wyjątkowej sprawie) to nic nie stoi na przeszkodzie żeby w urzędzie były 3-4 wydzielone stanowiska bez połączenia z wewnętrzną siecią ale posiadające dostęp do internetu. Było by to zasadne choćby po to by nie rozpraszać i nie odciągać od właściwych zajęć "pudelkami" i innymi "portalami" na których z lubością owi przesiadują (ci którym dano nieopatrznie dostęp) w godzinach pracy z niewielką przerwą na obsługę petentów.

Technicznie rzecz biorąc

Technicznie rzecz biorąc można po prostu uruchomić "niebezpieczny" system wewnątrz "bezpiecznego" poprzez emulator skonfigurowany tak, by nie dawał temu pierwszemu możliwości ingerowania w drugi.

Udostępnianie danych w

Udostępnianie danych w trybie pełnej teletransmisji danych odbywa się na podstawie decyzji ministra wydanej na jednorazowy wniosek złożony przez uprawniony podmiot(...)

i dalej:

Do korzystania z danych udostępnianych w trybie pełnej teletransmisji, w zakresie niezbędnym do realizacji zadań określonych w ustawach szczególnych, uprawnione są:
1) organy prokuratury;
2) organy Policji;
(...)

No i rzeczywiście mam wątpliwości.Udostępnianie odbywa się na wniosek uprawnionego. Uprawnienie dotyczy korzystania, czy złożenia wniosku ?
I czy można złożyć wniosek o udostępnienie danych dla innego podmiotu (np. Policja, jako uprawniona do złożenia wniosku składa wniosek o udostępnienie danych dla firmy ABC) ? Uzyskiwanie danych niekoniecznie musi być tożsame z korzystaniem z nich.

Przepraszam, czy ja nie wymienialem dowodu ostatnio??

Jak dla mnie jest to skok na kase podatnika i juz...

Potwierdzam spostrzeżenie

Dobrze ujęte, nie wyszło ze sprzedażą podpisów na wolnym rynku, to wciśniemy je via rząd, płatne z podatków.

Chciałbym jednocześnie się pochwalić, że przewidywałem już kilka lat temu, że podpis trafi do dowodów, i nikt nie wierzył.

wywiad z min. Millerem

mówi coś więcej nt stanowiska MSWiA
"Dowód osobisty będzie jak karta bankowa" w gazetaprawna.pl (03.03.2010)

(...)
K.Żaczkiewicz:Zapowiada się znowu wymiana dowodów osobistych. Czy będą na nim linie papilarne?

J.Miller: W 2001 roku wymienialiśmy dowody książeczkowe na plastikowe. Dowody mają ważność dziesięcioletnią. I to jest powód, dla którego zmieniamy formę, a nie wymogi UE, co do tzw. cechy biometrycznej. Z niechęcią zrezygnowałem z pobierania linii papilarnych i umieszczania ich w dowodach.

K.Ż: Dlaczego z niechęcią?

J.M: Dlatego, że nie lubię pamiętać PIN-ów. Wolałbym przytknąć palec do czytnika, niż przypominać sobie, jaki PIN jest przypisany do nowego dowodu osobistego. Ale skoro niektórzy się boją, że to jest naruszenie prywatności, to się poddałem. Mam nadzieję, że na krótko.

komentarz obywatelski:
w ochronie własnej prywatności - długo się nie poddam ;)

Albo biometria, albo dowód

Ciekaw jestem dlaczego w ogóle biometria ma sens w dowodzie osobistym ? Jeśli dowód służy identyfikacji to biometria jest mu zbędna. Jeśli biometria służy identyfikacji, to dowód jest zbędny. Przykłada się palec do czytnika i system odbiera z bazy pl.ID dane, do których ma się uprawnienie. Jesli w dowodzie ma być biometria to jedynym sensem jej jest to, że sam dowód służy za off-line bazę danych pl.ID dotyczącej danych tegoż dowodu. Sens to ma wtedy, kiedy każdy mógłby samodzielnie, bez łączności z bazą pl.ID je sprawdzić. Bo jeśli sprawdzenie wymagałoby kontaktu z bazą pl.ID i uprawnień do jej odczytu, to dowód jest zbędny. Nośnikiem danych jest wtedy sam palec.

Uwierzytelnienie dowodu.

Jest jeszcze jedna możliwość: odcisk palca jest kodowany do dowodu w momencie jego odbioru (i nie jest zapisywany w rejestrze), by później służyć do uwierzytelnienia posiadacza - zamiast PINu lub hasła dostępu.

Palec. A co z głębokimi skaleczeniami palca?

Witam.

A zadam takie pytanie.
Co zrobić jak przypadkiem skaleczę się w palec, który jest zakodowany? Czy rysa na liniach papilarnych będąca skutkiem skaleczenia, nie spowoduje odrzucenia autentykacji użytkownika? Wypadki i konieczności bywają przeróżne. O ile podpis odręczny można rozpoznać grafologicznie i wydać opinię, o tyle przy podpisie cyfrowym trudno ocenić kto fizycznie "przyłożył" swoją rękę do jego złożenia pod dokumentem.
A spece od kryptografii będą mogli jedynie określić czy ePodpis lub eDokument, był w swej postaci cyfrowej manipulowany czy nie.
Jeśli nie uda się jednoznacznie potwierdzić manipulacji, to odpowiada właściciel ePodpisu. Sytuacja jak z kartami do bankomatów. Jak wygląda procedura ustalania odpowiedzialności za wypłaty?
Może warto analizować również te przypadki zanim wymusi się na milionach ludzi, użytkowanie określonego rozwiązania.

Tak gwoli analogii. Kiedyś anonimy były "pisane" wycinanymi literami z gazet. To uniemożliwiało przeprowadzenie analizy grafologicznej pisma odręcznego czy analizy technicznej czcionki widniejącej na tekście maszynopisu. Każda maszyna miewała swoje indywidualne cechy odbitej na papierze czcionki.
Dziś każdy może sobie napisać anonim na dowolnym edytorku tekstowym. Analiza techniczna takiego anonimu jest prawie zerowa! Dlaczego? Ano dlatego, że wszystkie drukarki drukują tak samo. Jedyną różnicą jest druk laserowy od atramentowego czy igłowego. Innych różnic nie ma! Podobnie jest z cyfryzacją podpisów. Każdy procesor identycznie przetworzy dane binarne.

Pozdrawiam.

Drukarki

Z drukarkami może być różnie. Przypominam tekst sprzed pięciu lat: Służby: przygarnij kropkę.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Dziekuję za przypomnienie.

Witam.

Dziękuję za przypomnienie problemu. Z rozpędu pominąłem ten wątek o którym było na tym Vortalu. Jak widać, pośpiech najczęściej złym doradcą ;-)

Pozdrawiam.

rozne takie

Po pierwsze nie "grafologicznie" tylko "pismoznawczo". Po wtóre: nie "autentykacja" tylko "uwierzytelnienie". Po trzecie właśnie po to za biometrią stoi sporo informatyki, żeby pojedynczy artefakt na odcisku palca nie powodował fałszywego odrzucenia a i tak na wszelki wypadek zapamiętuje się zazwyczaj odciski kilku palców. A po czwarte są lepsze metody biometryczne niż odciski palca.

Dziękuję za sprostowania.

Witam.

Dziękuję za sprostowania w słownictwie które użyłem. Przyda się znać jak to jest opisane "formalnie".
A co do metod biometrycznych, to zawsze pozostaje pytanie. Ile to kosztuje i jakie możliwości weryfikacyjne daje bezpośrednio w tzw. terenie. Proszę mieć na uwadze, że to tylko urządzenie techniczne. Czy koszt całościowy rozwiązań nie przeważa użyteczności?
A co do poprawności uwierzytelnienia przez te wyrafinowane urządzenia techniczne, to jednak specjaliści mają sporo zastrzeżeń. Ale temat zamknijmy w tym miejscu. Tu nie miejsce na techniczne dywagacje za czy przeciw biometrii.

Pozdrawiam

a co z obywatelami bez palców?

np. stolarze, etc ;)
technika video i biometrii twarzy (od lat) lub nosa (novum)
ma tę wadę że kosztuje krocie

postulat obywateli bez plastikowego ID, to tylko pozornie czysta korzyść dla środowiska naturalnego, wszak wtedy patrole PP, SM, itd, itp koniecznie musiały by być zaopatrzone w czytniki.

a serio - dowód osobisty, w tym przyszłe pl.ID to również dokument o znaczeniu międzynarodowym (EU) i tutaj mam wątpliwość w zakresie bezpieczeństwa "zaszytych" w nim cyfrowo danych
oraz
nurtuje mnie sposób oraz podstawa prawna dostępu do tych informacji przez służby (czy aby tylko?) pozostałych państw członków EU.

Wazny krok do internetowych

wyborow. A nie wazne kto glosuje wazne kto liczy glosy ..

Model państwa

Przy okazji ustawy o dowodach i rejestrach elektronicznych warto sobie zadać pytanie do jakiego modelu Państwa chcemy dążyć. Z jednej strony możemy umieścić model państwa anglosaskiego, gdzie wolność i prywatność jest bardzo istotną wartością i gdzie dowód osobisty trudno uznać za podstawowy i jedyny dokument służący identyfikacji. Widać tam też, ze z perspektywy obrotu gospodarczego dokument jednoznacznie potwierdzający tożsamość jest pożądany.

Na drugim końcu skali można umieścić państwa skandynawskie (Dania, Szwecja), gdzie do centralnej bazy danych trafiają wszystkie informacje o obywatelu (w tym mandaty, książki wypożyczone z publicznej biblioteki..).

Każde z powyższych rozwiązań ma swoje wady i zalety, istnieją też rozwiązania pośrednie. To co mnie martwi w ustawie o pl.ID to brak dyskusji, w którym kierunku chcemy zmierzać.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>