Ta ocena jest przygotowywana w odpowiedzi na wniosek Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE), w imieniu europosła  Cristiana Terhesa (sprawozdawcy ds. dokumentacji eID; wniosek z dnia 19.01.2022 r.). Celem tej oceny jest analiza pod kątem prywatności i ochrony danych. Chociaż (wliczając w to czas złożenia wniosku, gdzie dano mi niewiele czasu) jest to całościowa analiza, celem jest dostatecznie czegoś dokładnego i kompletnego.

W toku tej analizy zidentyfikowałem znaczne braki (a więc i ryzyka) w zakresie  prywatności, ochrony danych, ale także z konsekwencjami dla ochrony osób niepełnosprawnych, oraz negatywnych konsekwencji dla ogólnych standardów bezpieczeństwa  i cyberbezpieczeństwa w Unii Europejskiej. Szkoda by było, gdyby  dodatkowym efektem ubocznym tej regulacji (a konkretniej, jej art. 45) było wprowadzenie technicznej infrastruktury cenzury.

Wynika to z faktu, że  kwestia wprowadzona w art. 45 („Kwalifikowane certyfikaty uwierzytelniania witryn internetowych”) jest bardzo delikatna, w zakresie praw gwarantujących wolność słowa, bezpieczeństwo i prywatność. Należy ponownie ocenić ryzyko związane z cenzurą techniczną, aby uniknąć  wprowadzenia infrastruktury certyfikatów, które zagrażałyby podstawowym prawom i wolnościom.

W szczególności szkoda by było, gdyby UE wdrożyła system certyfikatów w stylu kazachskim, czyli wspierającym techniczne możliwości cenzury pod pozorem cyberbezpieczeństwa.

Oczywiste jest również, że wprowadzenie takich obowiązkowych certyfikatów może zagrozić bezpieczeństwu sieci. Można sobie wyobrazić, że producenci przeglądarek internetowych aktywnie walczyliby z wprowadzeniem takich możliwości.

Posłowie do Parlamentu Europejskiego powinni zastanowić się, czy chcą legislacji potencjalnie wprowadzającej takie rozwiązania.

Należy przede wszystkim zastanowić się, czy taki system jest zgodny z wartościami europejskimi, chyba że chodzi o zgodność z... innymi zestawami wartości, tymi wyznawanymi w różnych innych krajach, w innym położeniu geograficznym...

Posłowie do PE powinni następnie podjąć odpowiednią decyzję, biorąc pod uwagę swoje priorytety oraz priorytety obywateli Europy.

Na szczęście rozwiązanie jest proste: artykuł 45 powinien uwzględniać, że jest to opcja opt-in,  dobrowolna, bez konieczności rozpoznawania takich certyfikatów z poziomu przeglądarki internetowej.

Alternatywą jest całkowite skreślenie art. 45: w obecnym kształcie bierze on pod uwagę sposoby  myślenia o cyberbezpieczeństwie z lat 2000, podczas gdy dziś mamy lata 2020, inne myślenie, ewolucję standardów.

Podstawowym założeniem jest to, że jeśli zagrożone są standardy bezpieczeństwa web, prywatność i ochrona danych nie mogą  zagwarantowane w żaden  sposób.

Całość opinii tutaj.