Bez dowodu osobistego nie możemy podróżować po Unii Europejskiej, nie otrzymamy paszportu, prawa jazdy, nie zarejestrujemy samochodu. Dokument ten poświadcza naszą tożsamość wobec osób trzecich. Powinien być więc trudny do podrobienia. Tymczasem dowód osobisty jest powszechnie kserowany i skanowany. Na tak skanowane dokumenty pobierane są kredyty. Zawierane są też umowy kupna-sprzedaży. Gdy przejrzymy wyroki sądów i raporty bezpieczeństwa z systemów bankowych, zobaczymy, że z bezpieczeństwem tego dokumentu trzeba coś zrobić!

Przy dzisiejszych możliwościach fałszowania dokumentów jedynym skutecznym sposobem uzupełnienia bezpieczeństwa warstwy graficznej jest element elektroniczny, broniący się przez wykorzystanie technik kryptograficznych. To pozwala na zastosowanie maszynowego wsparcia dla weryfikacji prawdziwości dokumentu. Część elektroniczna dowodu jest potrzebna głównie po to, aby obywatele nie byli zmuszeni do posługiwania się dokumentem narażającym na szwank ich bezpieczeństwo.

Czym miał być e-dowód

Nowy elektroniczny dowód osobisty miał być kluczem do systemów IT administracji publicznej. Takie założenia przyjęto w 2007 r. w projekcie PL.ID ustanowionym na podstawie Planu Informatyzacji Państwa i Strategii Rozwoju Społeczeństwa Informacyjnego. Miał też służyć jako nośnik elektronicznej tożsamości, pozwalający budować sektorowi komercyjnemu e-usługi w sposób nowoczesny i łatwy do wykorzystania przez posiadaczy dokumentu. Miał być pomysłem na wzrost zaufania do tych usług i zwiększenie konkurencyjności polskich firm.

Nowy dowód osobisty miał służyć do składania bezpiecznego e-podpisu. W ten sposób chciano zrealizować cel, jakim było wprowadzenie do powszechnego obiegu dostępnej, łatwej w użyciu formy bezpiecznego dokumentu elektronicznego. Miał też zawierać dane potrzebne do jego wykorzystania podczas wyborów, referendów czy w usługach medycznych.

Celem jego wprowadzenia było wzmocnienie innowacyjności polskiej gospodarki, a nie tylko modernizacja administracji. Jest oczywiste, że takie narzędzie wspomogłoby też realizację e-usług administracji publicznej. Priorytetem było jednak, aby były to usługi upraszczające życie przedsiębiorców, pomagające im w budowaniu innowacyjnych usług. Znajdująca się w projekcie modernizacja rejestrów referencyjnych, w szczególności PESEL, była istotna o tyle, o ile trzeba było udostępnić ten rejestr dla obywateli i urzędów, które miały dokonywać stosownych wpisów w PL.ID.

Z jego wprowadzeniem miał zniknąć obowiązek meldunkowy. Wystarczałoby tylko zgłoszenie miejsca zamieszkania - znikał z warstwy graficznej adres zameldowania, a ta informacja pojawiała się w warstwie elektronicznej. Dla budżetu przynosiło zaś to znaczne oszczędności związane z obowiązkiem każdorazowej wymiany dowodu w przypadku zmiany miejsca zameldowania.

Koncepcja dokumentu była w miarę kompletna, nieodbiegająca od podobnych w najbardziej rozwiniętych krajach UE. Standardy techniczne opublikowane w projektach rozporządzeń wykonawczych i poddane konsultacjom także stawiały ten dokument na podobnym poziomie co najnowocześniejsze dokumenty wydawane w Niemczech i Francji.

Na etapie realizacji projektu PL.ID parę spraw budziło jednak niepokój. Po pierwsze, informacje o jego realizacji przekazywane przez MSWiA były skąpe. Nie skorzystano z szansy stałej interakcji z sektorem przedsiębiorców, dla których przecież był ten projekt. Nie budowano także sojuszy dla jego wykorzystania w aplikacjach komercyjnych. Jedynymi wyjątkami były uzgodnienia z sektorem bankowym dotyczące wykorzystania funkcji dowodu w usługach bankowych czy ustalenie z Narodowym Funduszem Zdrowia wymagań dla części "medycznej".

…a czym nie będzie

Przede wszystkim nasz dowód osobisty nie będzie miał warstwy elektronicznej. To komunikat Ministerstwa Administracji i Cyfryzacji z marca 2012 r. Cały rok 2011 środowisko dyskutowało o dostępie do informacji publicznej i transparentności podejmowania decyzji, a także skutkach ukrywania dokumentów publicznych. Tymczasem rzecznik MAiC poinformował o raporcie ministra spraw wewnętrznych, który mówi, że elektroniczny dowód osobisty jest zbędny. Państwa na niego nie stać. Trzeba zintegrować rejestry i dopiero potem może zostanie wprowadzony. Dyskusje o jego funkcjach trzeba zacząć od początku.

Dokumentu, który stanowił podstawę decyzji, nikt nie upublicznił ani nie poddał wcześniej pod społeczny osąd. Rada Informatyzacji nie została poproszona o opinię. Partnerzy społeczni także. To, że coś dziwnego się dzieje, widać dopiero po dymisjach w MAiC. Nikt nic nie wie, a informacja publiczna została zakopana w szafie. O co więc chodzi?

Odkładając do 2014 r., a w zasadzie nawet dalej, wdrożenie elektronicznego dowodu osobistego używa się argumentu: "Jest kryzys i obecnie nie stać państwa na taki wydatek". To nieprawda. Z wyliczeń Polskiej Izby Informatyki i Telekomunikacji oraz Polskiego Towarzystwa Informatycznego wynika, że wydawanie elektronicznego dowodu osobistego wcale nie musi być droższe niż wydanie dowodu obecnie używanego. Pieniądze na ten cel zawsze muszą być w budżecie.

Kolejny argument - że nie można wydawać dowodu bez dokonania integracji rejestrów publicznych - ma niewiele wspólnego z rzeczywistością tworzenia i wydawania elektronicznego dowodu osobistego. Państwo wydaje dowód na podstawie zapisu w rejestrze PESEL. Wszystkie podstawowe działania urzędowe realizowane są na podstawie tego właśnie rejestru. Jeśli w ramach tworzenia elektronicznego dowodu osobistego zamierzamy zinformatyzować rejestry urzędów stanu cywilnego, to taka informatyzacja nie ma sensu bez informatyzacji rejestrów szpitalnych i zabezpieczenia ich. Przecież to tam ludzie się rodzą i umierają!

To nie ma jednak nic wspólnego z integracją rejestrów. To tylko wygoda dla urzędników. Tymczasem nie ma bardziej niebezpiecznej rzeczy dla obywatela i państwa niż prawdziwa i pełna integracja rejestrów! W Polsce państwo nie ma systemów autoryzacji dostępu do zasobów informacyjnych. Nie chciałbym, aby każdy urzędnik, który zajrzy do zintegrowanego rejestru, miał komplet informacji o mnie: życiu, związkach, chorobach... A do tego właśnie prowadzi integracja rejestrów. Można sobie wyobrazić wycieki i sprzedawanie danych. Na Zachodzie odchodzi się od pomysłów integracji rejestrów. W Niemczech takie działania są zakazane.

Osobiście chciałbym móc określić, kto ma dostęp do moich danych osobowych. Do tego nie trzeba integracji rejestrów. Trzeba rzeczy, o których się mówi od dawna - jednolitego identyfikatora, którym staje się pomału we wszystkich rejestrach numer PESEL. Jeśli wprowadzi się taki system, to urzędnik niczego nie dowie się o mnie bez mojego pozwolenia, czyli bez włożenia mojego e-dowodu do czytnika danych. Autoryzacja powinna być po stronie obywatela, nie urzędnika. Wyjątek: postępowania karne czy inne, dotyczące przestępstw.

e-dowód stoi na głowie

Komunikat MAiC informuje też o niewielkiej obecnie przydatności PL.ID. W Estonii w 2004 r. rozpoczęto wydawanie dowodów elektronicznych i bardzo szybko je ukończono. Po czym przez 5-7 lat budowano funkcjonalności, w których korzystano z tego dowodu, i to nie tylko w administracji publicznej, ale też w sektorze komercyjnym. I to jest dobra droga.

W Polsce zaś całe wdrożenie dowodu elektronicznego postawiono na głowie. Najpierw wydaje się dowody, a potem wokół nich buduje usługi, a nie odwrotnie, jak twierdzi resort cyfryzacji. Bo jeśli tak zrobimy, to znaczy, że zbudujemy systemy informatyczne, które sobie będą spokojnie stały i pokrywały się kurzem przez 5 lat, aż 50% obywateli będzie wreszcie miało e-dowód. Nikt nie uruchomi systemu czy usługi dzisiaj i nie będzie czekał kilka lat, zanim odpowiednia liczba obywateli będzie miała "elektroniczny klucz" do nich. Najpierw musi być nasycenie rynku odpowiednią liczbą dokumentów z e-tożsamością ich właścicieli. Tak wprowadzono w Polsce karty bankowe.

Czekanie, że rząd najpierw wymyśli funkcjonalności, a potem zacznie wydawać dowód, nie ma sensu. Jest prosta funkcjonalność - niech e-dowód służy do sprawdzenia danych w systemie PESEL. Dawno to obiecywano. Brak elektronicznej tożsamości w dokumencie oficjalnym nie spowoduje, że nie będzie ona potrzebna. Ktoś zastąpi rząd - wyda taką elektroniczną kartę, uzyskując dostęp do naszych danych osobowych. Tylko jakie to będzie ryzyko dla obywateli! Kto za to odpowie? Może czas się zastanowić?

Wiesław Paluszyński jest współtwórcą społecznego projektu ustawy o podpisie elektronicznym, członkiem Polskiego Towarzystwa Informatycznego, członkiem Rady Polskiej Izby Informatyki i Telekomunikacji, prezesem firmy Trusted Information Consulting - uczestnika przetargu na PL.ID w konsorcjum z firmami Consortia, On Track Innovations i ASEC.