plik

��Raport Instytutu Sobieskiego Nr 26/2007 Czy PESEL2 jest potrzebny? Robert KpczyDski, Krzysztof Komorowski, Piotr KociDski, Tadeusz CheBkowski TWORZYMY IDEE DLA POLSKI Instytut Sobieskiego ul. Nowy Zwiat 27, 00-029 Warszawa tel./fax: (022) 826 67 47 tel.: (022) 211 12 75 fax: (022) 211 12 76 e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl Volkswagen Bank Polska S.A. 45 2130 0004 2001 0340 1999 0001 Robert KpczyDski1, Krzysztof Komorowski2, Piotr KociDski3, Tadeusz CheBkowski4 krzysztof.komorowski@sobieski.org.pl Czy PESEL2 jest potrzebny? 1 234 Marzec 2007 Spis tre[ci: 1. Wprowadzenie .............................................................................................................................................2 2. Informatyka, procesy administracyjne i polityka..........................................................................................3 3. PESEL2 wedBug zaBo|eD MSWiA...................................................................................................................5 4. Czy centralne bazy danych osobowych s potrzebne?....................................................................................7 5. Odnajdywanie obywateli, a obowizek meldunkowy ..................................................................................10 6. Do czego sBu|y referencyjna baza danych? .................................................................................................12 7. Niepo|dana funkcjonalno[ systemu PESEL2 ...........................................................................................14 8. Bezpieczny rejestr danych osobowych.........................................................................................................17 9. PrzykBad zastosowania koncepcji: Rejestr NFZ...........................................................................................23 10. Podsumowanie.........................................................................................................................................25 Wybrana bibliografia .....................................................................................................................................26 1 Robert KpczyDski absolwent wydziaBu Matematyki UW, konsultant w dziedzinie bezpieczeDstwa system�w i zarzdzania ryzykiem, CISSP, pracuje w midzynarodowej firmie informatycznej, wsp�Bpracu- je z Instytutem Sobieskiego. 2 Krzysztof Komorowski absolwent WydziaBu Matematyki i Fizyki UMCS, konsultant w dziedzinie stra- tegii informatycznych, pracuje w midzynarodowej firmie informatycznej, ekspert Instytutu Sobieskiego. 3 Piotr KociDski dr fizyki , OpenGroup Master IT Architect, pracuje w dziale usBug technologicznych midzynarodowej firmy informatycznej, kieruje zespoBem konsultant�w i projektant�w IT, wsp�Bpracuje z Instytutem Sobieskiego. 4 Tadeusz CheBkowski absolwent wydziaBu Ekonometrii i Informatyki Akademii Ekonomicznej w Szcze- cinie, OpenGroup Master IT Architect, odpowiada za rozw�j midzynarodowej firmy specjalizujcej si w tworzeniu oprogramowania w Polsce i krajach baBtyckich, wsp�Bpracuje z Instytutem Sobieskiego. e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 1 1. Wprowadzenie Od ponad roku w MSWiA trwaj prace nad systemem PESEL2. Udostpnione informa- cje na ten temat s maBo precyzyjne. WyBa- niajcy si obraz systemu, cho fragmenta- ryczny, budzi wiele powa|nych wtpliwo[ci. Deklarowane cele, kt�rym ma sBu|y PE- SEL2 s nieprecyzyjne i szeroko zakrojone. Co wicej, zwizek midzy sam koncepcj systemu PESEL2 a jego deklarowanymi celami jest bardzo luzny, co w przypadku tak wielkiego przedsiwzicia musi budzi niepok�j. W |adnym z opublikowanych dokument�w autorzy koncepcji nie odnie[li si do wielu istotnych problem�w bezpie- czeDstwa, typowych dla takich system�w. Dyskusja na temat PESEL2, jak dotd, to- czy si w wskim gronie specjalist�w i doty- czy przede wszystkim problem�w technicz- nych. Tworzy to bBdne wra|enie, |e wizja informatyzacji paDstwa, kt�r kieruj si autorzy koncepcji systemu PESEL2 jest powszechnie akceptowana. Raport ma na celu o|ywienie dyskusji na temat systemu PESEL2 i poszerzenie jej zakresu w dw�ch wymiarach. Chcemy obj dyskusj r�wnie| faktyczne cele polityczne systemu i spoBeczne konsekwencje ich reali- zacji. Zale|y nam tak|e na poszerzeniu kr- gu debaty o osoby spoza bran|y IT, kt�re do tej pory nie wBczyBy si do dyskusji o PESEL2 z powodu mylnego przekonania, |e jest to przedsiwzicie czysto in|ynier- skie. Std te| w raporcie staramy si u|ywa jzyka zrozumiaBego dla szerokiego krgu odbiorc�w. e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 2 2. Informatyka, procesy administracyjne i poli- projektu informatycznego nie ma sensu. Bez zdefiniowanych proces�w budowa systemu tyka informatycznego przypomina wznoszenie budynku bez zdefiniowania cel�w, jakim Informatyka to nauka o przetwarzaniu in- bdzie on sBu|yB: czy bdzie biurowcem, hal sportow czy fabryk. Tworzc system formacji. Przetwarzanie informacji to ich informatyczny nale|y najpierw wskaza tworzenie, przesyBanie z miejsca na miejsce, skBadowanie, analizowanie a tak|e wnio- precyzyjnie cele, kt�re system ma realizo- wa, nastpnie zdefiniowa procesy, kt�re skowanie w oparciu o zebrane informacje. Informacje mog dotyczy os�b, przedmio- bd narzdziami do realizacji tych cel�w t�w czy zdarzeD. Informacja to news do- i dopiero na koDcu zaprojektowa programy stpny na portalu, wycig z konta bankowe- komputerowe sBu|ce do wspomagania tych proces�w. go, faktura z TP S.A., zestawienie danych o kliencie w sieci handlowej. Systemy kom- Naturaln skBonno[ci rzdzcych jest gro- puterowe staBy si najwa|niejszym narz- madzenie informacji o rzdzonych. Od stu- dziem przetwarzania informacji. Informaty- leci tworzono lokalne i centralne kartoteki ka to r�wnie| wiedza o tym jak wspomaga, z danymi osobowymi. Poprzez analiz zgro- organizowa i kontrolowa prac zBo|onych madzonych informacji wBadza mogBa reali- instytucji przy wykorzystaniu system�w zowa r�|ne cele polityczne. komputerowych. W latach dwudziestych ubiegBego wieku W informatyce bardzo wa|nym pojciem bolszewicy dostrzegli, |e analiza danych jest proces, proces biznesowy bdz admini- zebranych w centralnych kartotekach z da- stracyjny. Proces to szereg wzajemnie powi- nymi osobowymi, uBatwia planowanie dzia- zanych czynno[ci wykonywanych za ka|dym BaD represyjnych na masow skal. Najpierw razem w ten sam spos�b w celu uzyskania robili to bolszewicy a p�zniej nazi[ci. okre[lonego rezultatu. Z ka|d czynno[ci Co ciekawe takie specyficzne dziaBania ana- procesu zwizane jest pewne kwantum prze- lityczne podjB demokratycznie wybrany twarzanych informacji. Komputery i pro- rzd szwedzki, kt�ry realizowaB program gramy wspomagaj wykonywanie tych eugeniczny opierajc si na analizie obywa- czynno[ci, a ostatnio umo|liwiaj r�wnie| teli na podstawie skatalogowanych zdj automatyczny nadz�r nad og�Bem proces�w twarzy. realizowanych w danym systemie. Po wprowadzeniu maszyn cyfrowych mo|- Tworzenie zBo|onego systemu informatycznego liwo[ci takich dziaBaD niepomiernie wzrosBy. (czyli zbioru wielu wyspecjalizowanych Odtd kartoteki i akta zaczynaj by prze- i wsp�Bpracujcych ze sob program�w ksztaBcane w bazy danych (nazywanych komputerowych) powinno by poprzedzone w tym dokumencie r�wnie| rejestrami je[li definicj proces�w administracyjnych, kt�re s w nich zgromadzone dane osobowe). ten system ma wspomaga. Je[li procesy nie s zdefiniowane i opisane, to rozpoczynanie e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 3 W Polsce w latach 70-tych wdro|ono system PESEL, w ramach kt�rego jako pierwszy zostaB uruchomiony podsystem MAGI- STER, kt�ry wedle oficjalnych o[wiadczeD miaB obejmowa osoby z wy|szym wyksztaBce- niem oraz sBu|y potrzebom gospodarowania kadrami i planowania gospodarczego oraz usprawniania proces�w administracyjnych . System PESEL byB [ci[le zwizany z kon- cepcj meldunku, czyli powszechnego obo- wizku rejestracji aktualnego adresu za- mieszkania. Pojawia si pytanie, jakie fak- tyczne cele polityczne realizowano w opar- ciu o baz danych PESEL i jakie de facto cele mog by realizowane przez system PESEL2. Cele wskazane w akcie zaBo|ycielskim PESEL s na tyle og�lne, |e nie spos�b sprawdzi czy zostaBy osignite. Je[li przy- j, |e PESEL zostaB tak naprawd zaBo|ony po to, by poprzez centraln identyfikacj obywateli powizan z obowizkiem mel- dunkowym, uzyska lepsz kontrol paD- stwa nad spoBeczeDstwem, to wiele wskazu- je, |e taki cel zostaB cz[ciowo osignity. To, |e nie zostaB osignity w peBni, wynika- Bo nie tyle z niedoskonaBo[ci narzdzi kom- puterowych, ale przede wszystkim z powodu niskiej jako[ci proces�w administracyjnych. Nie znajdujemy w dokumentach, udostp- nianych przez MSWA informacji o nowych procesach administracyjnych bdz zmianie starych, wypada si wic zada pytanie czy PESEL2 jest potrzebny, a je[li tak, to jak powinien by skonstruowany i jakim celom ma sBu|y. e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 4 System PESEL2 w planach MSWiA ma by 3. PESEL2 wedBug zaBo|eD MSWiA referencyjnym rejestrem ludno[ci caBej Pol- ski. Ka|demu obywatelowi zostanie przypi- MSWIA udostpniBo do konsultacji spo- sany uniwersalny identyfikator (czyli numer Becznych dokument Podstawowy Dokument PESEL), nadrzdny wobec dotychczas u|y- Programu PESEL2. Przebudowa i integracja wanych identyfikator�w (NIP, ZUS, KRUS, rejestr�w paDstwowych . WedBug autor�w etc), kt�re formalnie stan si identyfikato- tego dokumentu poni|sze stwierdzenia rami wewntrznymi w swoich dziedzino- s uzasadnieniem dla budowy PESEL2: wych rejestrach. Dane w rejestrze referen- cyjnym PESEL2 bd traktowane jako je- 4.1 Cel operacyjny (bezpo[redni). dyne autentyczne zr�dBo danych o obywate- Umo|liwienie przedsibiorcom oraz obywatelom lach, a ekstrakt danych z PESEL2 pobrany korzystania z usBug administracyjnych on-line przez urzd bdzie miaB status dokumentu oferowanych przez administracje r�|nych szcze- urzdowego. Numer identyfikacyjny PESEL bli i rodzaj�w bdzie musiaB by stosowany w niezmienio- nej postaci w rejestrach paDstwowych urz- 4.2 Cel strategiczny (dBugookresowy). d�w i firm prywatnych (czyli potencjalnie DBugookresowy cel strategiczny dla systemu ZSI we wszystkich bazach danych zarejestrowa- PESEL2 wynika z faktu, |e stanowiB on bdzie nych w GIODO). Potencjalne zagro|enia komponent infrastruktury informacyjnej paD- wynikajce z tego ostatniego pomysBu zosta- stwa zdefiniowanej w Programie reformy infra- n om�wione w rozdziale 7. struktury informacyjnej paDstwa i strategii in- Aktualizacja danych o obywatelach formatyzacji sektora publicznego. w PESEL2 bdzie wykonywana tylko po- Autorzy dokumentu programowego na sa- przez urzdy pierwszego kontaktu na szcze- mym wstpie wskazali szereg teoretycznych blu gminy (USC, wydziaBy ewidencji ludno- korzy[ci wynikajcych z wprowadzenia sys- [ci i dowod�w osobistych). temu. PrzykBadowo, po wdro|eniu PESEL2 Je[li jednostka organizacyjna sektora paD- zmniejszona zostanie bli|ej nieokre[lona stwowego chciaBaby stworzy sw�j wBasny liczba za[wiadczeD, po[wiadczeD i odpis�w, rejestr, to bdzie on musiaB bazowa na da- kt�re aktualnie s wymagane przez urzdy. nych osobowych rejestru referencyjnego Obywatel zostanie te| odmiejscowiony , PESEL2. Zatem inne rejestry ludno[ci bd co oznacza, |e cze[ czynno[ci administra- pobieraBy podstawowe dane osobowe nie cyjnych zwizanych z obsBug np. dowod�w bezpo[rednio od obywateli, ale z rejestru osobistych bdzie mo|liwa w dowolnym referencyjnego PESEL2 za pomoc sieci urzdzie gminnym, a nie tylko we wBa[ci- komputerowej. Zatem wszystkie bazy da- wym dla miejsca zamieszkania. Autorzy nych zawierajce informacje o obywatelu, dokumentu wskazali tak|e, |e budowa gi- kt�re s tak|e przechowywane w bazie gantycznego systemu zbierania i dystrybucji PESEL2 miaByby by bazami pochodnymi informacji osobowych jest jedynym sposo- i podrzdnymi w stosunku do niej. Urzdy bem uzyskania tych korzy[ci. e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 5 pracujce na rejestrach pochodnych bd " identyfikatory PESEL bd unikalnymi miaBy zakaz |dania informacji od obywate- identyfikatorami obywateli we wszyst- li, je[li te informacje ju| znajduj si kich bazach dziedzinowych (czyli za- w PESEL2. pewniaj administracyjne powizanie wszystkich danych osobowych konkret- W dokumencie MSWiA nie znajdujemy nego obywatela z r�|nych baz dziedzi- informacji, jakie procesy administracyjne nowych), zostan zmienione, wprowadzone bdz zli- kwidowane. Nie wyja[niono, w jaki spos�b " wiarygodno[ danych przechowywa- PESEL2 uBatwi kontakty obywatela z admi- nych w PESEL2 jest zadekretowana nistracj i usprawni dziaBanie tej ostatniej. przez prawo a nie wynika z jego kon- Autorzy dokumentu te| nie wyja[niaj, strukcji i sposobu dziaBania. PESEL2 w jaki spos�b PESEL2 umo|liwi przedsi- bdzie jedynym legalnym zr�dBem da- biorcom oraz obywatelom korzystanie nych osobowych dla innych rejestr�w z usBug on-line (przez Internet) oferowanych paDstwowych. przez administracje r�|nych szczebli i ro- dzaj�w. Dokument programowy MSWiA zawiera te| szereg propozycji technicznych, w luzny spos�b zwizanych z planowanymi funk- cjami systemu (a wic architektura tech- niczno-operacyjna wydaje si by niezale|na od funkcjonalno[ci planowanej bazy! w analogii budowlanej odpowiada to sytu- acji, gdyby konstrukcja budowli byBa nieza- le|na od jej funkcji). Wikszo[ szczeg�B�w dotyczcych architektury i konstrukcji reje- stru PESEL2 jest nieznana. Planowane rozwizania, na podstawie in- formacji udostpnionych przez MSWiA, mo|na scharakteryzowa w nastpujcy spos�b: " PESEL2 to centralny system identyfi- kacji obywateli i rejestr meldunk�w (zakBada si istnienie obowizku mel- dunkowego), " rejestr PESEL2 przechowuje i udo- stpnia dane o r�|nych uprawnieniach obywateli ([wiadczeniach etc.), e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 6 danych osobowych, rozumiana jako mecha- 4. Czy centralne bazy danych osobowych nizm uBatwiajcy identyfikacj osoby, jest s potrzebne? niezbdna. Zwr�my uwag, |e spos�b dowo- dzenia to|samo[ci zale|y od okoliczno[ci: inne informacje s potrzebne do identyfika- Sdzimy, |e istniej dwa istotne powody, dla kt�rych paDstwo powinno utworzy central- cji osoby w banku, a inne, gdy student po- ny rejestr z danymi osobowymi o charakte- kazuje kontrolerowi zni|kowy bilet. M�wi- my, zatem o to|samo[ci kontekstowej, czyli rze identyfikacyjnym. Pierwszy dotyczy to|samo[ci, kt�rej tylko cz[ cech ma istot- potrzeby jednoznacznego rozr�|niania os�b. ne znaczenie w danym kontek[cie. Drugi wynika z konieczno[ci udowadniania to|samo[ci w r�|nych okoliczno[ciach. Zatem konieczne jest tworzenie dziedzino- wych baz danych identyfikacyjnych wspo- S te| inne funkcje (np. analizowanie stanu magajcych proces dowodzenia to|samo[ci zdrowia spoBeczeDstwa), kt�re paDstwo kontekstowej. Dowiedzenie to|samo[ci kon- chciaBoby realizowa za pomoc centralnych tekstowej jest warunkiem koniecznym egze- rejestr�w danych osobowych. kwowania dziedzinowych uprawnieD (typu Poniewa| samo istnienie centralnej bazy zni|ka na bilet, usBuga medyczna etc). danych osobowych stwarza powa|ne zagro- W przypadku rejestr�w dziedzinowych musi |enia dla bezpieczeDstwa obywateli, to uwa- by zachowana zasada proporcjonalno[ci |amy, |e plany realizacji tych innych funk- tj. zakres danych identyfikacyjnych w takim cji za pomoc centralnego rejestru musz rejestrze nie mo|e by wikszy ni| wynika by poprzedzone szczeg�Bow analiz zy- to z potrzeby identyfikacji konkretnej to|- sk�w i strat zar�wno dla PaDstwa jak i dla samo[ci kontekstowej. obywateli a jej wyniki upublicznione. To|samo[ udowadniamy okazujc okre[lo- Warto mie [wiadomo[, |e realizacja in- ny dokument, bdz u|ywajc indywidualnej nych funkcji za pomoc centralnej bazy karty elektronicznej. Ci|ar dowodu wBasnej wi|e si z konieczno[ci przechowywania to|samo[ci spoczywa na obywatelu. Doku- w niej danych osobowych nie zwizanych menty sBu|ce do udowadniania swojej to|- z potrzeb identyfikacji os�b. samo[ci kontekstowej (czyli np. legitymacja Identyfikacja os�b i udowadnianie swojej to|- studencka) s wystawiane dopiero po udo- samo[ci s niezbdne, aby normalnie funk- wodnieniu to|samo[ci poprzez dow�d osobi- cjonowa w [wiecie biznesu i w [wiecie in- sty lub paszport. Instytucja wydajca dowo- stytucji publicznych. Poczwszy od wyegze- dy osobiste, kt�re s gB�wnymi dokumenta- kwowania prawa do zni|ki na bilet, skBada- mi identyfikacyjnymi jest szczeg�lnie od- nia wniosku w urzdzie, zakBadania konta powiedzialna za wBa[ciw identyfikacj w banku a skoDczywszy na zakupie telefonu obywateli. Aby dobrze wywiza si ze swo- kom�rkowego, mamy do czynienia z sytu- jej roli musi posiada rejestr unikalnych acjami, gdzie zmuszeni jeste[my do udo- identyfikator�w os�b (czyli np. numery wadniania swojej to|samo[ci. Dlatego baza PESEL) oraz niezbdne minimum danych e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 7 osobowych, kt�re pozwalaj rozr�|nia kaDczych wyBudzeD [wiadczeD uderzaj obywateli w danej zbiorowo[ci. bezpo[rednio w bud|ety wBa[cicieli dziedzi- nowych rejestr�w autoryzacyjnych i podat- Naszym zdaniem w Polsce potrzebny jest nik�w, a nie w MSWiA. zar�wno centralny paDstwowy rejestr da- nych osobowych do wydawania dowod�w MSWiA chce zmusi obywateli i instytucje jak i niezale|ne rejestry dziedzinowe do ufania danym z PESEL2 a jednocze[nie do identyfikacji to|samo[ci kontekstowej. nie ufania danym z rejestr�w ju| istniej- Ka|dy z tych rejestr�w musi speBnia zasad cych. Z obecnej praktyki wynika, |e instytu- proporcjonalno[ci, wedBug kt�rej zakres da- cje komercyjne maj ograniczone zaufanie nych identyfikacyjnych w rejestrze powi- do rejestr�w paDstwowych. Nie mo|na ku- nien by [ci[le dostosowany do jego funkcji pi telefonu kom�rkowego w promocji je[li identyfikacyjnej i ograniczony tylko do niej. swoj to|samo[ udowadnia si tylko za pomoc dowodu osobistego. Istniej Aby rejestry dziedzinowe mogBy wBa[ciwie istotne powody, dla kt�rych zaufanie peBni swoje funkcje musz by niezale|ne. do paDstwowych rejestr�w jest ograniczone MSWiA ma inne zdanie na ten temat i za- i powody te nie znikn z chwil wprowadze- mierza wymusi na innych paDstwowych nia systemu PESEL2. Bazujc na do[wiad- rejestrach dziedzinowych ograniczenia do- czeniach innych kraj�w nale|y wtpi czy tyczce pobierania danych zr�dBowych polepszenie jako[ci pracy i poprawa proce- od obywateli. Cytat z dokumentu MSWiA: s�w w instytucji prowadzcej rejestr co[ Zostanie wprowadzony obowizek wymiany tu istotnie zmieni. R�|ne firmy bd uzna- informacji midzy jednostkami organizacyjnymi waBy wiarygodno[ r�|nych baz danych oso- administracji publicznej o osobach fizycznych bowych na podstawie swojego do[wiadcze- w celu minimalizacji pierwotnego zbierania nia, a nie na podstawie prawnego nakazu. informacji od obywateli oraz zakaz |dania Postulowana przez nas niezale|no[ syste- informacji od obywateli, je|eli informacja istnie- m�w dziedzinowych od centralnego rejestru je w systemie ZSI PESEL2. nie oznacza, |e wykluczamy mo|liwo[ Sdzimy, |e wBa[ciciel (dysponent) danego przepBywu danych pomidzy rejestrami uprawnienia i towarzyszcy mu dziedzino- dziedzinowymi. Stwierdzamy jedynie, wy rejestr identyfikacyjny, w kt�rym |e brak precyzyjnie zdefiniowanych cel�w te uprawnienia s zapisane, musi mie swo- i proces�w nie daje w tej chwili mo|liwo[ci bod ksztaBtowania procesu sprawdzania na wskazanie jak taki przepByw danych po- to|samo[ci os�b uprawnionych. Oferowany midzy systemami dziedzinowymi miaBby przez paDstwo system weryfikacji to|samo- wyglda i czemu miaBby sBu|y. [ci powinien mie tylko rol pomocnicz dla W rozwa|aniach dotyczcych centralnej wBa[cicieli dziedzinowych rejestr�w autory- bazy danych osobowych nie mo|na pomin zacyjnych. Nie mo|na im zabroni pobiera- kwestii jej struktury i zakresu informacji nia od obywateli danych ju| istniejcych w niej przechowywanych. SpoBecznie akcep- w PESEL2, poniewa| konsekwencje oszu- towalny limit ilo[ci informacji przechowy- e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 8 wanych w centralnej bazie zale|y od czyn- padku unikalnym identyfikatorem osoby nik�w kulturowych: porzdku prawnego, we wszystkich systemach dziedzinowych. wielko[ci populacji, tradycji panujcej w danym kraju, poziomu zagro|enia kra- dzie| to|samo[ci itd. Planowanego przez MSWiA zakresu danych w PESEL2 mo|e- my si jedynie domy[la analizujc stwier- dzenia typu: W systemie ZSI PESEL2 powinny by groma- dzone podstawowe cechy klasyfikacyjne i identyfikacyjne o osobie fizycznej wystpujce w og�lnokrajowych systemach informacyjnych, czsto wykorzystywane przez jednostki sektora publicznego, np. informacja o tym, czy osoba jest ubezpieczona w systemie ubezpieczenia zdro- wotnego lub ubezpieczenia spoBecznego . Zatem koncepcja MSWiA zmierza do stwo- rzenia wielkiej bazy danych osobowych, zawierajcej nieproporcjonalny w stosunku do cel�w zakres danych osobowych. Sdzimy, |e do skutecznego dowodzenia to|samo[ci, jak i z powodu zobowizaD midzynarodowych (np. paszport biome- tryczny), centralny rejestr danych osobo- wych powinien by zbiorem unikalnych identyfikator�w oraz powinien zawiera tylko tak ilo[ danych identyfikacyjnych, kt�ra jest konieczna do rozr�|niania oby- wateli. Nale|y zaakceptowa fakt, |e w r�|- nych instytucjach bd istniaBy rejestry da- nych osobowych, zawierajce dane ju| ist- niejce w rejestrze centralnym, oraz |e dla wielu instytucji i obywateli to nie rejestr centralny bdzie wiarygodnym zr�dBem tych danych. PrawidBowo stosowana koncepcja rejestr�w bazowych nie wymaga nadrzdno[ci danych w jednych bazach nad tymi samymi danymi w innych bazach, a identyfikator PESEL nie powinien sta si w |adnym wy- e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 9 anglosaskich kwestionuje ide takiej bazy 5. Odnajdywanie obywateli, a obowizek mel- widzc w niej powa|ne zagro|enie dla swo- dunkowy b�d obywatelskich. W r�|nym stopniu, w r�|nych krajach plany te jednak s wpro- wadzane w |ycie. Jednak tam, gdzie ju| ist- W poprzednim rozdziale wskazali[my, niej centralne bazy danych kontrolowane |e niezbdna jest centralna baza danych przez PaDstwo, nie staj si one jedynym, osobowych i unikalnych identyfikator�w wiarygodnym zr�dBem danych adresowych os�b. Wskazali[my tak|e, |e po|dane dla innych instytucji! i naturalne jest istnienie wielu niezale|nych dziedzinowych system�w z danymi osobo- Ponadto okazuje si, |e zupeBnie inne do- wymi, dziki kt�rym mo|emy wybra opty- kumenty identyfikacyjne, zwizane z inny- mi rejestrami osobowymi, czsto komercyj- malny spos�b dowodzenia kontekstowej nymi, s traktowane jako bardziej wiary- to|samo[ci. godne od paDstwowych! Poza udowadnianiem to|samo[ci potrzebny Potrzeba odnajdywania os�b w oparciu jest tak|e skuteczny spos�b odnajdywania o centraln baz adres�w zdaje si by pre- osoby. Cecha ta wydaje si niezbdna w przypadku niekt�rych system�w dziedzi- tekstem do utrzymywania obowizku mel- dunkowego i w konsekwencji konieczno[ci nowych utrzymywanych przez banki, NFZ, czy operator�w telekomunikacyjnych. Ka|- przechowywania informacji meldunkowej w bazie PESEL2. Urzdnicy uzasadniaj da z tych instytucji w okre[lonej sytuacji (np. niespBacenie kredytu, informacja o za- obowizek meldunkowy potrzeb odnajdy- ka|eniu, niepBacenie za usBug telekomuni- wania obywateli. Sto lat temu obowizek meldunkowy doskonale speBniaB swoj rol. kacyjn) bdzie musiaBa odnalez konkretn Dzisiaj, kiedy mamy tysice elektronicz- osob. Jest oczywiste, |e przy podpisywaniu nych rejestr�w zawierajcych adresy, nie umowy takie instytucje pr�buj ustali prawdziwy adres klienta i zapisa go w swo- jest ju| optymalnym narzdziem. jej bazie danych. Banki, firmy telekomuni- MSWiA zdaje si dostrzega potrzeb usu- kacyjne i inne instytucje nie zadawalaj si nicia informacji meldunkowej z dowodu o[wiadczeniem danej osoby o jej adresie, ale osobistego. Wprowadzone zostan zmiany staraj si podawane informacje zweryfiko- zwizane z form dowodu osobistego. Rozwa- wa zanim dokonaj wpisu do bazy danych. |ona zostanie mo|liwo[ usunicia z dowodu Upowszechnianie si tej praktyki, jak i wy- adresu zameldowania powodujca konieczno[ darzenia z 11 wrze[nia 2001 roku spowodo- jego ka|dorazowej wymiany przy zmianie da- nych adresowych. Wydaje si, |e MSWiA waBy, |e w wielu krajach zaczto rozwa|a nie dostrzega, |e prawdziwym problemem pomysB utworzenia centralnej bazy danych jest utrzymywanie zapisu o meldunku z danymi identyfikacyjnymi obywateli, w bazie PESEL2. Upierajc si przy utrzy- w tym danymi adresowymi. Doda nale|y, maniu informacji meldunkowej w bazie |e istotna cz[ opinii spoBecznej w krajach PESEL2, MSWiA rozstrzyga jednym poci- e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 10 gniciem cigle dyskutowan w innych kra- bez staBego zameldowania nie ma praw oby- jach Zachodu kwesti, czy paDstwo powinno watelskich. Nie mo|e leczy siebie ani swo- w jednym centralnym miejscu posiada jego dziecka. Nie mo|e si zatrudni. Nie wiedz o miejscu zamieszkania jego obywa- mo|e kupi mieszkania, telefonu kom�rko- teli. Czy MSWiA rozstrzygnBo sBusznie wego, wyjecha za granic (poniewa| nie i czy w og�le ma prawo do takich rozstrzy- dostanie paszportu !). Nie mo|e si nawet gni? ZwBaszcza, |e w praktyce okazuje si, zameldowa na pobyt staBy, gdy| do tego jest |e dzisiejszy system oparty na obowizku potrzebne& uprzednie wymeldowanie! meldunkowym nie gwarantuje urzdowi Bez informacji adresowych PESEL2 m�gBby paDstwowemu (np. sdowi) dotarcia do ka|- si sta wiarygodn baz, pomocn do roz- dego obywatela. Tymczasem maBa firma r�|niania i udowodnienia to|samo[ci os�b, detektywistyczna, korzystajca w sprytny i jest to jedyna rola, kt�r, bez zdefiniowa- spos�b z r�|nych komercyjnych rejestr�w nych proces�w, system typu PESEL2 m�gB- nie ma z tym problemu. Ponadto poza Pol- by peBni. Tysice innych niezale|nych reje- sk stale przebywa ponad milion polskich str�w mogBoby by powizane z PESEL2 obywateli. w spos�b zapewniajcy ochron prywatno[ci Proponujemy rozwa|y rezygnacj z utrzy- obywateli, tworzc jednocze[nie warunki dla mywania informacji adresowej w centralnej znacznie skuteczniejszych sposob�w udo- bazie danych osobowych, gdy| jest to zbd- wadniania to|samo[ci i odszukiwania oby- ne we wsp�Bczesnym zinformatyzowanym wateli. [wiecie, o ile PaDstwo nie ma cigot totali- tarnych. W zwizku z tym warto zastanowi si nad rezygnacj z instytucji obowizko- wego meldunku. W wielu paDstwach Za- chodu nie istnieje obowizek meldunkowy. Co wicej, nie we wszystkich paDstwach (np. USA, Wielka Brytania) wprowadzono nawet powszechny obowizek posiadania dokumentu to|samo[ci ze zdjciem (pasz- port takim dokumentem nie jest, poniewa| jest potrzebny wyBcznie osobom wyje|d|a- jcych za granic). Warto zda sobie spraw z tego, co oznacza brak obowizku meldunkowego. Jest to prawo obywatela do nieinformowania wBadz publicznych o ka|dorazowej zmianie miejsca zamieszkania. Jakie s konsekwen- cje niewypeBnienia obowizku meldunko- wego w takim kraju jak Polska? Obywatel e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 11 NiedopeBnienie obowizku powiadomienia 6. Do czego sBu|y referencyjna baza danych? urzd�w o zmianie meldunku jest nie tylko potencjalnym utrudnieniem w nastpnej W Polsce formalnie zarejestrowano ju| po- interakcji z tymi urzdami, ale mo|e wiza nad 50 tysicy rejestr�w z danymi osobo- si z odpowiedzialno[ci karn! W celu li- wymi. Baza danych klient�w operatora sieci kwidacji tej niedogodno[ci MSWiA zapro- telefonicznej, baza danych klient�w gazow- jektowaBo now organizacj dla ju| istniej- ni, baza danych z aktami urodzenia, baza cych rejestr�w paDstwowych z danymi adre- danych ZUS, to przykBady typowych reje- sowymi, z PESEL2 w roli gB�wnej. Istnienie str�w. wielu niezale|nych rejestr�w dziedzinowych z adresami jest faktem i MSWiA tego nie Wiarygodno[ i u|yteczno[ rejestr�w mo|- podwa|a, tylko dokonuje arbitralnego zr�|- na por�wnywa poprzez kombinacj dw�ch nicowania rejestr�w na wiarygodny PESEL2 parametr�w: procentu bBdnych rekord�w i pozostaBe urzdowo niewiarygodne. i Batwo[ci podrobienia dokumentu reprezen- tujcego rekord w rejestrze (zwykle poje- Uzasadnieniem teoretycznym tego pomysBu dynczy zapis w rejestrze istnieje na ze- jest koncepcja tzw. plik�w referencyjnych wntrz rejestru w postaci dokumentu). w teorii baz danych. Ot�| w bazach danych Im mniejszy procent nieprawdziwych da- gromadzimy dwa rodzaje danych: dane same nych w rejestrze, tym jego wiarygodno[ jest w sobie, oraz informacje o formacie, czyli wiksza. Im trudniej podrobi dokument sposobie zapisu, w jakim te dane przecho- odzwierciedlajcy zapis w rejestrze, tym wujemy, czyli tzw. metadane. Je[li na przy- rejestr jest bardziej u|yteczny. kBad mamy baz danych osobowych w ban- ku to danymi samymi w sobie s m.in. na- Ka|de przedsibiorstwo, kt�re masowo we- zwiska klient�w, stany ich kont, wykupione ryfikuje kontekstow to|samo[ klient�w, produkty, a metadanymi s w tym przypad- stara si wybiera rejestry najbardziej wia- ku informacje, |e miejsce w bazie, gdzie rygodne lub korzysta z wielu rejestr�w jed- przechowujemy nazwisko klienta nie bdzie nocze[nie. Operator sieci kom�rkowej dBu|sze ni| 100 znak�w, a miejsce gdzie sprzedajcy telefony po zBot�wce z roczn przechowujemy informacj o stanie konta umow abonamentow oczekuje, |e klient ma maksymalnie 20 cyfr, itp. W zBo|onym oka|e dwa r�|ne dokumenty ze zdjciem, systemie, skBadajcym si z wielu baz da- np. dow�d osobisty i paszport oraz inne nych, informacja o nazwisku znajdzie si w dokumenty dodatkowo potwierdzajce jego wicej ni| jednej bazie. Naturalnie mo|na to|samo[, np. faktur z opBat za elek- sobie wyobrazi sytuacj, |e ka|da z baz tryczno[ i za[wiadczenie o zatrudnieniu. skBadowych zBo|onego systemu ma swoje Innymi sBowy operator kom�rkowy korzysta metadane, czyli wBasny format zapisu na- z danych z czterech rejestr�w. zwiska. Zwykle d|y si do narzucenia jed- Dodajmy, |e r�|ne urzdy paDstwowe maj nego wzorca zapisu danych w systemach swoje rejestry, a za przepByw danych pomi- zBo|onych z wielu baz, czyli wydziela si dzy nimi odpowiedzialny jest sam obywatel! e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 12 jedno miejsce gdzie zapisane s metadane wsp�lne dla wszystkich baz. Miejsce to zwy- kBo si nazywa wBa[nie baz referencyjn czy te| rejestrem referencyjnym. Projekt MSWiA przewiduje, |e PESEL2 stanie si baz referencyjn, tyle, |e w od- r�|nieniu od typowego zastosowania teorii opisanego wy|ej, baza referencyjna bdzie zawieraBa nie tylko metadane, ale przede wszystkim dane same w sobie! W przypadku systemu proponowanego przez MSWiA, traktowanie PESEL2 jako jedynego wiary- godnego zr�dBa danych nie jest |adn konse- kwencj stosowania sp�jnej teorii informatycz- nej, a tylko administracyjnie narzucon, naszym zdaniem niepotrzebnie, reguB! Optymalne rozwizanie to wiele r�|nych i niezale|nych rejestr�w, kt�rych wiarygod- no[ ksztaBtuje rynek i zbiorowe do[wiad- czenie obywateli. Pojcie referencyjno[ci dla danych osobowych nie powinno by stoso- wane. e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 13 obywateli posiada dow�d osobisty. Ka|dy 7. Niepo|dana funkcjonalno[ systemu PESEL2 dow�d musi by wymieniony raz na dziesi lat. Musi by wymieniony r�wnie| z powodu zmiany adresu zameldowania i zmiany na- W oparciu o informacje udostpnione przez zwiska. Ponadto nowy dow�d jest wydawany MSWiA na temat projektowanego systemu z powodu zgubienia starego, a taki przypa- PESEL2 mo|na przypuszcza, |e system dek obejmuje, co najmniej 5% obywateli stworzy wiele zagro|eD, takich jak: rocznie. Zatem co roku wydaje si trzy mi- " zapewni dziesitkom tysicy urzdni- liony dowod�w osobistych. GB�wne proble- k�w paDstwowych nieograniczony i nie- my bezpieczeDstwa zwizane z dowodami kontrolowany dostp do informacji o |y- osobistymi i rejestrem dowod�w to: ciu i zdrowiu wszystkich obywateli oraz " wydanie dowodu na dane osoby fikcyj- wielu innych rodzaj�w danych osobo- nej, wych zebranych z r�|nych rejestr�w dziedzinowych, " wydanie dowodu na dane innej osoby i bez jej wiedzy, " utrudni proces weryfikacji to|samo[ci i obni|y jego skuteczno[, " wydanie dowodu wielokrotnie tej samej osobie (w celu p�zniejszego przerobie- " uBatwi dokonywanie przestpstw za po- nia to|samo[ci), moc faBszywych dokument�w to|samo- [ci i kradzionych danych identyfikacyj- " podrobienie dowodu. nych, Je[li przekupimy pracownika w urzdzie lub " w bardzo szerokim zakresie umo|liwi w innym miejscu skomplikowanego procesu paDstwu profilowanie zachowaD i gust�w wydawania dowodu, w�wczas dokonanie wszystkich obywateli, jednego z powy|szych oszustw bdzie sto- sunkowo proste. A je[li umiemy podrobi " uBatwi wyBudzanie usBug i [wiadczeD dokumenty zr�dBowe, kt�re sBu| do wyda- od instytucji paDstwowych. nia zagubionego dowodu osobistego, Niepo|dane skutki uboczne, kt�re powsta- to w�wczas te| istnieje spora szansa na suk- n wraz z uruchomieniem PESEL2 ces. s w du|ej mierze zwizane z jego planowa- Przy masowym wydawaniu dowod�w musi- n wielko[ci. Z ka|dym du|ym centralnym my zachowa r�wnowag midzy poziomem rejestrem wystpuj podobne problemy. zabezpieczeD samego dowodu osobistego, , , , Zilustrujmy je na przykBadzie hipotetyczne- a poziomem odporno[ci procesu wydawania go rejestru dowod�w osobistych. Rejestr dowodu na oszustwa. Zatem, je[li podrobie- z dowodami osobistymi jest reprezentowany nie dowodu bdzie bardzo trudne, wtedy na zewntrz przez dow�d osobisty przestpcy skoncentruj si na oszustwach (a, na przykBad, rejestr klient�w gazowni w obrbie procesu wydawania dowod�w. jest reprezentowany przez imienn faktur Je[li z kolei dow�d bdzie mo|na Batwo pod- za dostaw gazu itp). OkoBo 20 milion�w e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 14 robi, to nie warto po[wica zbyt du|o pewne funkcje i cechy, nie wynikajce z jej [rodk�w na popraw szczelno[ci samego konstrukcji. Wydaje si te|, |e nie ma pla- procesu. Nie ma prostej zale|no[ci midzy n�w zmiany proces�w administracyjnych stopniem odporno[ci na oszustwa procesu zwizanych z obsBug tej bazy, a bez tego wydawania dowod�w a ilo[ci [rodk�w za- poprawa jako[ci nie jest mo|liwa. Problemy inwestowanych w zabezpieczenie samego zwizane z kradzie| to|samo[ci nie s kon- procesu. Na dodatek przy pewnym puBapie sekwencj wyboru tej czy innej technologii dalsze inwestycje w zabezpieczenie procesu u|ytej do budowy PESEL2, ale wynikaj nie przynios zauwa|alnego rezultatu. Wy- z samego faktu gromadzenia w jednym m�g zachowania r�wnowagi pomidzy po- miejscu olbrzymiej ilo[ci danych osobo- ziomem zabezpieczenia dokumentu a po- wych. Nale|y to uwzgldni i r�|nymi spo- ziomem zabezpieczenia procesu prowadzi sobami ograniczy ryzyko kradzie|y to|sa- do konkluzji, |e poziom wiarygodno[ci do- mo[ci na masow skal, czego niestety kon- wodu osobistego, poza pewn granic, nie cepcja MSWiA nie przewiduje. W rozdziale mo|e ju| znaczco wzrosn. 8 poka|emy konstrukcj systemu, kt�ry skutecznie ogranicza takie ryzyko. Nielegalny dow�d osobisty mo|e by u|yty do dokonania przestpstwa okre[lanego Je[li urzd paDstwowy pod jakim[ pretek- terminem kradzie| to|samo[ci. . Przestpca te| stem wymusi na wBa[cicielach rejestr�w . . dokonuje kradzie|y to|samo[ci je[li u|ywa dziedzinowych wyszukanie i dostarczenie tylko danych identyfikacyjnych innej osoby wszystkich rekord�w zwizanych z konkret- do wyBudzania usBug, produkt�w i pieni- nym numerem PESEL, to uzyska niewy- dzy. obra|aln ilo[ danych o tej osobie. Ten administracyjny spos�b zbierania informa- Kiedy kto[ posBuguje si cudzym imieniem, cji o obywatelu jest mo|liwy z powodu po- nazwiskiem i numerem karty kredytowej wszechnego, a w koncepcji MSWiA przymu- w sklepie internetowym lub otwiera konto sowego, u|ywania numeru PESEL jako w banku internetowym na dane innej osoby identyfikatora osoby w publicznych i ko- wtedy mamy do czynienia z kradzie| mercyjnych bazach danych. Doda nale|y, to|samo[ci. W USA jest to ogromna plaga - |e MSWiA planuje poBczy poprzez sie tylko w roku 2005 zgBoszono 685 tysicy system PESEL2 z innym do tej pory nieza- przypadk�w, le|nymi rejestrami publicznymi. Umo|liwi Powy|sza dyskusja wykazuje jak bardzo to regularne przeszukiwanie baz danych pod trudne i kosztowne jest zbudowanie cen- ktem konkretnych cech lub zdarzeD, wyBo- tralnego rejestru danych osobowych, kt�re- nienie grup o specyficznych upodobaniach, go jako[ i bezpieczeDstwo bdzie znaczco czy o specyficznych zachowaniach, kt�re wiksza od innych profesjonalnie prowa- bd interesowaBy urzdnik�w. W wyniku dzonych rejestr�w. Zaprezentowany przez takiego przeszukiwania otrzymamy popula- MSWiA projekt systemu PESEL2 jest bar- cj podzielon na Batwo rozr�|nialne seg- dzo du| baz danych osobowych, kt�rej menty. Jest to tzw. profilowanie. Tego typu decyzj administracyjn zostan przypisane e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 15 analizy czsto wykonuj firmy komercyjne w oparciu o wBasne bazy danych. Firma mo- |e podzieli caB populacj swoich klient�w na grupy o r�|nych preferencjach. Coraz cz[ciej si zdarza, |e firmy dziel si da- nymi o klientach midzy sob, co pozwala na jeszcze efektywniejsze profilowanie. Pro- filowanie daje ogromn przewag jednej stronie. Jedna strona wie o drugiej znacznie wicej, co powoduje, |e we wzajemnych relacjach jedna strona jest bardziej podmio- tem, a druga przedmiotem. W przypadku wprowadzenia PESEL2 stwo- rzymy techniczn mo|liwo[ peBnego profi- lowania caBej populacji! Pamitajmy, |e w bazie PESEL2 maj by r�wnie| zapi- sane adresy. Oznacza to, |e bdzie mo|liwe speBnienie marzenia ka|dej totalitarnej wBa- dzy o technicznej mo|liwo[ci regularnej identyfikacji grup podejrzanych ze wzgldu na jakie[ kryterium i wskazaniu gdzie podej- rzani mieszkaj! Czy w imi oficjalnie deklarowanego, a nie wynikajcego z logiki konstrukcji PESEL2, hipotetycznego polepszenia komunikacji obywatela z urzdem spoBeczeDstwo ma za- akceptowa stworzenie system�w, kt�re umo|liwi tak kontrol nad sob samym? Je[li we wszystkich rejestrach dziedzino- wych stosowanoby r�|ne i nie powizane ze sob identyfikatory tego samego obywatela, to wykonanie segmentacji na tych wszyst- kich bazach danych byBoby bardzo utrud- nione i w konsekwencji uniemo|liwiaBoby profilowanie (wBa[nie tak koncepcj poka- |emy w rozdziale 8). Niestety koncepcja MSWiA nie tylko nie chroni nas przed pro- filowaniem, ale stwarza dodatkowe uBatwie- nia dla tego procederu! e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 16 " ka|dy obywatel ma zapewnion mo|li- 8. Bezpieczny rejestr danych osobowych wo[ prostego i skutecznego sprawdza- nia to|samo[ci innych os�b w oparciu W tym rozdziale przedstawiamy rozwiza- o dow�d osobisty, nie systemowe dla rejestr�w paDstwowych " w ka|dym rejestrze autoryzacyjnym i komercyjnych, kt�re stworzy warunki dla (czyli rejestrze dziedzinowym, kt�ry po- prostej i skutecznej identyfikacji os�b oraz za danymi identyfikacyjnymi zawiera zapewni wBa[ciw r�wnowag midzy inte- r�wnie| informacje o uprawnieniach resami paDstwa i interesami obywateli. Pre- do [wiadczeD lub usBug) obywatel, jest zentowana koncepcja zawiera bardzo szcze- reprezentowany przez identyfikator g�Bowy opis rozwizaD technicznych, cho wt�rny powizany w spos�b niejawny zdajemy sobie spraw, |e niekt�re elementy z identyfikatorem pierwotnym. Spos�b mog nie by w peBni zrozumiaBe dla powizania identyfikator�w jest znany wszystkich Czytelnik�w. Jednak chcemy tylko osobie, do kt�rej te identyfikatory przedstawi opis szczeg�B�w technicznych, zostaBy przypisane, gdy| zale|y nam na przekonaniu wszystkich " w rejestrach zawierajcych du|o infor- zainteresowanych tematem PESEL2, macji prywatnych i osobistych |e mo|na zbudowa prosty system, kt�ry (np. NFZ) to|samo[ obywatela jest re- bdzie skutecznie realizowaB tradycyjne cele prezentowana tylko przez identyfikator centralnego rejestru identyfikacyjnego lud- wt�rny i niezbdne minimum innych no[ci i jednocze[nie bdzie wolny od wad danych identyfikacyjnych. GB�wny In- koncepcji MSWiA. spektor Ochrony Danych Osobowych (GIODO) miaBby uprawnienia do decy- Systemowe rozwizanie dla elektronicznych dowania czy konkretny rejestr paDstwo- rejestr�w jest zbudowane na nastpujcych wy lub prywatny musiaBby speBnia ten zaBo|eniach: wym�g. GIODO okre[laBby r�wnie| maksymalny zakres danych osobowych " ka|demu obywatelowi zostanie przypi- sBu|cych do identyfikacji osoby, sany na caBe |ycie unikalny identyfika- tor pierwotny (tak jak w PESEL), " wBa[ciciele paDstwowych rejestr�w auto- ryzacyjnych mieliby peBn niezale|no[ " rola centralnego rejestru ludno[ci jest w ksztaBtowaniu procesu sprawdzania ograniczona tylko i wyBcznie do funkcji to|samo[ci uprawnionych obywateli. identyfikacji to|samo[ci, Innymi sBowy sami ustalaliby zr�dBo " centralny rejestr zawiera tylko te dane i zakres informacji identyfikacyjnych osobowe, kt�re w cigu |ycia s staBe lub potrzebnych do sprawdzenia to|samo[ci zmieniaj si bardzo rzadko. Centralny os�b uprawnionych, rejestr nie zawiera danych adresowych, " obowizywaBby zakaz wymiany danych pomidzy systemami dziedzinowymi je- e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 17 [li nie zdefiniowano precyzyjnie cel�w W kryptografii powszechnie korzysta si wymiany, proces�w administracyjnych z jednokierunkowej funkcji skr�tu (ang. z tym zwizanych i nie przeprowadzono hash), kt�ra przeksztaBca dowolny cig bi- analizy ryzyka. t�w (w [wiecie cyfrowym ka|da informacja to cig bit�w) na inny cig bit�w o staBej Rozwizanie musi r�wnie| zapewni me- dBugo[ci, nazywany w skr�cie hasz . Mo- chanizmy bezpieczeDstwa, kt�re wyeliminu- |emy przeksztaBca r�|ne obiekty cyfrowe j lub ogranicz typowe zagro|enia wystpu- na ich hasze: zdjcia, dokumenty, filmy jce w centralnych rejestrach ludno[ci. DVD, etc. W systemach bezpieczeDstwa W szczeg�lno[ci, systemowe rozwizanie dla powizanie midzy haszem i obiektem cy- rejestr�w powinno: frowym jest u|ywane do podobnych cel�w " uniemo|liwi urzdnikom paDstwowym co powizanie midzy osob a jej odciskami nieograniczony i niekontrolowany do- palc�w. Jednokierunkowa funkcja skr�tu stp do informacji zgromadzonych w re- ma nastpujce wBasno[ci: jestrach o |yciu i zdrowiu obywateli, DziaBa tylko w jedn stron tj. nie umiemy " utrudni dokonywanie przestpstw z hasza odtworzy pierwotnego obiektu za pomoc faBszywych dokument�w to|- Dla hasza otrzymanego z danego cigu bi- samo[ci i kradzionych danych identyfi- t�w jest praktycznie niemo|liwe znalezienie kacyjnych, innego cigu bit�w, kt�ry dawaBby ten sam " stworzy techniczne bariery dla profilo- hasz wania zachowaD i gust�w obywateli. Te wBasno[ci hasza bd wykorzystane Rozwizanie systemowe dla rejestr�w, kt�re do sprawdzania dokument�w to|samo[ci speBni powy|sze zaBo|enia, mo|na zbudowa bez naruszania prywatno[ci ich wBa[cicieli. za pomoc odpowiednio skonstruowanych Teraz przedstawimy koncepcj proponowane- element�w skBadowych: go przez nas systemu identyfikator�w i zasady " systemu identyfikator�w, ich stosowania, kt�re byByby obowizujce dla wszystkich rejestr�w z danymi osobo- " bezadresowego Rejestru Identyfikacyjnego wymi. Nastpnie, na przykBadzie rejestru Obywateli (RIO), NFZ, przedstawimy szczeg�Bowy przykBad " Elektronicznego dowodu osobistego, zastosowania naszej koncepcji. " nowych regulacji prawnych dla rejestr�w. System identyfikator�w. System identyfikator�w. System identyfikator�w. System identyfikator�w. Zanim przedstawimy szczeg�By koncepcji W rejestrach wolno byBoby stosowa tylko oraz sposobu weryfikacji to|samo[ci trzy typy identyfikator�w: pierwotny, wt�r- w oparciu o dow�d osobisty i rejestr RIO, ny i lokalny. Ka|dy obywatel miaBby for- om�wimy kluczowe pojcie techniczne, nie- malnie przypisany unikalny identyfikator zbdne do zrozumienia sposobu weryfikacji. pierwotny. Identyfikatory pierwotne wyst- powaByby tylko w jednym rejestrze (patrz e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 18 dalej rejestr RIO). Wszystkie inne identyfi- uniemo|liwiaBby (a w ka|dym razie bardzo katory dotyczce tego samego obywatela utrudniaBby) profilowanie obejmujce wiele byByby wt�rne lub lokalne. Identyfikator baz, o kt�rym m�wili[my w rozdziale 7. pierwotny byBby przypisywany osobie U|ywanie liczb losowych z dowodu osobi- w trakcie procedury przygotowywania aktu stego do cel�w innych, ni| generowanie urodzenia i uniewa|niany w trakcie proce- identyfikator�w wt�rnych powinno by dury przygotowywania aktu zgonu. W pro- prawnie zabronione. Mo|na sobie wyobra- ponowanej koncepcji identyfikatorem pier- zi, |e niekt�re rejestry komercyjne projek- wotnym m�gBby by dotychczasowy numer towaByby systemy autoryzacji z u|yciem PESEL. tych liczb jako haseB. GroziBoby to wzrostem Identyfikatory wt�rne byByby pochodnymi ryzyka kradzie|y dowodu osobistego. identyfikatora pierwotnego, a wic nie byBy- Identyfikator lokalny byBby stosowany we- by z nim to|same. Jeden identyfikator wt�r- dBug tych samych zasad co identyfikator ny m�gBby by u|yty tylko w jednym reje- wt�rny. Jedn r�|nic midzy identyfikato- strze. Powizanie identyfikator�w polegaBo- rem wt�rnym i lokalnym byBby brak powi- by na jednokierunkowym przeksztaBceniu zania tego drugiego z identyfikatorem pier- identyfikatora pierwotnego w gB�wn cz[ wotnym. identyfikatora wt�rnego. PrzeksztaBcenie Rejestr Identyfikacyjny Obywateli (RIO). Rejestr Identyfikacyjny Obywateli (RIO). Rejestr Identyfikacyjny Obywateli (RIO). Rejestr Identyfikacyjny Obywateli (RIO). byBoby wykonywane poprzez policzenie ha- sza dla identyfikatora pierwotnego i jednej Kluczowym skBadnikiem systemu byBby liczby wybranej z 50 losowych liczb prze- Rejestr Identyfikacyjny Obywateli bdcy chowywanych w Elektronicznym dowodzie centraln baz z danymi do wydawania do- osobistym. Niejawno[ powizania wynika- wod�w osobistych i sprawdzania to|samo[ci Baby z faktu, |e warto[ci liczb losowych obywateli Polski. W rejestrze byByby prze- z dowodu osobistego byByby znane tylko chowywane rekordy z danymi osobowymi wBa[cicielowi dowodu. i identyfikacyjnymi, kt�re w cigu |ycia s staBe lub zmieniaj si bardzo rzadko. Identyfikator wt�rny skBadaBby si z hasza Uwa|amy, |e w tak wa|nej kwestii jak kon- i doBczonego do niego numeru wykorzysta- trolowany przez PaDstwo centralny rejestr nej liczby losowej z dowodu osobistego. danych identyfikacyjnych nale|y precyzyj- Numer liczby wybranej do policzenia hasza nie wskaza zakres gromadzonych danych, byBby jawny, aby zwolni obywatela z obo- czego niestety zabrakBo w materiaBach udo- wizku pamitania, kt�ra liczba z dowodu stpnionych przez MSWiA. zostaBa u|yta do policzenia identyfikatora wt�rnego. Zwr�my uwag, |e w r�|nych Pojedynczy rekord w rejestrze RIO zawie- dziedzinowych bazach danych identyfikato- raBby 12 p�l: ry wt�rne byByby r�|ne a wiedza o sposobie 1. Identyfikator pierwotny (D). ich powizania nie byBaby dostpna urzd- nikom. Brak wiedzy o sposobie powizania 2. Imi i nazwisko. r�|nych identyfikator�w tej samej osoby e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 19 3. Data i miejsce urodzenia. to eliminowanie niekt�rych oszustw doty- czcych to|samo[ci bez naruszenia prywat- 4. PBe. no[ci. 5. Imi i nazwisko panieDskie matki. Elektroniczny dow�d osobisty. Elektroniczny dow�d osobisty. Elektroniczny dow�d osobisty. Elektroniczny dow�d osobisty. 6. Data urodzenia matki. Integraln cz[ci systemu identyfikacyjne- 7. Dwie cyfry oznaczajce numer aktual- go byBby Elektroniczny dow�d osobisty. nego dowodu osobistego. PeBen numer Elektroniczny dow�d wizualnie byBby po- dowodu osobistego skBadaBby si z cz[ci dobny do aktualnie u|ywanych dowod�w. niezmiennej: identyfikatora pierwotne- Dodatkowo miaBby wmontowany kompo- go i cz[ci zmiennej: dw�ch cyfr repre- nent elektroniczny, w kt�rym byByby zapi- zentujcych aktualny dow�d. Dow�d sane wszystkie dane wBa[ciciela z rekordu osobisty m�gBby by zmieniany 99 razy z RIO. Na komponencie elektronicznym w cigu |ycia (D). dane byByby zapisywane tylko raz w trakcie jego personalizacji, a zmiana zapisu wyma- 8. Hasz cyfrowego zdjcia twarzy (D). gaBaby u|ycia nowego blankietu dowodu. 9. Hasz cigu alfanumerycznych danych Na dowodzie byByby wydrukowane dane osobowych tj. danych z p�l 1,2,3,4,5,6,7 z rekordu w RIO: pola od 1 do 7 oraz zdjcie (D). cyfrowe z pola 10. 10. Zdjcie cyfrowe twarzy wykonane W komponencie elektronicznym byByby w roku wydania dowodu. zapisane wszystkie dane z rekordu w RIO z jednym wyjtkiem: liczby losowe z pola 11. W zaszyfrowanej postaci 50 ponumero- 11 byByby jawne. Dodatkowo w komponen- wanych liczb sze[ciocyfrowych wygene- cie elektronicznym m�gBby by umieszczany rowanych losowo. Ka|da osoba miaBaby podpis elektroniczny (wykonany kluczem przydzielane te liczby tylko raz w |yciu. prywatnym MSWiA) danych z p�l od 1 do 8 12. Hasz wszystkich liczb z pola 11 (D). i 12 rekordu RIO. Weryfikacja dowodu z pomoc podpisu elektronicznego byBaby Rejestr RIO zawieraBby te| list numer�w stosowana gB�wnie w momentach przeBado- dowod�w osobistych uniewa|nionych, sfaB- wania sieci lub niedostpno[ci rejestru RIO. szowanych i zagubionych. Rejestr nie zawie- Podpis elektroniczny byBby tak|e dodatko- raBby |adnych danych autoryzacyjnych, wym zabezpieczeniem przed podrobieniem czyli danych umo|liwiajcych egzekucj dowodu. uprawnieD przez obywatela. PeBen numer dowodu osobistego skBadaBby Poniewa| wikszo[ paDstw przechodzi si z cz[ci niezmiennej: identyfikatora na paszport biometryczny, kt�rego cz[ pierwotnego i cz[ci zmiennej: dw�ch cyfr biometryczna musi zwiera, co najmniej reprezentujcych aktualny dow�d. Dow�d zdjcie twarzy, dlatego warto w rejestrze byBby zmieniany raz na 10 lat. W przypadku danych identyfikacyjnych przechowywa utraty dowodu wszystkie dane identyfika- cyfrowe zdjcie twarzy i jego hasz. UBatwi e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 20 cyjne zostaByby otworzone z rejestru RIO. Nielegalni emigranci w UE s w stanie spo- A po odszyfrowaniu pola 11, tak|e 50 liczb ro zapBaci za polskie dokumenty to|samo- losowych. [ci, kt�re umo|liwiaj im legaln prac. Du|a skala tego procederu pozwala prze- Weryfikacja to|samo[ci w oparciu o RIO. Weryfikacja to|samo[ci w oparciu o RIO. Weryfikacja to|samo[ci w oparciu o RIO. Weryfikacja to|samo[ci w oparciu o RIO. stpcom zainwestowa du|o [rodk�w w pro- W oparciu o tak skonstruowany system mo- dukcj wysokiej jako[ci podr�bek (patrz |emy przedstawi skuteczny spos�b weryfi- pozycja 6. w zaBczonej bibliografii). Je[li kacji to|samo[ci. Cz[ danych z rejestru urzdnicy z innych kraj�w mieliby mo|li- RIO byBaby powszechnie dostpna dla wo[ prostego i szybkiego sprawdzenia pol- wszystkich obywateli poprzez r�|ne kanaBy skiego dowodu, to na pewno by to robili komunikacyjne (np. przez Internet, SMS-y). i tym samym obni|yli atrakcyjno[ pol- Ka|dy obywatel miaBby dostp do p�l re- skich dowod�w dla przestpc�w krajowych kord�w RIO zaznaczonych przez liter D. i zagranicznych Mimo tego ograniczenia jest to wystarczaj- Do sprawdzenia dowodu m�gBby by u|yty ca ilo[ informacji do sprawdzenia wszyst- r�wnie| telefon kom�rkowy. Wtedy do reje- kich danych z dowodu osobistego. stru RIO trzeba wysBa SMS-a z peBnym Zdalny dostp do RIO umo|liwiaBby weryfi- numerem dowodu osobistego a w odpowie- kacj dowod�w osobistych i danych na nich dzi otrzymaliby[my warto[ hasza z pola 9. zawartych przy zachowaniu poufno[ci da- Je[li hasz dla danych wzitych z dowodu nych osobowych. tj. z pola od 1 do 7 i policzony lokalnie na PC lub innym urzdzeniu bdzie taki Weryfikacja dowodu byBaby mo|liwa przez sam jak hasz otrzymany SMS-em z RIO, Internet. Je[li na stronie WWW udostp- to takie sprawdzenie byBoby tak samo dobre nionej w Internecie przez MSWiA wprowa- jak sprawdzenie przez stron WWW. Mo- dzi si dane z p�l od 1 do 7 i po chwili do- |emy w podobny spos�b sprawdzi auten- stanie odpowiedz, |e hasz policzony z da- tyczno[ zdjcia cyfrowego na dowodzie nych wprowadzonych z dowodu ma t sam osobistym poprzez wysBanie numeru dowo- warto[, co w polu 9 rekordu w RIO, du osobistego z pro[b o odesBania hasza to oznacza, |e dow�d jest wa|ny, dane tego zdjcia. na nim s prawdziwe oraz nikt do tej pory nie zgBosiB |adnego oszustwa dokonanego Wdro|eniu rejestru RIO powinno towarzy- za jego pomoc. Pewno[ sposobu spraw- szy szereg zmian prawnych. Najwa|niejsze dzania wynika z tego, |e jest bardzo trudno z nich to: znalez drugi zestaw warto[ci p�l od 1 do 7, " regulacje gwarantujce wBa[cicielom kt�ry dawaBby ten sam hasz. rejestr�w autoryzacyjnych niezale|no[ Dostpno[ rejestru RIO przez Internet w ksztaBtowaniu procesu weryfikacji w wersji angielskojzycznej byBaby pomocna to|samo[ci (patrz dyskusja w rozdziale w likwidacji coraz bardziej masowego pro- 4); przypomnijmy, |e w tym wzgldzie cederu u|ywania polskich dowod�w osobi- propozycje MSWiA s zupeBnie inne, stych przez cudzoziemc�w poza Polsk. e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 21 " regulacje chronice obywatela przez przed profilowaniem (patrz dyskusja w rozdziale 7), " zakaz przechowywania identyfikator�w pierwotnych w rejestrach i bazach da- nych, z wyjtkiem rejestru RIO. W reje- strach sektora publicznego byByby sto- sowane identyfikatory wt�rne a w reje- strach sektora prywatnego identyfikato- ry lokalne lub wt�rne. Ponadto identyfi- kator wt�rny lub lokalny wykorzystywa- ny w jednym rejestrze nie m�gBby by przechowywany jako informacja identy- fikacyjna w innym rejestrze, " regulacje dotyczce maksymalnego za- kresu danych identyfikacyjnych w reje- strach ze szczeg�ln potrzeb ochrony prywatno[ci. Postulujemy tak|e, by wyposa|y GIODO w mechanizmy prawne eliminujce stoso- wanie nadmiernego zakresu danych identy- fikacyjnych we rejestrach z wra|liwymi da- nymi osobowymi. W trakcie projektowania rejestru autoryzacyjnego lub w trakcie reje- stracji bazy z danymi osobowymi, GIODO miaBby prawo do klasyfikowania rejestr�w pod wzgldem wra|liwo[ci danych osobo- wych i prawo do okre[lania maksymalnego zakresu danych identyfikacyjnych. Na przykBad operator telefonii kom�rkowej m�gBby u|ywa tylko czterech parametr�w identyfikujcych swoich klient�w: identyfi- kator wt�rny, imi, nazwisko i adres. e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 22 " zapisuje identyfikator wt�rny do reje- 9. PrzykBad zastosowania koncepcji: Rejestr stru NFZ i zakBada rekord pacjenta, NFZ " przygotowuje wniosek o wydanie karty pacjenta i przesyBa go do centrum per- sonalizacji kart w NFZ. Wniosek zawie- W rozdziale 4 pokazali[my, |e potrzebne ra imi i nazwisko, identyfikator wt�rny s centralne bazy danych, z kt�rych jedna w rejestrze NFZ, wiek, adres oraz zdj- byBaby centralnym rejestrem identyfikacyj- cie, nym obywateli. Wskazali[my, |e natural- nym uzupeBnieniem centralnej baz danych " wyznacza termin odbioru karty pacjen- identyfikacyjnych s rejestry dziedzinowe. ta. Aby lepiej zrozumie nasz koncepcj Po wyprodukowaniu karty, centrum perso- w tym rozdziale przedstawimy konkretny nalizacji kart NFZ niszczy dane pacjenta rejestr dziedzinowy, wska|emy jego funkcje i odsyBa kart do punkty rejestracji. i okre[limy maksymalny zakres danych oso- bowych, kt�re s konieczne do realizacji Na karcie pacjenta jest wydrukowane jego tych funkcji. Jako przykBad wybrali[my re- imi i nazwisko. Osoba uprawniona jestr usBug medycznych, gdy| jest to najbar- do usBug medycznych we wszystkich kon- dziej wra|liwy rejestr dziedzinowy z punktu taktach ze sBu|b zdrowia posBuguje si kar- widzenia danych osobowych. t pacjenta i dodatkowo dowodem osobi- stym je[li zajdzie taka potrzeba. Zatem Na pocztku obywatel uprawniony do ko- w ka|dej bezpo[redniej interakcji personel rzystania z usBug medycznych NFZ zgBasza medyczny zna imi i nazwisko pacjenta. si do punktu rejestracji w celu wyrobienia Lekarz mo|e te| wprowadzi te dane karty pacjenta. Pracownik punktu rejestru- do komputera w celu wypisania skierowania jcego sprawdza Elektroniczny dow�d oso- lub innego dokumentu. Ale z mocy prawa bisty. Je[li ma wtpliwo[ci to wchodzi systemy komputerowe w sBu|bie zdrowia nie na stron serwera MSWiA i dokonuje mog zapisywa tych danych do swoich baz. sprawdzenia dowodu w oparciu o dane Czyli po sporzdzeniu i wydrukowaniu w rejestrze RIO wedBug wcze[niej opisanego skierowania dane identyfikacyjne pacjenta, sposobu. Nastpnie weryfikuje dokumenty, kt�rych przechowywanie jest zabronione kt�re uprawniaj do usBug medycznych s automatycznie usuwane z pamici kom- NFZ. Je[li wszystko si zgadza, to wykonuje putera. nastpne kroki: Tak jak ka|dy inny rejestr, rejestr NFZ mu- " generuje identyfikator wt�rny na pod- si speBnia zasad proporcjonalno[ci, czyli stawie identyfikatora pierwotnego (kt�ry funkcje realizowane poprzez ten rejestr mu- jest wydrukowany na dowodzie i prze- sz by proporcjonalne do jego przeznacze- chowywany w RIO), warto[ci wybranej nia. liczby z dowodu (z pidziesiciu liczb losowych ) i numeru liczby losowej, e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 23 Rejestr NFZ powinien: danych o pacjentach. Po|dan anonimiza- cj danych o pacjentach uzyska si poprzez " umo|liwi jednoznaczn identyfikacj zakaz u|ywania w bazach medycznych os�b uprawnionych, i rejestrze NFZ innych danych identyfika- " umo|liwi prowadzenie badaD i analiz cyjnych pacjent�w ni|: identyfikator wt�r- statystycznych, ny, pBe, wiek (wiek jako ilo[ lat a nie data urodzenia) i adres. " zapewni mo|liwo[ kontaktowania si z pacjentami poprzez poczt, Zaproponowany dla rejestru NFZ zakres danych identyfikacyjnych os�b uprawnio- " zapewni skuteczn ochron danych nych do usBug medycznych jest proporcjo- osobowych. nalny w stosunku do funkcji tego rejestru Do jednoznacznej identyfikacji danej osoby i jednocze[nie zapewnia skuteczn ochron w[r�d caBej grupy os�b uprawnionych wy- danych osobowych pacjent�w. starczy jego identyfikator wt�rny. Aby r�|nicowa populacj dla cel�w analiz i statystyk medycznych, kt�re s potrzebne do planowania rozwoju usBug i profilaktyki, wystarcz dane osobowe obejmujce wiek pacjenta, pBe i kod (z adresu zamieszkania) NFZ powinien te| mie mo|liwo[ wysyBania list�w do poszczeg�lnych os�b np. w przypadku epidemii. Do tego celu wystarczy adres i identyfikator wt�rny. Najwikszym problemem jest zapewnienie skutecznej ochrony danych osobowych pa- cjent�w. W przyszBo[ci w rejestrze NFZ bd umieszczone szczeg�Bowe dane o na- szym zdrowiu, chorobach psychicznych, alergiach i wielu innych sprawach. Zatem rejestr NFZ musi mie niezawodne mecha- nizmy ochrony danych o chorobach pacjen- t�w. W szczeg�lno[ci system ochrony pry- watno[ci musi uwzgldnia brak dobrej woli i nale|ytej staranno[ci personelu sBu|by zdrowia. Najskuteczniejszym mechanizmem bezpie- czeDstwa w systemie ochrony danych oso- bowych jest du|y poziom anonimowo[ci e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 24 PESEL2 nie jest mo|liwa ani analiza samej 10. Podsumowanie potrzeby przepByw�w danych pomidzy systemami dziedzinowymi ani zagro|eD z tym zwizanych. W niniejszym raporcie starali[my si wyka- za, |e r�|ne typy rejestr�w danych osobo- Mamy nadziej, |e ten raport przyczyni si wych s niezbdne dla sprawnego funkcjo- do o|ywienia dyskusji o PESEL2. nowania gospodarki i urzd�w paDstwo- wych. Pokazali[my r�wnie| do jak groznych cel�w mog by wykorzystywane centralne bazy danych osobowych oraz jakie zagro|e- nia stwarza sam fakt istnienia takich baz. MSWiA tworzc koncepcj systemu PESEL2 nie okre[liBo precyzyjnie jego funk- cji, nie zdefiniowaBo proces�w administra- cyjnych, kt�re system miaBby wspomaga i nie odniosBo si do problemu zagro|eD. Uwa|amy, |e sama konstrukcja PESEL2 jest wadliwa, planowany zakres danych oso- bowych jest nadmiarowy, oraz, |e nie da si przeciwdziaBa zagro|eniom zwizanym z PESEL2 przez dodanie nawet najbardziej wyszukanych mechanizm�w bezpieczeD- stwa. Konieczna jest zmiana samej koncep- cji. Std te| zaproponowali[my rozwizanie alternatywne. Przedstawili[my jak powinien wyglda kontrolowany przez paDstwo centralny re- jestr danych identyfikacyjnych, jak powinny wyglda rejestry dziedzinowe oraz pokaza- li[my jakie funkcje powinny by realizowa- ne przez te rejestry. Pokazali[my r�wnie| jak proponowany przez nas system identyfi- kator�w przeciwdziaBa realnym zagro|e- niom zwizanym z masowym gromadze- niem danych osobowych w wielu r�|nych bazach. Ze wzgldu na brak zdefiniowanych cel�w i proces�w administracyjnych wok�B e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 25 Wybrana bibliografia 1. Podstawowy Dokument Programu PE- SEL2. Przebudowa i integracja reje- str�w paDstwowych , MSWiA, sierpieD, 2006. 2. Ewidencje i Rejestry w Administracji Publicznej . Marzec 2005. http://www.e- administra- cja.org.pl/baza_wiedzy/pliki/Pietrzyk_ Gu- staw_Seminarium_integracji_rejestrow. pdf 3. Identity Theft Statistics - http://idtheft.about.com/od/dataandstat 1/a/ID_Theft_Stats.htm 4. The identity project, Report, Version 1.09 June 27, 2005, London School of Economics and Political Sciences. 5. The demeaning of identity and person- hood in national identification systems, Richard Sobel , Harvard Journal of Law & Technology, Volume 15, Number 2 Spring 2002. 6. Relacja z programu Panorama nada- nego w telewizji BBC o faBszowaniu paszport�w: http://news.bbc.co.uk/2/hi/uk_news/61 69678.stm e-mail: sobieski@sobieski.org.pl http://www.sobieski.org.pl 26

Wyszukiwarka

Podobne podstrony:
Heller Czy fizyka jest nauką humanistyczną
Czy szatan jest osobą
Co jest potrzebne do rozwoju mięśni
Czy PJM jest prawdziwym językiem
Czy polska gospodarka potrzebuje cudzoziemcw MII
Dorosłe Dziecko Czy zaspakajano twoje potrzeby w wieku 0 6mcy
Czy piekło jest puste O wieczności piekła (Miłujcie się)
Czy Bóg jest
Henryk Kiereś Czy artysta jest stwórcą (ewolucionizm czy kreacionizm)
czy trojca jest w biblii
CZY KABAŁA JEST DLA MNIE
FOR popiera Ustawowy monopol w sporcie nie jest potrzebny
Stępień T Jaka filozofia jest potrzebna teologom
CZY HEMOGLOBINA JEST ENZYM
Co jest potrzebne do rozwoju mięśni
Czy magia jest groźna
czy dulska jest wśród nas

więcej podobnych podstron