Najpomembnejše vprašanje, ki ga v sodobnem svetu rešuje tehnološka srenja, je: »Si ti res ti?« Če je namreč identifikacija stoodstotna, potem je prostora za težave zelo malo. In to ne le v primerih elektronskega bančništva ali dostopa do storitev državne uprave. Tudi pri plačevanju računov v trgovinah, prečkanju mej, pa tudi »štemplanju« prisotnosti na delu.
Sodobna tehnologija je vedno dvorezen meč. S seboj namreč prinaša tako dobre kot slabe stvari. Tako je že od pamtiveka. Ko je človek odkril dobre strani ognja, je kaj hitro ugotovil tudi slabe. Se spomnite začetka Odiseje 2000 in tiste famozne scene pračloveka, ki se nauči uporabljati kost kot orodje? In tudi kot orožje! In enako je s smodnikom, z elektriko, radioaktivnostjo in še s čim. Vse to je dobro le, če se uporablja za dobro. A vedno se žal ne …
SODOBNE TEHNOLOGIJE MIKAJO GOLJUFE
S podobnimi težavami se srečuje tudi najsodobnejša tehnologija. Vzemimo na primer barvne laserske tiskalnike. Ko so ti prišli na trg, se je kar naenkrat pojavila kopica goljufij s ponarejenim denarjem. Nepridipravi so bankovce skenirali in nato lepo natisnili tako, da nepazljivemu človeku sploh niso bili sumljivi. Zato je bilo treba uvesti varnostne mehanizme: bankovcev skenerji nočejo več skenirati, tiskalniki imajo skrite kode, po katerih jih je možno identificirati glede na izpis, bankovci so dobil nove varnostne mehanizme, trgovci imajo pri sebi naprave za preverjanje pristnosti …
Prav posebno poglavje težav, ki jih prinašajo sodobne tehnologije, pa je identifikacija. Če nekdo ponaredi karto za koncert ali nogometno tekmo, še nekako gre. A če nekomu uspe ponarediti dokumente, je lahko škoda neprecenljiva. In sodobne tehnologije omogočajo ponarejevalcem razmeroma enostaven dostop do zmogljivih naprav, ki so sposobne izdelati ponaredke visoke kakovosti. In zato je potrebno iskati vedno nove in nove načine, kako narediti sistem identifikacije čim bolj zanesljiv. In kaj hitro pridemo do biometrije. Znanost je namreč ugotovila, da je mogoče človeka enoznačno določiti preko nekaterih bioloških značilnosti, kot so prstni odtis, šarenica, glas, obraz in še kaj. Te lastnosti pa je, vsaj zaenkrat, zelo težko ponarediti. Tako težko, da si tega kak povprečen, pa tudi nadpovprečen kriminalec, ne more privoščiti.
IDENTIFIKACIJA KOT GROŽNJA ZASEBNOSTI IN VARNOSTI
A tu naletimo na težave. Najprej je tu težava v tem, da identifikacija, posebej če ta poteka brez vednosti tistega, ki se ga identificira, predstavlja vdor v zasebnost posameznika, kar je v demokratičnem svetu ena od stvari, ki hudo teptajo demokratične vrednote. Druga stvar je varnost osebnih podatkov. Ker so ti zadnje čase v elektronski obliki in ker nas vsi, od varnostnih podjetij do Hollywooda bombardirajo s tem, kako je vdreti v nek sistem enostavno, se upravičeno sprašujemo, kako varno so shranjeni podatki o nas, če že morajo biti. Potem je tu še vprašanje, kdo vse sploh lahko zbira podatke o nas in v kakšne namene. Ljudje se bojijo, da bo prihodnost prinesla nekaj podobnega kot film Minority Report, kjer Tom Cruise zamenja oči, da dobi novo šarenico, potem pa ga v trgovskem centru plakati ogovarjajo z japonskim imenom – imenom tistega, čigar oči je imel vsajene. Bodo tudi nas obmetavali s »personificiranimi« oglasi? Upajmo da ne.
Zanimive povezave
Zakon o varstvu osebnih podatkov - http://zakonodaja.gov.si/rpsi/r06/predpis_ZAKO3906.html
Urad informacijskega pooblaščenca, kjer je mogoče najti odločbe o dovoljevanju ali prepovedi uporabe biometrijskih ukrepov - http://www.ip-rs.si/index.php?id=424&no_cache=1
KAJ PRAVI ZAKONODAJA
Vsaka kolikor toliko normalna država se zaveda, da mora tako delikatno področje, kot so osebni podatki, nekako zakonsko regulirati. In tako je naredila tudi naša. Imamo Zakon o varstvu osebnih podatkov, ki to področje ureja. V njem je tudi del, ki govori o biometriji. Določa, kaj je to biometrija oziroma kaj so biometrični ukrepi, kdaj se lahko in kdaj se ne smejo uporabljati in podobno. V zakonu, ki ločuje javni in zasebno sektor na tem področju, piše, da se:
»biometrijske ukrepe v javnem sektorju lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi.« Za zasebni sektor pa velja, »da lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni.« zakon nadaljuje, da »Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu opis nameravanih ukrepov in razloge za njihovo uvedbo… Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka, dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu s tem zakonom …«
Pri nas so torej zadeve urejen tako, da če hoče neko podjetje, na primer, uvesti kakršne koli biometrijske ukrepe, mora o tem obvestiti ustrezen organ, ki je pri na Urad informacijskega pooblaščenca oziroma pooblaščenke, ta presodi, ali je uporaba biometrijskih ukrepov upravičena, in da svoj »žegen«. Če presodi, da te potrebe ni, podjetje teh ukrepov ne sme uvesti.
ZAKON CAPLJA ZA TEHNOLOGIJO
V Sloveniji imamo na tem področju enega najstrožjih zakonov. Nekateri pravijo, da najstrožjega na svetu. Človek bi mislil, da je zaradi tega naša zasebnost najbolje varovana. A ni čisto tako. Kot mnogokrat in na mnogih področjih se je tudi tu zgodilo, da zakonodaja caplja daleč za tehnologijo in da te ne dosega niti po idejni, kaj šele po tehnološki plati. Vzemimo na primer prstne odtise. Pri nas jih, zaradi stroge zakonodaje, ne smemo uporabljati za omogočanje dostopa v prostore, razen če gre za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnost. Za evidenco delovnega časa pa sploh ne. Idejno bi se lahko s tem celo strinjali. Saj o nas tako ali tako vse ve država, dacarji, bankirji, zakaj bi še podjetje?
A praksa je pokazala, da stvari le niso tako enostavne. Zakon pravi, da je biometrija dovoljena, če gre za varnost ljudi, premoženja, poslovne skrivnosti in podobno. Kaj pa je varnost ljudi ali premoženja? Kaj je varnost tajnih podatkov in kaj poslovna skrivnost? Sodobna tehnološka podjetja skoraj več ne morejo ločiti, kaj v njihovem poslovanju je in kaj ni poslovna skrivnost. Torej bi moralo podjetje za vse zaposlene uvesti biometrijske ukrepe.
A tega ne smejo. Še huje – o tem, ali gre za njihove poslovne skrivnosti, ne odločajo oni, ampak informacijski pooblaščenec. Če ta oceni, da je mogoče poslovne skrivnosti varovati tudi kako drugače, lahko vpeljavo biometrijskih ukrepov zavrne. Hmm! Ali pa primer, ko tako tehnološko podjetje najame čistilni servis za čiščenje prostorov? Po sedanji dikciji zakona mora tudi čistilni servis zaprositi za dovoljenje za uporabo biometrijskih ukrepov, saj so tisti, ki čistijo, zaposleni pri njem. Kaj je s prenosniki, ki imajo bralnike prstnih odtisov? Ker so prstni odtisi biometrijski podatek, takšnih prenosnikov podjetje brez dovoljenja informacijskega pooblaščenca sploh ne bi smelo uporabljati. Še več – neko slovensko podjetje je potem, ko je od informacijskega pooblaščenca dobilo negativno odločbo o uporabi biometrijskih ukrepov, moralo bralnike (ki so jih namestili še pred sprejetjem zakonodaje) fizično iztrgati iz stene, tako da so zdaj tam luknje. Ni bilo dovolj, da so le ugasili sistem. Bodo zdaj podjetja morala iz prenosnikov trgati bralnike prstnih odtisov? Bodo morala zamenjati prenosnike, ker imajo obstoječi bralnike? Težav je torej kar nekaj in še kakšna bi se našla. Vse pa so posledica rigorozne zakonodaje, ki se je urad informacijskega pooblaščenca tudi strogo drži.
Kdo je kriv?
Pri razmišljanju o biometriji pri nas in o zakonodaji na to temo pridemo do zanimivega paradoksa. Ta je namreč v tem, da je na eni strani biometrijo pri nas skoraj prepovedano uporabljati, na drugi strani pa je mogoče brez težav kupiti opremo s tega področja. Pri tem ne mislim le na drage celovite biometrične sisteme. Mislim na USB-ključke z vdelanimi bralniki prstnih odtisov, prenosnike s temi bralniki in še kaj. Če je pri nas tako rigorozno določeno, kdo lahko biometrijo uporablja in kdo ne, se pojavi logično vprašanje, kdo nadzira prodajalce. Ali mora na primer kupec, preden kupi prenosnik z bralniki prstnih odtisov postreči s kakšnim dokumentom, ki bo dokazoval, da ga kupuje v zasebne, in ne poslovne namene? Ali mora podjetje, če želi kupiti takšne prenosnike, v trgovini pokazati dovoljenje oziroma soglasje Urada? Če ne, ali je mogoče trgovce obtožiti pomoči pri »nečednem delovanju«, saj podjetjem prodajajo stvari, ki jih ta po zakonu ne smejo uporabljati?
TEŽAVA JE V NERAZUMEVANJU TEHNOLOGIJE
Osebno mnenje avtorja je, da je srž težave v razumevanju dogajanja oziroma nerazumevanju tehnologije, ki stoji za vsem tem. Če bi zakonodajalec vsaj načelno poznal tehnologijo, bi zakonodaja bila videti povsem drugače. Zakaj? Oglejmo si najpogostejši biometrijski ukrep, to je uporabo prstnih odtisov. Kako ta deluje? Stvar seveda nima kaj dosti skupnega z nanizankami tipa CSI. Gre le za številke. Dolge številke. V sistemih za nadzor vstopa in s tem povezanimi programi, ki lahko beležijo prisotnost in še kaj, so prstni odtisi shranjeni kot številka. Številka, ki se generira ob branju prstnega odtisa, nato pa se primerja s številko v bazi zaposlenih. Če se številki ujemata, se vrata odprejo … Kako pa številka nastane? Nastane tako, da se izračuna iz prstnega odtisa. Pri tem je pomembno to, da obratna pot ni mogoča – iz številke ni mogoče ponovno prikazati prstnega odtisa. Torej je zdaj res vprašanje, ali gre pri prstnem odtisu za biometrični osebni podatek. Da in ne! Biometrični težko, saj ne gre za sliko, ampak za številko. Res pa je, da če je mogoče številko povezati s človekom, gre za osebni podatek. Torej smo v kalni vodi. A spet ne tako kalni, da stvari ne bi bilo mogoče rešiti.
Običajni smrtniki imamo že EMŠO, davčno številko, elektronske certifikate, osebne izkaznice, potne liste in še kaj. Vse to nas že tako ali tako močno določa, da »pobegniti« ne moremo. In kaj nam potem lahko škodi to, da se v službi ne bomo več »štempljali«, ampak potisnili prst v majhno napravo? Ali je ta postopek kaj manj varen za naše osebne podatke? Mislim, da celo bolj. S prstnim odtisom nas nihče ne more štempljati namesto nas. Prstnega odtisa ne moremo pozabiti doma in zaradi tega imeti težave pri vstopu v službo. Prstnega odtisa nam ne morejo ukrasti in potem namesto nas iti v pisarno. Je biometrija res tako nevarna? Iz zapisanega bi lahko sklepali, da je nevarneje brez nje …
Pa tudi če bi bilo mogoče iz dolge številke poustvariti prstni odtis. Ali je to res razlog, da je to treba praktično prepovedati? Ali je uvajanje metode prstnih odtisov vprašanje upravičenosti biometrije ali pa je to bolj vprašanje varovanja elektronskih podatkov? Glede na tehnologijo, je to vprašanje varovanja elektronskih podatkov. In če je to v nekem podjetju urejeno tako, kot zahtevajo standardi, potem je res čisto vseeno ali se shranjujejo prstni odtisi v celoti, nadzorne številke ali pa le podatki iz bralnika magnetnih ali podobnih kartic.
BOJMO SE SKRAJNOSTI, A ...
Seveda se je treba bati skrajnosti. In zakonodajalca do neke mere razumem, saj so zakoni tukaj tudi zato, da takšne skrajnosti onemogočijo. Res nimam nobene želje, da bi po mestu imeli kup senzorjev in kamer, ki nas bodo spremljale, nato pa bo nekdo iz dobljenih podatkov izdelal vzorec mojih življenjskih navad in me nato zasul z reklamami. A realnost je od tega daleč. Realnost je na bistveno bolj praktični ravni. Ta celo kaže, da ljudje nimajo nič proti sistemom bralnikom prstnih odtisov in se z njimi strinjajo. To namreč pomeni, da jim ni treba nositi magnetnih in podobnih kartic, ki jih je mogoče pozabiti doma ali izgubiti. Poleg tega je praksa takšna, da če se v podjetju kdo ne strinja s tem, da bi se brali njegovi prstni odtisi, lahko še vedno vstopa in izstopa po stari metodi. A taki primeri so pri nas zelo redki. Vsaj po besedah udeležencev okrogle mize z naslovom »Biometrija in zakonodaja«, s katero se je zaključil seminar »Napredne tehnologije kontrole dostopa«, ki je potekal konec septembra v Ljubljani in na katerem so se zbrali največji dosedanji in potencialni uporabniki biometrije v Sloveniji.
Zakonodajalec mora torej malce bolj podrobno razdelati biometrijske postopke, se posvetovati s stroko in na tem področju narediti nekaj več kot zapisati tri ali štiri rigorozne člene v zakon.
Objavljeno: Moj mikro, Januar 2008 | Zoran Banovič
