rk3745 rk3745
320
BLOG

Zmieńmy filozofię ochrony danych osobowych (2)

rk3745 rk3745 Polityka Obserwuj notkę 1

Elektroniczne bazy danych osobowych stworzyły ogromny potencjał cyfrowego nadzoru i profilowania. Obowiązujący w Polsce system ochrony danych osobowych nie przeciwdziała narastaniu tego potencjału ponieważ został zbudowany na założeniu, że głównym zagrożeniem jest nieautoryzowany dostęp do danych osobowych. Potrzebna jest zmiana percepcji ryzyk i sposobów mitygacji.
W pierwszej części zaproponowałem usunięcie powiązań pomiędzy danymi osobowymi w różnych bazach i zmniejszenie ilości danych identyfikujących osobę.

1. PESEL jako podstawa unikalnych identyfikatorów

W różnych bazach danych osobowych konkretna osoba miałaby różne unikalne identyfikatory. Zastąpienie numeru PESEL zbiorem unikalnych identyfikatorów nie może ułatwić podszywania się pod inne osoby ani utrudnić życia tym, którzy tego nie chcą. Stąd konieczność powiązania numeru PESEL z unikalnymi identyfikatorami w niektórych bazach danych (powiązanie z numerem PESEL tworzy powiązanie z dowodem osobistym, czyli wyglądem osoby).

Powiązanie numeru PESEL z unikalnymi identyfikatorami nie może ułatwiać korelowania danych osobowych z różnych baz. Zatem muszą być spełnione warunki:
- Jednostronność powiązania. Numer PESEL można odwzorować na identyfikator unikalny ale nie odwrotnie
- Niejawność powiązania. Odwzorowanie konkretnego numeru PESEL na unikalny identyfikator nie może się odbyć bez współpracy lub zgody właściciela tego numeru PESEL

Ponadto sposób odwzorowania numeru PESEL na unikalny identyfikator musi być prosty, jawny, dostępny dla każdego i bezpłatny.

Na poziomie technicznym powyższe warunki można spełnić przez:
1. Zastosowanie funkcji skrótu - nazywanej także funkcją haszującą od ang. hash - do generowania unikalnych identyfikatorów
2. Przypisanie dożywotnio każdej osobie zbioru pięćdziesięciu ponumerowanych ciągów dziesięcioznakowych wygenerowanych losowo L1, L2, L3, …, L50 (ciągi mogłyby być wydrukowane na plastykowej tabliczce rozmiaru karty kredytowej).

2. Generowanie unikalnych identyfikatorów.

Unikalny identyfikator byłby generowany w trakcie zawierania umowy między osobą a organizacją utrzymującą bazę danych osobowych. Przed zawarciem umowy przedstawiciel organizacji będzie mógł sprawdzić tożsamość osoby na podstawie dowodu i innych przesłanek. Po sprawdzeniu tożsamości osoba poda swój numer PESEL i jeden ciąg dziesięcioznakowy do wygenerowania unikalnego identyfikatora. Jego wartość zostanie zapisana w umowie.

Przechowywanie numerów PESEL przez organizacje utrzymujące bazy danych osobowych byłoby dozwolone tylko w przypadku kiedy konsekwencje uchylania się od zobowiązań mogą być bardzo poważne dla organizacji (np. niespłacanie kredytu). Wtedy wartość numeru PESEL mogłaby być zapisana w jednej kopii papierowej umowy i tylko tam. Zgodę na przechowywanie numeru PESEL udzielałby GIODO podczas rejestracji bazy. W palcówkach służby zdrowia byłyby ostrzejsze ograniczenia. Pisałem o tym w tekście o anonimizacji danych pacjentów.

Identyfikator unikalny osoby o numerze PESEL równym P będzie wynikiem funkcji skrótu H(P, numer LN, LN) gdzie „numer LN” oznacza numer ciągu dziesięciocyfrowego ze zbioru przypisanego tej osobie a LN oznacza wartość tego ciągu.

Rekord osoby w każdej bazie danych będzie zawierał następujące pola: {unikalny identyfikator równy H(P, numer LN, LN) | pole ciągów losowych | nieunikalny identyfikator nr 1 | … | nieunikalny identyfikator nr M | pozostałe pola, których zawartość w bardzo małym stopniu identyfikuje osobę}.

Pole ciągów losowych będzie mogło zawierać jedną z trzech wartości:
- Numer ciągu użytego do policzenia unikalnego identyfikatora
- Numer ciągu użytego do policzenia unikalnego identyfikatora i jego wartość
- Zero

3. Każdy sam decyduje o poziomie ochrony

Każdy będzie mógł sam zdecydować czy woli dotychczasową wygodę posługiwania się numerem PESEL i zadowoli się dotychczasową ochroną swoich danych osobowych czy woli zadać sobie trochę trudu i uzyskać znacznie silniejszą ochronę. Ponadto będzie można mieć różny poziom ochrony w różnych bazach.

Ochrona słaba (taka jak dotychczas)
Unikalny identyfikator będzie wygenerowany tylko na podstawie numeru PESEL tj. H(numer PESEL, 0, 0) gdzie poza numerem PESEL pozostałe argumenty funkcji haszującej będą równe zero. Wartość pola ciągów losowych będzie równa zero. Jeśli ktoś będzie chciał załatwić sprawę telefonicznie to wystarczy, że poda tylko swój numer PESEL a na jego podstawie pracownik organizacji policzy unikalny identyfikator. W tym wariancie osoba będzie miała ten sam unikalny identyfikator w każdej bazie a ciągi ze zbioru pięćdziesięciu ciągów losowych nie będą wykorzystane.

Ochrona średnia
Unikalny identyfikator będzie wygenerowany na podstawie numeru PESEL, numeru ciągu dziesięcioznakowego i jego wartości. Pole ciągów losowych będzie zawierało numer ciągu dziesięcioznakowego i jego wartość. Do zdalnej identyfikacji trzeba będzie podać wartość i numer ciągu dziesięcioznakowego użytego do wygenerowania unikalnego identyfikatora (sam ciąg dziesięcioznakowy i jego numer są tu wykorzystane jako substytut unikalnego identyfikatora). Jeśli to nie wystarczy to będzie trzeba podać dodatkowo numer PESEL. W tym wariancie unikalne identyfikatory osoby w różnych bazach będą różne.

Ochrona silna
Unikalny identyfikator będzie wygenerowany tak samo jak w ochronie średniej ale pole ciągów losowych będzie zawierało tylko numer użytego ciągu dziesięcioznakowego. Do zdalnej identyfikacji trzeba będzie podać unikalny identyfikator. W tym wariancie unikalne identyfikatory tej samej osoby w różnych bazach będą różne i zostanie zachowana poufność całego zbioru ciągów losowych.

Można sobie wyobrazić inne kombinacje użycia ciągów dziesięcioznakowych do wygenerowania unikalnego identyfikatora. Np. jeśli wielu osobom zależałoby na bardzo silnej ochronie to można dopuścić do generowania unikalnego identyfikatora na podstawie kilku ciągów dziesięcioznakowych.
 

rk3745
O mnie rk3745

Kontakt: rk3745@gmail.com Pozostałe teksty: 1. Fotoradary: Automatyczny wymiar sprawiedliwości 2. Czy tajemnice państwowe służą Polsce? 3. Rola służb ochrony państwa w informatyzacji Polski 4. PESEL2 i e-PUAP pozbawią nas prywatności 5. PESEL i profilowanie 6. Korupcja w informatyzacji urzędów 7. Korupcja w informatyzacji urzędów (2) 8. Bezpieczne przelewy w bankowości internetowej 9. E-administracja wg MSWiA to raj tylko dla urzędników 10. Dowód biometryczny? Tak, ale ostrożnie! 11. Elektroniczne skrzynki podawcze, czyli lobbyści górą! 12. Prawo zamówień publicznych i projekty informatyczne 13. Obywatelska koncepcja e-usług 14. Równoważność dokumentu papierowego i cyfrowego 15. Uwolnijmy się od obowiązku meldunkowego 16. Anonimizacja jako ochrona prywatności pacjenta w systemach służby zdrowia 17. Głosowanie przez Internet 18. ePUAP bez wartości dodanej 19. Wielofunkcyjny dowód pl.ID będzie niebezpiecznym gadżetem 20. Plan Informatyzacji Państwa i projekty informatyczne 21. Dwa problemy polskiego e-podpisu 22. Branża kart płatniczych uznała dominujące standardy ochrony informacji za nieprzydatne 23. PIT przez Internet według urzędników i uwagi o użyteczności informatyzacji 24. Jak władza centralna psuje komputeryzację urzędów gminnych 25. Likwidacja meldunku szansą na lepsze państwo (1) 26. Likwidacja meldunku szansą na lepsze państwo (2) 27. Likwidacja meldunku szansą na lepsze państwo (3) 28. PIT przez Internet i bezpieczeństwo płatnika 29. Analiza ryzyka dla dowodu elektronicznego (1) 30. Analiza ryzyka dla dowodu elektronicznego. Rekomendacje. (2) 31. Dowód elektroniczny. Zabezpieczenia. (3) 32. Służby nie znają się na kryptografii 33. Dowód elektroniczny. Weryfikacja on-line. (4) 34. Dowód elektroniczny. Procesy. (5) 35. Dowód elektroniczny. E-podpis. (6) 36. Po co dowód osobisty 37. Dzisiejsze podejście do informatyzacji nie sprzyja wolności 38. Zmieńmy filozofię ochrony danych osobowych (1) 39. Zmieńmy filozofię ochrony danych osobowych (2) 40. Cloud computing kusi 41. Tradycyjne wybory mogą być uczciwe Ponadto polecam: 1. Czy PESEL2 jest potrzebny? Dokument Instytutu Sobieskiego 3. Stanowisko ISOC Polska w sprawie barier podpisu elektronicznego w Polsce 4. Poradnik inżyniera polskiej informatyzacji. Paweł Krawczyk

Nowości od blogera

Komentarze

Inne tematy w dziale Polityka