30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 1 2 3 4
styczeń [luty] marzec
kwiecień maj czerwiec
lipiec sierpień
wrzesień październik
listopad grudzień
GIODO nie wie co z biometrią
Wpis z dnia: 2011-12-09, z godziny: 19:07
"Rzepa" cytuje wypowiedzi GIODO niedawnej konferencji na temat uwierzytelnienia biometrycznego:

Brakuje nam generalnych rozwiązań dot. biometrii. Nie jestem w stanie nawet powiedzieć, które techniki są technikami biometrycznymi, a które nie

Skoro nie potrafimy czegoś zdefiniować to jak chcemy się zabierać za regulację? A może problem polega na tym, że najpierw będziemy regulować a dopiero potem w życiu wyjdzie jakie problemy ta regulacja może rozwiązać. No bo jakie mamy na razie problemy czy kontrowersje związane z biometryką? Czy były w tej dziedzinie jakieś nadużycia, które należy ukrócić? No bo jeśli były to rozwiązanie się samo nasuwa i po co nam jakieś "generalne rozwiązania dotyczące biometrii"?

I dalej:

Regulacje szczegółowe, które istnieją, dotyczą raczej konkretnych zastosowań

To chyba dobrze, że istniejące regulacje dotyczą konkretnych problemów a nie próbują zapobiegawczo zaregulować co, o czym nawet nie wiadomo czy się przyjmie, a jak się przyjmie to czy będzie generować jakieś problemy?

Choć naukowcy nie mają wątpliwości, że np. tekst napisany na kartce papieru zawiera dane biometryczne - charakter pisma czy sposób nacisku na kartkę, to nikt nie jest w stanie powiedzieć, czy tego typu dane zawiera kserokopia takiego tekstu

I tu dochodzimy chyba do głównego problemu, który w polskiej praktyce prawnej pozostaje od lat nieuregulowany (a powinien!) - czyli czemu ma służyć regulacja. Czy ma służyć praktycznej weryfikacji naukowych wątpliwości i hipotez? Czy też może testowaniu bojem hipotez prawniczych i filozoficznych?

Podam przykład czym się takie podejście kończy: od pewnego czasu próbuję (przy udziale MZ i NFZ) zrozumieć dlaczego właściwie muszę do urzędu jakim jest NFZ przynosić w zębach wydrukowany przez siebie świstek, który rzekomo potwierdza fakt otrzymania przez ten urząd mojej składki zdrowotnej.

Najciekawsze z wyjaśnień, jakie do tej pory otrzymałem, jest takie, że prawnicy różnych resortów nie są tak do końca pewni co to w gruncie rzeczy oznacza "prawo do ubezpieczenia zdrotownego" i na każdą próbę jego zdefiniowania sypią jak z rękawa teoretycznie możliwymi kontrprzykładami, które je hipotetycznie falsyfikują. Rezultat jest taki, że resort zdrowia od mniej więcej dekady babra się w filozoficznych dysputach, z definicji nierozstrzygalnych, a nie potrafi rozwiązać elementarnych problemów technicznych. Czyli na przykład: jak recepcja szpitala X ma podjąć decyzję czy obywatelowi Y udzielić bezpłatnej usługi medycznej. Ale nie potrafiąc przyjąć jakiejś, choćby i niedoskonałej z filozoficznego punktu widzenia, definicji "prawa do ubezpieczenia" nie potrafi rzecz jasna jednoznacznie określić jak to prawo potwierdzić!

Dlaczego właściwie musimy definiować te "dane biometryczne"? Aha, bo regulacja ma dotyczyć danych biometrycznych, a żeby GIODO je uregulowało to trzeba jakoś wykazać, że mają coś wspólnego z osobowymi. No i trzeba te dane biometryczne jakoś zdefiniować. Ale dlaczego rozporządzenie ma dotyczyć danych biometrycznych w ogóle, a nie konkretnych problemów - jeśli takowe w ogóle występują?

Obawiam się, że ta metoda legislacyjna to najlepsza recepta na ugrzęźnięcie na następne kilka lat w nierozstrzygalnych dywagacjach filozoficznych. W wyniku których w końcu okaże się, że dane biometryczne bez zgody podmiotu przetwarza właściciel budynku na którym żule nasprejowali pismem odręcznym swoje inicjały. Oraz ten, co to gryzmoły sfotografował bo jacyś naukowcy w końcu uznają, że kopia też je zawiera.

Panie Inspektorze, niech Pan nie idzie tą drogą! :) Odsyłam do wytycznych do oceny skutków regulacji, która w dwóch pierwszych rozdziałach, na prawie 20 stronach, zachęca by przed napisaniem pierwszego zdania projektu nowego rozporządzenia zastanowić się porządnie czemu ono ma służyć i jakie problemy rozwiązać. Jak GIODO będzie znało odpowiedzi na te pytania to właściwie założenia do nowej regulacji będą gotowe.
Komentarze:
Redakcja Computerworld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
WiewióowskiIP: 89.69.122.13611-12-2011, 10:21
Panie Pawle

Z dużym spokojem proszę podchodzić do informacji o regulacji biometrii, bo zaczynamy się zapędzać :) Zawsze głupio mi komentować cudze komentarze do prasowych relacji o moich słowach, bo to w sumie już czwarty etap głuchego telefonu. Tym nie mniej spróbuję.

Zacznijmy od tego, że rzeczywiście powiedziałem - w odpowiedzi na pytanie dziennikarza o regulację biometrii, że "[b]rakuje nam generalnych rozwiązań dot. biometrii. Nie jestem w stanie nawet powiedzieć, które techniki są technikami biometrycznymi, a które nie."

Natychmiast dopowiadam, że ja nie twierdzę, że chcę napisać tą regulację, tylko, że mi jej brakuje. Muszę bowiem jako prawnik odnosić się do "biometrii", a ja nie jestem tego w stanie zrobić nie wiedząc co to jest. Przy skutecznym mieszaniu biometrii jako nauki z biometrykami nie jest mi łatwo odnosić się do tych kwestii w zakresie ochrony danych osobowych.

Nie musi mnie Pan w tym zakresie odsyłać do zasad pisania OSR, bo ja nie zamierzam pisać aktu prawnego. Są ku temu dwa podstawowe powody:
1) nie mam inicjatywy ustawodawczej
2) za mało się na tym znam, by napisać coś sensownego.

Ja nie mówię, że znam odpowiedź, ale że szukam odpowiedzi, której nauka i technologie nie potrafią mi dać. Każą mi natomiast podejmować decyzje administracyjne bez potrzebnej mi pewności lub co najmniej prawdopodobieństwa.

Kolejnym drobnym nieporozumieniem jest stwierdzenie o "rozporządzeniu". Być może chodzi o projekt rozporządzenia UE, który wspomina o biometrii. Jeśli tak, to to jest akt pozostający poza moim zasięgiem. Opiniuję ten projekt w pewnym zakresie, ale uchwala go Rada Europejska i Parlament Europejski na wniosek Komisji Europejskiej. Na pewno go natomiast nie "piszę".

A teraz już pozwolę sobie odpowiedzieć na kilka ważnych kwestii jakie w tym wpisie postawiono.

A) "Skoro nie potrafimy czegoś zdefiniować to jak chcemy się zabierać za regulację?"
Otóż niestety jest tak, że jak coś potrafimy dokładnie zdefiniować, to z reguły nie potrzebuje "to coś" regulacji. Regulujemy głównie tam, gdzie definicje są niepewne. Wtedy można - po wykonaniu kupy prac przygotowawczych, przy odpowiedniej wiedzy i możliwościach - stworzyć regulację prawną, która podpowie, gdzie są granice tego, co człowiek i urzędnik musi/może zrobić. Oczywiście proszę mi nie tłumaczyć, że przy okazji można coś sp... zepsuć. Oczywiście tak.

B) „A może problem polega na tym, że najpierw będziemy regulować a dopiero potem w życiu wyjdzie jakie problemy ta regulacja może rozwiązać”.
Proste ale demagogiczne :)

C) „No bo jakie mamy na razie problemy czy kontrowersje związane z biometryką? Czy były w tej dziedzinie jakieś nadużycia, które należy ukrócić? No bo jeśli były to rozwiązanie się samo nasuwa i po co nam jakieś ‘generalne rozwiązania dotyczące biometrii’?”
Regulacja poszczególnych biometryk w poszczególnych zastosowaniach to dzisiejsza „taktyka” legislacyjna. Takie podejście co prawda może rozwiązać drobne zauważone problemy, ale niestety powoduję, że narzekamy, że regulacja jest niespójna, fragmentaryczna i oderwana od rzeczywistości a rozwiązująca (z reguły i tak niedoskonale) zauważony problem. Odsyła mnie Pan do tego, bym uczył się podstaw zasad tworzenia dobrej regulacji, a zapomina Pan, że podstawową zasadą dobrej regulacji jest „całościowe ujmowanie tematyki aktu”

D) „I tu dochodzimy chyba do głównego problemu, który w polskiej praktyce prawnej pozostaje od lat nieuregulowany (a powinien!) - czyli czemu ma służyć regulacja. Czy ma służyć praktycznej weryfikacji naukowych wątpliwości i hipotez? Czy też może testowaniu bojem hipotez prawniczych i filozoficznych?”

Jako inżynier próbuje Pan być złośliwy wobec „hipotez prawniczych i filozoficznych”. Mógłbym być równie złośliwy wobec inżynierów, którzy jak już zaprojektują coś co się wali, to mają pretensje, że „przecież prawo tego nie zabraniało” :)

Moim zdaniem prawo powinno w przypadkach wątpliwych dla praktyków ustalać, co jest zabronione, co jest nakazane, co zaś dozwolone lub zalecane. W pierwszym i drugim przypadku legislacja jest konieczna (nie można zabraniać ani nakazywać nieprecyzyjnym prawem). W trzecim i czwartym przypadku trzeba się zastanawiać czy w ogóle potrzebna jest regulacja. Stawiałbym, że zazwyczaj, jeśli coś ma być dozwolone lub zalecane to regulacja normatywna nie jest potrzebna, ale przecież właśnie dobre przykłady z zakresu normalizacji (standardy w końcu nie są obowiązkowe) oraz niektórych dziedzin prawa międzynarodowego (np. prawo morskie) wskazują, że zalecanie i dozwalanie ma sens.

E) „Jak GIODO będzie znało odpowiedzi na te pytania to właściwie założenia do nowej regulacji będą gotowe”.
Raz jeszcze podkreślam, ja nie twierdzę, że chcę napisać tą regulację. Ja stwierdzam, że jej nie ma a ja jej NA GWAŁT POTRZEBUJĘ.


Wojciech Wiewiórowski
Generalny Inspektor Ochrony Danych Osobowych
Liczba zatwierdzonych komentarzy: 1      dodaj swój komentarz  
Serwisy IDG: IDG.pl | PC World Komputer | Computerworld | NetWorld | Kino Domowe | Zoom | Digit | CEO | CIO | CFO | CMO | CSO | Macworld | Tips & Tricks | Gamestar | Internet Standard | IT Partner | IT Standard | Kupuj.pl | JobUniverse | CyberJoy | Fotografia
Korzystanie z serwisu Bywalec Computerworld jest jednoznaczne z wyrażeniem zgody na następujące warunki obsługi. Regulamin korzystania z serwisu. Serwis realizuje wytyczne ASME oraz uzupełnienia IDG dotyczące zasad publikacji w mediach elektronicznych.
© copyright 2012 IDG Poland SA
04-204 Warszawa ul. Jordanowska 12
tel. (+48 22) 321 78 00  fax (+48 22) 321 78 88