Dokument gwarancji strukturalnych

Ramy suwerenności i zaufania

Karta neutralności określa, czego nie zrobimy. Niniejsze Ramy wyjaśniają, dlaczego strukturalnie nie możemy tego zrobić.

Opublikowane przez AGPT Ltd. Obowiązują od dnia uruchomienia Platformy.

Cel

Niniejszy dokument odpowiada na uzasadnioną troskę: gdy Platforma publikuje wskaźniki legitymizacji urzędników sprawujących władzę publiczną w 27 państwach UE, rządy i instytucje potrzebują pewności, że Platforma nie może być użyta jako instrument obcych wpływów, że dane obywateli pozostają pod suwerenną kontrolą i że żaden podmiot – w tym operator Platformy – nie może manipulować wynikami.

1. Suwerenność danych

Gdzie przechowywane są dane obywateli, jak są separowane i czego operator nigdy nie przechowuje.

1.1

Jurysdykcyjna rezydencja danych

Dane obywateli każdego kraju są przechowywane na serwerach na terytorium tego kraju wszędzie tam, gdzie jest to możliwe. Gdzie krajowa infrastruktura nie spełnia jeszcze wymogów bezpieczeństwa, czasu pracy i zgodności Platformy, dane są przechowywane w UE w infrastrukturze właściwej dla danej jurysdykcji. W żadnym przypadku dane obywateli nie są transferowane poza UE.

1.2

Krajowa niezależność danych

Dane każdego kraju istnieją we własnej, niezależnej infrastrukturze. Bazy danych są całkowicie odseparowane – nie partycjonowane logicznie w ramach wspólnego systemu, lecz wdrożone niezależnie. Incydent bezpieczeństwa dotyczący infrastruktury jednego kraju nie ujawnia danych żadnego innego kraju. Transgraniczne zapytania o dane są architektonicznie niemożliwe.

1.3

Brak scentralizowanego zasobu danych osobowych

Nie istnieje centralna baza danych zawierająca możliwe do zidentyfikowania informacje o obywatelach z wielu krajów. AGPT Ltd zarządza Platformą, ale nie agreguje danych osobowych między jurysdykcjami. Jedyne dane transgraniczne to publikowane zagregowane wskaźniki – które są publiczne z założenia.

1.4

Minimalizacja danych

Platforma nie zbiera imion, numerów dokumentów, adresów ani żadnych identyfikatorów osobowych. Jedynym powiązaniem między obywatelem a jego kontem jest jednokierunkowy skrót kryptograficzny (SHA-256 z sezonowym solą) wyprowadzony z weryfikacji eID. Tego skrótu nie można odwrócić, aby zidentyfikować osobę.

2. Ograniczenia operatora

Czego AGPT Ltd – operator Platformy – jest strukturalnie niezdolna robić.

2.1

Operator nie może identyfikować obywateli

AGPT Ltd nie ma dostępu do procesu weryfikacji tożsamości w sposób, który ujawniałby, kim jest jakikolwiek obywatel. Konwersja z eID na skrót odbywa się na granicy uwierzytelnienia. Do systemu trafia odcisk, nie osoba.

2.2

Operator nie może modyfikować wskaźników

Wskaźniki legitymizacji są obliczane automatycznie na podstawie zagregowanych obywatelskich osądów według opublikowanych formuł. Nie istnieje interfejs administracyjny do ręcznej zmiany wartości wskaźnika. Potok obliczeniowy jest deterministyczny: przy tych samych danych wejściowych zawsze daje te same wyniki. Jest to wymuszone architektonicznie, nie przez politykę.

2.3

Operator nie może uzyskać dostępu do indywidualnych osądów

System przechowuje wyłącznie aktualny stan osądu każdego konta wobec każdego urzędnika (zaufanie, nieufność lub neutralność). Te stany są anonimowe i nie można ich powiązać z osobą. Nie istnieje mechanizm zapytania „jak obywatel X ocenił urzędnika Y" – model danych tego nie obsługuje.

2.4

Operator nie może selektywnie tłumić ani wzmacniać

Reguły publikacji są jednolite: każdy urzędnik na każdym szczeblu podlega tym samym progom, tym samym obliczeniom przedziałów ufności, tej samej detekcji anomalii. Nie istnieje konfiguracja per-urzędnik, która mogłaby być użyta do opóźnienia publikacji, podniesienia progów lub innego traktowania jakiegokolwiek urzędnika w odmienny sposób.

3. Weryfikowalność algorytmiczna

Jak każdy może zweryfikować, że liczby są obliczane poprawnie.

3.1

Opublikowana metodologia

Kompletna metodologia obliczania wskaźnika jest opublikowana w White Paper i podsumowana na każdej krajowej Platformie. Obejmuje to: formułę, metodę przedziału ufności, progi publikacji, reguły zaokrąglania i kryteria oznaczania anomalii. Każdy dysponujący zagregowanymi danymi wejściowymi może niezależnie zweryfikować wynik.

3.2

Niezależne audyty

AGPT Ltd zobowiązuje się do periodycznych niezależnych audytów przez organizacje zewnętrzne, obejmujących: bezpieczeństwo (roczne testy penetracyjne), metodologię (przegląd akademicki), prywatność (przegląd architektury ochrony danych) i zgodność (prawny przegląd przestrzegania RODO). Wyniki audytów są publikowane.

3.3

Journal platformy jako dziennik zmian

Każda zmiana algorytmu, progów publikacji lub parametrów operacyjnych jest dokumentowana w Journalu platformy (teisond.com/journal) przed wejściem w życie. Journal jest publicznym, wersjonowanym, trwałym rejestrem. Nie istnieją ciche aktualizacje.

4. Gwarancje niezależności

4.1

Żadnego finansowania rządowego

AGPT Ltd nie otrzymuje finansowania od żadnego rządu, organizacji międzyrządowej ani podmiotu powiązanego z państwem. Dotyczy to wszystkich jurysdykcji, w których działa Platforma.

4.2

Żadnego rządowego dostępu do danych

Żaden rząd nie ma uprzywilejowanego dostępu do danych Platformy wykraczającego poza to, co jest publicznie dostępne. Wnioski organów ścigania są rozpatrywane przez standardowe procesy prawne (nakazy sądowe) w odpowiedniej jurysdykcji i wyłącznie w zakresie technicznie możliwym – który jest ograniczony, zważywszy że Platforma nie przechowuje możliwych do zidentyfikowania danych osobowych.

4.3

Żadnego wyłącznika awaryjnego

Architektura Platformy nie posiada mechanizmu umożliwiającego pojedynczemu podmiotowi (w tym kierownictwu AGPT Ltd) zamknięcie, zawieszenie lub istotną zmianę wdrożenia w danym kraju bez udokumentowanego procesu. Procedury awaryjne istnieją dla incydentów bezpieczeństwa, ale są rejestrowane, audytowalne i ujawniane w Journalu platformy.

4.4

Niezależność przychodów

Przychody Platformy pochodzą z subskrypcji po stałej cenie, opłacanych przez urzędników i instytucje. Opłaty subskrypcyjne są ustalane według szczebla władzy (1,90 €–19,90 €/mies.), jednolite we wszystkich 27 krajach UE i nie zależą od wartości wskaźnika. Subskrypcja kupuje głębię analizy, nie wpływ na wyniki.

4.5

Odporność strukturalna

Jeśli AGPT Ltd zaprzestanie działalności, metodologia (opublikowana w White Paper), architektura kodu źródłowego (udokumentowana) i zagregowane dane (publiczne) istnieją niezależnie od spółki. Platforma jest zaprojektowana tak, aby jej publiczne wyniki mogły być weryfikowane, replikowane lub kontynuowane przez innego operatora przy użyciu tej samej opublikowanej metodologii.

Trajektoria własności

Platforma jest zaprojektowana tak, aby przejść z kontroli operatora do własności obywatelskiej. To nie jest obietnica na przyszłość – to bieżące zobowiązanie architektoniczne. Infrastruktura budowana dziś jest budowana po to, by ją przekazać. Harmonogram, mechanizm i ścieżka zarządzania są udokumentowane w White Paper (Sekcja 9).

Czego te Ramy nie gwarantują

Żadna architektura techniczna nie eliminuje wszystkich ryzyk. Niniejsze Ramy są uczciwe wobec ograniczeń.

Skoordynowane kampanie prawdziwych, zweryfikowanych obywateli są możliwe. Platforma wykrywa je i oznacza, ale nie może zapobiec organizowaniu się obywateli.

Rządy mogą próbować wywierać presję prawną za pośrednictwem lokalnych sądów. AGPT Ltd działa na podstawie prawa Wielkiej Brytanii i utrzymuje rezerwy prawne na wypadek kwestionowania jurysdykcji.

Platforma zależy od infrastruktury eID zarządzanej przez rządy krajowe. Jeśli rząd zdegraduje własny system eID, jakość weryfikacji w tym kraju może być dotknięta.

To są realne ryzyka. Celem Ram nie jest twierdzenie o doskonałości, lecz zapewnienie, że operator Platformy nigdy nie będzie źródłem problemu.

Ramy suwerenności i zaufania są trwałym dokumentem publicznym. Wszelkie poprawki są publikowane w Journalu platformy z pełnym uzasadnieniem przed wejściem w życie. Poprzednie wersje pozostają w publicznym archiwum.

AGPT Ltd – Advanced Global Polling Technology Ltd, Wielka Brytania · teisond.com