152 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

Remigiusz Lewandowski

Biometria – nowe zastosowania

Wstęp

Biometriatowiedzaorozpoznawaniużywychosóbnapodstawiepomiarówcechbiologicznych(anatomicznychifizjologicznych),zarównopasywnych(jaknp.wzórtę-czówki isiatkówkioka,odciskipalców,wygląd twarzy,geometriadłoni,układnaczyńkrwionośnych),jakiaktywnych(np.dynamikapismaręcznego,głos,ruchwarg,chód)1. Przyposzukiwaniuoptymalnegowyborudanejcechybiometrycznejjakonarzędziaiden-tyfikacjinależybraćpoduwagęwieleróżnychczynników,zktórychczęśćprzedstawionowtabeli. Jakzniejwynika,każdezestosowanychrozwiązańmaswojemocne isłabestrony, adokonującostatecznegowyboru,powinno sięprzedewszystkimuwzględniaćadekwatnośćrozwiązaniadozaspokajanejpotrzebyzwiązanejzidentyfikacją.

Tabela. Porównaniewybranychcechbiometrycznych.

Charakterystyka Odcisk palca

Geome-tria dłoni

Siatkówka oka

Tęczówka oka Twarz Podpis Głos

Łatwość użycia duża duża mała średnia średnia duża duża

Podatność na błędy

suchośćskóry,zabru-dzenia,wiek

zranieniedłoni

okulary słabeoświetle-

nie

słabeoświetle-nie,wiek,okulary,fryzura

zmianywewła-snym

podpisie

hałas,przezię-bienie,pogoda

Dokładność duża duża bardzoduża

bardzoduża

duża duża duża

Akceptowal-ność przez użytkownika

średnia średnia średnia średnia średnia bardzoduża

duża

1B.Hołyst,J.Pomykała,Biometria w systemach uwierzytelniania,„BiuletynWAT”2011,t.60,nr4,s.418–419.

I.ANALIZyIROZPRAWy 153

Charakterystyka Odcisk palca

Geome-tria dłoni

Siatkówka oka

Tęczówka oka Twarz Podpis Głos

Wymagany poziom bezpie-czeństwa

duży średni duży bardzoduży

średni średni średni

Długotermino-wa stabilność

duża średnia duża duża średnia średnia średnia

Skala:bardzomały,mały,średni,duży,bardzoduży.

Źródło:Opracowaniewłasnenapodstawie:S.Prabhakar,S.Pankat,A.K.Jain,Biometric Recognition: Security and Privacy Concern,„IEEETransactionsonSecurity&Privacy”2003,nr1,s.33–42.

Obecniebiometriastanowistałe,azarazemnajważniejszeogniwołańcuchawar-tościdokumentówidentyfikacyjnych.Rozwiązaniabiometryczneznajdujązastosowa-niewpaszportachznacznejliczbypaństw.Paszportbiometrycznypraktyczniestajesięstandardem,coprzedstawiononarysunku1.

Rys. 1. Państwa,wktórychwprowadzonoiwktórychplanujesięwprowadzeniepasz-portówbiometrycznych.

Legenda:kolorciemnozielony–państwa,wktórychwprowadzonopaszportybiometryczne;ko-lorjasnozielony–państwa,wktórychplanujesięwprowadzeniepaszportówbiometrycznych.

Źródło:https://commons.wikimedia.org/w/index.php?curid=47470662[dostęp:10X2016].

154 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

1. Biometria w dokumentach publicznych

Praktycznie rzecz biorąc, paszporty niebiometryczne obowiązują jedynie wpaństwachafrykańskich(zpewnymiwyjątkami),wwybranychpaństwachAmerykiŚrodkowejiPołudniowejorazwAzji.Stosowaniewpaszportachrozwiązańbiome-trycznychpromujeMiędzynarodowaOrganizacjaLotnictwaCywilnego(ICAO).Za-łącznik9doKonwencji o międzynarodowym lotnictwie cywilnymzawierazalecenie,abystronyKonwencjistosowałydanebiometrycznewwydawanychprzezniepasz-portach,wizachorazinnychoficjalnychdokumentachpodróżyiużywałyjednejlubwięcejdodatkowychtechnologiisłużącychdozapisywaniadanych(pkt3.9).Wśródopcjonalnych danych biometrycznych (poza obowiązkowym, zapisanym cyfrowowizerunkiem twarzy)wskazuje się obrazyodciskówpalca (palców)oraz tęczówki.Polskipaszportwzakresiedanychbiometrycznychzawierajedynieodciskpalca.Jakważnyjestrozwójtechnikbiometrycznychwskazujepróbaobejściasystemówopar-tychnabiometrii.Klasycznymprzykłademmożebyćtupróbaprzejściaprzezbramkębiometrycznąnagranicyprzezosobęukrywającąpodubraniemdziecko.Tenprzykładobrazuje, jakwiele rozwiązańnależy stosowaćw sytuacjachautomatyzacjikontro-li,zwłaszczakontroligranicznej.Womawianymprzypadkurozwiązaniemmożebyćwdrożeniesystemuweryfikującego,czyrzeczywiścieprzezbramkęprzechodzijednaosoba (np.przez rejestracjęwmomencieprzejściaprzezbramkę),czyodgłosbiciasercapochodziodjednejosoby,czyodwiększejliczbyosób.Testowąbramkębiome-trycznąopracowanąprzezWojskowąAkademięTechnicznąprzedstawiononarys.2.

Rys. 2. TestowabramkabiometrycznaopracowanaprzezWojskowąAkademięTechniczną.Źródło:http://www.ioe.wat.edu.pl/aktualnosci3/testy-systemu-do-automatycznej-odprawy-osob-na-przejsciu-granicznym-w-medyce/[dostęp:10XII2016].

I.ANALIZyIROZPRAWy 155

Niezwykle interesujący jest projekt PROTECT2 realizowany przez konsorcjummiędzynarodowe (zudziałempolskiej specjalistycznejfirmy ITTISp. zo.o.).Stano-wionzaawansowanymultimodalnysystemidentyfikacjibiometrycznej,którymabyćodpowiedziąnarosnącąliczbępodróżnychiograniczonąprzepustowośćeuropejskichprzejśćgranicznych.Tworzonysystemmapotencjał,abybyćzastosowanymnawszyst-kichtypachprzejśćgranicznych(tj.naprzejściachlądowych,morskichinalotniskach).Zaletąomawianegosystemubędziemożliwośćweryfikacjipodróżnychbezpotrzebyichzatrzymywaniazezminimalizowanymwymogieminterakcjizsystemem.Osiągnięciewspomnianychzałożeńmazostaćspełnionem.in.dziękizastosowaniunowoczesnychrozwiązańzdziedzinybiometriiiwizjikomputerowej.Systemmaumożliwićweryfi-kację tożsamościnapodstawiecechantropometrycznychorazcharakterystykichodu.Opartyjestnasiecikamergłębi,któregenerująobraz3Dorazmodelująsylwetkęob-serwowanejosoby.Napodstawiezebranychdanychtworzonyalgorytmwykorzystujeunikatowe cechy antropometryczne (np. odcinkiwybranych części ciała) oraz cechycharakterystycznewyznaczonezsekwencjichodudanejosobywceluzweryfikowaniajejtożsamości.Zaletątegorozwiązaniajestweryfikacjaosóbwruchuorazpodwyższonaodpornośćnapowszechnepróbypodrabianiawzorcabiometrycznego.

Coraz częściej biometria znajduje zastosowanie także przy opracowywaniudowodówosobistych.WEuropieelektronicznydowódosobistywyposażonywmi-kroprocesorzdanymibiometrycznymistajesięrozwiązaniemstandardowym.Obec-nie dowód elektronicznyobowiązujew27państwachnaszegokontynentu.WPol-scewprowadzenieelektronicznychdowodówosobistychjestplanowaneod2007r.,ale jakdotychczas,zróżnychprzyczyn,niezostałozrealizowane.Niemniej jednak, wlutym2017r.MinisterstwoCyfryzacjiopublikowałokoncepcjęwdrożeniapolskie-godowoduosobistegozwarstwąelektroniczną3.Dokument,októrymmowa,topo-prawionawersjakoncepcjiz2016r.Zgodnieznią,wnowymdowodzieosobistymmająbyćwprowadzonedanebiometryczne,tj.wizerunektwarzy.

Opróczpaszportówidowodówosobistychwładzepaństwoweemitujątakżeinnedokumentyzawierającedanebiometrycznezapisanenamikroprocesorach.WPolscejesttonp.biometrycznakartapobytu(zodciskiempalca).Niektórepaństwaemitująelektroniczneprawa jazdy– zgodnie z normą ISO180134 i (lub) rozporządzeniemKomisjiUE383/20125.Są to:Salwador,wybrane stanyw Indiach, Japonia,Maro-ko,Meksyk,Indonezja,stanQueenslandwAustralii,Chorwacja,IrlandiaiHolandia6.

2ProjektrealizowanywramachprogramuHoryzont2020,nrgrantu:700259.3 https://mc.gov.pl/aktualnosci/nowa-koncepcja-wdrozenia-polskiego-dowodu-osobistego-

z-warstwa-elektroniczna[dostęp:27II2017].4Ustanawiaramydotycząceformatuwzoruizawartościdanychprawajazdy.5 Rozporządzenie Komisji (UE) nr 383/2012 z dnia 4 maja 2012 roku określajace wymagania

techniczne wobec praw jazdy zawierających elektroniczny nośnik informacji (mikroprocesor) – Dz.Urz.UEL120z5V2012r.,s.1.

6M. Stoltz, Electronic Driver’s Licences: Driving Towards the Future, „ID&SecureDocu-ments News” 2016, t. 4 [online], https://www.reconnaissance.net/secure-document-news/issues/may-2016/[dostęp:10XII2016].

156 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

Włączaniedotychdokumentówdanychbiometrycznychjestrozwiązaneindywidual-nieprzezkażdezwyżejwskazanychpaństw.RozporządzenieKomisjiUE383/2012dopuszczaumieszczenienamikroprocesorzeprawajazdydanychdodatkowychwpo-staciwzorutęczówkiokaiodciskupalcaposiadacza.

Rosnącezastosowaniebiometriiwdokumentachniepowinnodziwić.Jesttojednaznajbardziejniezawodnychmetoduwierzytelnianiaiweryfikacjitożsamościczłowie-ka(lubidentyfikacjiosoby),alejejskutecznośćniejestbezwarunkowa.Wliteraturzeprzedmiotuwskazujesięnawarunkikonieczne,któremuszą towarzyszyćskuteczne-muuwierzytelnianiubiometrycznemu,takiejakoptymalnewarunkidokonaniapomiarubiometrycznego,aktualizacjategopomiaruorazoptymalnypoziomtolerancji7.Skutecz-nośćbiometriimożnaznaczącopodnieśćprzezwprowadzeniepomiaruniejednej,aleconajmniejdwóchcechbiometrycznych.Wtensposóbjeszczebardziejmożnapowiązaćdanąosobęzdokumentem,którymsięonaposługuje.Niemniejjednakdobiometrii,takjakdokażdejinnejtechnologii,nienależypodchodzićbezkrytycznie8.

Wodniesieniu do dokumentów najczęściej stosowanymmodelem uwierzytel-nianiabiometrycznego jestweryfikacja.Polegaonanaporównaniuw skali 1:1 ze-stawucechbiometrycznychdanejosoby(pobranychpodczasweryfikacji)zdanymibiometrycznymizapisanymiwdokumencie.Wprzypadkuzgodnościdanych,którezostały pobranew czasieweryfikacji, z danymi zapisanymimożnamówićo pozy-tywnymefekciesprawdzenia,tj.możnastwierdzić,żeosobaposługującasiędanymdokumentemjestosobą,którejówdokumentdotyczy.Zaletątejmetodyjestszybkośćweryfikacji (wyższa niż w przypadku identyfikacji9) oraz bezpieczeństwo danych.Dane biometryczne są bowiem przechowywane przez posiadacza dokumentuwrazzdokumenteminiesątworzonecentralnebazydanychbiometrycznychobywateli.

Skuteczność rozwiązań biometrycznych dostrzegana przez władze publiczne wsytuacjachzwiązanychzbezpieczeństwempaństwaimigracjąobywatelinieuszłateżuwadzeinnychsektorówgospodarczych.Biometriacorazczęściejznajdujezastoso-waniewobrociehandlowym.Dotyczytochoćbytabletów,notebookówismartfonów,wktórychczęstosąinstalowaneczujnikiodciskupalcapozwalającenabiometrycz-nezwiązanieurządzenia (iprzechowywanychnanimdanych)z jegoposiadaczem. Wniektórychpaństwachkartyidentyfikacyjnezzapisanymidanymibiometrycznymisąstosowaneprzezuniwersytetywcelupoprawyjakościkontrolidostępuiefektywnejidentyfikacjistudentówpodczasegzaminów10.Systembiometrycznybyłwykorzysty-wanyrównieżdoidentyfikacjiobywateliwwyborachpowszechnych11.Wprzyszło-

7B.Hołyst,J.Pomykała,Biometria w systemach uwierzytelniania…,s.420–421.8 E. Jakielaszek,Mechanizmy kształtujące zarządzanie tożsamością, „Człowiek i Dokumen-

ty”2017,nr44,s.58.9Podczasidentyfikacjipobranedanebiometryczneporównujesięzezbioremdanychzawartych

wokreślonejbazie.10 E.Harinda,E.Ntagwirumugara,Security & Privacy Implications in the Placement of

Biometric-Based ID Card for Rwanda Universities,„JournalofInformationSecurity”2015,nr6,s.93–100.

11W.Gutfeter,A.Pacut., Człowiek w systemie biometrycznym,w:M.Tomaszewska-Michalak,

I.ANALIZyIROZPRAWy 157

ściprzewidujesięszerokiezastosowaniebiometriiwobrocieprawnym,wtymtakże wzakresieskładaniapodpisuelektronicznego12.

Jednak zastosowania biometrii na znacznie szerszą skalę należy upatrywać wdwóchzasadniczychsferach,tj.wbankowościiwsystemachkontrolidostępuopar-tychnakartachmikroprocesorowych.

2. Biometria w bankowości

Biometriawbankowościpojawiłasięjużponaddekadętemu.W2004r.kolum-bijskiBancafeBankudostępniłok.400bankomatówbiometrycznychwykorzystują-cychodciskpalca.WtymsamymrokuwJaponiirozpoczętoudostępnianiebankoma-tówwykorzystującychbiometrię naczyńkrwionośnych (m.in.MizuhoBank, JapanPostBank,BankofKyoto,ResonaBank,Bankofyokohama).Zkoleibiometriatę-czówkiokaznalazłaporazpierwszyzastosowaniewbankowościwJordanii(CairoAmmanBank)–napotrzebybankomatóworazoddziałówbanku,awdalszejkolejno-ści–wbankowościinternetowej.

WPolscehistoriabiometriiwbankowościrozpoczęłasięw2010r.–BankPolskiejSpółdzielczościorazPodkarpackiBankSpółdzielczyzastosowałybiometrięodciskupalca(rys.3).Wpóźniejszymokresierozwiązaniabiometrycznezaczęłybyćoferowaneprzezinnebanki,np.przezBankBPHczyGetinBank.Obecnienajbardziejatrakcyjnewydajesięjed-nakzastosowaniebiometriiwbankowościmobilnejorazwramachfizycznychoddziałów.

Rys. 3. BiometrycznybankomatBankuPolskiejSpółdzielczości.Źródło:http://prnews.pl/hydepark/bank-bps-rezygnuje-z-biometrii-6551894.html[dostęp:10XII2016].

T.Tomaszewski,Dokumenty a prawo. Prawne oraz praktyczne aspekty korzystania z dokumentów i e-dokumentów,Warszawa2015,s.80.

12T.Dziedzic,Biometryczny podpis elektroniczny,w:M.Goc,T.Tomaszewski,R.Lewandowski,Kryminalistyka – jedność nauki i praktyki. Przegląd zagadnień z zakresu zwalczania przestępczości,Warszawa2016,s.93–102.

158 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

Nieliczne banki w Polsce zaoferowały już możliwość weryfikacji tożsamościzużyciemdanychbiometrycznychnasmartfonach.TegorodzajuaplikacjemobilnesąoferowaneprzezMillenniumBank,MeritumBank,INGBankŚląski,EuroBankczyCitiBankHandlowy(rys.4).Niestety,zwyjątkiemBankuMillenniumomawianerozwiązaniejestmożliwetylkonaurządzeniachfirmyApple(czytnikTouchID).Sątojednakrozwiązaniawyspowe,bardziejprzypominającegadżetydlaklientówwyma-gającychnowinektechnologicznych.Wbankowościbiometrianiezagościłajeszczenadobre.StądbranżazzaciekawieniemczekanawynikiogłoszonegowzeszłymrokuprzezBankPKOBPprojektubiometrycznego,którymakompleksowoobjąćwszyst-kiekanałydostępowebanku13.

Rys. 4. AplikacjamobilnaCitiBankuHandlowego.Źródło:https://www.online.citibank.pl/landing/citimobile/index.htm[dostęp:10XII2016].

Badania ankietoweprzeprowadzonewPolscewewrześniu2016 r. przezMa-sterCarddowodzą,żePolacysąentuzjastamizastosowaniabiometriiwbankowości.Jakwynikazrys.5dominującaczęśćpolskichobywateliuważaautoryzacjępłatnościdokonywaną przy zastosowaniu rozwiązań biometrycznych za innowacyjną, prostą ibezpieczną.Jednatrzeciaankietowanychjestzkoleiskłonnadowykorzystaniaswo-jegoodciskupalcajakometodyautoryzacjitransakcjipłatniczej.

13 http://wyborcza.biz/biznes/1,147879,18140726,PKO_BP_chce_wdrozyc_kompleksowy_sys-tem_biometry-cznej.html(uprzejmaprośbaoweryfikacjęzapisu)[dostęp:10XII2016].

I.ANALIZyIROZPRAWy 159

Rys. 5. Wynikibadańankietowychdotyczącezastosowaniabiometriiwbankowości.Źródło:Opracowaniewłasnenapodstawie:http://newsroom.mastercard.com/eu/pl/press-releases/bada-nie-mastercard-polscy-konsumenci-oczekuja-wiecej-cyfrowych-uslug/[dostęp:10XII2016].

Corazwięcejpolskichbankówprowadzipracenadwdrożeniemsystemówbio-metrycznychjakoskutecznejkontrolitożsamościklientów,niosącejzasobąpodniesie-niebezpieczeństwaświadczonychusług14.Wydajesię,żejesttotrendnieodwracalny.

3. Biometria w systemach kontroli dostępu

Systemy kontroli dostępu oparte na kartachmikroprocesorowych to drugi za-sadniczyobszarwykorzystaniabiometriiwinnychcelachniżweryfikacjatożsamościzwykorzystaniemdokumentówpublicznych.Tegotypusystemysąstosowaneprak-tyczniewewszystkichśrednichidużychprzedsiębiorstwachorazwurzędachadmini-stracjipublicznej.Ichrolasprowadzasiędozablokowaniadostępu–zwykleprzezza-mknięciebramkilubśluzy–dookreślonychpomieszczeńosobomnieuprawnionym.Niestety,wwiększościprzypadkówtakakontrolamacharakteriluzoryczny.Sprowa-dzasiębowiemdoweryfikacji,czykarta,którąposługujesiędanaosoba,jestważ-na i czyumożliwiadostępdokonkretnegopomieszczenia.Nienastępujenatomiastsprawdzenie,czyosoba,któraposługujesiędanymi,jesttąosobą,którejuprawnieniadostępowesąprzypisanedodanejkarty.Wprzypadkubrakukontrolitożsamościosóbwchodzącychdodanychpomieszczeń(cojeststandardemwodniesieniudopracow-ników,którzykorzystająjedyniezidentyfikatorów–kartdostępu)relatywniełatwejestwtargnięciedookreślonychpomieszczeń(lubnaokreślonyteren)osóbnieupraw-nionych.Wystarczydotegokradzieżidentyfikatora(kartydostępowej)osobyupraw-nionejiwykorzystanieuprawnieńdostępowychtejosoby.Czykradzieżidentyfikatora

14M.Tomaszewska,Technologia biometryczna w Polsce,w:Technika kryminalistyczna w pierw-szej połowie XXI wieku. Wybrane problemy,B.Hołyst(red.),Warszawa2014,s.738–739.

160 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

jesttrudna?Odpowiedzinatopytaniepowinienudzielićsobiekażdyznas,analizując,jakieśrodkibezpieczeństwaprzedsiębierze,abychronićkartędostępowąprzedkra-dzieżą.Nie są to środki szczególnie zaawansowane i dające rękojmię zapewnieniabezpieczeństwa.

Zagrożenia związane z nieuprawnionym użyciem kart dostępowych są szcze-gólnie istotnewprzypadkupodmiotówgospodarczychważnychzpunktuwidzeniabezpieczeństwapaństwaorazwprzypadkuniektórychinstytucjipublicznych.Ziden-tyfikowanietegorodzajuprzedsiębiorstw,zarównoprywatnych,jakikontrolowanychkapitałowoprzezSkarbPaństwa,niejesttrudne.Możnategodokonaćprzezanalizęsektorowąiwyodrębnienietychdziedzingospodarki,którepełniąfunkcjestrategicznezpunktuwidzeniabezpieczeństwanarodowego.Wwąskimzakresiesąto15:1) wytwarzanieenergiielektrycznejizaopatrywaniewtensurowiec,2) wydobycie,przesył,dystrybucjaimagazynowaniepaliwgazowych,3) wytwarzanie,przesyłimagazynowaniepaliwpłynnych,4) telekomunikacja,5) bankowość,6) produkcjadokumentówibanknotów,7) przemysłzbrojeniowy.Wszerszymujęciuzaśdziedzinygospodarkizłożonezprzedsiębiorstw,wodnie-

sieniudoktórychkontroladostępu–zpunktuwidzeniabezpieczeństwanarodowego–maznaczeniezasadnicze,obejmująponadto,opróczwyżejwskazanych,wydobyciewęglakamiennegoiprzemysłchemiczny16.Wramachtychsektorówwystępująna-stępującepodmiotygospodarczekontrolowaneprzezSkarbPaństwa:PolskaGrupaEnergetycznaS.A.,TauronS.A.,EnergaS.A.,EneaS.A.,PolskieSieciElektroenerge-tyczneS.A.,PolskieGórnictwoNaftoweiGazownictwoS.A.,Gaz-SystemS.A.,Pol-skiKoncernNaftowyOrlenS.A.,LotosS.A.,PrzedsiębiorstwoEksploatacjiRurocią-gówNaftowych„Przyjaźń”S.A.,PKOBankPolskiS.A.,BankOchronyŚrodowiskaS.A.,BankGospodarstwaKrajowego, PolskaWytwórniaPapierówWartościowychS.A.,PolskaGrupaZbrojeniowaS.A.,KompaniaWęglowaS.A.,JastrzębskaSpółkaWęglowaS.A.,KatowickiHoldingWęglowyS.A.orazGrupaAzotyS.A.Niektórzybadaczewskazujądodatkowotakiesektory,jaktransportlotniczy,kolejowyorazmor-ski,atakżemedia.

Ponadto przepisy prawa określają także inne podmioty gospodarcze istotne zpunktuwidzeniapaństwaibezpieczeństwanarodowego.Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym17nakładaobowiązekochronyobiektów,instalacjiluburządzeńinfrastrukturykrytycznej(IK)przezichwłaścicieliorazposiadaczysa-moistnychizależnych.Przedsiębiorstwabędącewłaścicielamiiposiadaczamiinfra-

15R.Lewandowski,Bezpieczeństwo narodowe a strategiczne sektory gospodarki i regulacyjna rola państwa,w:Wymiary zarządzania ryzykiem w obrocie gospodarczym,K.Raczkowski,S.Woj-ciechowska-Filipek(red.),Warszawa2016,s.380–381.

16Tamże,s.376.17Dz.U.z2007r.nr89poz.590,zezm.

I.ANALIZyIROZPRAWy 161

strukturykrytycznejsąwyszczególnionewjednolitymwykazieobiektów,instalacji,urządzeń i usługwchodzącychw skład IK.Tenwykaz jest niejawny.Z kolei innągrupęprzedsiębiorstwdefiniujeRozporządzenie Rady Ministrów z 3 dnia listopada 2015 r. w sprawie wykazu przedsiębiorców o szczególnym znaczeniu gospodarczo- -obronnym18.Wymienia on 185 podmiotów.NatomiastRozporządzenie Rady Mini-strów z dnia 22 października 2010 r. w sprawie określenia przedsiębiorstw państwo-wych oraz jednoosobowych spółek Skarbu Państwa o szczególnym znaczeniu dla go-spodarki państwa19obejmujeobecnie12podmiotówgospodarczych.

Należyzałożyć,żerealnąochronądostępudowłasnychpomieszczeńiterenówpo-winnybyćzainteresowanetakżeprzedsiębiorstwa,któreniepełniąstrategicznychfunk-cji zpunktuwidzeniabezpieczeństwanarodowego.W tymprzypadkumożechodzićoochronę interesuprywatnego iochronęprzeddziałaniamiszpiegowskimize stronykonkurencji.Tęrealnąochronędlawszystkichwymagającychtegopodmiotówzapew-niajednoznacznepowiązaniepracownikazwydanądlaniegokartądostępową(zokre-ślonymiuprawnieniamidostępu).Topowiązanietworzybiometriaizawarcieokreślo-nychdanychbiometrycznychpracownikanajegokarciedostępowej(identyfikatorze).Tradycyjnemetodykontrolidostępuniezdająegzaminuwsytuacjiobecnychzagrożeń20.

Wodniesieniudoinstytucjipublicznychbiometriaznajdujezastosowaniewprzy-padkuochronyniektórychwydzielonychpomieszczeń,aleniejesttorozwiązaniesto-sowanenaszerokąskalę.Ciekawą inicjatywęw tymzakresieplanujeMinisterstwoCyfryzacji,którerozważawprowadzeniebiometrycznejkontrolidostępunietylkodopomieszczeńwydzielonych,lecztakżedocałychgmachówużytkowanychprzezre-sort21.Jeśli teplanywejdąwżycie,będąniezwykleinteresującymicennymtestemefektywnościipraktycznościtejmetodykontrolidostępuizapewnieniabezpieczeń-stwafizycznego.

Przezwprowadzeniemechanizmuweryfikującego,czyosobaposługującasiędanąkartądostępowąjestosobą,dlaktórejtakartazostaławydana,wpełnimożnawyeli-minowaćryzykowejścianaterenokreślonejfirmyczyinstytucjiosoby,któraużywacudzejkartydostępowej.Towistotnysposóbpodnosipoziombezpieczeństwa,szcze-gólnie,gdydotyczyprzedsiębiorstworazinstytucjioznaczeniustrategicznymdlabez-pieczeństwanarodowego.Wdobieglobalnegoterroryzmutegorodzajuśrodkibezpie-czeństwapowinnymiećcharakterstandardowywodniesieniudotejgrupypodmiotów.

Omawiając zagadnienie biometrii, nie sposób pominąć problemu ochrony da-nychosobowych.Artykuł1Ustawyz29dniasierpnia1997r.oochroniedanychoso-bowych22mówi,żekażdymaprawodoochronywłasnychdanychosobowych(ust.1),

18Dz.U.z2015r.poz.1871,zezm.19Dz.U.z2010r.nr212poz.1387,zezm.20A.K.Jain,A.Kumar,Biometrics of Next Generation: An Overview,w:The Second Generation

Biometrics: The Ethical, Legal and Social Context,E.Mordini,D.Tzovaras(red.),London2012,s.49–50.

21 http://www.money.pl/gospodarka/wiadomosci/artykul/dowod-strezynska-biometria-pwpwmdokumenty,177,0,2234801.html[dostęp:18IV2017].

22 Tekstjednolity: Dz.U.z2016r.poz.922.

162 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

aprzetwarzanietakichdanychmożenastąpićzewzględunadobropubliczne,dobroosoby,którejonedotyczą,lubzewzględunadobroosóbtrzecich–wzakresieitrybieokreślonymustawą(ust.2).Ponadtozgodniezart.23ust.1cytowanejustawyprze-twarzaniedanychjestdopuszczalnetylkowtedy,gdy:1) osoba,którejdanedotyczą,wyrazina tozgodę,chybażechodziousunięcie

dotyczącychjejdanych;2) jesttoniezbędnedozrealizowaniauprawnienialubspełnieniaobowiązkuwyni-

kającegozprzepisuprawa;3) jesttokoniecznedorealizacjiumowy,gdyosoba,którejdanedotyczą,jestjej

stronąlubgdyjesttoniezbędnedopodjęciadziałańprzedzawarciemumowy nażądanieosoby,którejdanedotyczą;

4) jesttoniezbędnedowykonaniaokreślonychprawemzadańrealizowanychdladobrapublicznego;

5) jest toniezbędnedo realizacjiprzezadministratorówdanychalboodbiorcówdanychprawnieusprawiedliwionychcelów,aprzetwarzanienienaruszapraw iwolnościosoby,którejdanedotyczą.Równolegle problemwykorzystywania danych osobowychw relacjach praco-

dawca–pracobiorcaregulujeart.22 kodeksupracy.Dane,którychpracodawcamożeżądać, to imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce za-mieszkania(adresdokorespondencji),wykształcenieorazprzebiegdotychczasowegozatrudnienia.PracodawcamożeżądaćtakżenumeruPESELorazinnychinformacji,wtymimioninazwiskorazdaturodzeniadzieci,jeżeliodichpodaniazależykorzy-stanieprzezpracownikaze szczególnychuprawnieńprzewidzianychwprawiepra-cy.Innychdanychpracodawcamożeżądaćjedyniewówczas,gdyichudostępnienienakazująodrębneprzepisy,awzakresienieuregulowanymwpowyższymprzepisiestosujesięprzepisyoochroniedanychosobowych,awięczwłaszczadocytowanegowcześniejart.23ustawyoochroniedanychosobowych.

Przepisyprawanie regulują zatemprecyzyjniewykorzystywaniaprzezpraco-dawcędanychbiometrycznychpracownikówwzwiązkuzkoniecznościązapewnie-nia bezpieczeństwa. Można co prawda domniemywać, że pobieranie danych bio-metrycznych od pracowników i ich przetwarzanie jest przewidziane w przesłance art.23ust.1pkt5,tzn.jeślijesttoniezbędnedorealizacjiprawnieusprawiedliwio-nychcelówprzezadministratorówdanychalboodbiorcówdanych,aprzetwarzanienienaruszaprawiwolnościosoby,którejdanedotyczą.Zapewnieniebezpieczeństwanależyuznaćzaprawnieusprawiedliwionycelrealizowanyprzezadministratorada-nych(biometrycznych).Wydajesięjednak,żetozagadnieniewymagadoprecyzowa-niawprzepisachprawa.

Należy takżezważyć,żedotychczasGeneralny InspektorDanychOsobowych(GIODO) prezentował sceptyczne podejście dowykorzystania danych biometrycz-nychwrelacjachpomiędzypracodawcąapracownikiem(np.wzakresiekontrolido-stępu):A zatem jedyną podstawą do gromadzenia odcisków linii papilarnych może być przepis prawa. Skoro jednak nie ma regulacji zezwalających pracodawcom na żądanie

I.ANALIZyIROZPRAWy 163

od podwładnych danych biometrycznych, jak linii papilarnych, obrazu tęczówki oka czy kodu DNA, to ich gromadzenie jest zabronione23.TegorodzajupodejścieGIODOdobiometriiniewydajesięprzystawaćdowspółczesnychzagrożeń,wtymtakżeza-grożeń terrorystycznych.GrupaRoboczaArt.2924uznaławdokumencie roboczym z1sierpnia2003r.dotyczącymbiometrii,że:

(…) dla celów kontroli dostępu (identyfikacja/weryfikacja) systemy biome-tryczne związane z cechami fizycznymi nie pozostawiającymi śladów (np. kształtdłoni, ale już nie odcisk palca) lub systemy biometryczne związane z cechami fi-zycznymi,którepozostawiająślady,aleniesąoparteozapisywanietychdanychiichposiadanieprzezosobyinne,aniżeliosoba,którejtedanedotyczą(innymisłowydaneniesązapisywanewurządzeniukontrolidostępulubcentralnejbaziedanych),tworząmniejszeryzykonaruszeniaochronypodstawowychprawiwolnościczłowieka25.

Do takichmniej ryzykownych rozwiązań należąwłaśnie systemy dostępoweopartenadanychbiometrycznychzapisywanychnakartach(identyfikatorach)dostę-powychużytkowanychprzezpracowników.Wydajesięzatem,żejestotwartafurtkadowdrożeniazaprezentowanychrozwiązań.

Niemniej jednakprawodawstwoUniiEuropejskiej jestukierunkowanena ścisłąochronę danych biometrycznych.Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich da-nych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)26 wprowadzawart.9ust.1generalnyzakazprzetwarzaniam.in.danychbiometrycznychwcelujednoznacznegozidentyfikowaniaosobyfizycznejlubdanychdotyczącychzdro-wia,seksualnościluborientacjiseksualnejtejosoby.Równocześnietorozporządzeniewskazałoszeregwarunków,wktórychówzakaznieobowiązuje.Wartozwrócićuwagęzwłaszczanato,żeomawianyzakaznieobowiązujem.in.wprzypadku,gdy:1) zostałaudzielonazgodanaprzetwarzanie tychdanychprzezosobę,której to

dotyczy(chybażeprawokrajowelubUEprzewiduje,żetakiegozakazuuchylićniemożna);

2) przetwarzanie jest niezbędne do wykonywania obowiązków i szczególnychprawprzezadministratoralubosobę,którejdanedotyczą,wdziedzinieprawa

23 http://www.giodo.gov.pl/348/id_art/3358/j/pl/[dostęp:10XII2016].24Organkonsultacyjny składający się z przedstawicieli organówochronydanychosobowych

obywatelipaństwczłonkowskichUniiEuropejskiej.RoląGrupyRoboczejArt.29 jestczuwanienadstosowaniemprzezpaństwaczłonkowskieDyrektywy nr 95/46/WE Parlamentu Europejskie-go i Rady z dnia 24 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(Dz.Urz.L281z23XI 1995r.,s.31–50.

25 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2003/wp80_en.pdf[dostęp:10XII2016].

26Dz.Urz.UEL119z4V2016r.,s.1.

164 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

pracy,zabezpieczeniaspołecznegoiochronysocjalnej,oilejesttodozwoloneprawemUElubprawemkrajowym,lubporozumieniemzbiorowymnamocyprawapaństwaczłonkowskiegoprzewidującymiodpowiedniezabezpieczeniaprawpodstawowychorazinteresówosoby,którejdanedotyczą;

3) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, którejdanedotyczą,lubinnejosobyfizycznej,aosoba,którejdanedotyczą,jestfi-zycznielubprawnieniezdolnadowyrażeniazgody;

4) przetwarzaniejestniezbędnezewzględówzwiązanychzważnyminteresempu-blicznym,napodstawieprawaUElubprawapaństwaczłonkowskiego,któresąproporcjonalnedowyznaczonegocelu,nienaruszająistotyprawadoochronydanychorazprzewidująodpowiednieikonkretneśrodkiochronyprawpodsta-wowychiinteresówosoby,którejdanedotyczą.Powyższeprzepisyrozporządzenianiewykluczajązatemmożliwościstosowania

biometriiwcelachzwiązanychzbezpieczeństwem,zwłaszczawzakresiefizycznejkontrolidostępu lubdostępudo systemów teleinformatycznych (np.wbankowościinternetowej), nawetwprzypadkubrakuzgodyosobyzainteresowanej, której danebiometryczne mają być przedmiotem przetwarzania. W takim jednak przypadkujest konieczna szczegółowa regulacja prawna.Należy także podkreślić, że zgodnie zart.9ust.4tegorozporządzeniapaństwaczłonkowskiemogązachowaćlubwprowa-dzićdalszewarunki,wtymograniczeniawodniesieniudoprzetwarzaniam.in.danychbiometrycznych.Ustawodawcaunijnypozostawiłzatemdośćdużyzakresswobodywkształtowaniuzasadprzetwarzaniadanychbiometrycznych.

Wnioski

Biometriastajesięcorazbardziejpowszechnyminstrumentempoprawybez-pieczeństwa.Szczególnecechy tejmetody identyfikacji sprawiają,żezpowodze-niemmożeona znaleźć zastosowanie jużnie tylkowdokumentachemitowanychprzezpaństwo,lecztakżewśrodowiskugospodarczym,obejmującymchoćbybankiczyprzedsiębiorstwaoznaczeniustrategicznymdlabezpieczeństwapaństwa.Ana-liza implementacji rozwiązańbiometrycznychwPolsceprowadzidowniosku, żepoza wybranymi kategoriami dokumentów publicznych nie mają one powszech-negocharakteru.Na szerszą skalę są stosowaneprzezniektórebanki jako instru-mentuwierzytelnianiaklientawsystemachbankowościelektronicznej.Zkoleijakonarzędzie kontroli dostępufizycznego biometria pozostaje technologią stosowaną w małym zakresie, pomimo istnienia obiektywnych przesłanek wskazujących natakąpotrzebę,zwłaszczawprzedsiębiorstwachbędącychwłaścicielamilubpo-siadaczamiinfrastrukturykrytycznej.Świadczytookoniecznościciągłegopodno-szeniawiedzynatematzagrożeńwymierzonychwfunkcjonowanienajważniejszychpodmiotówgospodarczychwnaszymkraju.Równocześnieuprzedsiębiorcówpo-winnarosnąćświadomośćdostępnychtechnologiiirozwiązań,którepowyższeza-grożeniamogąminimalizować.

I.ANALIZyIROZPRAWy 165

Ważnejestrównieżto,abyzacorazczęstszymstosowaniembiometriinadążałyprzepisyprawa,wtymprzedewszystkimdotycząceochronydanychosobowych.Po-winnyonezjednejstronyzapewniaćmożliwośćpodnoszeniapoziomubezpieczeństwapodmiotówgospodarczych i urzędówprzez stosowanie systemówbiometrycznych, azdrugiej–ustanawiaćminimalne standardybezpieczeństwawzakresieprzecho-wywaniadanychbiometrycznychiichprzetwarzania.Testandardypowinnychronićdanebiometryczneprzedutratąpoufności,dostępności,integralnościorazrozliczalno-ści27,azwłaszczaprzedatakaminasystemybiometryczne.

Bibliografia:

1. DziedzicT.,Biometryczny podpis elektroniczny,w:M.Goc,T.Tomaszewski,R.Lewandowski,Kryminalistyka – jedność nauki i praktyki. Przegląd zagad-nień z zakresu zwalczania przestępczości,Warszawa2016,Wolumina.plDanielKrzanowski.

2. Gutfeter W., Pacut A., Człowiek w systemie biometrycznym, w: M. Toma- szewska-Michalak,T.Tomaszewski,Dokumenty a prawo. Prawne oraz prak-tyczne aspekty korzystania z dokumentów i e-dokumentów,Warszawa 2015,SAWPiAUW.

3. HarindaE.,NtagwirumugaraE.,Security & Privacy Implications in the Place-ment of Biometric-Based ID Card for Rwanda Universities,„JournalofInfor-mationSecurity”2015,nr6.

4. HołystB. , Pomykała J.,Biometria w systemach uwierzytelniania, „BiuletynWAT”2011,t.60,nr4.

5. JainA.K.,KumarA.,Biometrics of Next Generation: An Overview,w:The Second Generation Biometrics: The Ethical, Legal and Social Context, E.Mordini, D.Tzovaras(red.),Springer,Dordrecht,Heidelberg,Nowyyork,Londyn2012.

6. JakielaszekE.,Mechanizmy kształtujące zarządzanie tożsamością,„Człowiek iDokumenty”2017,nr44.

7. KrawczykW., Bezpieczeństwo teleinformatyczne kryminalistycznych baz da-nych odcisków palców (AFIS) oraz DNA,w:Nowe techniki badań kryminali-stycznych a bezpieczeństwo informacji,B.Hołyst,J.Pomykała,P.Potejko(red.), Warszawa2014,PWN.

8. LewandowskiR.,Bezpieczeństwo narodowe a strategiczne sektory gospodarki i regulacyjna rola państwa,w:Wymiary zarządzania ryzykiem w obrocie go-spodarczym, K. Raczkowski, S. Wojciechowska-Filipek (red.), CeDeWu, Warszawa2016.

27W. Krawczyk, Bezpieczeństwo teleinformatyczne kryminalistycznych baz danych odcisków palców (AFIS) oraz DNA,w:Nowe techniki badań kryminalistycznych a bezpieczeństwo informacji,B.Hołyst,J.Pomykała,P.Potejko(red.),Warszawa2014,s.181.

166 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17

9. PrabhakarS.,PankatS.,JainA.K.,Biometric Recognition: Security and Privacy Concern,„IEEETransactionsonSecurity&Privacy”2003,nr1.

10. StoltzM., Electronic Driver’s Licences: Driving Towards the Future, „ID&SecureDocumentsNews”[online]2016,t.4,https://www.reconnaissance.net/secure-document-news/issues/may-2016/[dostęp:10XII2016].

11. TomaszewskaM.,Technologia biometryczna w Polsce,w:Technika krymina-listyczna w pierwszej połowie XXI wieku. Wybrane problemy,B.Hołyst(red.),Warszawa2014,WydawnictwoNaukowePWN.

Abstrakt

Artykuł przedstawia analizę nowych zastosowań biometrii w obszarze bez-pieczeństwa.Sądwanajważniejszezastosowania tejmetody.Popierwsze,poza jejwykorzystaniemwdokumentach,takichjakdowodyosobisteczypaszporty,biome-triamożebyćzpowodzeniemstosowana jakonarzędziefizycznejkontrolidostępuwprzedsiębiorstwachoznaczeniustrategicznymwsystemiebezpieczeństwapublicz-nego.Podrugie,możeznaleźćzastosowaniewbankowościelektronicznej–jakoin-strumentidentyfikacjiklientaiautoryzacjitransakcji.Wobuprzypadkachwykorzy-staniebiometriiwsposóbznaczącyzwiększapoziomzabezpieczeńwporównaniudoalternatywnych, tradycyjnychnarzędzi. Jednakże jejpowszechnezastosowaniewy-magaregulacjiprawnych,którezjednejstronypozwoliłybyorganizacjompublicznymiprywatnymkorzystaćztejmetodyjakoinstrumentuzapewniającegobezpieczeństwo, azdrugiej–ustanawiałybyminimalnestandardyochronydanychbiometrycznych.

Słowa kluczowe:biometria,kontroladostępu,bankowość.