Analiza prywatności propozycji KE regulacji o cyfrowej tożsamości (eID)

prywatnik.pl 2 lat temu

Ta ocena jest przygotowywana w odpowiedzi na wniosek Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE), w imieniu europosła Cristiana Terhesa (sprawozdawcy ds. dokumentacji eID; wniosek z dnia 19.01.2022 r.). Celem tej oceny jest analiza pod kątem prywatności i ochrony danych. Chociaż (wliczając w to czas złożenia wniosku, gdzie dano mi kilka czasu) jest to całościowa analiza, celem jest dostatecznie czegoś dokładnego i kompletnego.

W toku tej analizy zidentyfikowałem znaczne braki (a więc i ryzyka) w zakresie prywatności, ochrony danych, ale także z konsekwencjami dla ochrony osób niepełnosprawnych, oraz negatywnych konsekwencji dla ogólnych standardów bezpieczeństwa i cyberbezpieczeństwa w Unii Europejskiej. Szkoda by było, gdyby dodatkowym efektem ubocznym tej regulacji (a konkretniej, jej art. 45) było wprowadzenie technicznej infrastruktury cenzury.

Wynika to z faktu, iż kwestia wprowadzona w art. 45 („Kwalifikowane certyfikaty uwierzytelniania witryn internetowych”) jest bardzo delikatna, w zakresie praw gwarantujących wolność słowa, bezpieczeństwo i prywatność. Należy ponownie ocenić ryzyko związane z cenzurą techniczną, aby uniknąć wprowadzenia infrastruktury certyfikatów, które zagrażałyby podstawowym prawom i wolnościom.

W szczególności szkoda by było, gdyby UE wdrożyła system certyfikatów w stylu kazachskim, czyli wspierającym techniczne możliwości cenzury pod pozorem cyberbezpieczeństwa.

Oczywiste jest również, iż wprowadzenie takich obowiązkowych certyfikatów może zagrozić bezpieczeństwu sieci. Można sobie wyobrazić, iż producenci przeglądarek internetowych aktywnie walczyliby z wprowadzeniem takich możliwości.


Posłowie do Parlamentu Europejskiego powinni zastanowić się, czy chcą legislacji potencjalnie wprowadzającej takie rozwiązania.

Należy przede wszystkim zastanowić się, czy taki system jest zgodny z wartościami europejskimi, chyba iż chodzi o zgodność z... innymi zestawami wartości, tymi wyznawanymi w różnych innych krajach, w innym położeniu geograficznym...

Posłowie do PE powinni następnie podjąć odpowiednią decyzję, biorąc pod uwagę swoje priorytety oraz priorytety obywateli Europy.


Na szczęście rozwiązanie jest proste: artykuł 45 powinien uwzględniać, iż jest to opcja opt-in, dobrowolna, bez konieczności rozpoznawania takich certyfikatów z poziomu przeglądarki internetowej.

Alternatywą jest całkowite skreślenie art. 45: w obecnym kształcie bierze on pod uwagę sposoby myślenia o cyberbezpieczeństwie z lat 2000, podczas gdy dziś mamy lata 2020, inne myślenie, ewolucję standardów.

Podstawowym założeniem jest to, iż jeżeli zagrożone są standardy bezpieczeństwa web, prywatność i ochrona danych nie mogą zagwarantowane w żaden sposób.

Całość opinii tutaj.

Idź do oryginalnego materiału