Tożsamość elektroniczna: dziesięć pytań i odpowiedzi, by zrozumieć te zagadnienie

Reklama

śr., 02/24/2021 - 16:31 -- MagdalenaL

Pojedyncza nazwa użytkownika i hasło, oparte na naszych oficjalnych danych, aby uzyskać dostęp do dziesiątek, jeśli nie setek usług online. To właśnie obiecuje tożsamość elektroniczna, nad którą będziemy głosować 7 marca. W takim ujęciu "e-ID" jest spełnieniem marzeń. A jednak zwolennicy i przeciwnicy rozdzierają się nawzajem nad prawem, które będzie musiało umożliwić powstanie tej elektronicznej tożsamości, która ma ułatwić nam życie. Jaka jest stawka dla użytkowników i firm? Bez dogmatyzmu, kwestia wyjaśniona w dziesięciu pytaniach. 

Jak będzie działać e-ID? 

Zaatakowana w ramach referendum ustawa federalna o usługach identyfikacji elektronicznej przewiduje system z udziałem czterech podmiotów. W centrum znajduje się użytkownik (1). Osoba, która będzie chciała uzyskać e-ID, będzie mogła zwrócić się o to do usługodawcy (2), który będzie oficjalnie uznany i certyfikowany przez Konfederację (3), a dokładniej przez Federalny Urząd Policji (Fedpol). Użytkownicy mogą następnie używać swojego e-ID u usługodawcy (4), takiego jak bank, gmina, firma ubezpieczeniowa lub operator telekomunikacyjny. Forma e-ID nie jest zdefiniowana (pamięć USB, aplikacja, itp.). 

Jakie dane będą wykorzystywane? 

Zasadniczo Konfederacja planuje stworzenie oficjalnych zbiorów danych na trzech poziomach. Pierwszy z nich, znany jako poziom "niskiego zaufania", będzie obejmował numer rejestracyjny e-ID, nazwę stanu cywilnego, imiona i datę urodzenia. Drugi poziom, zwany "znacznym zaufaniem", będzie obejmował dodatkowo płeć, miejsce urodzenia i narodowość. Zdjęcie użytkownika jest uwzględnione na trzecim poziomie, zwanym "wysokim zaufaniem". Są to trzy poziomy danych podstawowych udostępnianych przez Konfederację, która będzie pobierać opłaty od certyfikowanych dostawców za te dane (ich wysokość nie jest znana). 

Następnie, za zgodą użytkowników, którzy są klientami w domu, mogą oni swobodnie dodawać inne dane: na przykład numer telefonu, adres pocztowy lub e-mail. Dane te mogą być swobodnie przechowywane i wykorzystywane przez dostawcę e-ID: nie są one chronione prawnie. 

Kto będzie dostawcą e-dowodów osobistych? 

Będzie to otwarty rynek. Dostawcą będzie mogło zostać każde przedsiębiorstwo zarejestrowane w Szwajcarii, które uzyskało m.in. zielone światło od Federalnego Komisarza Ochrony Danych i zobowiązało się do przetwarzania danych na terytorium Szwajcarii. Oprócz WiseKey, konsorcjum już ogłosiło swój zamiar zostania dostawcą: joint venture SwissSign, które ma już 1,7 mln osób zarejestrowanych w SwissID (więcej na ten temat później). SwissSign obejmuje SBB, Swiss Post, Swisscom, banki (takie jak Credit Suisse, UBS i niektóre banki kantonalne), firmy ubezpieczeniowe (takie jak Swiss Life, Vaudoise i Zurich) oraz firmy oferujące ubezpieczenia zdrowotne (CSS i Swica). 

Inne firmy również mogą zostać dostawcami, ponieważ kryteria ustalone przez Berno nie są wysokie. "Nie spodziewam się dużej konkurencji, ponieważ koszty zarządzania dla dostawcy będą a priori wysokie. Premię otrzyma również podmiot, który ma już ugruntowaną pozycję i jest rozpoznawalny, a SwissSign może zdobyć większość tego rynku. I to nie jest problem, bo uważam, że ten biznes będzie nierentowny. Będzie to jednak bardzo pożyteczne działanie, ponieważ e-ID przyniesie korzyści niezliczonym firmom, które nie będą już musiały martwić się o samodzielną identyfikację swoich klientów" - mówi Sébastien Kulling, dyrektor Digitalswitzerland we francuskojęzycznej Szwajcarii. Ale "SwissSign nie jest firmą filantropijną" - mówi Benoît Gaillard, radny PS w Lozannie i koordynator kampanii przeciwko ustawie o e-dowodzie osobistym we francuskojęzycznej Szwajcarii. Firmy liczą na to, że będą mogły dokładniej obserwować użytkowników swoich stron i usług". 

Ile to będzie kosztować użytkownika? 

Tajemnica, prawo nic o tym nie mówi. "Ta sprawa jest problematyczna. Może usługa będzie darmowa, może z czasem stanie się płatna, może będzie system abonamentowy. Świadczeniodawcy mogą robić, co chcą" - zauważa Benoît Gaillard, który podnosi też inne kwestie. "Czy to normalne, że jeden lub kilku prywatnych usługodawców może dowolnie ustalać cenę za podłączenie się do niego, skoro są to zasadniczo dane z rejestrów federalnych? To jest absurd." 

Benoît Gaillard wskazuje na trzeci problem. "Ustawa ustala, dla każdego z trzech poziomów danych podstawowych udostępnianych przez Konfederację, trzy różne poziomy zabezpieczeń, ale bez ich precyzowania. Może się więc zdarzyć, że będziesz musiał zapłacić więcej za korzystanie z niektórych danych. Jeśli w przyszłości e-ID miałby być wykorzystywany do głosowania lub dostępu do danych zdrowotnych, usługa ta mogłaby być dostępna tylko dla najwyżej opłacanych użytkowników." 

SwissSign nie twierdzi inaczej. "Wierzymy, że e-identyfikatory będą wydawane bezpłatnie zarówno w przypadku "niskiego", jak i "znacznego" poziomu zaufania. W przypadku poziomu "wysokiego", który powinien być jednak zarezerwowany dla bardzo ograniczonej liczby użytkowników (prawdopodobnie jednocyfrowy odsetek), nie jest pewne, czy będzie on bezpłatny. Ponieważ będzie istniał prawny obowiązek cotygodniowej aktualizacji danych" - mówi rzecznik SwissSign. Konsorcjum twierdzi, że będzie sprzedawać dane po kosztach, tj. po cenie, jaką pobierze Konfederacja. 

Kto będzie akceptował e-dowody osobiste? 

Można sobie wyobrazić, że w dłuższej perspektywie wiele służb państwowych będzie akceptować e-dowody, aby zamówić nowe prawo jazdy lub zaświadczenie z Urzędu Prokuratury. Ze swojej strony przedsiębiorstwa będą mogły ją przyjąć lub nie. Benoît Gaillard jest powściągliwy: "Weźmy bank, który posiada już solidne systemy identyfikacji swoich klientów. Jednocześnie, czy będzie chciała pozwolić im na używanie e-dowodów z prawdopodobnie słabszym systemem uwierzytelniania, którego nie kontroluje bezpośrednio? Jest to wątpliwe." 

Jaki będzie model biznesowy dla e-dowodów? 

SwissSign oświadcza za pośrednictwem rzecznika, że "stworzenie infrastruktury stanowi projekt inwestycyjny o wartości dziesiątków milionów franków". Logiczne jest, że dostawcy usług e-ID będą chcieli uzyskać zwrot z inwestycji, choć rzeczniczka ostrzega, że "nie należy spodziewać się wysokich przychodów, ponieważ biznes e-ID nie jest dojną krową". 

Aby zarobić, dostawcy usług e-dowodu "prawdopodobnie będą pobierać prowizje od firm, które zaakceptują ich usługi, za każdym razem, gdy konsument użyje ich elektronicznej tożsamości" - mówi Benoît Gaillard. Interes dostawcy tożsamości w tym sprywatyzowanym systemie jest jasny: zachęcić użytkownika do identyfikowania się za pomocą swojego e-dowodu w jak największej liczbie miejsc, aby wygenerować maksymalną liczbę transakcji. Korzystają na tym również służby, budując na tej podstawie liczne profile". 

Czy powinniśmy się martwić o nasze dane? 

Najwyraźniej nie. "Zasady są surowe, możemy założyć, że będą przestrzegane. Nadal istnieje ryzyko ucieczki i nadużyć. Ale z łatwością mogliśmy stworzyć strukturę z mniej scentralizowanym magazynem" - mówi Gaillard. Dane użytkownika będą przechowywane w Szwajcarii. Paradoksalnie, podobne zastrzeżenie ma Sébastien Kulling, który jest przekonany o konieczności wprowadzenia ustawy o e-dowodach. "Dane klientów powinny być przechowywane centralnie, co nie jest całkowicie bezpieczne. Szkoda, że ustawa nie przewiduje systemu zdecentralizowanego, który jest jeszcze trudniejszy do zhakowania" - mówi szef Digitalswitzerland. 

Ponadto Benoît Gaillard stwierdza, że komercyjne wykorzystanie danych jest legalne, a zatem możliwe, po uzyskaniu zgody użytkownika: na przykład sklep internetowy mógłby przeprowadzić badania na temat średniej wieku swoich klientów. Zwolennicy e-identyfikacji twierdzą jednak, że istnieją zabezpieczenia: klienci mogą uzyskać dostęp do swoich danych online i w ten sposób określić, kto je otrzymuje, oraz sprawdzić, jakie dane udostępnili danej usłudze online. 

Sebastien Kulling precyzuje, że dostawca będzie wiedział, kiedy użytkownik użył swojego e-dowodu i o które z trzech poziomów danych poprosił dostawca usług. Jednak dostawca nigdy nie będzie wiedział, jaka transakcja (zakup komputera, wniosek o wyciąg z rejestru karnego itp.) została przeprowadzona. 

Czy są jacyś konkurenci dla e-identyfikacji? 

Tak, ale z mniejszą identyfikacją użytkownika. SwissID konsorcjum SwissSign, w przypadku pozytywnego wyniku głosowania w dniu 7 marca, zostanie przekształcony w e-dowód. Istnieje również rozwiązanie Mobile ID stworzone przez Swisscom, Sunrise i Salt, które pozwala użytkownikom na identyfikację do niektórych usług poprzez otrzymanie kodu SMS. Istnieją również pewne rozwiązania kantonalne. 

Jaką rolę odegrają Google, Facebook czy Amazon? 

Niewykluczone, że niektórzy z tych gigantów technologicznych, którzy spełniają wymogi certyfikacji przez Konfederację, mogą ubiegać się o status dostawcy. Tak jest na przykład w przypadku Microsoft i Google, które mają centra danych w Szwajcarii. Możliwe jest również, że te międzynarodowe przedsiębiorstwa akceptują, aby ich szwajcarscy klienci identyfikowali się za pomocą swojego e-dowodu. "Zaangażowanie się w e-identyfikacje będzie w ich interesie" - sugeruje Benoît Gaillard. Mogłoby to zapewnić łatwy dostęp do pewnych funkcji "premium", takich jak posiadanie certyfikowanego konta na Twitterze lub zostanie zaufanym sprzedawcą w serwisie Amazon. A ponieważ e-dowód jest powiązany z naszą prawdziwą tożsamością, może zmniejszyć liczbę obraźliwych komentarzy na portalach społecznościowych." 

Dlaczego państwo nie zajmie się wszystkim? 

Zwolennicy e-identyfikacji uważają, że byłby to bardzo zły pomysł, ponieważ państwo musiałoby zainwestować duże środki w tę technologię, albo ogłosić przetarg i prawdopodobnie zostałby wybrany tylko jeden dostawca, który stałby się de facto monopolistą. Ale niewątpliwie tak się stanie w przypadku ustawy poddanej pod głosowanie 7 marca, mówi Benoît Gaillard: "W każdym razie państwo inwestuje w tworzenie baz danych. Myślę, że SwissSign stanie się quasi-monopolistycznym graczem prywatnym ze względu na strukturę tego rynku. Dlatego lepiej jest mieć monopol pod kontrolą publiczną, z dokładnymi specyfikacjami i gwarancją przejrzystości. Konfederacja mogłaby stworzyć podmiot do tego celu lub udzielić koncesji spółce publicznej, dlaczego nie Swiss Post." 

Autor: 
Anouch Seydtaghia, tłum: Katarzyna Osada 

Reklama