W Stanowisku prezentujemy: Opis działalności Organów UE sprawie identyfikacji elektronicznej

Transkrypt

1 Stanowisko Polskiej Izby Informatyki i Telekomunikacji (PIIT) w sprawie elektronicznego Dowodu Osobistego przedstawiane Komitetowi Rady Ministrów do spraw Cyfryzacji (KRMC) (zaktualizowane dnia 16 września 2015 roku) W Stanowisku prezentujemy: Opis działalności Organów UE sprawie identyfikacji elektronicznej Omówienie kluczowych elementów Rozporządzania dotyczącego eidas. Zasygnalizowanie skutków Rozporządzania eidas dla rynku polskiego. Ideę e-dowodu, także w kontekście eidas. Harmonogram wydawania e-dowodu oraz KUZ Opis działalności Organów UE sprawie identyfikacji elektronicznej Jednym z głównych celów Unii Europejskiej jest budowa jednolitego rynku cyfrowego. Kluczowym czynnikiem sukcesu w tym przedsięwzięciu jest zapewnienie spójności rozwiązań stosowanych przez państwa członkowskie UE dla zapewnienia zaufania dla transakcji elektronicznych oraz zniesienie barier w transgranicznym stosowaniu identyfikacji elektronicznej w korzystaniu z usług publicznych. Kwestia wspólnych metod identyfikacji opartych na technologiach elektronicznych miała dotychczas tylko wymiar dokumentów podróży i nałożenia na te dokumenty kryteriów technicznych i wymagań organizacyjnych dla cech biometrycznych (zdjęcie w paszporcie i odciski palców). Nie dotyczyły te wymagania elektronicznej tożsamości obywateli możliwej do użycia w systemach usług elektronicznych krajów członkowskich. Zaufanie do transakcji elektronicznych było dotychczas budowane w oparciu o techniki podpisu elektronicznego. Praktyka ta pokazała, że użyte środki nie doprowadziły do interoperacyjności stosowanych w krajach UE narzędzi i rozwiązań. Analizując przyczyny tego stanu uznano, że do realizacji ww. celu nie wystarczy zapewnienie spójności rozwiązań stosowanych przez państwa członkowskie w zakresie zapisów Dyrektywy 99/93/EC o wspólnotowych ramach dla podpisu elektronicznego. Postanowiono w jednym akcie ująć problematykę podpisu elektronicznego, rozszerzając jednocześnie ten obszar o inne usługi nazwane usługami zaufania oraz problematykę elektronicznej identyfikacji. W efekcie zostało przygotowane rozporządzenie Parlamentu Europejskiego i Rady, które kompleksowo reguluje warunki dla transakcji elektronicznych i usług zaufania, a także zapewnia obywatelom UE możliwość uwierzytelniania się w dowolnym państwie członkowskim przy wykorzystaniu dowolnego notyfikowanego przez kraj członkowski systemu identyfikacji elektronicznej. 1

2 W dniu 23 lipca 2014 r. Rada UE ds. Ogólnych przyjęła rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (eidas). Rozporządzenie będzie stosowane bezpośrednio w wewnętrznym porządku prawnym państw członkowskich Unii Europejskiej od dnia 1 lipca 2016 r. Unijne rozporządzenie ma na celu wprowadzenie nowych narzędzi prawnych i technicznych, umożliwiających rozwój usług zaufania do transakcji elektronicznych oraz podniesienie poziomu ich bezpieczeństwa. W związku z wejściem w życie rozporządzenia eidas uchyleniu podlegać będzie Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych na bazie, której powstała obowiązująca w Polsce Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym. Omówienie kluczowych elementów Rozporządzania dotyczącego eidas. Rozporządzenie eidas nakłada na organy administracji publicznej szereg obowiązków, między innymi: wymóg akceptowania na zasadzie wzajemności notyfikowanych środków identyfikacji elektronicznej przez wszystkie usługi online administracji publicznej Unii Europejskiej (art. 6), wymóg akceptowania na zasadzie wzajemności podpisów i pieczęci elektronicznych, zaawansowanych i kwalifikowanych, z całego obszaru Unii Europejskiej (art. 27 i art. 37). W ramach Rozporządzenia wyróżniono trzy poziomy bezpieczeństwa środków identyfikacji elektronicznej, które muszą być akceptowane na zasadzie wzajemności (poziomy high i substantial ), albo dobrowolnie (poziom low ). Środki identyfikacji na poziomie takim samym lub wyższym powinny być akceptowane w tych usługach, które wymagają krajowej identyfikacji elektronicznej na odpowiednio takim samym poziomie. W przypadku usług administracji publicznej wymagających złożenia pieczęci/podpisu zaawansowanego wymaga się uznawania odpowiednio podpisów/pieczęci zaawansowanych i kwalifikowanych z całego obszaru UE, natomiast w przypadku usług wymagających złożenia podpisów/pieczęci kwalifikowanych wymaga się uznawania wyłącznie pieczęci/podpisów kwalifikowanych z całego obszaru UE. Zgodnie z rozporządzeniem eidas systemy identyfikacji elektronicznej, które zostaną notyfikowane przez kraj członkowski do Komisji Europejskiej, mogą być wykorzystywane do identyfikacji elektronicznej i uwierzytelnienia do usług online. Dla podmiotów sektora publicznego usługa identyfikacji elektronicznej i uwierzytelnienia świadczona jest bezpłatnie, natomiast dla wszystkich innych podmiotów może być obłożona opłatą. Realizacja Rozporządzenia stanowi dla Polski szczególne wyzwanie i szczególną szansę na nadrobienie opóźnień w rozwoju e-usług (w tym e-administracji) spowodowanych brakiem powszechnego i zestandaryzowanego elektronicznego identyfikatora tożsamości obywatela polskiego oraz nieuczestniczeniem Polskich w projektach pilotażowych STORK. 2

3 Biorąc pod uwagę rozwój gospodarek elektronicznych krajów UE i ułatwień w dziedzinie rozpoczynania i prowadzenia działalności gospodarczej w takich państwach, jak np. Estonia, terminowe wdrożenie Rozporządzenia, połączone z przygotowaniem pakietu usług wspomagających jego wykorzystanie w działalności gospodarczej, ma szczególne znaczenie dla zapewnienia konkurencyjności i innowacyjności gospodarki Polskiej. Zasygnalizowanie skutków Rozporządzania eidas dla rynku polskiego. Na administrację publiczną nałożony został obowiązek rozpoznawania i akceptacji notyfikowanych środków identyfikacji elektronicznej z innych krajów członkowskich poczynając od 18 września 2018 r. Konieczność implementacji Rozporządzenie eidas jest jednocześnie impulsem do podjęcia energicznych działań mających na celu budowę środków technicznych umożliwiających funkcjonowanie elektronicznej identyfikacji na zasadach, w jakich ona funkcjonuje w krajach UE. Podstawowym działaniem w obszarze identyfikacji elektronicznej jest wprowadzenie powszechnego, narodowego identyfikatora elektronicznego (tożsamości elektronicznej). Obecnie w Polsce nie jest dostępny identyfikator tożsamości obywatela polskiego zawierający warstwę elektroniczną (nośnik danych) i umożliwiający elektroniczną identyfikację, którego konstrukcja umożliwiałaby notyfikację na poziomie wysokim (eidas HIGH). Takim identyfikatorem bez wątpienia może być dowód osobisty wyposażony w warstwę elektroniczną i mechanizmy elektronicznej identyfikacji zgodne z rozporządzeniem eidas (dalej: e- Dowód). Dzięki takiej konstrukcji Państwo Polskie zyska nowoczesne, powszechne i zgodne ze standardami EU rozwiązanie, które będzie się charakteryzowało następującymi cechami: będzie miało charakter narodowy umożliwi korzystanie z funkcje elektronicznej tożsamości wszystkim dorosłym obywatelom; zapewni wiarygodność i bezpieczeństwo przy produkcji wielkoskalowej; posiadacze e-dowodu będą mogli korzystać z jego funkcji zarówno w e- usługach publicznych, jak i komercyjnych; dzięki uzyskanej notyfikacji na poziomie eidas HIGH będzie mogło być wykorzystywane w systemach wszystkich krajów UE. Brak takiego środka elektronicznej identyfikacji i uwierzytelniania u obywateli polskich spowoduje, że wdrożenie Rozporządzenia eidas będzie miało charakter niepełny i ulokuje obywateli polskich w drugiej lidze gospodarek elektronicznych. Dobrze by było, aby taki elektroniczny identyfikator polskim obywatelom wydawały także podmioty zlokalizowane w Polsce. 3

4 Idea e-dowodu w kontekście eidas. Idea e-dowodu bardzo dobrze wpisuje się w zapisy unijnego Rozporządzenia eidas, w szczególności kilku zapisów preambuły: (1) Budowanie zaufania do środowiska online jest kluczowe dla rozwoju gospodarczego i społecznego. Brak zaufania, spowodowany w szczególności odczuwanym brakiem pewności prawa, sprawia, że konsumenci, przedsiębiorstwa i organy publiczne wahają się, czy przeprowadzać transakcje elektroniczne i wdrażać nowe usługi. (2) zwiększenie zaufania do transakcji elektronicznych na rynku wewnętrznym poprzez zapewnienie wspólnej podstawy bezpiecznej interakcji elektronicznej między obywatelami, przedsiębiorstwami i organami publicznymi, co pozwoli podnieść efektywność publicznych i prywatnych usług online, e-biznesu i e- handlu w Unii. (12) zniesienie, przynajmniej w przypadku usług publicznych, istniejących barier w transgranicznym stosowaniu środków identyfikacji elektronicznej stosowanych w państwach członkowskich w celu uwierzytelniania. Celem niniejszego rozporządzenia nie jest ingerowanie w systemy zarządzania tożsamością elektroniczną i w powiązane z nimi infrastruktury ustanowione w państwach członkowskich. Jego celem jest zapewnienie bezpiecznej elektronicznej identyfikacji i uwierzytelniania na potrzeby dostępu do transgranicznych usług online oferowanych przez państwa członkowskie. Funkcje elektronicznego dowodu osobistego w kontekście rozporządzenia eidas: 1. Dodanie warstwy elektronicznej do dowodu osobistego jest obecnie najprostszym sposobem pozwalającym Państwu Polskiemu na wypełnienie zaleceń preambuły eidas przy jednoczesnym zapewnieniu obywatelom powszechnego dostępu do elektronicznej tożsamości i wykorzystanie dotychczasowych nakładów na bezpieczeństwo i wiarygodność tego dokumentu identyfikacyjnego. 2. Nadanie dowodowi osobistemu cech e-dowodu może otworzyć szansę instytucjom publicznym i firmom komercyjnym na oszczędności wynikające z obniżenia kosztów związanych z identyfikacją i uwierzytelnieniem. 3. e-dowód pozwoli obywatelom polskim na bezpłatne wejście w posiadanie narzędzia do transgranicznej identyfikacji elektronicznej, akceptowanej w całej UE. 4. Wnioskodawca pragnący uzyskać Profil Zaufany i dostęp do platformy e- PUAP dzięki e-dowodowi będzie mógł potwierdzić tożsamość poprzez uwierzytelnienie wprowadzonych danych podpisem elektronicznym znajdującym się na mikroprocesorze dowodu osobistego. 5. e-dowód zapewni, oprócz wyżej wymienionych, np. funkcjonalność karty ubezpieczenia zdrowotnego, co przy założeniu notyfikacji na najwyższym poziomie HIGH, pozwoli na dostęp do usług udostępnianych przez inne państwa członkowskie UE. 6. e-dowód powinien zawierać stosowne certyfikaty służące do różnych celów, w tym m.in.: 4

5 certyfikat do identyfikacji i uwierzytelnienia on-line obywatela w systemach informatycznych administracji publicznej certyfikat podpisu kwalifikowanego, lub miejsce na instalację takiego certyfikatu przez funkcjonujące na bazie rozporządzenia eidas firmy komercyjne, świadczące tę usługę certyfikat medyczny w przypadku korzystania z funkcjonalności karty ubezpieczenia zdrowotnego. 7. W części elektronicznej e-dowód powinien także zawierać podstawowe dane identyfikujące tożsamość obywateli. Należy rozważyć uzupełnienie tych danych o wybrane dane medyczne dostępne dla uprawnionych służb w sytuacji zagrożenia życia (np. zgoda lub protest w zakresie dysponowania organami, informacje o uczuleniach itp.). 8. Pragnąc zapewnić najwyższy stopień użyteczności e-dowodu można rozważyć wyposażenie e-dowodu w część elektroniczną zgodną z wymaganiami dla dokumentów podróży, aby w razie decyzji o zamykaniu obszarów strefy Schengen e-dowód mógł pełnić funkcję dokumentu podróży umożliwiającego automatyzację procesów przekraczania granic. 9. Biorąc pod uwagę konieczność utrzymywania nowoczesnego charakteru e- Dowodu przez okres 10 lat, należy rozważyć możliwość zapewnienia zdalnego zarządzania danymi umieszczonymi w jego części elektronicznej (tzw. postissuance). 10. Biorąc pod uwagę obszary zastosowania e-dowodu w planowaniu harmonogramu jego wdrożenia, w pierwszej kolejności należy zapewnić komunikację z wykorzystaniem w interfejsu stykowego, a na kolejnym etapie - także interfejsu bezstykowego (funkcja dokumentu podróży). Aby zapewnić możliwość realizacji powyższych funkcji e-dowód powinien zostać poddany notyfikacji na poziomie WYSOKI (high) zgodnie z art. 8 rozporządzenia eidas spełniając jednocześnie zapis art. 12 ust. 1 eidas. Rekomendowane jest wykorzystanie procesu implementacji Rozporządzenia eidas do rozpoczęcia prac nad nośnikiem polskiego elektronicznego dokumentu tożsamości, celem przygotowania warunków technicznych dla zapewnienia temu dokumentowi interoperacyjności z eidas i dla uzyskania notyfikacji eidas HIGH w terminie przewidzianym Rozporządzeniem eidas. Innym efektem synergii powstałym w okoliczności budowy elektronicznego dokumentu tożsamości równolegle z implementacją Rozporządzenia eidas, jest możliwe uproszczenie architektury warstwy elektronicznej dokumentu tożsamości poprzez usunięcie usługi ograniczonej identyfikacji, przewidzianej w poprzedniej koncepcji e-dowodu z 2009 roku, a niezbędnej do zastosowania w przypadku np. budowania systemów elektronicznego głosowania. Wdrożenie Rozporządzenie eidas spowoduję przejęcie tej roli przez inne publiczne i komercyjne usługi identyfikacyjne. 5

6 Jednocześnie należy zauważyć, że dowód osobisty jest narzędziem służącym do identyfikacji osobistej obywatela (kiedy identyfikuje się on jako osoba fizyczna w sprawach natury prywatnej lub takich, w których jego uprawnienia zawodowe nie mają znaczenia). Wykorzystanie dowodu osobistego do potwierdzania uprawnień zawodowych (czyli identyfikowania osoby, jako uprawnionego urzędnika, lekarza, funkcjonariusza lub pracownika) stanowi poważne zagrożenie dla samych osób posługujących się takim narzędziem, nie pozwala na oddzielenie sfery prywatnej od sfery służbowej, a co najważniejsze, nie pozwala na rozróżnienie, czy odpowiedzialność prawną za wykonanie danej czynności ponosi osoba prywatna, czy też uprawniony pracownik lub urzędnik. Dlatego e-dowód nie może służyć, jako karta specjalisty medycznego, legitymacja służbowa funkcjonariusza lub identyfikator urzędnika/pracownika. Harmonogram wydawania e-dowodu oraz KUZ Rozpoczęcie wydawania e-dowodu powinno być zsynchronizowane w czasie z harmonogramem eidas i harmonogramem wydawania elektronicznej Karty Ubezpieczenia Zdrowotnego (KUZ). Harmonogramy te powinny w szczególności uwzględniać następujące kluczowe założenia: 1) Celowe jest równoległe wydawanie e-dowodu (z funkcją KUZ) i KUZ, ze względu na inne grupy odbiorców tych dokumentów: a) e-dowód będzie wydawany osobom, z których wielu ma dowody ważne jeszcze nawet prawie 10 lat (pewna grupa osób 65+ ma dowody bezterminowe). Dlatego też proces wydawania nowych e-dowodów należy rozpocząć jak najszybciej. Zgodnie ze statystykami CPD MSW na lata dla ponad 18 mln dokumentów przypada 10 letni cykl wymiany dowodów osobistych, co bardzo dobrze wpisuje się w ideę wydania dla nowego polskiego dowodu osobistego z warstwą elektroniczną, a także daty wynikające z Rozporządzenia eidas w kontekście identyfikacji elektronicznej b) KUZ będzie wydawany osobom w dowolnym wieku, poczynając od urodzenia. c) Warto też przewidzieć wydawanie KUZ osobom będącym na statusie cudzoziemca, który posiada zezwolenie na osiedlenie się lub na pobyt, jako rezydenta długoterminowego. 2) Podstawowym celem wprowadzenia KUZ jest likwidacja nadużyć w systemie ochrony zdrowia (które są oficjalnie szacowane, na co najmniej 650 mln zł rocznie, czyli kilkakrotnie więcej, niż wynosi koszt wydania KUZ wszystkim uprawnionym), więc termin wydania KUZ powinien być szybki, a samo wydanie KUZ powinno mieć charakter masowy i obejmujący sekwencyjnie całe jednolite obszary zamieszkania, aby niezwłocznie po wydaniu karty było możliwe uruchamianie na tym obszarze usług medycznych w wersji elektronicznej. 3) Rozpoczęcie wydawania e-dowodu (z funkcją KUZ) i KUZ umożliwi powstanie efektów synergii w postaci: a) uproszczenia architektury i znaczącego obniżenia kosztu wydania KUZ. Z założenia karta KUZ powinna być prostą funkcjonalnie kartą działającą w obszarze sektora zdrowia; 6

7 b) możliwości wykorzystania nakładów poniesionych na budowę centrów autoryzacji (Certification Authority) w NFZ i MSW, z zachowaniem niezależności nadzoru nad ich funkcjonowaniem przez te podmioty; c) możliwości osiągnięcia istotnych oszczędności w budowie i wdrożeniu systemów zarządzających cyklem życia obu dokumentów; d) sukcesywne ograniczanie ilości wydawanych KUZ w ślad za zwiększającym się nasyceniem rynku e-dowodem (z funkcją KUZ). Konkluzje: Najistotniejszym argumentem przemawiających za równoległym rozpoczęciem wydawania KUZ i e-dowodu jest krótki cykl masowego wydania KUZ. Przy wykorzystaniu ww. efektów synergii możliwe jest wydanie KUZ w przeciągu 2 lat. W porównaniu do sytuacji, gdy funkcjonalność karty ubezpieczenia zdrowotnego istnieje wyłącznie w e-dowodzie (którego pełna dystrybucja nastąpi po ok. 10 latach), przełoży się na przywrócenie w funduszach na ochronę zdrowia ok. 5.2 mld zł w okresie 8 lat (8 lat to różnica czasu pomiędzy pełnym napełnieniem systemu KUZ oraz e-dowodami). Ważnym dla maksymalnego wykorzystania nakładów na wydanie nowego dokumentu tożsamości jest, aby wprowadzanie e-dowodu realizować we współpracy z przedsiębiorcami, którzy mogą równocześnie tworzyć systemy korzystające z możliwości, jakie da ten dokument. Taka współpraca pozwoli na uzyskanie efektu synergii i zaistnienia na rynku w miarę szybko rozwiązań komercyjnych umożliwiających praktyczne posługiwanie się tym dokumentem i zwiększenia w sposób istotny bezpieczeństwa obrotu elektronicznego. 7