Grzech pierworodny biometrycznej infolinii

Artykuł
Ilustracja do tekstu - ikona megafonu

Pod koniec maja w mediach pojawiły się informacje o tym, że Ministerstwo Finansów planuje wdrożenie systemu identyfikacji głosowej w ramach Krajowej Informacji Podatkowej. Wykorzystywanie danych biometrycznych to poważna ingerencja w prywatność, dlatego postanowiliśmy dowiedzieć się więcej o nowym systemie. Pomysłem Ministerstwa zainteresowały się też organy odpowiedzialne za ochronę praw obywateli: Rzecznik Praw Obywatelskich oraz Generalny Inspektor Ochrony Danych Osobowych, które zwróciły się do niego z prośbą o wyjaśnienia.

Dane biometryczne – odciski placów, unikalny obraz układu krwionośnego, zarys dłoni, DNA, charakterystyczne cechy twarzy, głos, sposób poruszania się – mają szczególne znaczenie. Określają różne biologiczne i fizyczne aspekty naszego ciała. Dzięki niepowtarzalnemu charakterowi mają pozwalać na nieomylną identyfikację konkretnej osoby. W praktyce z tą nieomylnością bywa różnie, niemniej dane biometryczne to dane osobowe i jako takie podlegają ochronie przewidzianej w art. 51 Konstytucji. Dlatego też tworzenie publicznych baz danych osobowych musi mieć podstawę prawną w ustawie, a zakres zbieranych danych nie powinien wykraczać poza to, co rzeczywiście niezbędne.

Wdrażana przez Ministerstwo Finansów identyfikacja głosowa stanowi część Systemu Informacji Telefonicznej (SIT), który zastąpić ma dotychczasowy system udzielania informacji podatkowych. Ministerstwo deklaruje, że SIT jako całość ulepszy obsługę na infolinii, m.in. skróci czas oczekiwania na połączenie z doradcą, ale też umożliwi ocenę pracowników (np. dzięki możliwości przysłuchiwania się przez zwierzchnika rozmowom, które prowadzą oni z obywatelami).

Wprowadzenie biometrii głosowej na infolinii podatkowej, podobnie jak inne elementy nowego systemu obsługi, ma służyć usprawnieniu jej działania. Dzięki niej osoby, które zdecydują się na zapisanie w oddzielnej bazie matematycznych macierzy wzorca głosu (tzw. voiceprint), nie będą musiały podawać dodatkowych informacji, by uzyskać dostęp do indywidualnych danych umieszczonych na koncie podatnika. Zgodnie z opracowanymi przez Ministerstwo warunkami realizacji zamówienia, jeśli zawiedzie identyfikacja głosowa, dzwoniący będzie mógł połączyć się z konsultantem i w tradycyjny sposób potwierdzić swoją tożsamość. Identyfikacja dzięki próbce głosu ma być dobrowolna, a Ministerstwo obiecuje, że macierze matematyczne wzorca głosu będą zebrane w oddzielnej, zaszyfrowanej bazie, do której nie będzie zewnętrznego dostępu. Samo porównywanie głosu osoby dzwoniącej odbywać się będzie bez udziału człowieka i przekazywania próbki do jakiegokolwiek innego systemu.

Oddzielając bazę, w której zapisane będą tzw. wzorce głosu, i zakładając możliwość tradycyjnej weryfikacji dzwoniącego, Ministerstwo stara się zabezpieczyć zbierane dane oraz przygotować się na możliwą zawodność nowego systemu. Taka przezorność jest bardzo potrzebna i można by ją chwalić, gdyby nie jeden problem – grzech pierworodny, który plami cały pomysł. Ministerstwo nie ma podstawy prawnej, by wprowadzać biometryczną weryfikację ani tworzyć bazę danych, która będzie zawierała próbki głosów. Właściwa podstawa prawna jest bardzo ważna nie tylko ze względu na potrzebę demokratycznej kontroli nad przyjmowaniem istotnych z punktu widzenia praw obywateli rozwiązań, ale też dlatego, że przed stworzeniem nowej bazy ustawodawca powinien rozważyć, czy jest ona rzeczywiście potrzebna, czy nie da się w inny sposób weryfikować tożsamości dzwoniących. Z tworzeniem każdej bazy danych osobowych wiąże się np. ryzyko, że stanie się ona przedmiotem ataku, który doprowadzi do ujawnienia zawartych w niej informacji. Im wrażliwsze dane ma zawierać baza, tym poważniej należy się zastanowić, czy ich zbieranie (i to w jednym miejscu) jest faktycznie potrzebne. Czy warto to ryzykować, skoro tożsamość można potwierdzić w inny sposób? A wiemy przecież, że jest to możliwe, skoro dotychczas infolinia funkcjonowała.

Co więcej, ustawa powinna stwarzać ramy, w których Ministerstwo Finansów może się poruszać: określać, jakie dane do niej trafią i jak będą wykorzystywane. W obecnej sytuacji nie mamy takich zasad ani żadnych gwarancji, że początkowo dobrowolnie zapisane wzorce głosów nie staną się z czasem – jeśli taka będzie wola Ministerstwa – obowiązkowe. Bądź też że zostaną wykorzystane przez państwo do innych celów – po raz kolejny bez podstawy prawnej.

Przy tych wszystkich wątpliwościach dotyczących pomysłu nie powinno dziwić zainteresowanie sprawą RPO i GIODO. Zastrzeżenia tej ostatniej instytucji wstrzymały uruchomienie systemu biometrycznego, choć jest on gotowy do pracy. Zaskakujące, że Ministerstwo nie pokusiło się o rzetelną ocenę konsekwencji wdrożenia takiego systemu, a także kosztów (nie tylko finansowych), których udałoby się uniknąć, gdyby modernizowano system informacji podatkowej tylko w takim zakresie, w jakim to faktycznie niezbędne.

Anna Walkowiak

Wniosek Fundacji Panoptykon do Ministra Finansów o udostępnienie informacji publicznej dotyczącej identyfikacji głosowej dzwoniących na infolinię podatkową [PDF]

Odpowiedź Ministerstwa Finansów na wniosek o udostępnienie informacji publicznej [PDF]

Komentarze

Ministerstwo będzie za pomocą biometrii głosowej WERYFIKOWAŁO tożsamość dzwoniącego, podobnie jak weryfikuje się ją przez podanie PIN. Dzwoniący sam będzie się identyfikował (a więc podawał tożsamość), podając np. numer PESEL, imię i nazwisko albo jakiś inny indywidualny kod. Identyfikacja dzwoniącego, czyli rozpoznanie go spośród wszystkich użytkowników, jest technicznie niewykonalne przy takiej skali (miliony użytkowników). Wkrótce pojawi się rozmowa, jaką przeprowadziłem z jednym z twórców systemu, w której wyjaśnione zostanie wiele kwestii związanych z tym systemem, w tym kwestia zabezpieczeń. Poinformuję, gdy rozmowa zostanie opublikowana.

To jest „grzech pierworodny” wielu innych systemów.
W przypadku innych systemów, rozumiałem to w ten sposób, że systemy powstają bez podstawy prawnej, bo gdyby najpierw powstała stosowna ustawa, to trzeba by się tłumaczyć, dlaczego mamy opóźnienia w tworzeniu systemu.

Ale w tym wypadku, to jest to dla mnie mocno niezrozumiałe. Nie lubię hipotez, że ktoś miał na tym zarobić (albo miał inną korzyść), ale naprawdę nie widzę innego powodu powstania tego systemu.

Co do braku podstawy prawnej, nie jestem przekonany. Czy nie będzie to „prawnie usprawiedliwiony cel administratora”. W końcu chcemy umożliwić osobom możliwość uzyskania telefonicznie informacji, bez konieczności przyjeżdżania lub pisania pism do urzędu.

Nie mam nic przeciwko odważnemu korzystaniu z nowych technologii. Rozumiem, że może to być ułatwienie dla osób często kontaktujących się z urzędem. Ale dążyłbym raczej do obniżenia kosztów i starał się zastąpić kontakt telefoniczny, sprawnie działającą, inną forma kontaktu.

Moim zdaniem, nie jest to największe zagrożenie dla naszej prywatności, ale ze względu na zainteresowanie mediów, to czy system ruszy, może mieć wpłynąć na to, czy w przyszłości urzędnicy nadal będą zamawiać systemy w taki sposób

Widzę jeszcze jeden aspekt sprawy – jest to test skuteczności dla nowego GIODO.

Problemem jest to, że taka baza prędzej czy później NA PEWNO wycieknie, wpadnie w ręce przestępców, a w przeciwieństwie do haseł, pinów itd. biometria jest na stałe przywiązana do człowieka.
Poza tym... te urzędnicze pomysły to czysty bolszewizm, faszyzm i Rok 1984 razem wzięte i już z tego powodu powinny zostać od razu odrzucone, a pomysłodawcy dyscyplinarnie zwolnieni

Dodaj komentarz