Perspektywy wprowadzenia europejskiej tożsamości cyfrowej
Propozycja Komisji dotycząca wprowadzenia europejskiej tożsamości cyfrowej (eIDA), umożliwiającej elektroniczne potwierdzanie danych osobowych, jest kolejnym etapem rozwoju unijnego rynku cyfrowego. eIDA ma pogłębić zaufanie użytkowników do usług świadczonych drogą elektroniczną, może także ułatwić i przyspieszyć przepływ dokumentów między państwami UE. Wyzwaniem będzie zapewnienie kompatybilności i bezpieczeństwa systemów funkcjonujących w poszczególnych państwach.
3 czerwca br. Komisja przedstawiła propozycję rozporządzenia wprowadzającego możliwość elektronicznej identyfikacji osób – tzw. europejską tożsamość cyfrową. Projekt zakłada stworzenie aplikacji mobilnych (europejskie portfele cyfrowe) pozwalających na potwierdzenie tożsamości, kwalifikacji lub innych cech użytkownika, i złożenie przez niego elektronicznego podpisu. Będzie można je wykorzystywać w UE m.in. w celu potwierdzenia wieku, złożenia deklaracji podatkowej, najmu samochodu lub rekrutacji na uczelnię. Testy aplikacji mają rozpocząć się jesienią 2022 r. – do tego czasu Komisja planuje uzyskać wstępną zgodę państw członkowskich na wprowadzenie nowej regulacji.
Projekt wpisuje się w światowe trendy – aplikacje umożliwiające potwierdzenie tożsamości wdrażane są także na innych kontynentach (m.in. indyjski system Aadhaar, ID4D – program Tożsamość dla Rozwoju zaproponowany przez Bank Światowy państwom rozwijającym się, zapowiedzi wprowadzenia Smart Africa Digital ID i cyfrowej identyfikacji tożsamości w Chinach).
Główne założenia
Propozycja eIDA jest odpowiedzią na niedoskonałości wcześniejszego rozporządzenia eIDAS z 2014 r., które wprowadziło m.in. wzajemne uznawanie środków identyfikacji elektronicznej przez państwa UE i ramy prawne dla stosowania elektronicznych podpisów (np. polski „profil zaufany”). eIDAS nie wymagało od państw członkowskich wprowadzenia cyfrowej identyfikacji tożsamości ani umożliwienia elektronicznego udostępniania dokumentów, co stanie się obowiązkowe przy eIDA. Urzędy, ale także najwięksi dostawcy usług internetowych, będą zobowiązani honorować eIDA, jeżeli użytkownik – dla którego korzystanie z aplikacji pozostanie dobrowolne – postanowi się nią posłużyć. Od niego będzie zależał też zakres danych przechowywanych w aplikacji (np. prawa jazdy, dyplomu uczelni wyższej, certyfikatu szczepienia itd.).
Wbrew założeniom rozporządzenia eIDAS systemy uwierzytelniania danych funkcjonujące w poszczególnych państwach nie są ze sobą w pełni kompatybilne. Obecnie jedynie 14 państw UE umożliwia swoim obywatelom identyfikację za pomocą cyfrowej tożsamości. Rozwiązania różnią się od siebie zakresem (np. szerokie wykorzystanie w sektorze prywatnym w Szwecji) i zasadami działania (np. obowiązek posiadania e-dowodów połączonych z aplikacją w Belgii). Utrudnia to transgraniczny przepływ danych. eIDA ma skoordynować rozwiązania krajowe, nie zastępując ich. Każde państwo będzie musiało zaoferować własną aplikację, zgodną z systemami pozostałych państw członkowskich. Użytkownicy, którzy korzystają z dotychczasowych rozwiązań krajowych (np. polskiego mObywatel), nie będą musieli zakładać nowych (unijnych lub zagranicznych) kont. Propozycja nie zastępuje też dowodów tożsamości państw UE, co pozwoli uniknąć ewentualnych zarzutów ze strony przeciwników pogłębiania europejskiej integracji.
eIDA ma wykorzystywać technologię blockchain, która jest uważana za szczególnie bezpieczny sposób przechowywania danych. Gromadzenie w aplikacjach informacji na temat tak wielu użytkowników zwiększy jednak ich atrakcyjność dla hakerów. Spełnianie unijnych wymogów bezpieczeństwa przez aplikacje będzie egzekwowane przez krajowe podmioty publiczne lub wyznaczone przez nie firmy prywatne. Choć portfele cyfrowe mają charakteryzować się najwyższymi standardami bezpieczeństwa, brak jest jeszcze w tym zakresie odpowiednio szczegółowych wytycznych Komisji.
Skutki dla rynku wewnętrznego
Aktualnie 59% obywateli UE posiada dostęp do elektronicznych dokumentów, a do 2030 r. Komisja planuje zwiększyć tę liczbę do 80%. eIDA ma usprawnić kontrolę nad udostępnianiem danych, zmniejszyć przestępczość związaną z ich wyłudzaniem przez internet i zwiększyć zaufanie do usług cyfrowych. Proponowane rozwiązanie będzie też przyjazne środowisku i umożliwi bezkontaktowe udostępnianie dokumentów, szczególnie istotne w trakcie pandemii.
eIDA ułatwi unijnym przedsiębiorcom transgraniczną działalność i inwestycje (np. składanie wniosków do urzędów w innym państwie UE bez odbywania zagranicznej podróży). Może tym samym zwiększyć zainteresowanie tworzeniem spółek europejskich (regulowanych prawem UE i prowadzących działalność w co najmniej dwóch państwach członkowskich) i świadczeniem usług na zagranicznych rynkach przez podmioty krajowe. Zdaniem Thierry’ego Bretona, komisarza ds. rynku wewnętrznego, eIDA umożliwi też przedsiębiorstwom oferowanie klientom nowych usług w związku z wykorzystywaniem tożsamości cyfrowej. W połączeniu z ogólnym zwiększeniem zaufania do usług cyfrowych ma to korzystnie wpłynąć na rozwój unijnego rynku, m.in. na wzrost PKB państw członkowskich (wg McKinsey Global Institute od 3 do 13% do 2030 r.). Komisja szacuje, że eIDA w ciągu pięciu lat od wprowadzenia wygeneruje ok. 9,6 mld euro zysku i przyczyni się do utworzenia 27 tys. miejsc pracy.
Dalsze wyzwania
By proponowane rozwiązanie przyniosło większe korzyści, konieczne będzie wprowadzenie dalej idących zmian niż wskazane w projekcie. Dla rozwoju transgranicznej współpracy w ramach rynku wewnętrznego niezbędna jest automatyzacja wydawania niektórych dokumentów urzędowych (np. zaświadczeń o niekaralności, certyfikatów rezydencji podatkowej). Konieczne jest też zapewnienie tłumaczeń ich treści, a także stron internetowych usług publicznych (jak polski ePUAP). Pozwoliłoby to oszczędzić czas i koszty wnioskodawców związane z uzyskiwaniem potrzebnych dokumentów (m.in. opłaty skarbowe, pełnomocnictwa, tłumaczenia, apostille – poświadczenie dokonywane przez MSZ). Aktualnie na poziomie unijnym pomocnicze tłumaczenia są przewidziane dla aktów stanu cywilnego i zaświadczeń o niekaralności, co jest niewystarczające dla pełnego wykorzystania możliwości eIDA.
Kolejnym wyzwaniem będzie ograniczone korzystanie z aplikacji przez osoby starsze i najuboższe. UE wraz z państwami członkowskimi powinna zapewnić, by nie znalazły się one w gorszej sytuacji niż użytkownicy eIDA, np. w przypadku bezpłatnego wydawania zaświadczeń elektronicznych i pobierania opłat za dokumenty w tradycyjnej formie lub rozpatrywania zgłoszeń elektronicznych w pierwszej kolejności.
By przeciwdziałać fragmentacji standardów bezpieczeństwa, Komisja planuje przyjąć odpowiednie zalecenia. Ze względu na ich niewiążący charakter, mogą się one jednak okazać w praktyce niewystarczające. Ponieważ bezpieczeństwo systemu jest tak silne, jak bezpieczeństwo jego najsłabszego ogniwa, przyjęcie unijnych standardów będzie miało szczególne znaczenie dla uniknięcia słabych punktów (np. gorzej zabezpieczonych aplikacji państw, które przeznaczą na ich rozwój mniejsze środki), które mogłyby umożliwić osobom nieupoważnionym dostęp do danych obywateli z całej UE.
Niezbędna będzie też ścisła kontrola przestrzegania przepisów o ochronie danych osobowych, zwłaszcza w zakresie ograniczania przetwarzania ich do niezbędnego minimum i w przypadkach przechowywania w aplikacji danych wrażliwych (np. zdrowotnych), podlegających szczególnym rygorom przetwarzania.
Wnioski i perspektywy
Propozycja eIDA sprzyja dalszemu rozwojowi rynku wewnętrznego. Dzięki umożliwieniu transgranicznego potwierdzania danych osobowych i kwalifikacji może nastąpić przyspieszenie postępowania przed zagranicznymi urzędami, stanowiąc ułatwienie dla użytkowników. Powinno się to przełożyć na zwiększenie zainteresowania prowadzeniem biznesu w innych państwach członkowskich i transgranicznym świadczeniem usług. W sytuacji, gdy prace nad wprowadzeniem cyfrowego potwierdzania tożsamości prowadzone są też w państwach trzecich (indywidualnie lub regionalnie), rozwój eIDA staje się też warunkiem utrzymania unijnej konkurencyjności. Spodziewane korzyści powinny przewyższyć ryzyka związane z możliwymi cyberatakami i kradzieżą danych, pod warunkiem szybkiego wyznaczenia przez Komisję odpowiednich standardów ochrony i ich ścisłego przestrzegania przez dostawców europejskich portfeli cyfrowych.
Dla polskich użytkowników, w szczególności przedsiębiorców, dużym wyzwaniem w obrocie międzynarodowym pozostanie brak tłumaczeń dokumentów przedkładanych za granicą. Choć eIDA zautomatyzuje kwestie związane z ich wydawaniem i udostępnianiem, nie ułatwi zapoznawania się z ich treścią. Dla osiągnięcia większych korzyści dla rynku wewnętrznego ważne, choć trudne i wymagające czasu, byłoby stopniowe ujednolicanie wzorów zaświadczeń wydawanych przez państwa członkowskie lub co najmniej zapewnianie ich tłumaczeń.