Dokument gwarancji strukturalnych

Ramy Suwerenności i Zaufania

Karta Neutralności określa, czego nie będziemy robić. Ramy wyjaśniają, dlaczego strukturalnie nie możemy tego robić.

Opublikowane przez AGPT Ltd. Obowiązują od daty uruchomienia Platformy.

Cel

Niniejszy dokument odpowiada na uzasadnioną troskę: gdy Platforma publikuje indeksy legitymności urzędników sprawujących władzę publiczną we wszystkich 27 państwach UE, rządy i instytucje muszą mieć pewność, że Platforma nie może być użyta jako narzędzie zagranicznego wpływu, że dane obywateli pozostają pod suwerenną kontrolą, oraz że żaden podmiot — w tym operator Platformy — nie może manipulować wynikami.

1. Suwerenność Danych

Gdzie są przechowywane dane obywateli, jak są separowane i czego operator nigdy nie przechowuje.

1.1

Jurysdykcyjne przechowywanie danych

Dane obywateli z każdego kraju są przechowywane na serwerach na terytorium tego kraju, gdzie jest to możliwe. Gdzie infrastruktura krajowa nie spełnia jeszcze wymogów Platformy, dane są przechowywane w UE w infrastrukturze właściwej dla danej jurysdykcji. W żadnym przypadku dane obywateli nie są przekazywane poza UE.

1.2

Krajowa autonomia danych

Dane każdego kraju istnieją w niezależnej infrastrukturze — nie logicznie podzielone w ramach wspólnego systemu, lecz niezależnie wdrożone. Incydent bezpieczeństwa dotykający infrastrukturę jednego kraju nie naraża danych żadnego innego kraju. Transgraniczne pobieranie danych jest architektonicznie niemożliwe.

1.3

Brak scentralizowanej bazy danych osobowych

Nie istnieje centralna baza danych zawierająca identyfikowalne informacje o obywatelach z wielu krajów. AGPT Ltd zarządza Platformą, ale nie agreguje danych osobowych ponad jurysdykcjami. Jedyne dane transgraniczne to publiczne indeksy zagregowane — publiczne z założenia.

1.4

Minimalizacja danych

Platforma nie zbiera imion, numerów dokumentów, adresów ani żadnych identyfikatorów osobowych. Jedynym powiązaniem między obywatelem a jego kontem jest jednokierunkowy skrót kryptograficzny (SHA-256 z rotującym saltem sezonowym) uzyskany z weryfikacji eID. Skrótu tego nie można odwrócić, by zidentyfikować osobę.

2. Ograniczenia Operatora

Czego AGPT Ltd — operator Platformy — strukturalnie nie może robić.

2.1

Operator nie może identyfikować obywateli

AGPT Ltd nie ma dostępu do procesu weryfikacji tożsamości w sposób ujawniający, kim jest obywatel. Konwersja eID na skrót następuje na granicy uwierzytelniania. Do systemu wchodzi odcisk palca, nie osoba.

2.2

Operator nie może zmieniać indeksów

Indeksy legitymności są obliczane automatycznie ze zagregowanych osądów obywatelskich według opublikowanych formuł. Nie istnieje interfejs administracyjny do ręcznej zmiany wartości indeksu. Potok obliczeniowy jest deterministyczny: przy tych samych danych wejściowych zawsze daje ten sam wynik. Egzekwowane architektonicznie, nie przez politykę.

2.3

Operator nie ma dostępu do indywidualnych osądów

System przechowuje wyłącznie aktualny stan osądu każdego konta wobec każdego urzędnika (zaufanie, nieufność lub neutralność). Stany te są anonimowe i nie mogą być powiązane z osobą. Nie istnieje mechanizm zapytania „jak obywatel X ocenił urzędnika Y" — model danych tego nie obsługuje.

2.4

Operator nie może selektywnie tłumić ani wzmacniać

Zasady publikacji są jednolite: każdy urzędnik na każdym poziomie podlega tym samym progom, tym samym obliczeniom przedziałów ufności i tym samym mechanizmom wykrywania anomalii. Nie istnieje konfiguracja per-urzędnik, która mogłaby opóźnić publikację lub odmiennie traktować konkretną osobę.

3. Weryfikowalność Algorytmiczna

Jak każdy może zweryfikować poprawność obliczeń.

3.1

Opublikowana metodologia

Pełna metodologia obliczania indeksów jest opublikowana w White Paper i podsumowana na każdej krajowej Platformie. Obejmuje: formułę, metodę przedziałów ufności, progi publikacji, zasady zaokrąglania i kryteria oznaczania anomalii. Każdy dysponujący zagregowanymi danymi wejściowymi może niezależnie zweryfikować dane wyjściowe.

3.2

Niezależne audyty

AGPT Ltd zobowiązuje się do regularnych niezależnych audytów przez zewnętrzne organizacje w zakresie: bezpieczeństwa (roczne testy penetracyjne), metodologii (przegląd akademicki), prywatności (przegląd architektury ochrony danych) i zgodności (przegląd prawny zgodności z RODO). Wyniki audytów są publikowane.

3.3

Dziennik Platformy jako rejestr zmian

Każda zmiana algorytmu, progów publikacji lub parametrów operacyjnych jest dokumentowana w Dzienniku Platformy (teisond.com/journal) przed wejściem w życie. Dziennik jest publicznym, wersjonowanym, stałym rejestrem. Żadnych cichych aktualizacji.

4. Gwarancje Niezależności

4.1

Brak finansowania rządowego

AGPT Ltd nie otrzymuje finansowania od żadnego rządu, organizacji międzyrządowej ani podmiotu powiązanego z państwem. Dotyczy to wszystkich jurysdykcji, w których Platforma działa.

4.2

Brak dostępu rządowego do danych

Żaden rząd nie ma uprzywilejowanego dostępu do danych Platformy poza tym, co jest publicznie dostępne. Wnioski organów ścigania są rozpatrywane w ramach standardowych procedur prawnych (nakazy sądowe) w odpowiedniej jurysdykcji, i tylko w zakresie technicznie możliwym — co jest ograniczone, biorąc pod uwagę, że Platforma nie przechowuje identyfikowalnych danych osobowych.

4.3

Brak wyłącznika awaryjnego

Architektura Platformy nie posiada żadnego mechanizmu, dzięki któremu pojedynczy podmiot (w tym kierownictwo AGPT Ltd) mógłby zamknąć, zawiesić lub istotnie zmodyfikować wdrożenie krajowe bez udokumentowanego procesu. Procedury awaryjne istnieją w przypadku incydentów bezpieczeństwa, ale są rejestrowane, podlegają audytowi i są ujawniane w Dzienniku Platformy.

4.4

Niezależność przychodów

Przychody Platformy pochodzą ze stałych subskrypcji urzędników i instytucji. Opłaty subskrypcyjne są stałe według poziomu władzy (1,90 €–19,90 €/mies. dla urzędników; 49 €/mies. za dostęp do danych), jednolite we wszystkich 27 państwach UE i nie zależą od wartości indeksu. Subskrypcja kupuje głębię analizy — nie wpływa na wyniki.

4.5

Strukturalna odporność

Gdyby AGPT Ltd przestało funkcjonować, metodologia (opublikowana w White Paper), architektura kodu źródłowego (udokumentowana) i zagregowane dane (publiczne) istnieją niezależnie od spółki. Platforma jest zaprojektowana tak, by publiczne wyniki mogły być weryfikowane, replikowane lub kontynuowane przez innego operatora przy użyciu tej samej opublikowanej metodologii.

Ścieżka własności

Platforma jest zaprojektowana tak, by przejść od kontroli operatora do własności obywatelskiej. To nie przyszła obietnica — to aktualne zobowiązanie architektoniczne. Infrastruktura budowana dziś jest budowana po to, by zostać przekazana. Harmonogram, mechanizm i ścieżka zarządzania są udokumentowane w White Paper (Sekcja 9).

Czego Ramy Nie Gwarantują

Żadna architektura techniczna nie eliminuje wszystkich ryzyk. Ramy są uczciwe wobec ograniczeń.

Skoordynowane kampanie prawdziwych, zweryfikowanych obywateli są możliwe. Platforma je wykrywa i oznacza, ale nie może zapobiec organizowaniu się obywateli.

Rządy mogą próbować wywierać presję prawną przez lokalne sądy. AGPT Ltd działa pod prawem brytyjskim i utrzymuje rezerwy prawne na przypadki jurysdykcyjnych wyzwań.

Platforma jest uzależniona od infrastruktury eID zarządzanej przez rządy krajowe. Jeśli rząd zdegraduje własny system eID, jakość weryfikacji w tym kraju może zostać dotknięta.

To realne ryzyka. Celem Ram nie jest twierdzenie o doskonałości, lecz gwarancja, że operator Platformy nigdy nie będzie źródłem problemu.

Ramy Suwerenności i Zaufania są stałym dokumentem publicznym. Wszelkie zmiany są publikowane w Dzienniku Platformy z pełnym uzasadnieniem przed wejściem w życie. Poprzednie wersje pozostają w archiwum publicznym.

AGPT Ltd — Advanced Global Polling Technology Ltd, United Kingdom · teisond.com