Grupa Robocza Art. 29 ds. Ochrony Danych 1710/05/PL-rev WP 112 04/09/12 Opinia 3/2005 w sprawie wprowadzenia w życie rozporządzenia Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie (Dziennik Urzędowy L 385 z 29.12.2004, str. 1-6) Przyjęta dnia 30 września 2005 r. Grupa robocza powołana na mocy art. 29 dyrektywy 95/46/WE Jest niezależnym europejskim organem doradczym w zakresie ochrony danych i prywatności, którego zadania określają przepisy art. 30 dyrektywy 95/46/WE i art. 14 dyrektywy 97/66/WE Obsługę sekretariatu zapewnia Dyrekcja C (Sądownictwo Cywilne, Prawa i Obywatelstwo) Dyrekcji Generalnej ds. Sprawiedliwości, Wolności i Bezpieczeństwa Komisji Europejskiej, B-1049 Bruksela, Belgia, Biuro nr LX-46 01/43 Strona internetowa: http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm
Spis treści 1. Wstęp... 3 1.1. Zagadnienia ogólne... 3 1.2. Tło historyczne i kontekst rozporządzenia Rady (WE) nr 2252/2004... 4 1.3. Poprzednia Opinia Grupy Roboczej... 5 1.4. Rezolucja Międzynarodowej konferencji rzeczników ochrony prywatności i danych osobowych... 7 2. Stosowanie danych biometrycznych w paszportach i dokumentach podróży oraz dowodach tożsamości... 7 2.1. Uwagi ogólne... 7 2.2. Etyczne zagrożenia zastosowania danych biometrycznych w paszportach i dokumentach podróży oraz dowodach tożsamości... 8 2.3. Prawne aspekty zastosowania biometryki... 9 a) Zastrzeżenia, jakie budzi scentralizowana europejska bądź krajowa baza danych biometrycznych... 9 b) Wyłączny dostęp do danych biometrycznych zarezerwowany dla upoważnionych organów... 9 2.4. Aspekty techniczne... 10 a) Wprowadzenie cyfrowego obrazu twarzy... 11 b) Wprowadzanie dodatkowych cech biometrycznych w szczególności odcisków palców... 11 3. Wnioski... 12 2/13
Opinia 3/2005 w sprawie wprowadzenia w życie rozporządzenia Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie (Dziennik Urzędowy L 385 z 29.12.2004, str. 1-6) GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH powołana dyrektywą 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 1, uwzględniając art. 29, art. 30 ust. 1 lit. c) oraz art. 30 ust. 3 tej dyrektywy, uwzględniając własny regulamin wewnętrzny, w szczególności jego art. 12 i 14, PRZYJMUJE NINIEJSZĄ OPINIĘ: 1. Wstęp 1.1. Zagadnienia ogólne Grupa Robocza podkreślała w swoim dokumencie roboczym o biometryce 2, że szybki postęp w zakresie technologii biometrycznych i ich coraz szersze zastosowanie obserwowane w ostatnich latach wymagają bliższego zbadania w kontekście ochrony danych. Powszechne i niekontrolowane wykorzystanie biometryki rodzi niepokój co do ochrony fundamentalnych praw i wolności obywatelskich. Są to dane o szczególnym charakterze, jako że odnoszą się bezpośrednio do behawioralnych i fizjologicznych cech danej osoby i pozwalają na jej absolutnie jednoznaczną identyfikację. Od czasu wyrażenia tych podstawowych spostrzeżeń dotyczących biometryki, rozwój prawodawstwa w tej dziedzinie przebiegał szybko. Na szczycie Rady Europejskiej w Salonikach w dniach 19-20 czerwca 2003 r. potwierdzona została potrzeba przyjęcia przez Unię Europejską spójnego podejścia w dziedzinie identyfikatorów i danych biometrycznych w dokumentach obywateli państw trzecich, paszportów obywateli UE oraz systemów informatycznych (VIS oraz SIS II). Jesienią 2003 r. Komisja Europejska złożyła projekt rozporządzenia Rady zmieniającego rozporządzenia (WE) 1683/95 oraz 1030/2002 określające jednolity format odpowiednio: wiz i zezwoleń na pobyt dla obywateli państw trzecich. 1 Dziennik Urzędowy L 281 z 23.11.1995, str. 31, dostępny na stronie: http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm. 2 MARKT/10595/03/EN WP 80, dokument przyjęto 1.8.2003. 3/13
1.2. Tło historyczne i kontekst rozporządzenia Rady (WE) nr 2252/2004 Dnia 18 lutego 2004 r. Komisja Europejska przedłożyła projekt rozporządzenia o standardach zabezpieczeń i danych biometrycznych w paszportach obywateli UE 3. Celem wniosku było lepsze zabezpieczenie paszportów w drodze prawnie wiążącego instrumentu określającego zharmonizowane standardy zabezpieczeń, a zarazem ustanowienie wiarygodnego potwierdzenia związku pomiędzy prawowitym posiadaczem dokumentu tożsamości a samym dokumentem poprzez wprowadzenie identyfikatorów biometrycznych. Dodatkowo pozwoliłoby to Państwom Członkowskim spełnić wymogi programu znoszenia wiz do USA przy zachowaniu międzynarodowych standardów. W projekcie tym Komisja Europejska proponuje obowiązkowe zastosowanie w paszportach i innych dokumentach podróży nośnika informacji z podobizną posiadacza. Państwa Członkowskie zostały uprawnione na mocy prawodawstwa krajowego do stosowania odcisków palców w paszportach. Ponadto Komisja Europejska zaproponowała, aby identyfikatory biometryczne przechowywano na nośniku o dostatecznie dużej pojemności. Mógłby on mieć formę bezkontaktowego mikroprocesora lub innego rodzaju nośnika o wymaganej pojemności. Szczegóły techniczne mieliby ustalić specjaliści odpowiedzialnego komitetu. Projekt rozporządzenia przewiduje również możliwość przechowywania odcisków palców w krajowej bazie danych, mając na uwadze przyszły ogólnoeuropejski rejestr wydanych dokumentów. Latem 2004 r. projekt ten wszedł pod obrady Grupy Roboczej ds. Wiz. W dniu 6 października 2004 r. został omówiony w trakcie obrad Strategicznego Komitetu ds. Imigracji, Granic i Azylu (SCIFA), który następnie przedłożył go Parlamentowi Europejskiemu. W ostatecznej wersji projekt przewidywał cyfrowy obraz twarzy jako pierwszą i obowiązkową cechę identyfikatora biometrycznego, zaś odciski palców jako cechę dodatkową i nieobowiązkową. W wyniku obrad Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (WSiSW) w dniach 25-26 października 2004 r. do tekstu wniosku wprowadzono zmiany przewidujące obowiązkowe stosowanie obu wspomnianych cech. 4. Prawnie niewiążąca rezolucja legislacyjna Parlamentu Europejskiego w sprawie projektu Komisji dotyczącego rozporządzenia Rady w sprawie norm dla funkcji bezpieczeństwa i biometrii w paszportach obywateli UE 5 została przegłosowana 2 grudnia 2004 r. przy 471 głosach za, wobec 118 przeciw i sześciu wstrzymujących się. Parlament opowiada się za wprowadzeniem paszportów zawierających obraz twarzy posiadacza, uzasadniając, że fałszowanie dokumentów zawierających ten element biometryczny zostanie tym samym utrudnione. Jak argumentuje Parlament, te dane biometryczne pozwolą na ustalenie ponad wszelką wątpliwość, że osoba legitymująca się paszportem jest istotnie jego prawowitym posiadaczem. Parlament odrzucił natomiast wniosek dotyczący obowiązkowego wprowadzenia odcisków palców oraz utworzenia centralnej bazy wystawianych w UE paszportów i dokumentów podróży, twierdząc że wprowadzenie elementów danych biometrycznych nie powinno naruszać prawa do prywatności i ochrony danych. We wspomnianej rezolucji legislacyjnej z dnia 2 grudnia 2004 r. stwierdza się, że dane 3 4 5 Dokument COM(2004)116-wersja ostateczna odnotowany w Dz.U. C 98 z dnia 23 kwietnia 2004 r., str. 39. Patrz: dokument Rady 15139/2004. Rezolucja legislacyjna Parlamentu Europejskiego w sprawie projektu Komisji dotyczącego rozporządzenia Rady w sprawie norm dla funkcji bezpieczeństwa i biometrii w paszportach obywateli UE (COM(2004)0116 C5-0101/2004 2004/0039(CNS)); tekst polski: http://www.europarl.eu.int/omk/sipade3?same_level=1&level=2&nav=x&detail=&pubref=- //EP//TEXT+TA+P6-TA-2004-0073+0+DOC+XML+V0//PL 4/13
biometryczne w paszportach powinny być używane wyłącznie do celów potwierdzenia autentyczności dokumentu i tożsamości okaziciela, i że powinny one być zapisane na nośniku informacji o wystarczającej pojemności i wysokim poziomie bezpieczeństwa oraz zdolności zagwarantowania integralności, autentyczności i poufności przechowywanych danych. W rezolucji mówi się również o tym, że dostęp do danych biometrycznych mogą mieć wyłącznie te organy Państw Członkowskich, które są uprawnione do odczytywania, zapisywania, modyfikacji i usuwania danych biometrycznych. Co więcej, Parlament wprowadził poprawkę do proponowanego rozporządzenia, w której stwierdza, że nie zostanie utworzona żadna centralna baza danych paszportów i dokumentów podróży Unii Europejskiej, zawierająca dane biometryczne i inne dane wszystkich posiadaczy paszportów UE. Według sprawozdania z prac Komisji ds. Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Parlamentu Europejskiego z dnia 25 października 2004 r., utworzenie scentralizowanej bazy danych wiązałoby się z pogwałceniem celu i zasady proporcjonalności, wzmagając jednocześnie ryzyko nadużyć i wykorzystania niezgodnego z przeznaczeniem. Zwiększałoby ono wreszcie ryzyko używania identyfikatorów biometrycznych jako klucza dostępu do rozmaitych baz danych, powodując tym samym wzajemne powiązanie zbiorów danych. Rozporządzenie Rady (WE) nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w dokumentach podróży wydawanych przez Państwa Członkowskie zostało przyjęte dnia 13 grudnia 2004 r. na podstawie projektu Rady WSiSW przyjętego w dniach 25-26 października 2004 r 6. Rozporządzenie Rady przewiduje umieszczanie cyfrowego obrazu twarzy jako pierwszej i obowiązkowej cechy identyfikatora biometrycznego, a odciski palców jako cechę drugą i nieobowiązkową. Rada nie uwzględniła zmian proponowanych przez Parlament. Na mocy art. 6 rozporządzenie weszło w życie z dniem 18 stycznia 2005 r. Artykuł 6 rozporządzenia stanowi ponadto, iż Państwa Członkowskie stosują je: a) w odniesieniu do obrazu twarzy: nie później niż po upływie 18 miesięcy; b) w odniesieniu do odcisków palców: nie później niż po upływie 36 miesięcy; od przyjęcia środków określonych w art. 2. Komisja Europejska przyjęła 28 lutego 2005 r. Decyzję ustalającą specyfikacje norm zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie 7, powołując się na art. 2 rozporządzenia Rady (WE) nr 2252/2004. 1.3. Poprzednia Opinia Grupy Roboczej Przewodniczący Grupy Roboczej Art. 29 wystosował 18 sierpnia 2004 r. pismo do: przewodniczącego Parlamentu Europejskiego, przewodniczącego Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE), Sekretarza Generalnego Rady Unii Europejskiej, przewodniczącego Komisji Europejskiej, dyrektorów generalnych 6 7 Dziennik Urzędowy L 385 opublikowany 29.12.04, str. 1-6. Patrz: dokument C 2005/409 wersja ostateczna (dotychczas niepublikowany w Dzienniku Urzędowym). 5/13
DG ds. Przedsiębiorstw oraz DG ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych. Wskazał w nim następujące konkretne propozycje: 8, 1. Grupa Robocza jest zdecydowanie przeciwna przechowywaniu danych, w tym biometrycznych, wszystkich posiadaczy paszportów wydanych w UE w scentralizowanej bazie europejskich paszportów i dokumentów podróży. 2. Określony w rozporządzeniu cel wprowadzenia danych biometrycznych w paszportach i dokumentach podróży oraz dowodach tożsamości powinien być jednoznaczny, odpowiedni, proporcjonalny i jasny. 3. Państwa Członkowskie winny zadbać od strony technicznej o to, by paszporty zawierały dostatecznie pojemny nośnik danych zapewniający spójność, autentyczność i poufność zapisanych danych. 4. Rozporządzenie powinno ściśle określić, kto i w jakim celu może uzyskać dostęp do takiego nośnika (do odczytywania, zapisywania, modyfikacji i usuwania danych). 5. Państwa Członkowskie utworzą rejestr właściwych w tym względzie organów. Przewodniczący zwrócił przy tym uwagę, iż elementy zabezpieczające paszporty i dokumenty podróży powinny być ważne i sprawne do upłynięcia terminu ważności danego dokumentu. Podmioty wystawiające takie dokumenty odpowiadają za spełnienie stosownych norm bezpieczeństwa i za konieczną infrastrukturę. Obywatele nie mogą ponosić konsekwencji jakichkolwiek uchybień w tej materii występujących w trakcie opracowywania i wystawiania dokumentu albo przed upływem jego ważności. Poza tym zwrócił uwagę na opinię w sprawie biometryki (WP 80) przyjętą przez Grupę Roboczą w dniu 1 sierpnia 2003 r. 9. jak również na opinię w sprawie stosowania cech biometrycznych w wizach i zezwoleniach na pobyt (WP 96) przyjętą 11 sierpnia 2004 r 10. W kolejnym piśmie adresowanym do przewodniczących Komisji LIBE oraz Rady Unii Europejskiej, przewodniczący Grupy Roboczej przytacza argumenty przeciwko drugiej obowiązkowej cesze biometrycznej. Podkreśla, że wprowadzenie dodatkowej cechy biometrycznej rodzi tym bardziej naglącą konieczność utworzenia bezpiecznego i szczelnego systemu dla zabezpieczenia podstawowego prawa do ochrony prywatności. W tym ujęciu należy również rozważyć niedawną opinię Grupy Roboczej Art. 29 (WP 110) przyjętą 23 czerwca 2005 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie Systemu Informacji Wizowej (VIS) oraz wymiany danych pomiędzy Państwami Członkowskimi na temat wiz krótkoterminowych (COM(2004)835 wersja ostateczna) 11. Opinia ta potwierdza stanowisko Grupy Roboczej Art. 29 w dziedzinie 8 9 10 11 Pismo Przewodniczącego Grupy Roboczej Art. 29 do Przewodniczących: Parlamentu Europejskiego, Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE), do Sekretarza Generalnego Rady Unii Europejskiej, Przewodniczącego Komisji Europejskiej i do dyrektorów generalnych DG ds. Przedsiębiorstw oraz DG ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych z dnia 18 sierpnia 2004 r. (niepublikowane) MARKT/10595/03/EN WP 80, przyjęta 1.8.2003. MARKT/11224/04/EN WP 96, przyjęta 11.08.04. MARKT/1022/05/EN. 6/13
biometryki oraz stawia wymóg wprowadzenia odpowiednich zabezpieczeń do systemu VIS w zakresie przetwarzania danych biometrycznych. 1.4. Rezolucja Międzynarodowej konferencji rzeczników ochrony prywatności i danych osobowych Dnia 16 września 2005 r. uczestnicy XXVII Międzynarodowej konferencji rzeczników ochrony prywatności i danych osobowych w Montreux przyjęli rezolucję o stosowaniu biometryki w paszportach, dowodach tożsamości i dokumentach podróży 12. W rezolucji tej wskazano na fakt, iż powszechne stosowanie technologii biometrycznych pociągnie za sobą dalekosiężne skutki dla bezpieczeństwa światowego, powinno zatem stanowić przedmiot globalnej debaty. Uczestnicy konferencji domagają się: 1. wczesnego wprowadzenia skutecznych zabezpieczeń celem ograniczenia zagrożeń związanych nierozerwalnie z samym charakterem biometrii, 2. zapewnienia ścisłego rozgraniczenia pomiędzy danymi biometrycznymi gromadzonymi i przechowywanymi w celach publicznych (np. kontroli granicznej) na podstawie zobowiązań prawnych, a danymi pobieranymi za zgodą w celach umownych, 3. technicznego ograniczenia wykorzystywania danych biometrycznych w paszportach i dowodach tożsamości do celów weryfikacji poprzez porównanie cech dokumentu z danymi posiadacza nim się legitymującego. 2. Stosowanie danych biometrycznych w paszportach i dokumentach podróży oraz dowodach tożsamości Rozporządzenie Rady (WE) nr 2252/2004, art. 1 ust. 2 przewiduje cyfrowy obraz twarzy oraz odciski palców jako obowiązkowe cechy biometryczne zawarte w paszportach obywateli UE. W świetle przepisów art. 6 tego rozporządzenia i w myśl decyzji Komisji C (2005) 409 z dnia 28 lutego 2005 r. Państwa Członkowskie muszą wprowadzić cyfrowy obraz twarzy w paszportach swych obywateli w terminie do 28 sierpnia 2006 r., a odciski palców do 28 lutego 2008 r. Pierwsze tzw. e-paszporty wyposażone w mikroprocesor umożliwiający identyfikację na podstawie częstotliwości radiowej (RFID-chip) zawierający cyfrowy zapis obrazu twarzy mają zostać wydane jesienią 2005 r. Państwa Członkowskie stosujące dowody tożsamości rozważają mozliwość wprowadzenia do nich elementów biometrycznych. 2.1. Uwagi ogólne Wprowadzenie elementów biometryki do paszportów wiąże się z daleko idącymi konsekwencjami dla ich posiadaczy. Dlatego też nie powinno się go dokonywać bez uprzedniej oceny wpływu na ochronę prywatności. Dotychczas wystarczającymi odniesieniami do cech biometrycznych odnotowanymi w paszportach i innych dokumentach podróży były zdjęcia, określenie płci, wzrostu czy koloru oczu. Po wejściu w życie rozporządzenia Rady (WE) nr 2252/2004, dane biometryczne obywateli przybiorą formę cyfrową. Dane te można będzie przechowywać w bazach danych i będą mogły być udostępniane do wielu nieprzewidywalnych celów. 12 http://www.privacyconference2005.org (dotychczas niepublikowana). 7/13
2.2. Etyczne zagrożenia zastosowania danych biometrycznych w paszportach i dokumentach podróży oraz dowodach tożsamości Istnieją liczne zagrożenia etyczne płynące z zastosowania danych biometrycznych w paszportach, innych dokumentach podróży oraz dowodach tożsamości. W październiku 2004 r. ruszył projekt BITE (Etyka Technologii Identyfikacji Biometrycznej) 13, finansowany przez Wspólnotę Europejską w ramach szóstego ramowego programu na rzecz badań i rozwoju technologii (FP6). Cel projektu to przyspieszenie badań oraz zapoczątkowanie publicznej debaty na temat etyki technologii biometrycznych. W czerwcu 2006 r. planuje się rozpoczęcie publicznych konsultacji na ten temat. Kolejna inicjatywa wspierana w ramach unijnego FP6 nosi nazwę FIDIS 14 (Przyszła Tożsamość w Społeczeństwie Informacyjnym). Projekt ten realizuje konsorcjum uniwersytetów i przedsiębiorstw oraz szereg instytucji publicznych i prywatnych. Celem projektu jest określenie wymogów dotyczących przyszłego zarządzania tożsamością w europejskim społeczeństwie informacyjnym oraz przyczynienie się do rozwoju niezbędnej technologii i infrastruktury 15. Zgodnie z perspektywiczną analizą 16 zleconą przez Komisję LIBE Parlamentu Europejskiego, zasadniczym zabezpieczeniem przy stosowaniu elementów biometryki, do których dostęp jest ograniczony i które nie są w pełni dokładne, powinny być procedury awaryjne. Tego rodzaju procedury powinno się wdrożyć i stosować ze względu na poszanowanie godności osób, od których nie można pobrać danych, oraz aby nie obciążać ich konsekwencjami niedoskonałości systemu 17. Jednym z aspektów dyskusji jest to, że instytucje rządowe i inne organy publiczne będą mogły gromadzić i przechowywać na masową skalę wrażliwe informacje o obywatelach. W tym kontekście szczególnego podkreślenia wymaga fakt, iż gromadzenie danych o cechach biometrycznych sprowadza się do gromadzenia danych o cielesnych cechach obywateli. Inną sprawą jest fakt, iż dane biometryczne w postaci odcisków palców podlegały dotychczas pobieraniu jedynie w sprawach karnych. Powstaje pytanie: czy obywatele Europy są gotowi poddawać się pobieraniu odcisków palców w innych celach? Pozostają dalsze, rozmaite drażliwe kwestie: Może dojść do niesprawiedliwego skoncentrowania skutków działania tego systemu na osobach o stosunkowo trudnej do ustalenia tożsamości, jak imigranci; system mógłby grozić napiętnowaniem osób niepełnosprawnych, których nie można objąć testami biometrycznymi; lub udostępnieniem poufnych danych medycznych. Z praktycznego punktu widzenia, prawa ochrony prywatności różnią się w różnych krajach, co pociąga za sobą oczywiste skutki dla wymiany danych i wzajemnego powiązania baz danych. 13 14 15 oficjalna strona: http://www.biteproject.org/ oficjalna strona: http://www.fidis.net Dwa kolejne projekty: BIOSEC i BIOSECURE, również finansowane w ramach FP6, w pewnym stopniu obejmują te zagadnienia. Bliższe informacje na stronach projektów: http://www.biosec.org i http://www.biosecure. 16 Biometrics at the frontiers: assessing the impact on Society (Biometryka na granicach - ocena skutków społecznych ), luty 2005, Instytut Perspektywicznych Studiów Technologicznych, DG Wspólne Centrum Badawcze, Komisja Europejska. 17 Sprawozdanie z postępów we wprowadzaniu w życie zasad Konwencji 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych biometrycznych (Rada Europy 2005, str.11). 8/13
Co do przechowywania odcisków palców, na szczrgólną uwagę zasługuje omawiana obecnie kwestia związku pewnych wzorów linii papilarnych z występowaniem określonych schorzeń. Przykładowo, pewne formy linii papilarnych miałyby być zależne od właściwego żywienia matki (a z nią: płodu) w ciągu trzeciego miesiąca ciąży 18. Podobnie białaczka i rak piersi wydają się być statystycznie powiązane z pewnymi wzorami linii papilarnych. Brak wszakże jakichkolwiek bezpośrednich lub ścisłych związków w badanych przypadkach. Nie sposób jednak ignorować toczącej się debaty naukowej w tej dziedzinie. 2.3. Prawne aspekty zastosowania biometryki a) Zastrzeżenia, jakie budzi scentralizowana europejska bądź krajowa baza danych biometrycznych Parlament 2 grudnia 2004 r. w drodze decyzji legislacyjnej, zażądał zakazu tworzenia centralnej bazy danych o paszportach i dokumentach podróży Unii Europejskiej, zawierającej biometryczne i inne dane wszystkich posiadaczy paszportów UE. Grupa Robocza popiera ten zakaz, stwierdzając, że zastrzeżenia wobec europejskiej centralnej bazy danych o paszportach i dokumentach podróży Unii Europejskiej są tożsame ze zgłaszanymi w przypadku krajowych centralnych baz danych paszportów i dokumentów podróży, jak również centralnych baz danych dowodów tożsamości. Istnieje groźba naruszenia podstawowej zasady proporcjonalności przez utworzenie scentralizowanej bazy danych osobowych, a w szczególności danych biometrycznych wszystkich obywateli Unii. Każda taka scentralizowana baza wzmagałaby ryzyko niewłaściwego użycia i przywłaszczenia danych, potęgując jednocześnie groźbę nadużyć i wykorzystania niezgodnego z przeznaczeniem. I wreszcie zwiększałoby ryzyko wykorzystywania identyfikatorów biometrycznych jako klucza dostępu do rozmaitych baz danych, służąc tym samym wzajemnemu powiązaniu zbiorów danych. b) Wyłączny dostęp do danych biometrycznych zarezerwowany dla upoważnionych organów Dane biometryczne w paszportach i dokumentach podróży oraz dowodach tożsamości cechuje wysoka wrażliwość. Stąd też należy zapewnić, aby dostęp do danych zapisanych na mikroprocesorze miały jedynie właściwe władze. Dostęp do nich osób nieupoważnionych powinien być niedopuszczalny. W tym celu, Grupa Robocza popiera wniosek Parlamentu Europejskiego, aby każde Państwo Członkowskie prowadziło rejestr właściwych władz i organów upoważnionych, o których mowa w art. 3 rozporządzenia (WE) nr 2252/2004. Państwa Członkowskie przekażą ów rejestr, a w miarę potrzeby jego aktualizacje Komisji, która prowadzić będzie aktualny, dostępny w internecie rejestr ogólny, publikując doroczne zestawienie rejestrów krajowych.w razie nieuznania dokumentu w trakcie kontroli granicznej lub innej kontroli dokonywanej przez właściwe władze, zainteresowane osoby muszą uzyskać informacje o przyczynach nieuznania, o sposobach przedstawienia własnego punktu widzenia oraz o właściwych instancjach odwoławczych. 18 Opracowanie FIDIS: PKI a biometryka, str. 68. 9/13
2.4. Aspekty techniczne Pozostają obszary zagrożeń technicznych rozmaitej natury. Ryzyko wiąże się z zastosowaniem bezkontaktowych mikropocesorów (RFID-chip), jak również z wykorzystaniem zapisanych na nich danych biometrycznych. Parlament Europejski w swej decyzji legislacyjnej z 2 grudnia 2004 wymaga, by paszporty zawierały dostatecznie pojemny, ściśle zabezpieczony nośnik danych zapewniający rzetelność, autentyczność i poufność zapisanych danych. Grupa Robocza popiera ten wymóg 19, Rada jednak go nie uwzględniła. Standard ISO 14443 dotyczący mikroprocesorów bezkontaktowych typu RFID przewidywany rozporządzeniem z 13 grudnia 2004 r. pociąga za sobą liczne zagrożenia dla prawa do prywatności obywateli Unii. Decyzja Komisji z 28 lutego 2005 r 20. nie gwarantuje dostatecznej ochrony praw obywateli, z uwagi na zdalny odczyt, a co za tym idzie groźbę podsłuchania sygnału między mikroporocesorem RFID a czytnikiem i przechwycenia zawartych w nim danych. Zagrożenia, jakie wynikają z wprowadzenia mikroprocesorów typu RFID w paszportach, innych dokumentach podróży lub dowodach tożsamości, jak również czynniki ryzyka związane z przechowywanymi w nich danymi biometrycznymi wymagają odpowiedniej architektury zabezpieczeń, która zapewnia zwiększony poziom poufności wymienianych danych. Z pełną świadomością nieuniknionych trudności w tym względzie, Grupa Robocza dostrzega zatem potrzebę opracowania globalnej kryptografii opartej na infrastrukturze klucza publicznego (PKI). Certyfikat klucza publicznego zawiera dane jego posiadacza. Każdy certyfikat cyfrowy może być jednoznacznie przypisany do osoby, której został wydany. Certyfikaty cyfrowe są równie niepowtarzalne jak numery ubezpieczeń społecznych, kart kredytowych czy numery stosowane w opiece zdrowotnej. Możliwe jest jednak niezgodne z przeznaczeniem użycie certyfikatu cyfrowego w celu pozbawienia posiadacza dostępu do usług. Co więcej, dane generowane w trakcie transakcji przekazywane przy użyciu certyfikatów docelowych mogą być wychwytywane przez narzędzia inwigilujące i elektronicznie przesyłane stronom trzecim lub policji lub innym władzom. Z uwagi na wspomniane zagrożenia koniecznym staje się utworzenie profilu zabezpieczeń (PP) zgodnego ze wspólnymi kryteriami (CC) oceny bezpieczeństwa technologii informatycznych, wersja 2.1 standard ISO 15408. Stanowią one powszechnie akceptowane rozwiązanie w dziedzinie bezpieczeństwa technologii informatycznych. Profil zabezpieczeń opisuje koncepcję bezpieczeństwa informatycznego, która ma spełniać wymogi kompletności, spójności i konsekwencji. Profil zabezpieczeń powinien być opracowany przez Komitet ustanowiony na podstawie art. 5 rozporządzenia (WE) nr 2252/2004. Zgodnie z wnioskami Parlamentu Europejskiego w odniesieniu do zmian przyjętych w formie rezolucji legislacyjnej z 2 grudnia 2004 r., Grupa Robocza proponuje fachowe wsparcie tej Komisji przez ekspertów wybranych przez Grupę Roboczą. 19 20 Pismo Przewodniczącego Grupy Roboczej Art. 29 do Przewodniczących: Parlamentu Europejskiego, Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE), do Sekretarza Generalnego Rady Unii Europejskiej, Przewodniczącego Komisji Europejskiej i do dyrektorów generalnych DG ds. Przedsiębiorstw oraz DG ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych z dnia 18 sierpnia 2004 r. (niepublikowane). Patrz: dokument C 2005/409, wersja ostateczna. 10/13
a) Wprowadzenie cyfrowego obrazu twarzy W myśl decyzji Komisji Europejskiej z 28 lutego 2005 r., Państwa Członkowskie zobowiązane są do wprowadzenia do 28 sierpnia 2006 r. cyfrowego obrazu twarzy do paszportów wydawanych swoim obywatelom Zgodnie z art. 1 oraz punktu 5.2 Załącznika do tej decyzji, Państwa Członkowskie muszą zabezpieczyć dostęp do danych zawartych w mikroprocesorze za pomocą funkcji tzw. podstawowej kontroli dostępu (BAC - ang. Basic Access Control). BAC jest zalecana przez Międzynarodową Organizację Lotnictwa Cywilnego (ICAO), jednak nie jest obowiązkowa 21. Celem BAC jest ochrona przed nieupoważnionym podsłuchem lub zdalnym przechwyceniem danych. Ma ona zagwarantować, że dostęp do danych, zwłaszcza biometrycznych, nie będzie możliwy bez utworzenia podstawowego klucza dostępu do dokumentu poprzez optyczny kontakt strefy automatycznego odczytu dokumentu (MRZ) z czytnikiem, poprzedzający odczyt mikroprocesora. Do obliczenia podstawowego klucza dostępu do dokumentu potrzebne są: numer paszportu, data urodzenia oraz data ważności dokumentu. Po obliczeniu podstawowego klucza dostępu do dokumentu możliwy jest dostęp do danych zawartych w bezkontaktowym mikroprocesorze typu RFID. Ze względów bezpieczeństwa, przesył danych odbywa się w sposób zaszyfrowany. Wymaga to zastosowania odpowiednio zabezpieczonego układu z koprocesorem szyfrującym opatrzonego certyfikatem. 22 Tym niemniej samo zastosowanie podstawowej kontroli dostępu (BAC) nie jest wystarczającym zabezpieczeniem. Opiera się ono na wykorzystaniu strefy automatycznego odczytu dokumentu (MRZ) paszportu. Jednak dane zapisane na tym obszarze nie są traktowane jako ściśle poufne. Dla przykładu, obywatel europejski, chcąc zarezerwować bilet na widowisko sportowe jakim są mistrzostwa świata w piłce nożnej FIFA 2006 w Niemczech lub mistrzostwa Europy UEFA w Austrii i Szwajcarii w 2008 r., musi podać swoje nazwisko, datę urodzenia, numer paszportu lub dowodu tożsamości oraz datę jego wydania, wypełniając formularz internetowy. Podobne procedury stosowano już przy zamawianiu biletów na mistrzostwa Europy UEFA 2004 w Portugalii. Są one ponadto stosowane przy okazji innych imprez, jak koncerty, czy inne imprezy sportowe (jak olimpiady czy mistrzostwa świata w lekkiej atletyce). Jako że w wielu Państwach Członkowskich praktyką prywatnych kredytodawców jest kopiowanie dowodów tożsamości kredytobiorcy, istotne elementy podstawowego klucza dostępu do dokumentu (BAC) nie są tajne. Nie można zatem wykluczyć, że algorytm obliczający kod BAC okaże się kiedyś dostępny w internecie. b) Wprowadzanie dodatkowych cech biometrycznych w szczególności odcisków palców Okoliczności pobierania odcisków palców powinny zapewniać pełną rzetelność danych. Dla Międzynarodowej Organizacji Lotnictwa Cywilnego (ICAO) cyfrowy obraz twarzy właściciela nie wkracza w sferę danych wrażliwych - w związku z tradycyjnie stosowanym w dokumentach zdjęciem posiadacza. ICAO przyznaje jednak, iż wprowadzenie do paszportów odcisków palców i innych danych biometrycznych jest sprawą wysoce drażliwą. Dlatego też 21 22 Por. techniczne sprawozdanie ICAO w jęz. angielskim: ICAO Technical Report: PKI for Machine Readable Travel Documents offering ICC Read-Only Access, Version 1.1 / ICAO NTWG, PKI (infrastruktura klucza publicznego) dla dokumentów podróży odczytywanych automatycznie z dostępem wyłącznie do odczytu ICC, wersja 1.1) opublikowano 1 października 2004 r., str. 16. Tzw. grupa Essen opracowała specjalne oprogramowanie służące bezpiecznej transmisji danych pod nazwą Golden Reader Tool. Do grupy Essen należą przedstawiciele władz państwowych, przedsiębiorstw branży bezpieczeństwa informatycznego i wytwórcy dokumentów podróży z Niemiec, Niderlandów oraz Wielkiej Brytanii. 11/13
zalecenia ICAO mówią o specjalnym systemie zabezpieczającym pod nazwą Extended Access Control (rozszerzona kontrola dostępu) 23. Mechanizm rozszerzonej kontroli dostępu opiera się na podobnej zasadzie, co wyżej opisany podstawowy klucz dostępu (BAC). Zamiast elementów podstawowego klucza dostępu do dokumentu, w systemie rozszerzonej kontroli dostępu stosuje się klucz rozszerzonej kontroli dostępu (Document Extended Access Key). Określenie właściwego zestawu danych (obwodu i obywatela) wykorzystywanych w systemie rozszerzonej kontroli pozostawiono w gestii danego Państwa Członkowskiego. Zestaw danych klucza rozszerzonej kontroli dostępu może się opierać na hasłach symetrycznych (tj. obliczanych na podstawie danych strefy automatycznego odczytu dokumentu w zestawieniu z krajowym hasłem: National Master Key ) lub też na parze haseł asymentrycznych z odpowiednim certyfikatem karty. Jednak wielu szczegółów tych systemów zabezpieczeń wciąż nie sprecyzowano. Proponowany klucz rozszerzonej kontroli dostępu stanowi postęp w dziedzinie zabezpieczeń, jednak jego zastosowanie pozostaje opcjonalne, podobnie jak w przypadku podstawowego klucza dostępu 24. Co więcej, dyskusyjną pozostaje kwestia wdrożenia klucza rozszerzonej kontroli dostępu przez państwa trzecie. Komisja Europejska i Państwa Członkowskie powinny zagwarantować, aby paszporty obywateli europejskich zawierające ich odciski palców nie były dostępne przy użyciu czytników niezabezpieczonych kluczem rozszerzonej kontroli dostępu. 3. Wnioski Zastosowanie danych biometrycznych w paszportach i dokumentach podróży oraz dowodach tożsamości wywołuje liczne wątpliwości natury etycznej, prawnej i technicznej. Dlatego też Grupa Robocza zwraca uwagę na następujące aspekty sprawy: 1. Wyczerpująca debata społeczna winna poprzedzić zastosowanie danych biometrycznych w paszportach i dokumentach podróży oraz dowodach tożsamości. W związku z tym, celowe jest wstrzymanie się do czasu otrzymania wyników projektu BITE (Etyka Technologii Identyfikacji Biometrycznej). 2. Celem ograniczenia zagrożeń związanych nierozerwalnie z samym charakterem biometrii, konieczne jest możliwie wczesne wprowadzenie skutecznych zabezpieczeń. W tym celu Komitet powołany na mocy art. 5 rozporządzenia WE 2252/2004, przy wsparciu ekspertów wyznaczonych przez Grupę Roboczą Art. 29 przedstawi specjalnie opracowany profil zabezpieczeń. 3. Konieczne jest zapewnienie ścisłego rozgraniczenia pomiędzy danymi biometrycznymi gromadzonymi i przechowywanymi dla dobra publicznego (np. kontroli granicznej) na podstawie zobowiązań prawnych, a danymi służącymi celom umownym, uzyskanymi za zgodą. 23 24 Por. techniczne sprawozdanie ICAO w jęz. angielskim: ICAO Technical Report: PKI for Machine Readable Travel Documents offering ICC Read-Only Access, Version 1.1 / ICAO NTWG, PKI (kryptografii z infrastrukturą klucza publicznego) dla dokumentów podróży odczytywanych automatycznie z dostępem wyłącznie do odczytu ICC, wersja 1.1) opublikowano 1 października 2004 r., str. 17. Por. techniczne sprawozdanie ICAO w jęz. angielskim: ICAO Technical Report: PKI for Machine Readable Travel Documents offering ICC Read-Only Access, Version 1.1 / ICAO NTWG, PKI (infrastruktura kryptografii klucza publicznego) dla dokumentów podróży odczytywanych automatycznie z dostępem wyłącznie do odczytu ICC, wersja 1.1) opublikowano 1 października 2004 r., str. 17, 21 i 22. 12/13
4. Wykorzystanie danych biometrycznych w paszportach i dowodach tożsamości powinno być technicznie ograniczone do celów weryfikacji poprzez porównanie cech dokumentu z danymi posiadacza nim się legitymującego. 5. Komisja Europejska i Państwa Członkowskie powinny zapewnić, aby paszporty obywateli europejskich zawierające ich odciski palców nie były dostępne przy użyciu czytników niezabezpieczonych kluczem rozszerzonej kontroli dostępu. 6. Należy zagwarantować, aby dostęp do danych zapisanych w mikroprocesorze miały wyłącznie właściwe władze. Państwa Członkowskie utworzą rejestr tychże uprawnionych władz. Sporządzono w Brukseli, dnia 30 września 2005 r. W imieniu Grupy Roboczej Przewodniczący Peter Schaar 13/13