Grzech pierworodny biometrycznej infolinii

Pod koniec maja w mediach pojawiły się informacje o tym, że Ministerstwo Finansów planuje wdrożenie systemu identyfikacji głosowej w ramach Krajowej Informacji Podatkowej. Wykorzystywanie danych biometrycznych to poważna ingerencja w prywatność, dlatego postanowiliśmy dowiedzieć się więcej o nowym systemie. Pomysłem Ministerstwa zainteresowały się też organy odpowiedzialne za ochronę praw obywateli: Rzecznik Praw Obywatelskich oraz Generalny Inspektor Ochrony Danych Osobowych, które zwróciły się do niego z prośbą o wyjaśnienia.

Dane biometryczne – odciski placów, unikalny obraz układu krwionośnego, zarys dłoni, DNA, charakterystyczne cechy twarzy, głos, sposób poruszania się – mają szczególne znaczenie. Określają różne biologiczne i fizyczne aspekty naszego ciała. Dzięki niepowtarzalnemu charakterowi mają pozwalać na nieomylną identyfikację konkretnej osoby. W praktyce z tą nieomylnością bywa różnie, niemniej dane biometryczne to dane osobowe i jako takie podlegają ochronie przewidzianej w art. 51 Konstytucji. Dlatego też tworzenie publicznych baz danych osobowych musi mieć podstawę prawną w ustawie, a zakres zbieranych danych nie powinien wykraczać poza to, co rzeczywiście niezbędne.

Wdrażana przez Ministerstwo Finansów identyfikacja głosowa stanowi część Systemu Informacji Telefonicznej (SIT), który zastąpić ma dotychczasowy system udzielania informacji podatkowych. Ministerstwo deklaruje, że SIT jako całość ulepszy obsługę na infolinii, m.in. skróci czas oczekiwania na połączenie z doradcą, ale też umożliwi ocenę pracowników (np. dzięki możliwości przysłuchiwania się przez zwierzchnika rozmowom, które prowadzą oni z obywatelami).

Wprowadzenie biometrii głosowej na infolinii podatkowej, podobnie jak inne elementy nowego systemu obsługi, ma służyć usprawnieniu jej działania. Dzięki niej osoby, które zdecydują się na zapisanie w oddzielnej bazie matematycznych macierzy wzorca głosu (tzw. voiceprint), nie będą musiały podawać dodatkowych informacji, by uzyskać dostęp do indywidualnych danych umieszczonych na koncie podatnika. Zgodnie z opracowanymi przez Ministerstwo warunkami realizacji zamówienia, jeśli zawiedzie identyfikacja głosowa, dzwoniący będzie mógł połączyć się z konsultantem i w tradycyjny sposób potwierdzić swoją tożsamość. Identyfikacja dzięki próbce głosu ma być dobrowolna, a Ministerstwo obiecuje, że macierze matematyczne wzorca głosu będą zebrane w oddzielnej, zaszyfrowanej bazie, do której nie będzie zewnętrznego dostępu. Samo porównywanie głosu osoby dzwoniącej odbywać się będzie bez udziału człowieka i przekazywania próbki do jakiegokolwiek innego systemu.

Oddzielając bazę, w której zapisane będą tzw. wzorce głosu, i zakładając możliwość tradycyjnej weryfikacji dzwoniącego, Ministerstwo stara się zabezpieczyć zbierane dane oraz przygotować się na możliwą zawodność nowego systemu. Taka przezorność jest bardzo potrzebna i można by ją chwalić, gdyby nie jeden problem – grzech pierworodny, który plami cały pomysł. Ministerstwo nie ma podstawy prawnej, by wprowadzać biometryczną weryfikację ani tworzyć bazę danych, która będzie zawierała próbki głosów. Właściwa podstawa prawna jest bardzo ważna nie tylko ze względu na potrzebę demokratycznej kontroli nad przyjmowaniem istotnych z punktu widzenia praw obywateli rozwiązań, ale też dlatego, że przed stworzeniem nowej bazy ustawodawca powinien rozważyć, czy jest ona rzeczywiście potrzebna, czy nie da się w inny sposób weryfikować tożsamości dzwoniących. Z tworzeniem każdej bazy danych osobowych wiąże się np. ryzyko, że stanie się ona przedmiotem ataku, który doprowadzi do ujawnienia zawartych w niej informacji. Im wrażliwsze dane ma zawierać baza, tym poważniej należy się zastanowić, czy ich zbieranie (i to w jednym miejscu) jest faktycznie potrzebne. Czy warto to ryzykować, skoro tożsamość można potwierdzić w inny sposób? A wiemy przecież, że jest to możliwe, skoro dotychczas infolinia funkcjonowała.

Co więcej, ustawa powinna stwarzać ramy, w których Ministerstwo Finansów może się poruszać: określać, jakie dane do niej trafią i jak będą wykorzystywane. W obecnej sytuacji nie mamy takich zasad ani żadnych gwarancji, że początkowo dobrowolnie zapisane wzorce głosów nie staną się z czasem – jeśli taka będzie wola Ministerstwa – obowiązkowe. Bądź też że zostaną wykorzystane przez państwo do innych celów – po raz kolejny bez podstawy prawnej.

Przy tych wszystkich wątpliwościach dotyczących pomysłu nie powinno dziwić zainteresowanie sprawą RPO i GIODO. Zastrzeżenia tej ostatniej instytucji wstrzymały uruchomienie systemu biometrycznego, choć jest on gotowy do pracy. Zaskakujące, że Ministerstwo nie pokusiło się o rzetelną ocenę konsekwencji wdrożenia takiego systemu, a także kosztów (nie tylko finansowych), których udałoby się uniknąć, gdyby modernizowano system informacji podatkowej tylko w takim zakresie, w jakim to faktycznie niezbędne.

Anna Walkowiak

Wniosek Fundacji Panoptykon do Ministra Finansów o udostępnienie informacji publicznej dotyczącej identyfikacji głosowej dzwoniących na infolinię podatkową [PDF]

Odpowiedź Ministerstwa Finansów na wniosek o udostępnienie informacji publicznej [PDF]