Dokument biometryczny a prawa człowieka (Adam Bodnar, Jakub

Adam Bodnar1
Jakub Michalski2
Dokument biometryczny
a prawa człowieka
I. Wstęp12
Szybki rozwój technologii biometrycznych i ich coraz szersze wprowadzanie
w oficjalnych dokumentach identyfikacyjnych rodzi szereg pytań o zgodność
takich praktyk z prawami człowieka. Technologie odnoszące się do unikalnych
cech ludzkiego organizmu, dotychczas wykorzystywane głównie w systemach
weryfikacji i regulowane jedynie w stosunkach pomiędzy podmiotami prywatnymi, wkraczają na pole regulacji publicznoprawnej. W konsekwencji muszą
być poddane drobiazgowej analizie z punktu widzenia ich oddziaływania na
jednostkę.
Państwa – wprowadzając nowe środki zabezpieczeń przed zagrożeniami
związanymi z terroryzmem międzynarodowym i nawiązując współpracę w zakresie przetwarzania i wymiany danych – powinny szczegółowo informować i uzasadniać swoje postępowanie. Ma to szczególne znaczenie w kontekście danych
wrażliwych, których gromadzenie lub przetwarzanie może stanowić istotną ingerencję w prawa człowieka. W celu należytego zbadania wpływu zastosowania
technologii biometrycznych na tą delikatną sferę należy na wstępie przyjrzeć
się cechom charakterystycznym stosowanych technologii i systemów biometrycznych.
1
Dr Adam Bodnar jest adiunktem w Zakładzie Praw Człowieka na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego, sekretarzem Zarządu Helsińskiej Fundacji Praw Człowieka.
2
Jakub Michalski jest studentem IV roku prawa na Wydziale Prawa i Administracji Uniwersytetu
Warszawskiego.
52
Adam Bodnar, Jakub Michalski
II. Krótka charakterystyka technologii3
Technologie biometryczne są jedną z metod poświadczania tożsamości osoby.
Ich możliwe zastosowania obejmują kontrole dostępu do określonych obszarów,
redukcję ryzyka oszustw, autoryzację osób uprawnionych do podejmowania czynności w imieniu innej osoby (np. do głosowania), jak również identyfikacji potencjalnych sprawców przestępstw czy osób sprawiających zagrożenie dla bezpieczeństwa lub porządku publicznego. Poszczególne systemy i technologie stosowania
danych biometrycznych wykorzystują różne cechy ludzkiego organizmu wykazujące uniwersalność (występowanie o wszystkich ludzi), unikalność (brak powtarzalności określonych danych biometrycznych) oraz trwałość i niezmienność w czasie. Brak lub odchylenia od powyższych zasad obniżają bądź uniemożliwiają
skuteczne działanie danej metody.
Skuteczność każdego z systemów potwierdzania tożsamości można opisać
trzema, wzajemnie reagującymi wskaźnikami. Wskaźnik4 „ominięcia” obejmuje
sytuacje, w których przepuszczana jest osoba nie posiadająca uprawnień (w efekcie zatem system weryfikacji przepuszcza więcej osób niż powinien). Z kolei wskaźnik „fałszywego alarmu” obejmuje sytuację, w których zatrzymywana jest osoba
posiadająca uprawnienia i wskaźnik obejmujący osoby, które z jakichś powodów
nie mogły być poddane weryfikacji (przyczyny fizyczne, religijne itd.).
Powyższe wskaźniki można opisać na funkcji wzajemnej zależności gdzie „fałszywy alarm” i „ominięcie” spotykają się w punkcie maksymalnej efektywności. Jest
on wypadkową obu wskaźników – tzn. zmniejszanie lub podnoszenie jednego ze
wskaźników wywołuje skutek odwrotnie proporcjonalny w drugim. Zmniejszając
prawdopodobieństwo „fałszywego alarmu” zwiększa się wskaźnik „ominięcia” i na
odwrót. Stąd można wyciągnąć wniosek, iż istnieje pewien idealny stan zabezpieczeń
i dodawanie kolejnych czynników weryfikacyjnych nie jest w stanie go poprawić.
Idealnym rozwiązaniem byłby system posiadający niskie wskaźniki fałszywego alarmu i ominięcia, który byłby akceptowany przez użytkowników, działał
sprawnie i nieinwazyjnie, dodatkowo będąc objętym szczegółową regulacją. Żadna
z obecnie dostępnych technologii biometrycznych nie spełnia tych wymogów.
Wszystkie posiadają wady możliwe do stwierdzenia nawet przed rozpoczęciem ich
analizy z punktu widzenia litery prawa.
Analiza odręcznego podpisu, mająca początki już w starożytnych Chinach,
jest jedną z najpopularniejszych, choć mocno niedoskonałych, technik biometrycznych. Podstawowym problemem z nią związanym jest brak możliwości przeprowadzenia porównania weryfikacyjnego przez osoby uprawnione. Poza tym poważ3
Na podstawie opracowania „Security Engineering (6op/cu)” przygotowanego przez Katedrę Informatyki Uniwersytetu w Kuopio www.cs.uku.fi/~khiouppe/tuk2006/notes/print02.pdf.
4
False Akcept Rate-FAR i False Reject Rate –FRR, obliczane na podstawie wzoru wskaźnik =
liczba incydentów/ogólna liczba prób (-100%)
Dokument biometryczny a prawa człowieka
53
nym problemem jest definicja samego podpisu i metody automatycznej
weryfikacji. Badania wykazały, że nawet profesjonaliści źle oceniają około 6,5%
pełnowartościowych próbek pisma (nie tylko podpisów). Trwają pracę nad udoskonalonymi systemami weryfikacji obejmującymi badanie dynamiki ruchu i siły
nacisku podczas podpisywania się na specjalnym urządzeniu.
Systemy rozpoznawania twarzy najczęściej bazują na elemencie ludzkim
jako wykrywaczu, jednak wprowadzane są systemy automatycznej weryfikacji
z użyciem metody „eigenface”, porównujące obraz z podstawowymi wzorami
w bazie i dopiero następnie przeprowadzające indywidualne rozpoznanie. Metoda
ta, choć skuteczna w procesie selekcjonowania z grupy osób interesującego nas
obiektu, jest jednak obarczona problemem, zbyt często dochodzi do tzw. fałszywego alarmu. Wpływ ma na to wiele czynników, począwszy od oświetlenia, jakości kamery aż do chwilowego wyrazu twarzy obiektu.
Inną metodą jest odczytywanie geometrii twarzy. W odróżnieniu od systemu rozpoznawania twarzy stosuje się ją przy weryfikacji tożsamości zindywidualizowanego obiektu. Metoda ta polega na identyfikacji kilkunastu punktów na twarzy oraz odległości pomiędzy nimi, co tworzy unikalny wizerunek każdej osoby.
Rozwiązanie to jest przyjęte w ustawie z dnia 7 lipca 2006 r. o dokumentach paszportowych – w art. 2 wizerunek twarzy jest elementem składowym danych biometrycznych zawartych w paszporcie.
Najpopularniejszą metodą weryfikacji tożsamości są odciski linii papilarnych. Policja używa ich do dwóch celów. Udowadnia, że podejrzany był na miejscy przestępstwa i identyfikuje osoby poprzez porównanie ich odcisków z bazą
danych. Sposób ten odznacza się wysoką skutecznością, sięgającą do 1 do 10-10
prawdopodobieństwa błędu przy idealnym materiale porównawczym. Problemem
są osoby z dodatkowymi palcami, amputowanymi kończynami czy też osoby nieposiadające linii papilarnych (te są bardzo rzadkie, ale jednak występują). Jednak
skuteczność porównania odcisków palców może być zachwiana poprzez proste
unikanie pozostawiania materiału porównawczego czy próby oszukania czytnika
(poprzez sztuczne wzory odcisków czy po prostu chuchnięcie na czujnik).
Odczytywanie geometrii dłoni jest metodą znaną od dość dawna, ale wystarczającą do procesu weryfikacji tożsamości. Nie jest ona natomiast wystarczająca do zadań identyfikacyjnych. Trwają prace nad termowizyjnym odczytem układu naczyń krwionośnych w dłoni, a więc nad stworzeniem nowej technologii
odczytywania danych biometrycznych.
Kolejnymi systemami są rozpoznawanie źrenicy i tęczówki oka. Systemy
te, choć niezwykle dokładne, stwarzają problemy związane z akceptacja przez użytkowników, których współpraca jest niezbędna przy weryfikacji. Mogą być one
także oszukane poprzez przedstawienie zdjęcia obiektu w wysokiej rozdzielczości
– co wprowadza wymóg badania czy badany obiekt jest żywy. Zagrożeniem przyszłości byłoby nałożenie obrazu oka na szkło kontaktowe – jednak obecnie dostępne technologie jeszcze na to nie pozwalają.
54
Adam Bodnar, Jakub Michalski
Systemy rozpoznawania osoby mówiącej są tworzone z myślą o zastosowaniu kryteriów sposobu mówienia. Są oparte na wypowiedzeniu danego tekstu bądź
analizują dowolny fragment mowy. Wyniki badań wskaźników zawodności wyraźnie wskazują na potrzebę stosowania metody kombinowanej weryfikacji (wraz
z innym systemem).
Jeszcze inna technologia biometryczna to odczytywanie geometrii ciała każdej osoby, za pomocą specjalnych urządzeń prześwietlających. System ten budzi
jednak wątpliwości z powodu bardzo głębokiej ingerencji w prywatność.
Trwają prace nad coraz to nowymi sposobami weryfikacji, obejmują one już
wcześniej wspomniane badanie układu naczyń krwionośnych w dłoni, odczytu
temperatury twarzy, uścisku dłoni, unikalnego zapachu ciała czy też szybkiej analizy porównawczej próbek DNA.
Żadna technologia biometryczna nie jest doskonała. Dlatego coraz częściej
stosowaną praktyką jest wykorzystywanie dla danego rodzaju badań dwóch lub
trzech technologii biometrycznych (np. geometria twarzy i badanie linii papilarnych), dzięki czemu zmniejszone jest niebezpieczeństwo pomyłki.
III. Wykorzystanie biometrii i regulacje prawne
odnoszące się do danych biometrycznych w sferze
prywatnej i publicznej
Opisane wyżej systemy identyfikacji biometrycznej od wielu lat odgrywają
niebagatelną rolę w sektorze prywatnym. Owocem ich ciągłego udoskonalania jest
coraz to szersze stosowanie systemów identyfikacji biometrycznej w instytucjach
biznesowych, bankach, fabrykach5 itp. Biometria umożliwia szybki i względnie
niezawodny proces rozpoznania i akceptacji osoby badanej. W przypadku konieczności kontroli dostępu większej liczby pracowników, szczególnie w połączeniu z poufnością danych w przedsiębiorstwie, omawiane rozwiązania stanowią optymalną
metodę usprawniania procesów identyfikacji.
Konieczność zaostrzenia procedur kontrolnych wobec obywateli i pozytywne
doświadczenia sektora prywatnego z wykorzystywaniem biometrii spowodowały,
iż państwa sięgnęły po systemy identyfikacji biometrycznej w celu zwiększenia
5
Por. np. wykorzystywanie technologii odczytywania linii papilarnych w LG Electronics w Mławie. Przetwarzanie tego typu danych osobowych zostało zakwestionowane przez Generalnego Inspektora Ochrony Danych Osobowych, jednakże Wojewódzki Sąd Administracyjny w Warszawie wyrokiem
z 27 listopada 2008 r. (sygn. II SA/ Wa 903/08) nie uznał racji GIODO. WSA w Warszawie uznał, że
pracodawcy mają prawo użyć odcisku palca pracownika w systemie elektronicznej kontroli obecności,
jeżeli pracownik wyrazi na to zgodę. Wyrok jest nieprawomocny i GIODO zapowiedziało wniesienie
skargi kasacyjnej. Por także oficjalną interpretację GIODO na ten temat – http://www.giodo.gov.
pl/348/id_art/2056/j/pl/.
Dokument biometryczny a prawa człowieka
55
bezpieczeństwa powszechnego. Systemów zabezpieczeń opartych częściowo na biometrii zaczęto używać w paszportach – rozwiązanie to, będąc stosunkowo nowatorskim, wymagało odpowiednich regulacji prawnych.
Pierwszą regulacją podejmującą wprowadzenie uregulowań prawnych dotyczących biometrii było rozporządzenie Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r.6 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych
w paszportach i dokumentach podróży wydawanych przez państwa członkowskie
(dalej „Rozporządzenie 2252/2004”).
Art. 1 ust. 2 Rozporządzenia 2252/2004 stwierdza, że „Paszporty oraz dokumenty podróży zawierają nośnik pamięci, w którym znajduje się obraz twarzy.
Państwa Członkowskie mogą również dołączyć odciski palców w interoperacyjnych formatach. Dane są zabezpieczane, a nośnik pamięci posiada wystarczającą
pojemność i wydajność, aby zagwarantować integralność, autentyczność i poufność tych danych.
Z kolei art. 4 ust. 3 Rozporządzenia 2252/2004 używa określenia cechy biometryczne – „Do celów niniejszego rozporządzenia cechy biometryczne w paszportach i dokumentach podróży są wykorzystywane wyłącznie w celu sprawdzenia:
a) autentyczności dokumentu;
b) tożsamości jego posiadacza za pomocą bezpośrednio dostępnych porównywalnych cech w przypadkach, gdy okazanie paszportu lub dokumentu podróży
jest wymagane zgodnie z przepisami.”
Zakres przedmiotowy powyższego rozporządzenia wyłącza jego zastosowanie
do dowodów osobistych, paszportów tymczasowych i dokumentów podróży, których
okres ważności wynosi 12 miesięcy lub jest krótszy (art. 1 ust. 3). Rozporządzenie
ustanawia w art. 2 poziom wymagań technicznych wobec paszportów. Wprowadzenie dodatkowych zabezpieczeń i standardów, wraz z możliwością ich utajnienia
(art. 3) stanowi dobrą teoretyczną podstawę do bezpiecznego wykorzystania systemów identyfikacji biometrycznej. Art. 4 ustanawia konieczność ochrony danych
osoby posługującej się paszportem, między innymi wskazując na sposób konstrukcji nośnika danych uniemożliwiający mechaniczne ich odczytanie. Rozporządzenie
ustanowiło terminy dla państw członkowskich odnoszące się do wprowadzenia do
paszportów owalu twarzy- 18 miesięcy i odcisków palców – 36 miesięcy.
Ustawodawca polski wprowadził rozporządzenie Rady (WE) nr 2252/2004
z dnia 13 grudnia 2004 r.7 do polskiego systemu prawa poprzez przyjęcie ustawy
z dnia 7 lipca 2006 r. o dokumentach paszportowych8. Ustawa, której pierwsze
czytanie miało miejsce dnia 23 czerwca 2006 r.9 została przyjęta przez Sejm RP
przy zaledwie 4 głosach sprzeciwu i podpisana przez Prezydenta RP w dniu 2 sierp6
Dziennik Urzędowy L 385 z 29 grudnia 2004 r., s. 1–6.
Dziennik Urzędowy L 385 z 29 grudnia 2004 r., s. 1–6.
8
Dz. U. z dnia 10 sierpnia 2006 r. Nr 143 poz. 1027 z późn. zmianami; dalej: ustawa z dnia
7 lipca 2006 r.
9
Druk sejmowy nr 665 http://orka.sejm.gov.pl/proc5.nsf/opisy/665.htm
7
56
Adam Bodnar, Jakub Michalski
nia 2006 r. Tak szybka procedura legislacyjna była spowodowana obowiązkiem
dostosowania polskich przepisów do regulacji unijnych.
Ustawa definiuje dane biometryczne jako wizerunek twarzy i odciski palców
umieszczone w dokumentach paszportowych w formie elektronicznej, natomiast
sporządzenie dokumentu paszportowego należy rozumieć jako „przeniesienie danych osobowych i biometrycznych osoby ubiegającej się o wydanie dokumentu
paszportowego do książeczki paszportowej w postaci graficznej i elektronicznej”.
Nie sposób oprzeć się wrażeniu, że ustawodawca wprowadzając pojęcie danych
biometrycznych dość wąsko zdefiniował jego zakres.
Ustawa o dokumentach paszportowych przewiduje powstanie centralnej ewidencji, która ma stanowić zbiory danych zgromadzonych w ewidencjach paszportowych. Do centralnej ewidencji paszportowej wpisywane będą również informacje
o utraconych niespersonalizowanych książeczkach paszportowych, o dokumentach
paszportowych utraconych i unieważnionych przed odbiorem przez obywatela.
Dane przetwarzane w centralnej ewidencji paszportowej udostępnia się w zakresie
niezbędnym wskazanym w ustawie podmiotom (przykładowo chodzi tu o Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Centralne Biuro Antykorupcyjne, prokuraturę). Dane z centralnej ewidencji będą mogły być również
udostępniane na podstawie umów międzynarodowych, których stroną jest Rzeczpospolita Polska. Powyższe założenia mają szczególne znaczenie z punktu widzenia
zastrzeżeń Grupy Roboczej Artykuł 29 do prowadzenia centralnej bazy danych
z danymi biometrycznymi (por. uwagi poniżej).
W świetle powyższej ustawy Rozporządzenie z dnia 19 czerwca 2007 r. w sprawie ewidencji paszportowych i centralnej ewidencji10 również zawiera regulacje dotyczące przetwarzania danych biometrycznych. I tak: definicja danych z art. 18 ust.
1 pkt. 1 ustawy o dokumentach paszportowych (dotycząca także dane biometrycznych.) jest, zgodnie z §6 pkt. 1 rozporządzenia, częścią danych zawartych w paszporcie. Pobrane dane są przekazywane do centralnej ewidencji (§8) skąd trafiają do
Centrum Personalizacji Danych Ministerstwa Spraw Wewnętrznych i Administracji.
Rozporządzenie weszło w życie z dniem 3 lipca 2007 r. a jego konstrukcja prawna,
w zakresie rodzaju danych wpisywanych do paszportu, odsyła do ustawy o dokumentach paszportowych. Warto zauważyć, iż rozporządzenie bezpośrednio dopuszcza możliwość przekazania danych z centralnej ewidencji za granicę przy spełnieniu
wymagań nakreślonych w ustawie (art. 52 ust. 2 ustawy). Podkreślany jest także
obowiązek ochrony danych osobowych – zarówno tych zawartych w ewidencji, jak
i podmiotu ubiegającego się o ich udostępnienie (§17, §18 rozporządzenia).
Międzynarodowym dokumentem odnoszącym się do gromadzenia i przetwarzania danych biometrycznych jest tzw. Konwencja z Prüm11, będąca przedsięwzię10
Dz. U. z dnia 6 lipca 2007 r. Nr 121 poz. 838.
Konwencja z dnia 27 maja 2005 r. w sprawie intensywniejszej współpracy transgranicznej,
szczególnie w walce z terroryzmem, przestępczością transgraniczną i nielegalną migracją.
11
Dokument biometryczny a prawa człowieka
57
ciem rządów niektórych państw członkowskich mająca na celu pogłębienie współpracy w zwalczaniu przestępstw, terroryzmu, nielegalnej imigracji oraz usprawnienie
wspólnej działalności policji i sądownictwa. Konwencja ta podpisana przez Austrię,
Belgię, Francję, Hiszpanię, Luksemburg, Niderlandy i Niemcy przewiduje, oprócz
określenia zasad wymiany danych, budowę sieci wymiany informacji, zawierających
także dane biometryczne, w ramach współpracy w realizacji celów Konwencji.
Konwencja z Prüm zawiera również szereg rozwiązań mających w założeniu
redukować negatywne oddziaływanie jej postanowień na sferę praw i wolności
obywateli. Współpraca w ramach wymiany informacji opiera się na krajowych bazach danych, z których do współpracy międzynarodowej na poziomie podstawowym przekazywany jest tylko profil DNA i inne posiadane dane biometryczne.
Podstawowa kontrola nie stwierdzi tożsamości danej osoby, a jedynie wskaże czy
znajduje się ona w którejś z istniejących baz danych. Dopiero na dalszym etapie
śledztwa, przy wstępnym uzasadnieniu takiej potrzeby, ujawnione zostaną dane
osobowe jednostki, której profil biometryczny jest przedmiotem postępowania.
Konwencja z Prüm w swoich postanowieniach dotyczących weryfikacji dokumentów w sprawach imigracyjnych urzeczywistnia postulat udziału czynnika
ludzkiego jako uzupełnienia systemu automatycznej weryfikacji wzoru. Państwastrony konwencji są zobowiązane do prowadzenia szkoleń z zakresu sprawdzania
autentyczności dokumentów dla funkcjonariuszy innych państw.
IV. Potencjalne zagrożenia dla sfery praw człowieka
i przykłady orzeczeń sądowych
podejmujących kwestie danych biometrycznych
Grupa Robocza Artykuł 29 ds. Ochrony Danych Osobowych12 w swoich raportach (WP 80, WP 112)13 uwidacznia wiele potencjalnych zagrożeń związanych
z szerokim zastosowaniem technologii biometrycznych.
12
Grupa Robocza Artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych
osobowych to niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy
artykułu 29 Dyrektywy o ochronie danych 95/46/WE. W jej skład wchodzą przedstawiciele krajowych
organów ochrony danych z państw członkowskich UE, Europejskiego Inspektora Ochrony Danych oraz
Komisji Europejskiej. Jej zadania opisane zostały w artykule 30 Dyrektywy 95/46/WE i artykule 15
Dyrektywy 2002/58/WE. Do kompetencji Grupy Roboczej należy badanie kwestii dotyczących zastosowania środków krajowych przyjętych na mocy dyrektyw o ochronie danych w celu przyczynienia się
do jednolitego stosowania dyrektyw. Grupa Robocza realizuje to zadanie wydając rekomendacje, opinie
i dokumenty robocze. Szczegółowe informacje na temat jej działania znajdują się na stronie http://ec.
europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm. Opinie Grupy Roboczej cieszą się dużym uznaniem, ze względu na pogłębione i rzetelne podejście do kwestii ochrony danych osobowych.
13
Opinia Grupy Roboczej art. 29 ds. Ochrony Danych 12168/02/EN WP 80 1 sierpnia 2003;
opinia 1710/05/PL-rev WP 112 04/09/12.
58
Adam Bodnar, Jakub Michalski
Grupa Robocza Artykuł 29 w szczególności zwraca uwagę na konieczność
używania poprawnej siatki pojęciowej w dyskusji nad biometrią. Nieprecyzyjne
używanie terminów może doprowadzić do powstania regulacji nieskutecznych
bądź nawet niemożliwych do zastosowania. Znaczenie ujednolicenia siatki pojęciowej podkreśla też Els Kindt14 zwracając uwagę na kompatybilność nowych
regulacji z istniejącymi systemami prawa. Istotnym jest wyjaśnienie różnicy pomiędzy procesem weryfikacji i identyfikacji. Weryfikacja odpowiada na pytanie
„czy jestem osobą, za którą się podaje?”, system porównuje dane zapisane na dokumencie zawierającym dane biometryczne z próbkami pobranymi od osoby badanej. W ten sposób możliwa jest weryfikacja np. osoby posługującej się danym
paszportem i potwierdzenie czy jej dane biometryczne (gromadzone np. poprzez
analizę geometrii twarzy) odpowiadają tym zapisanym na dokumencie, którym
ta osoba się posługuje. Jest to skuteczne ze swojej natury porównanie w stosunku 1:1.
Identyfikacja15 natomiast odpowiada na pytanie „kim jestem?”, system bada
pobrane od danej osoby próbki i porównując je z posiadanymi wzorami ustala
tożsamość badanego obiektu. Jeżeli zatem w systemie zgromadzone są liczne dane
biometryczne, to system może nie tylko weryfikować tożsamość osoby posługującej się danym dokumentem, ale nawet bez przedstawiania dokumentu porównać
dane takiej osoby z danymi zgromadzonymi w systemie komputerowym.
Faza wstępna gromadzenia danych biometrycznych jest punktem newralgicznym w uniknięciu naruszeń praw człowieka. Pomijając regulujące ją przepisy prawne, należy skupić się na fazie rejestrowania danych na specjalnym wzorze. Proces
ten powinien zapewniać, w zależności od rodzaju danych, utworzenie kilku oddzielnych woluminów. Jest to istotne dla zapobiegania nieautoryzowanemu odczytowi danych innych niż wykorzystywane w aktualnym badaniu. Wiąże się to
pośrednio z systemami przechowywania zarejestrowanych wzorów. Utworzenie powszechnej centralnej bazy danych jest rozwiązaniem szeroko krytykowanym16.
Stwarza ono pole do nadużyć i jest niekorzystne z punktu widzenia ochrony prywatności. Uzasadnienie dostępu do danych danej osoby, niezwiązanego z procesem
weryfikacyjnym, wymagałoby każdorazowo przeprowadzenia testu proporcjonalności17 ewentualnie możliwych do osiągnięcia celów z naruszanym prawem do
prywatności. Działanie takie z dużym prawdopodobieństwem odbywałoby się poza
świadomością osoby identyfikowanej, tym samym pozbawiałoby ją jakiejkolwiek
14
E. Kindt, Biometric applications and the data protection legislation, Datenschutz und Datensicherheit 31/2007/3.
15
Por. Wspólny Komitet Techniczny ISO/IEC JTC 1, SUBCOMITTEE SC 37, Technical Text
of Standing Document 2, version 5- Harmonized Biometric Vocabulary, 31 stycznia 2006 r.
16
Tak m.in. opinia Grupy Roboczej art.29 ds. Ochrony Danych 12168/02/EN WP 80 1 August
2003; opinia 1710/05/PL-rev WP 112 04/09/12, a także Koalicja Organizacji Pozarządowych we Francji http://www.edri.org/edrigram/number3.13/IDFrance
17
Tak m.in. Els Kindt, patrz przypis 14.
Dokument biometryczny a prawa człowieka
59
możliwości odwołania czy badania legalności i, jako takie, budzi poważne wątpliwości z punktu widzenia ochrony praw człowieka.
Grupa Robocza Artykuł 29 podkreśla znaczenie decentralizacji przechowywania danych biometrycznych w celu uniknięcia powyższego zagrożenia.
Gromadzenie i wykorzystanie danych, jako sfera wkraczająca w obszar ochrony praw człowieka, wymaga szerokiego uzasadnienia. Przyczyny pobierania wzorów od jednostek powinny być, zgodnie z Europejską Konwencją Praw Człowieka,
ustanowione w ustawie. Gromadzenie danych biometrycznych musi być uzasadnione konkretnym celem (np. bezpieczeństwem publicznym), a zakres gromadzonych danych, tryb gromadzenia, rodzaj danych powinien spełniać wymogi testu
proporcjonalności. Należy bowiem pamiętać, że każde gromadzenie i przetwarzanie
danych biometrycznych – niezależnie od celu jakiemu służy – stanowi głęboką
ingerencję w prawo do prywatności. Dlatego też stosowanie technologii wykorzystujących takie dane musi być zawsze wyważone na szali dwóch interesów – interesu publicznego (np. bezpieczeństwa lub porządku publicznego) oraz prawa do
prywatności. Nie należy przy tym zapominać, że nawet najbardziej szczegółowe
uzasadnienie ustawy i jej kontrola prewencyjna co do zgodności z Konstytucją nie
są w stanie wyeliminować pewnych uniwersalnych zagrożeń dla systemów weryfikacji czy identyfikacji.
Niebezpieczeństwa związane z samą charakterystyką poszczególnych danych
biometrycznych zostały już wstępnie opisane w części II jednak podkreślić należy
inne niebezpieczeństwa związane z przetwarzaniem danych. Dotyczą one głównie
wzorów, które odnoszą się do cech psychofizycznych pozostawiających ślady18
(tj. np. odcisków palców). Nietrudno sobie wyobrazić, że pozostawiony nieświadomie odcisk palca zostanie wykorzystany do stworzenia identyfikatora z fałszywą
tożsamością.
Rozwój techniki w szybkim tempie powiększa katalog danych możliwych do
zebrania w sposób zupełnie nieinwazyjny. Systemy rozpoznawania twarzy na odległość są już w użyciu, kamera o wysokiej rozdzielczości jest w stanie zarejestrować dokładny obraz źrenicy czy tęczówki. Przy odpowiednich warunkach możliwe
jest zarejestrowanie niezakłóconej próbki głosu. To wszystko rodzi pytanie o potencjalne zagrożenia związane z kradzieżą tożsamości. Zakładając ciągły rozwój
technologii wykorzystujących dane biometryczne należy brać pod uwagę zmniejszenie czynnika ludzkiego w procesach weryfikacji i identyfikacji. Idące za tym
ułatwienia w codziennym funkcjonowaniu okupione najpewniej zostaną zwiększonym ryzykiem utraty danych i wykorzystania ich do nielegalnych celów.
Trudno jest znaleźć potencjalne rozwiązanie dla sytuacji kradzieży tożsamości, nawet tej wykrytej. Osoba taka zostałaby pozbawiona możliwości posługiwania się swoimi danymi biometrycznymi będącymi już w nielegalnym obiegu. Co
18
Por. opinia Grupy Roboczej art. 29 ds. Ochrony Danych 12168/02/EN WP 80 1 sierpnia
2003 r., s. 4.
60
Adam Bodnar, Jakub Michalski
wtedy? Jak przeprowadzić weryfikację tożsamości wiedząc, że dane mogą zostać
wykorzystane do stworzenia fałszywego wzoru biometrycznego? Jest to jedno
z pytań, na które należałoby udzielić odpowiedzi jeszcze przed wprowadzeniem
danych biometrycznych do szerokiego obiegu.
Charakter danych biometrycznych i potencjalne skutki dla ochrony praw
jednostki wykorzystywania tych danych były przedmiotem analizy przeprowadzonej w 2005 r. na zlecenie19 Komisji LIBE20 Parlamentu Europejskiego. Wskazano
w niej, iż dane, które będą gromadzone na skalę masową przez instytucje rządowe
mają charakter wrażliwy i konieczne jest przeprowadzenie konsultacji społecznych
celem ustalenia czy obywatele Europy są gotowi poddać się pobieraniu wzorów
danych biometrycznych. Dotychczas procedury te kojarzone były wyłącznie z walką
z przestępczością.
Kolejnym negatywnym aspektem jest możliwe skoncentrowanie systemu na
osobach o potencjalnie trudnej do ustalenia tożsamości, jak imigranci. Techniczne
aspekty porównywania wzorów mogą prowadzić do dyskryminacji osób, które nie
będą mogły poddać się badaniu cech biometrycznych. Dotyczy to zarówno osób
niepełnosprawnych jak i tych, które odmówią badania ze względu na przekonania
religijne czy też z innych względów. Wraz z upowszechnieniem przetwarzania danych biometrycznych zwiększa się ryzyko ujawnienia poufnych danych medycznych możliwych do odczytania z DNA czy nawet, jak wykazują ostatnie badania,
odcisków palców. Przykładowo, pewne wzorce linii papilarnych wydają się być
przypisane do pewnych schorzeń przewlekłych, fakty te, choć niepotwierdzone
jeszcze badaniami, są przedmiotem debaty naukowej i powinny być wzięte pod
uwagę w regulacjach dotyczących wykorzystywania danych biometrycznych21.
Parlament Europejski w dniu 2 grudnia 2004 r. w drodze decyzji legislacyjnej żądał wprowadzenia zakazu utworzenia centralnej bazy danych o paszportach
i dokumentach podróżny Unii Europejskiej22. Postulat ten jest popierany przez
Grupę Roboczą Artykuł 29 w opinii WP 112. Przytoczone tam argumenty mają
szerokie znaczenie w dyskusji na temat tworzenia centralnych baz danych zawierających wzorce biometryczne. Utworzenie takiej powszechnej bazy stałoby
w sprzeczności z zasadą proporcjonalności. Każda kolejna baza wzmagałaby ryzy19
Analiza została zlecona przez Instytut Perspektywicznych Studiów Technologicznych, DG
Wspólne Centrum Badawcze; Misją centrum jest zapewnienie, zgodnie z potrzebami klientów, wsparcia
naukowego i technicznego dla koncepcji, rozwoju, wdrażania i monitorowania polityki Unii Europejskiej. DG WCB działa jako centrum informacji w zakresie nauki i techniki dla Unii. http://ec.europa.
eu/dgs/jrc/downloads/jrc_reference_report_200704_biotech.pdf
20
Komisja LIBE posiada uprawnienia w zakresie ochrony praw człowieka i praw podstawowych,
w tym także ochrony mniejszości, zgodnie z postanowieniami Traktatów i Karty Praw Podstawowych
Unii Europejskiej, zajmuje się także ustawodawstwem w obszarze przejrzystości oraz ochrony osób fizycznych pod kątem przetwarzania danych osobowych.
21
Por. w opinii Grupy Roboczej art. 29 1710/05/PL-rev WP 112 04/09/12.
22
Inne stanowisko prezentuje Rząd Wielkiej Brytanii, gdzie rejestr krajowy powstanie na podstawie Identity Cards Act 2006, który będzie obejmował przechowywanie danych biometrycznych.
Dokument biometryczny a prawa człowieka
61
ko niewłaściwego bądź nieuprawnionego wykorzystania zawartych w niej danych
osobowych.
Warto także wskazać, że zagrożenie dla praw człowieka niesie ze sobą standaryzacja formatu zapisu wzorców biometrycznych. Z jednej strony jest ona konieczna dla sprawnego funkcjonowania systemu weryfikacji. Z drugiej strony jednak stanowi zagrożenie utworzenia połączeń pomiędzy poszczególnymi bazami,
a tym samym utworzenia nieregulowanej szerokiej bazy danych wzorców biometrycznych. Informacje takie byłby narażone ze względu na rosnącą wartość danych
osobowych i coraz szerszego łamania prawa do prywatności poprzez ich nielegalny obrót.
Zagrożenia dla praw człowieka wynikają także z czysto technicznych aspektów przechowywania wzorów danych biometrycznych. Ryzyko jest związane z zastosowaniem bezkontaktowych mikroprocesorów RFID23. Dane zawarte na takim
nośniku nie spełniają wymogów bezpieczeństwa sugerowanych przez Parlament
Europejski. Istnieje możliwość odczytu danych bez wiedzy i zgody osoby posiadającej kartę z mikroprocesorem (np. poprzez zbliżenie na pewną odległość).
Wątpliwości te były przedmiotem interpelacji posła Marka Biernackiego24.
W odpowiedzi Podsekretarz Stanu w MSWiA Piotr Piętak wskazał na możliwość
ograniczenia zasięgu kontroli odległości np. do 10 centymetrów. Rozwiązanie to
nie jest przekonujące z punktu widzenia mnogości urządzeń elektrycznych i rozmaitych kontroli tożsamości, podczas których karta RFID mogłaby być odczytana przez nieuprawnione podmioty. Niepokój budzi pewien entuzjazm Komisji
Europejskiej25 wobec tego standardu. Stwierdza ona, że „Zastosowanie RFID w UE
może być motorem wzrostu i powstania nowych obszarów zatrudnienia, będących
wsparciem w realizacji celów Strategii Lizbońskiej”. Komunikat KE podkreśla konieczność utworzenia uregulowań prawnych dotyczących spraw związanych
z ochroną danych, prywatności i bezpieczeństwa.
Jak czytamy w Druku Sejmowym nr 2119 „Rzeczpospolita Polska, zgodnie
ze stanowiskiem Rządu przyjętym przez KERM 24 kwietnia 2007 r., popiera kroki
Komisji Europejskiej zmierzające do wykorzystywania bez konieczności uzyskiwania przez ich użytkowników indywidualnych uprawnień różnych zakresów częstotliwości dostępnych dla systemów RFID w krajach Wspólnoty Europejskiej oraz
23
Za: Pismo Przewodniczącego Grupy Roboczej Artykuł 29 do Przewodniczącego Parlamentu
Europejskiego z dnia 18 sierpnia 2004 r.
24
Interpelacja nr 7113 do Ministra Spraw Wewnętrznych i Administracji w sprawie zapewnienia
bezpieczeństwa paszportów z wbudowanym chipem RFID (Radio Frequency Identification); treść interpelacji i odpowiedź ministra Piętaka: http://www.gover.pl/k5/poslowie/szczegolyInterpelacji/posel/biernacki-marek/interpelacja/interpelacja-w-sprawie-zapewnienia-bezpieczenstwa-paszportow-z-wbudowanym-chipem-rfid-radio-frequency-identyfication.
25
Za: Komunikat KE do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie identyfikacji radiowej (RFID) w Europie – przywołany
w druku sejmowym nr 2119, s. 126