PRAWNe ASPEKTy BIOMETRII Grupa FTB ds. Biometrii Warszawa, styczeń 2011 Remigiusz Kaszubski, Mariusz Sudoł, Tadeusz Woszczyński, Zbigniew Marcinkiewicz, Jerzy Ratajczak, Adam Czajka Pod redakcją: prof. dr. hab. Remigiusza W. Kaszubskiego
WSTĘP Fot. Archiwum prywatne Wykorzystanie biometrii w wielu dziedzinach życia staje się powszechne. Choć jednak technologie biometryczne rozwijają się bardzo dynamicznie, nie wszystkie wątpliwości zostały jeszcze wyjaśnione. Szczególnie istotnym elementem jest zapewnienie najwyższego standardu ochrony danych osobowych, jak i szeroko rozumianej, prawnie chronionej prywatności. Eksperci, którzy zajmują się biometrią, jednoznacznie wskazują, że priorytetem jest zabezpieczenie tożsamości w rozwiniętym społeczeństwie informacyjnym, w którym powszechnie korzysta się z usług elektronicznych na odległość, posługując się nowoczesnymi środkami komunikacji. Technologia przestała być problemem, ale za jej rozwojem nie nadąża rozumienie i interpretacja prawa. Sektor bankowy, będący liderem w rozwoju technologii informatycznych, dba o wysoki poziom bezpieczeństwa swoich klientów. Przy wykorzystaniu biometrii jako nowej technologii do identyfikacji i uwierzytelnienia klientów, tak jak w wielu innych sektorach gospodarki, pojawiły się wątpliwości związane z ochroną danych osobowych i zrozumieniem niektórych prawnych aspektów wykorzystania biometrii. Mając na uwadze istniejące wątpliwości, Grupa Forum Technologii Bankowych przy Związku Banków Polskich ds. biometrii, wychodząc naprzeciw oczekiwaniom bankowców, opracowała dokument odnoszący się do wybranych aspektów prawnych biometrii. Należy jednak podkreślić, że każdy przypadek wykorzystania biometrii należy rozpatrywać indywidualnie, a przedstawiona publikacja ma jedynie pomóc w przygotowaniu kierunków prac związanych z wdrożeniem biometrii w bankach. Podkreślam, że autorom zależało na omówieniu najbardziej wątpliwych zagadnień związanych z implementacją technologii biometrycznej. Ekspertyza jest kontynuacją prac grupy FTB ds. biometrii, która opracowała raport biometryczny (dostępny na stronie http://www.zbp.pl/site.php?s=mjizodyxma==). Warto podkreślić, że zagadnienia prezentowane w publikacji były przedmiotem debaty z udziałem ekspertów z kraju i zagranicy, która miała miejsce na corocznej konferencji Spring Biometric Summit, jaka odbyła się w dniach 14 15 kwietnia 2011 r. Zapis debaty można znaleźć w numerze 6/2011 Miesięcznika Finansowego BANK. W imieniu Autorów i Grupa FTB ds. biometrii mam przyjemność przedstawić Państwu publikację poświęconą prawnym aspektom związanym z wykorzystaniem biometrii w bankowości. Publikacja odnosi się do tak ważnych zagadnień, jak ochrona i przetwarzanie danych osobowych i zastosowanie tajemnicy bankowej w zakresie wykorzystania biometrii. Autorami publikacji są przedstawiciele Członków Forum Technologii Bankowych przy Związku Banków Polskich, a w szczególności: Prof. Remigiusz Kaszubski Związek Banków Polskich redaktor naukowy. oraz Mariusz Sudoł doktorant WPiA UW, współpracujący z Centrum Prawa Nowych Technologii WPiA UW. Tadeusz Woszczyński Hitachi Europe Ltd. Zbigniew Marcinkowski Algotech S.A. Jerzy Ratajczak Wincor-Nixdorf Sp. z o.o. Adam Czajka Pracownia Biometrii, Naukowa i Akademicka Sieć Komputerowa (NASK) Martyna Kubiak Związek Banków Polskich. Autorzy, wyrażają nadzieję przedstawiona publikacja będzie pomocna w rozwiązaniu problemów praktycznych w bankach i jednocześnie będzie głosem w dyskusji na temat aspektów prawnych biometrii. Życzę wielu ciekawych przemyśleń w trakcie lektury. Prof. Remigiusz Kaszubski
SPIS TREŚCI 1. Definicje 4 2. Biometria w kontekście danych osobowych 5 3. Dane biometryczne i ich rodzaje 6 3.1. Przetwarzanie i szyfrowanie wzorców biometrycznych 8 3.2. Różnice w ocenie metod biometrycznych 8 3.3. Przechowywanie danych biometrycznych 8 3.4. Pojęcie nieproporcjonalnie duże nakłady 8 3.5. Wyrok NSA (I OSK 249/09) 9 4. Wykorzystanie biometrii do uwierzytelnienia czynności bankowych 10 4.1. Gromadzenie danych biometrycznych przez bank 11 4.2. Gromadzenie danych biometrycznych na kartach płatniczych 11 5. Przypisy 13 6. Rekomendowane publikacje 14 7. Źródła 14 O autorach 15
1Definicje Niniejszy rozdział zawiera podstawowe pojęcia wykorzystywane w dalszej części opracowania. Źródłem definicji są w większości przypadków normy oraz słownik biometryczny ISO/IEC. Biometria: dział informatyki dotyczący metod automatycznego rozpoznawania tożsamości z wykorzystaniem własności fizycznych (np. odcisk palca, układ żył krwionośnych w palcu lub dłoni) oraz zachowania (np. głos, podpis odręczny) człowieka. Dane biometryczne: dane na dowolnym etapie przetwarzania będące wynikiem pomiaru biometrycznego (np. dane surowe, czyli próbki biometryczne, cechy biometryczne, wzorce biometryczne) 1. Cechy biometryczne: liczby lub etykiety (np. minucje odcisku palca, bity kodu żył krwionośnych palca lub dłoni, średnia prędkość składania podpisu odręcznego) wyznaczone na podstawie próbki biometrycznej i używane w porównywaniu biometrycznym 2. Wzorzec biometryczny: zbiór cech biometrycznych wykorzystywany w bezpośrednim porównywaniu z cechami badanej próbki biometrycznej 3. Biometryczne dane referencyjne: dane biometryczne (np. próbki lub cechy) przypisane do tożsamości i zachowane w systemie w celu późniejszego rozpoznawania tożsamości 4. System zarządzania tożsamością: system składający się z jednego lub więcej systemów lub aplikacji, które zarządzają uwierzytelnianiem tożsamości. Tożsamość: zbiór cech fizycznych i behawioralnych, które czynią osobę jednoznacznie rozpoznawalną. Weryfikacja tożsamości: proces potwierdzania lub zaprzeczania prawdziwości zgłoszonej tożsamości poprzez porównywanie danych referencyjnych (np. hasła, klucza, wzorca biometrycznego) osoby ubiegającej się o dostęp z referencjami uprzednio sprawdzonymi i zapamiętanymi w Systemie Zarządzania Tożsamością. Biometryczna weryfikacja tożsamości: proces porównania typu 1 do 1 (1:1) badanego wzorca biometrycznego odpowiadającego deklarowanej tożsamości (np. numeru karty, nr. telefonu, nr. konta) z biometrycznymi danymi referencyjnymi zapisanymi w centralnej bazie danych lub na karcie elektronicznej. System biometryczny weryfikuje i potwierdza tożsamość i najczęściej (głównie ze względów bezpieczeństwa) prezentuje swoją decyzję w formie binarnej (Tak/Nie). 5 Identyfikacja tożsamości: proces ustalania rzeczywistej Tożsamości danej osoby spośród całego zbioru osób. Biometryczna identyfikacja tożsamości: proces porównania typu 1 do wielu (1:N) badanego wzorca biometrycznego ze wszystkimi danymi referencyjnymi (lub danymi referencyjnymi zawężonej grupy) zapisanymi w bazie danych. System biometryczny w najprostszym przypadku potwierdza tożsamość osoby (dane istnieją w bazie) lub informację o braku danych potwierdzających tożsamość w bazie danych. W innych, bardziej rozbudowanych systemach rezultatem może być lista rankingowa zawierająca dane dotyczące tożsamości, dla których dane referencyjne były najbliższe badanemu wzorcowi biometrycznemu. 6 Rejestrowanie tożsamości: proces tworzenia i zapisywania danych (np. biometrycznych) podmiotów w bazach danych. Proces ten ma na celu reprezentację tożsamości osoby w Systemie Zarządzania Tożsamością poprzez utworzenie unikalnego identyfikatora związanego z rejestrowaną tożsamością. Kluczowym procesem w systemach wykorzystujących biometrię jest rejestracja biometryczna 7. W tym procesie po raz pierwszy pobierane są próbki biometryczne i generowane są wzorce biometryczne, stanowiące biometryczne wzorce referencyjne w systemie. W procesie tym należy zwrócić szczególną uwagę na mechanizmy i procedury w zakresie: a) zapewnienia, iż osoba rejestrująca osobę rejestrowaną jest do tego uprawniona, b) zapewnienia, iż osoba rejestrująca uwierzytelni osobę rejestrowaną przed pobraniem próbki biometrycznej (np. poprzez okazanie odpowiednich dokumentów potwierdzających tożsamość), c) zapewnienia pozyskania najwyższej jakości próbek biometrycznych, z których powstaje biometryczny wzorzec referencyjny podczas rejestracji. Uwierzytelnienie: proces, który ustala i/lub weryfikuje tożsamość osoby. Autoryzacja: sprawdzenie, czy uwierzytelniona osoba posiada wymagane uprawnienia. W procesie uwierzytelnienia biometria może być wykorzystana do Identyfikacji Tożsamości oraz do Weryfikacji Tożsamości. W zastosowaniach praktycznych biometrię wykorzystuje się najczęściej do Weryfikacji Tożsamości. Wiąże się z tym stosowanie innej niż w przypadku systemów identyfikacji biometrycznej polityki przechowywania danych oraz ich transferu. Każdy system biometryczny stosuje inne metody wyznaczania cech biometrycznych, budowania na ich podstawie wzorców i ich późniejszego zabezpieczania, nawet dla tej samej modalności biometrycznej (np. rozpoznawania odcisku palca). Z tych względów każda realizacja rozwiązania biometrycznego musi być oceniana niezależnie, w zakresie samej technologii, jak i realizacji Systemu Zarządzania Tożsamością.
2Biometria w kontekście danych osobowych Dane biometryczne to informacje o osobie, uzyskiwane wskutek wcześniejszego pomiaru właściwości cech fizycznych (np. odcisk palca, wzór naczyń krwionośnych palca, dłoni) lub cech zachowania człowieka (w naukowym słownictwie biometrycznym zamiast cech zachowania używa się sformułowania cechy behawioralne, np. głos, podpis odręczny). O danych biometrycznych można mówić w znaczeniu szerokim i wąskim. Pierwsze z nich obejmuje tzw. próbki biometryczne, czyli surowe (nieprzetworzone) dane (np. obraz odcisku palca). Węższe znaczenie danych biometrycznych obejmuje tzw. wzorce biometryczne, wyznaczane na podstawie próbek biometrycznych i zawierające informacje o tożsamości osoby z pominięciem innego typu informacji mogących zaburzyć proces weryfikacji. Wzorzec biometryczny stanowi więc identyfikator jednostki, zapisywany zwykle na karcie mikroprocesorowej lub w centralnej bazie danych, wykorzystywany w systemie biometrycznym podczas weryfikacji tożsamości. Próbki biometryczne i wzorce biometryczne nie zawierają zatem tych samych informacji (poza nielicznymi metodami biometrii, gdzie pojedyncza próbka lub zbiór próbek stanowi wzorzec biometryczny). Ponieważ celem biometrii jest niezawodne rozpoznanie i/ lub weryfikacja tożsamości osoby, wzorce biometryczne budowane są w taki sposób, aby zawierały jak najmniej informacji niezwiązanych z tożsamością weryfikowanej osoby. Dzięki tym właściwościom biometrii odtworzenie danych wrażliwych, niezwiązanych z tożsamością z wykorzystaniem wzorców biometrycznych jest najczęściej niemożliwe. Istnieje wiele wymagań 8, którymi objęty jest system biometryczny, wprowadzonych w celu zapewnienia, aby procesy weryfikacji lub identyfikacji biometrycznej były odpowiednio zabezpieczone. Dotyczą one m.in.: zabezpieczenia wzorca biometrycznego (przechowywanie, transmisja), fizycznego i logicznego zabezpieczenie czytnika biometrycznego, zabezpieczenia systemu informatycznego powiązanego z systemem biometrycznym, przygotowania odpowiednich procedur i zasad dotyczących korzystania z systemu biometrycznego, edukowania personelu pobierającego dane biometryczne, jak i edukowania użytkowników. Wymagania te są szczegółowo opisane w normie ISO 19092, poświęconej bezpieczeństwu systemów biometrycznych, wydanej w 2008 r. Kluczowym elementem jest zabezpieczenie wzorców biometrycznych, tak aby zminimalizować ryzyko odtworzenia informacji wrażliwych na podstawie nielegalnie pozyskanych danych biometrycznych lub uniemożliwić ponowne, nielegalne, wykorzystanie wzorców w systemach weryfikacji. Podstawowym zabezpieczeniem jest szyfrowanie wzorców i stosowanie znanych, bezpiecznych protokołów transmisji danych biometrycznych. Czytniki biometryczne biorące udział w procesie uwierzytelniania biometrycznego powinny być również odpowiednio zabezpieczone. Do takich zabezpieczeń zaliczyć można m.in. 9 : testowanie żywotności lub braku żywotności (np. palca, dłoni, gałki ocznej), fizyczne zabezpieczenie czytnika przed włamaniem (ingerencją w czytnik), np. przez blokady i pieczęci, logiczne blokady antywłamaniowe, które po wykryciu otwarcia obudowy kasują wszelkie informacje wrażliwe z czytnika biometrycznego i przechodzą w stan wstrzymania, logiczne parowanie z hostem (komputerem PC, bankomatem), bazujące na wymianie podpisów elektronicznych, uniemożliwiające nieautoryzowane podłączenie czytnika do innej stacji roboczej, wbudowane szyfratory zabezpieczające transmisje wzorców biometrycznych. Można stosować inne techniki zabezpieczania danych biometrycznych, korzystające z natury tych danych (np. odrzucanie wzorców zbyt podobnych lub identycznych z wzorcem referencyjnym podczas ich porównywania, stosowanie metod parametrycznych generujących inne wzorce biometryczne dla każdej transakcji, które są bezużyteczne w momencie kradzieży, itp.). Należy zwrócić uwagę na możliwość połączenia biometrii z infrastrukturą klucza publicznego (PKI) 10, dzięki czemu uzyskuje się dodatkowy poziom zabezpieczeń (silne i dwuczynnikowe uwierzytelnianie). Biometria stanowi w tym przypadku zabezpieczenie dostępu do klucza prywatnego w systemie PKI. Ma to zastosowanie przede wszystkim w systemach bankowości internetowej. Zatem danymi biometrycznymi przechowywanymi w systemach biometrycznych są najczęściej odpowiednio zabezpieczone (tzn. tak aby ich ewentualna kradzież w celu weryfikacji osoby wymagała niewspółmiernych do oczekiwanego efektu środków) wzorce biometryczne. Należy podkreślić, że systemy bazują na przetwarzaniu zabezpieczonych wzorców biometrycznych. Celem przechowywania w systemach zabezpieczonych danych biometrycznych jest umożliwienie automatycznego, bezpośredniego uwierzytelniania tożsamości 11. Zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 ze zm.) dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej 12. Ze względu na to, iż dane biometryczne co do zasady spełniają przesłanki przewidziane w definicji legalnej danych osobowych, ich status prawny w większości przypadków uregulowany będzie przez wspomnianą wyżej ustawę oraz ustawy szczególne 13. Nie można jednak uznać, że z założenia wszystkie dane biometryczne będą wymagały takiej samej ochrony jak dane osobowe, ze względu na konieczność sprawdzenia kilku dodatkowych przesłanek 14, przewidzianych przez ustawę o ochronie danych osobowych oraz wynikających ze specyficznych właściwości poszczególnych biometrii i zastosowanych metod zabezpieczeń wzorców biometrycznych.
3Dane biometryczne i ich rodzaje Za dane osobowe ustawa uznaje wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Kluczowym elementem umożliwiającym udzielenie odpowiedzi na pytanie czy wszystkie dane biometryczne są danymi osobowymi będzie zbadanie skutku, chociażby potencjalnego, wynikającego z wykorzystania poszczególnych danych biometrycznych w postaci możliwości identyfikacji tożsamości na podstawie danych biometrycznych. Wszystkie dane dotyczące jednostki dokonują opisu cech, stanów czy sytuacji jednostki i jej życia. Nie każde jednak spośród nich, mimo że w pewnych przypadkach ukazują fragmenty życia, adresy, kody i hasła pozwalające pod pewnymi warunkami na rozpoznanie tożsamości, będą danymi osobowymi. Otóż dopiero dane dające możliwość identyfikacji tożsamości dla osób spoza kręgu osób najbliższych, dla bardziej powszechnego gremium, a nie tylko dla wąskiej grupy wybranych podmiotów, będą mogły być danymi osobowymi. Takim przykładem może być tutaj system AFIS (skrót od Automatic Fingerprint Identification System automatyczny system identyfikacji odcisku palca), oparty na biometrii odcisku palca, powszechnie wykorzystywany przez policję i służby specjalne. Pobierane odciski palców (np. z przedmiotów) z miejsca zdarzenia lub na granicach państw są następnie porównywane z bardzo dużymi bazami zdjęć odcisków palca. Stanowią one także dowód w śledztwie. Można zatem stwierdzić, że w tym przypadku odcisk palca może być uznany za daną osobową, o ile istniałaby możliwość dostępu do systemu AFIS. Systemy AFIS oparte na biometrii odcisku palca są jednakże przypadkiem wyjątkowym i należy traktować je w sposób szczególny. Należy w tym miejscu podkreślić również, że systemy AFIS nie mają zastosowań w bankowości. Możliwość identyfikacji musi mieć zatem rozsądne ramy i dawać realną ekspektatywę do precyzyjnego bezpośredniego lub pośredniego ustalenia tożsamości, bez wykorzystania dysproporcjonalnych do efektu środków. Ustawodawca zauważa tego typu problematykę i zakłada, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań 15. W takim przypadku nie będziemy mieli do czynienia z danymi osobowymi. Systemy mogą więc korzystać z odpowiednio zabezpieczonych danych biometrycznych, które po sprawdzeniu testem proporcjonalności nie będą wypełniały przesłanek, które przewidziane zostały przez normy definiujące dane osobowe. Dlatego też, mając na uwadze powyższe, uznać należy, że nie powinno się apriorycznie zakładać, że wszystkie dane biometryczne będą lub też nie będą danymi osobowymi. Należy więc każdorazowo, ad casum, sprawdzać, czy dzięki nim możliwe jest rozpoznanie danej osoby, bez użycia nadmiernych nakładów (kosztów, czasu lub działań). Oceniając tzw. nieproporcjonalność nakładów należy uwzględnić: 1. Nakłady potrzebne do dostępu do systemu biometrycznego umożliwiającego porównanie posiadanego wzorca biometrycznego z innym wzorcem lub bazą wzorców. 2. Nakłady potrzebne do odtworzenia oryginalnych surowych danych na podstawie wzorca. 3. Nakłady potrzebne do przygotowania danych biometrycznych pozwalających na pozytywną odpowiedź systemu biometrycznego. 4. Nakłady potrzebne do przygotowania fałszywych obiektów (np. sztuczny palec, sztuczna tęczówka) lub imitacji zachowań pozwalających na pozytywną odpowiedź systemu biometrycznego. Systemy biometrycznej identyfikacji, z uwagi na konieczność istnienia szybkich algorytmów pozwalających na przeszukiwanie całej populacji biometrycznej oraz ich współpracy z centralnymi repozytoriami danych biometrycznych, stwarzają teoretycznie większe zagrożenie związane z możliwością nielegalnej identyfikacji. Dlatego można przyjąć, iż systemy wykorzystujące biometrię tylko do weryfikacji tożsamości są bezpieczniejsze. Należy jednak podkreślić, iż ocena konkretnego systemu, a na pewno typu biometrii w nim zastosowanej, nie może być podyktowana tylko i wyłącznie typem systemu (system weryfikacji czy identyfikacji biometrycznej) i konieczna jest analiza bezpieczeństwa takiego systemu w danym scenariuszu. Ponadto kwestią szczególnej uwagi powinien być sposób powiązania danych biometrycznych z innymi danymi. Mogą istnieć bowiem niebezpieczne systemy, które gromadzą dane osobowe razem z innymi danymi dotyczącymi jednostki. W świetle rekomendacji 25 Best Practices for Privacy-Sympathetic Biometric Deployment 16, wydanych przez International Biometric Group 17, powiązanie danych biometrycznych z innymi, zewnętrznymi danymi, zawartymi w innych zbiorach powinno być ograniczone do niezbędnego minimum 18. Równocześnie użyteczny w tym miejscu wydaje się podział na dane pochodzące od osoby (person-related detail = derived from the body) 19 oraz dane osobowe (personal detail = can be traced back to a person) 20. Nie za każdym razem dane pochodzące od osoby (np. dane biometryczne) będą danymi osobowymi. Mogą bowiem istnieć rozwiązania wykorzystujące dane dotyczące osoby, które mają charakter anonimowy 21, tzn. wzorce biometryczne nie są powiązane z innymi danymi pozwalającymi na weryfikację i/lub identyfikację osoby. Wykorzystywanie takich rozwiązań nie powoduje powstania zagrożeń dla prywatności i dopuszczalne jest w świetle regulacji 22, obowiązujących na poziomie europejskim. Ponadto istnienie systemów semi-anonimowych (półanonimowych), w których istnieje jeden podmiot (np. wydawca kart biometrycznych) 23, który na podstawie danych biometrycznych może ustalić tożsamość osoby, zakłada, że dla wszystkich innych podmiotów system taki nadal ma charakter anonimowy. Jest tak dlatego, że przy założeniu zapewnienia odpowiedniej ochrony danych i ujawnianiu
odpowiednio zabezpieczonych danych, jedynie uprawnionym podmiotom na podstawie precyzyjnego przepisu prawa lub wyroku sądu, nadal dla wszystkich pozostałych podmiotów/organów weryfikacja biometryczna sprowadza się do tego, że wiedzą one, iż uwierzytelniana osoba jest osobą właściwą, lecz nie wiedzą one, kim ona jest 24. Wydaje się, że prawo jednakowo traktuje dane biometryczne, co oznacza, że formułuje generalną i abstrakcyjną normę określającą warunki dla kwalifikacji poszczególnych danych jako dane osobowe. Inną kwestią pozostaje to, że przy jednakowo określonych warunkach nie każda dana biometryczna będzie daną osobową, gdyż nie każde rozwiązanie biometryczne w wyniku dokonywanej subsumpcji będzie wypełniało hipotezę normy określającej wymogi danych osobowych. Tak więc prawo nie tworzy kazuistycznych przypadków dla danych osobowych. Formułuje ogólne zasady, a różna kwalifikacja poszczególnych danych biometrycznych wynika z zastosowanych zabezpieczeń tych danych i związanych z nimi możliwościami identyfikacji i/lub weryfikacji tożsamości osoby fizycznej. W systemach biometrycznych istnieje wiele zabezpieczeń chroniących dane biometryczne i odpowiednio zabezpieczających procesy weryfikacji i identyfikacji. Wśród nich wymienić można m.in.: szyfrowanie wzorców biometrycznych, szyfrowanie transmisji wzorców biometrycznych, badanie żywotności lub braku żywotności (np. poprzez badanie pulsu, temperatury), zabezpieczenie antywłamaniowe czytników biometrycznych, logiczne parowanie czytników biometrycznych z komputerem. Oceniając w tym kontekście wskazany przykład głosu bazującego na biometrii głosowej, należy pamiętać, że tego typu surowe dane biometryczne nie są kluczami do zabezpieczeń biometrycznych, a jedynie budulcami wzorców biometrycznych. Jak wskazują eksperci, głos i budowa kanału głosowego jest unikalna dla każdego człowieka 25. Dlatego też, możliwe jest na tej podstawie, przeprowadzenie precyzyjnego rozpoznania tożsamości osoby fizycznej. System nie porównuje jednak barwy głosu, ale zaszyfrowany, tak jak w przypadku odcisków palców, wzorzec biometryczny, utworzony na podstawie wybranych, charakterystycznych dla danej osoby cech. Warto w tym miejscu podkreślić, iż w przypadku biometrii głosowej, jak i w wielu innych metodach biometrycznych, spotykanych w zastosowaniach praktycznych, stosuje się głównie w celach weryfikacji tożsamości. Tak więc w procesie uwierzytelnienia niezbędne będzie podanie co najmniej dwóch parametrów: próbki biometrycznej i dodatkowego identyfikatora przynależnego do tej osoby. Kolejnym przykładem są bankomaty biometryczne, gdzie dopiero po wprowadzeniu identyfikatora (z klawiatury np. nr PESEL lub poprzez kartę i/lub dane na niej zawarte), tj. deklaracji tożsamości, następuje weryfikacja za pomocą biometrii (przede wszystkim z wykorzystaniem biometrii naczyń krwionośnych palca). Ponadto warto pamiętać, że w biometrii głosowej wzorzec biometryczny nie jest nagraniem głosowym 26 i na podstawie wzorca głosowego odtworzenie nagrania jest praktycznie niemożliwe. W biometrii głosowej, podobnie jak w innych biometriach, stosuje się wiele zabezpieczeń wbudowanych w proces uwierzytelniania właściwy dla danej biometrii. I tak np. dla biometrii głosowej stosuje się zabezpieczenia przed atakiem odtworzeniowym, stosuje się metody dynamicznych zapytań o wypowiedzi lub dodatkowe hasła głosowe znane tylko dla właściciela danego wzorca biometrycznego. To tylko nieliczne metody stosowane podczas weryfikacji tożsamości przed dokonaniem transakcji wysokiego ryzyka. Zaletą tej konkretnej biometrii jest możliwość wykorzystania jej na odległość poprzez rozpowszechnioną sieć telefoniczną czy komórkową. W biometriach naczyniowych wykorzystywanych przede wszystkim w bankomatach i oddziałach bankowych stosuje się zaawansowane mechanizmy testowania żywotności, szyfrowania wzorców biometrycznych czy też logiczne i fizyczne zabezpieczenia czytników biometrycznych (logiczne parowanie, blokady antywłamaniowe). Metody zabezpieczeń przed atakami na system biometryczny powinny być wpisane w politykę bezpieczeństwa danej firmy. Dobrym drogowskazem jest tu odniesienie się do normy ISO 19092. Skoro więc, jak pokazuje praktyka, jeśli: technologie biometryczne gwarantują wysoki poziom bezpieczeństwa, powiązane z nimi systemy biometryczne są odpowiednio zabezpieczone i niemożliwe jest dla osób postronnych ustalenie tożsamości, ewentualne próby dokonania tego są niemożliwe lub wymagają dysproporcjonalnych nakładów, ze względu na brak zagrożeń prywatności, nie ma potrzeby obejmowania wzorców biometrycznych ochroną przewidzianą dla danych osobowych. Odpowiednim źródłem określających bezpieczeństwo danej technologii biometrycznej są niezależne, międzynarodowe raporty przygotowane przez niezależne organizacje badawcze. Przykładem może być tutaj organizacja International Biometric Group, wydająca okresowo raporty porównujące (Comparison Report) oraz instytuty badawcze, jak Fraunhofer FOKUS w Niemczech. Wspomniane raporty prezentują niezależne testy technologiczne lub testy w scenariuszach zastosowań, bardzo ważne w testowaniu systemów biometrycznych. Warto również pamiętać o trzecim poziomie testowania biometrii, czyli o tzw. testach operacyjnych. Testy takie są przeprowadzane w realnych warunkach zastosowań danego systemu i biorą pod uwagę docelową populację, urządzenia, procesy oraz działania personelu obsługującego, dlatego pozwalają na najlepszą ocenę badanego systemu. Właściwym źródłem zasad testowania systemów biometrycznych na trzech wymienionych poziomach są normy ISO/IEC 19795-x oraz ANSI/INCITS 409.x.
3.1. Przetwarzanie i szyfrowanie wzorców biometrycznych Przetworzenie surowych danych biometrycznych (próbek biometrycznych) do postaci wzorca biometrycznego jest czynnością mającą na celu znalezienie i zachowanie tylko takich cech próbki, które pozwolą na weryfikację i/lub identyfikację tożsamości. Takie postępowanie ma dodatkowo korzyści związane z mniejszą ilością informacji niezbędną do przetwarzania podczas uwierzytelnienia tożsamości. Wzorce biometryczne przechowywane w systemach biometrycznych są zazwyczaj zabezpieczane (np. szyfrowane). To dodatkowe zabezpieczenie powinno być oceniane w świetle art. 6 ust. 3 Ustawy o ochronie danych osobowych. Dlatego też, nie powinno się traktować w ten sam sposób surowych danych oraz zabezpieczonych wzorców biometrycznych. Ponadto odtworzenie informacji niezwiązanych z tożsamością osoby (np. pochodzenia etnicznego, przynależności religijnej, informacji o przebytych chorobach) bezpośrednio ze wzorca biometrycznego jest bardzo trudne lub niemożliwe (nawet gdy wzorzec biometryczny nie jest zabezpieczony). 3.2. Różnice w ocenie metod biometrycznych Jedno z najczęściej pojawiających się pytań w zakresie oceny metod biometrycznych brzmi: czy wykorzystanie biometrii bazującej na danych znajdujących się wewnątrz ludzkiego ciała i nieumożliwiających śledzenie (non-tracable biometrics), np. biometrii naczyń krwionośnych palca, może być rozpatrywane w ten sam sposób jak wykorzystanie biometrii odcisku palca, bazującej na danych zewnętrznych i umożliwiających śledzenie (traceable biometrics)? Elementami różnicującymi powyższe sytuacje są możliwości wykorzystania danych biometrycznych bez wiedzy użytkownika i zagrożenia dla jego prywatności. Pierwsza z biometrii nie daje takiej sposobności, wykluczając ją, natomiast druga jest całkowicie możliwa. Jak widać prima facie poziom ryzyka pozyskania danych, a następnie użycia cech do złamania zabezpieczeń biometrycznych jest znacząco różny. Wydaje się, że brak możliwości pobrania wzorca biometrycznego i śledzenia bez wiedzy i świadomości użytkownika będzie mogło być zakwalifikowane jako sytuacja wymagająca nadmiernych kosztów oraz działań. Takie dane nie będą więc danymi osobowymi. Sytuacja druga pozwalająca na dużo łatwiejsze uzyskanie wzorca i podrobienie cechy biometrycznej będzie traktowana odmiennie, wypełniając warunki ustawy o ochronie danych osobowych dotyczące danych osobowych. Ze względu więc na różny wynik testu proporcjonalności odmienna będzie kwalifikacja biometrii. Tego typu spojrzenie na kwestię biometrii potwierdza decyzja z dnia 20 listopada 2007 r. wydana przez The Commission national de l informatique et des libertés (CNIL) francuskiej komisji zajmującej się ochroną danych osobowych i prywatności obywateli, która w kontekście wykorzystywania technologii (biometrii naczyń krwionośnych palca), uniemożliwiających pozyskanie wzorca bez wiedzy właściciela danej charakterystyki biometrycznej uznała, że nie stanowią one zagrożenia dla ochrony danych osobowych i prywatności i tym samym autoryzowała tego typu rozwiązania. 3.3. Przechowywanie danych biometrycznych Przechowywanie wzorca biometrycznego może mieć miejsce w centralnej bazie danych lub na karcie mikroprocesorowej. W przypadku centralnej bazy danych jej administrator uzyskuje dostęp do danych w niej gromadzonych. Umieszczenie wzorca na karcie oznacza, że jedynym posiadaczem wzorca biometrycznego jest posiadacz karty, jednocześnie właściciel charakterystyki biometrycznej 27, na podstawie której utworzono wzorzec. Jedynym momentem, kiedy dane biometryczne mogą być w posiadaniu innej osoby niż ich posiadacz, jest chwila wgrywania danych na kartę mikroprocesorową. Tylko ten etap można by traktować jako moment przetwarzania danych osobowych, biorąc pod uwagę szerokie ujęcie tego procesu, oznaczające jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W przypadku rozwiązań opartych na technologiach match-on-card, nawet podczas procesu rejestracji danych biometrycznych po zapisaniu ich na karcie mikroprocesorowej nie opuszczają one pokładu karty i nie trafiają do centralnych zasobów systemu IT banku 28. Biorąc pod uwagę powyższe, stwierdzić należy, że zagrożenie dla bezpieczeństwa danych biometrycznych jest znikome ze względu na znaczne trudności w dokonywaniu jakichkolwiek operacji na danych biometrycznych zgromadzonych na karcie przez osoby niepowołane. Ponadto skutki ewentualnego ataku na system centralny i system karty będą znacząco różne. Dlatego też uzasadnione jest odmienne traktowanie systemów biometrycznych w zależności od sposobu przechowywania danych biometrycznych w tych systemach. 3.4. Pojęcie nieproporcjonalnie duże nakłady Pojęcie nieproporcjonalnie duże nakłady użyte w art. 6 ust 3 sformułowanie jest klauzulą generalną, której treść trudno jednoznacznie zdefiniować. Tego typu zwroty niedoprecyzowane, mimo niejednoznacznej konotacji, powinny mieć jednak możliwą do sprecyzowania denotację, tzn. sprawdzenie, czy dany przypadek w ramach luzu decyzyjnego przyznanego podmiotowi dokonującemu wykładni lub subsumpcji będzie zakwalifikowany jako mieszczący się w danej klauzuli. Mając na uwadze pewnego rodzaju arbitralność i dyskusyjność przedstawianych w tym punkcie rozwiązań, należy przyjąć, że surowe dane biometryczne oraz ich przetworzone do postaci wzorców prokreacje są danymi osobowymi, natomiast odpowiednio zabezpieczone wzorce