Członek Izby Lordów wyraził obawy, że dane rządu Wielkiej Brytanii, w tym kartoteki pacjentów NHS, są przechowywane w zagranicznych jurysdykcjach bez odpowiednich zabezpieczeń cybernetycznych, nazywając tę praktykę „nieakceptowalną” w miarę jak rząd rozwija plany dobrowolnego systemu tożsamości cyfrowej.
Baronessa Manzila Uddin, współprzewodnicząca Międzyparlamentarnej Grupy Parlamentarnej ds. Zdecentralizowanej Tożsamości Cyfrowej, stwierdziła w wywiadzie dla Yellow.com, że krytyczne dane rządowe są zlecane do Stanów Zjednoczonych i Rumunii bez gwarancji, że będą one nadal podlegały brytyjskim standardom ochrony danych.
„Dużo danych pacjentów GP trafia do Ameryki. I myślę, że to jest nieakceptowalne,” powiedziała baronessa Uddin. „Wiem, że Arabia Saudyjska, ZEA, Singapur i niektóre inne kraje w Afryce zapewniły, że dane i wszystkie informacje pozostają lokalnie w ich własnej chmurze narodowej. Chciałabym mieć pewność co do tego i myślę, że w tej chwili nie jesteśmy w stanie tego zagwarantować.”
Baronessa powołała się konkretnie na infrastrukturę Gov.UK jako zlecaną bez wystarczającego nadzoru.
„Jeśli główne źródło zbierania danych rządowych, Gov.UK, jest eksploatowane gdzie indziej, powiedzmy, zlecone na zewnątrz, a my nie mamy żadnych kontroli i równowagi oraz obowiązków dotyczących odporności cyberbezpieczeństwa, ochrony danych jak tutaj, myślę, że to budzi niepokój,” powiedziała.
Wspomniała Rumunię jako jedno z miejsc, gdzie przechowywane są dane rządowe Wielkiej Brytanii, zadając pytanie, czy względy kosztów przesłaniają priorytety bezpieczeństwa.
„Jeśli wszyscy obywatele są klientami rządu, gov.uk, to dlaczego jest to w Rumunii? Czy to po prostu dlatego, że zaoferowali najniższą kwotę pieniędzy za prowadzenie kontraktu? I na te pytania musimy sobie odpowiedzieć.”
Komentarze pojawiły się w momencie, gdy rząd Wielkiej Brytanii forsuje propozycje dobrowolnego systemu tożsamości cyfrowej, który spotkał się z publicznym sceptycyzmem, odkąd poprzednia próba rządu laburzystów w 2008 roku została odrzucona.
Baronessa Uddin zauważyła, że sprzeciw wobec obowiązkowych systemów identyfikacji pozostaje silny w Wielkiej Brytanii.
„Jak wiesz, myślę, że to było w 2008 roku, rząd laburzystowski próbował wdrożyć cyfrowe ID i kontekst był bardzo jasny, że nasza publiczność nie poparła tego,” powiedziała.
Wyraziła obawy, że obecny wniosek jest wdrażany stopniowo, a nie poprzez przejrzyste konsultacje publiczne.
„Wiem, że robi to prawie tylnymi drzwiami. Na przykład propozycja jest taka, że wszystkie nasze prawa jazdy będą cyfrowym śladem. Być może później pojawi się propozycja, aby kolejne zestawy paszportów były takie same.”
Baronessa podkreśliła, że osobiście nie ma nic przeciwko systemom identyfikacji cyfrowej, ale wymaga przejrzystości w zakresie obsługi danych.
„Jako osoba, która jest współprzewodniczącą parlamentarnej grupy ds. tożsamości cyfrowej, nie mam problemu z posiadaniem ID. Mamy ID dla tak wielu aspektów naszego życia teraz. Myślę, że moim zaniepokojeniem, i myślę, że istnieje wiele obaw na poziomie publicznym, jest to, gdzie te dane trafiają?”
Baronessa Uddin wspomniała o ostatnim osobistym doświadczeniu, które ilustrowało szersze podatności na zagrożenia cybernetyczne w usługach finansowych.
„Zaraz po tym, jak mój członek rodziny zakończył rozmowę z Amex, na przykład, natychmiast zadzwonił ktoś inny, twierdząc, że jest z Amex i znał wszystkie informacje, a to powinno być bezpieczne środowisko, w którym rozmawiasz o interakcjach finansowych,” powiedziała, sugerując, że duże korporacje nie mają wystarczających zabezpieczeń przed naruszeniami danych i oszustwami.
Argumentowała, że ani duże korporacje, ani lokalne podmioty samorządowe nie dysponują wystarczającymi zasobami, aby chronić przed zaawansowanymi złymi aktorami.
„Czy to rachunek za energię, czy to rząd lokalny, nie ma po prostu wystarczającej zachęty finansowej ani środków, aby uchronić się przed tymi bardzo, bardzo złymi aktorami, którzy oszukują,” powiedziała.
Znaczną część obaw baronessy Uddin skoncentrowano na cyfrowym wykluczeniu i niewystarczającej edukacji publicznej na temat praw dotyczących danych.
Zauważyła, że około milion brytyjskich gospodarstw domowych nie ma dostępu do internetu i smartfonów, co naraża je na wykluczenie z usług cyfrowych.
„Kiedy pojawia się wykluczenie, mówimy tylko o wykluczeniu, aby można było argumentować, że musimy mieć większy zasięg włączania ludzi w ten wir dobrowolnego zbierania danych,” powiedziała, sugerując, że zabieg wykluczenia cyfrowego jest używany jako uzasadnienie do rozszerzania zbierania danych, zamiast chronić wrażliwe populacje.
Podkreśliła potrzebę kompleksowej edukacji cyfrowej, która rozpoczyna się już w dzieciństwie.
„W wielu krajach, takich jak Japonia i inne, dzieci uczą się bardzo wcześnie, jak chronić się w sieci. I myślę, że to coś bardzo krytycznego, nie tylko edukacja naszych członków parlamentu, ale członków, którzy nie są w tej dziedzinie, ponieważ wszyscy ci przedsiębiorcy i firmy zarabiają na naszych nieświadomych praktykach,” powiedziała.
Baronessa przytoczyła niedawne doświadczenie z Międzyparlamentarnej Grupy Parlamentarnej ds. Dzieci, gdzie młodzi ludzie wykazali się wyrafinowanym zrozumieniem zagrożeń cyfrowych.
„Mieliśmy dzieci przychodzące tutaj, działające w swojej roli jako parlamentarzyści, zadające pytania ekspertom. I to były bardzo wnikliwe pytania, są one dużo bardziej świadome niż nasze pokolenie czy być może nawet twoje pokolenie. Więc chęć do nauki jest tam.”
Baronessa Uddin argumentowała, że obecne ramy regulacyjne nie nadążają za postępem technologicznym.
„Jak tylko zabezpieczysz jedną strukturę, pojawi się kolejna i będzie ona poza naszą kontrolą. Musi być bardzo płynna, cała nasza legislacja musi być bardzo płynna, aby sprostać wymaganiom zaawansowanej technologii.”
Zauważyła, że istniejące przepisy, w tym GDPR, nie zapobiegały nadmiernemu zbieraniu danych ani nieautoryzowanej sprzedaży danych.
„Obecnie wiele instytucji, w tym instytucje zarządzające i organizacje sektora prywatnego, prosi o nadmierne dane. I to nie jest konieczne. Obawiam się, że gdy zbieramy taką ilość szczegółów, kto to hostuje? Gdzie jest to przechowywane? Kto to monitoruje?
Kto to śledzi? I czy trafi to na ciemny internet i kiedyś zostanie użyte przeciwko nam jako obywatelom?” zapytała.
Baronessa stwierdziła, że organizacje mogą obecnie kupować dane obywateli od lokalnych rządów bez wystarczających ograniczeń.
„Ludzie mogą kupować od lokalnego rządu całą masę naszych danych, mogą to zrobić. Ponieważ obecnie nie ma ograniczeń. Więc GDPR oczywiście ma pewne granice, ale ludzie nadal zbierają i eksploatują nasze dane dla swojego dobra,” powiedziała.
Zapytana o zdecentralizowane systemy tożsamości oparte na technologii blockchain, baronessa Uddin wyraziła poparcie dla podejść, które dają obywatelom kontrolę nad ich własnymi danymi.
„Obietnica nowej technologii cyfrowej, w tym Web3 i AI i wszystkiego tego, polega na tym, że będziemy mieli demokratyczny system wymiany informacji, dzięki któremu to staną się nasze własne prywatne źródła informacji i my jako jednostka zdecydujemy, czy chcemy dać dostęp, czy nie,” powiedziała.
Jednak podkreśliła, że każdy system musi priorytetowo traktować suwerenność danych obywateli.
„Jeśli będziemy kontynuować ten trend, gdzie są moje dane? Kto je posiada? Dlaczego nie są oni odpowiedzialni? Dlaczego je sprzedają ludziom, którzy mogą je kupić?”
Argumentowała, że rozwiązania blockchain mogą stanowić alternatywę dla obecnych modeli zlecanego przechowywania danych.
„Obietnica nowo powstającej technologii to demokratyzacja informacji, dzięki czemu mamy dużo więcej do powiedzenia, jak informacje o nas są przechowywane, wysyłane, przekazywane, cokolwiek. To musi być główna, jedna z głównych zasadniczych zobowiązań rządu,” powiedziała.
Baronessa Uddin wyraziła preferencje dotyczące dostosowywania standardów danych Wielkiej Brytanii do Unii Europejskiej, a nie Stanów Zjednoczonych.
„Wiem, że toczą się dyskusje na temat tego, z kim się dostosowujemy, i bardzo wolałabym, abyśmy dostosowali się do UE, ponieważ to są nasi sąsiedzi, to są nasze granice,” powiedziała.
Wyraziła obawy dotyczące rosnącej zależności od amerykańskich firm technologicznych dla krytycznej infrastruktury.
„Przypuszczam, że musimy upewnić się, że nie idziemy do USA po wszystko. Tylko dlatego, że są naszymi specjalnymi partnerami i mamy obowiązek robić ABC, cokolwiek. Niedawno pojawiły się rozmowy o tym, że konkretna duża koroporacja przejmuje nasze bezpieczeństwo. Bardzo mnie to niepokoi,” dodała.
Baronessa argumentowała, że utrzymanie suwerenności danych w Wielkiej Brytanii jest kluczowe dla zachowania reputacji kraju jako bezpiecznego centrum finansowego.
„Chcę, aby odpływ mózgów powrócił tutaj i aby upewnić się, że cokolwiek będziemy robić w odniesieniu do tego, czy tożsamości cyfrowej, czy jest suwerenna, cyfrowo suwerenna dla Wielkiej Brytanii, to dla mnie jest naprawdę krytyczne. Jeśli jest ona cyfrowo suwerenna w Wielkiej Brytanii, to będzie ona cyfrowo suwerenna dla jednostki, ponieważ szanujemy prawa jednostki,” powiedziała.
Zapytana o twierdzenia, że systemy tożsamości cyfrowej przyspieszyłyby wzrost gospodarczy, baronessa Uddin wyraziła sceptycyzm.
„Nie sądzę, że udowodniono to,” powiedziała. „Wiem, że niektórzy z interesariuszy mają doświadczenie. Szwecja była podawana jako przykład dobrych praktyk, Utah, Wyoming. Ale nie sądzę, żebyśmy mieli coś dotychczas w Wielkiej Brytanii, żeby wykazać albo wzrost gospodarczy, albo przypadek użycia jako pozytywny zysk dla zwykłych obywateli. Myślę, że duże korporacje nadal czerpią korzyści.”
Baronessa Uddin zakwestionowała, czy rząd jest w stanie wdrożyć systemy tożsamości cyfrowej przy obecnym poziomie braku zaufania publicznego.
„W obowiązującym zakresie publicznego braku zaufania do rządu, jak wiesz, rząd stoi w obliczu ogromnej ilości krytyki z różnymi politykami. Więc nie wiem, czy możemy rzeczywiście uzyskać zaufanie publiczne. Tak więc w świetle tego, nie wiem, jak sobie poradzą." There is not clear indication of how they intend to win over public confidence and trust for a digital ID."
Nie ma jasnych wskazówek, jak zamierzają zdobyć zaufanie i pewność publiczną w zakresie cyfrowej tożsamości.
She warned against implementing systems through emergency measures as occurred during COVID-19.
Ostrzegła przed wprowadzaniem systemów za pomocą środków nadzwyczajnych, jak miało to miejsce podczas COVID-19.
"I think that public feel that they are forced to give out as much information as possible because people think, if I've got nothing to hide, nothing to lose.
"Myślę, że społeczeństwo odczuwa, że jest zmuszane do ujawniania jak największej ilości informacji, ponieważ ludzie myślą, jeśli nie mam nic do ukrycia, nie mam nic do stracenia.
But that's not the case because the information you're giving becomes somebody else's asset."
Ale tak nie jest, ponieważ informacje, które przekazujesz, stają się zasobem kogoś innego."
The Baroness concluded by emphasizing the need for trust-based regulatory frameworks.
Baronessa zakończyła, podkreślając potrzebę regulacyjnych ram opartych na zaufaniu.
"Everything that we're doing about any proposed regulatory framework has to be based on trust and confidence.
"Wszystko, co robimy w związku z jakąkolwiek proponowaną ramą regulacyjną, musi być oparte na zaufaniu i pewności.
That goes without saying, and I think that's where the problem lies."
To nie ulega wątpliwości, i myślę, że tu leży problem."
She called for establishing standards that protect individual rights while allowing technological innovation.
Wezwała do ustanowienia standardów, które chronią prawa jednostki, jednocześnie pozwalając na innowacje technologiczne.
"If we are going to have a digital ID, we have to have a legacy of trust and confidence and then making sure that the framework is flexible enough for people to come and work with us."
"Jeśli mamy mieć cyfrową tożsamość, musimy mieć dziedzictwo zaufania i pewności, a następnie upewnić się, że ramy są na tyle elastyczne, by ludzie mogli z nami współpracować."
Baroness Uddin stated that the UK's regulatory reputation could set global benchmarks if data sovereignty is prioritized.
Baronessa Uddin stwierdziła, że reputacja regulacyjna Wielkiej Brytanii może ustanowić globalne standardy, jeśli priorytetem stanie się suwerenność danych.
"I think we can set a great benchmark for others to follow, including the US.
"Myślę, że możemy ustanowić wspaniały standard, który inni mogą naśladować, w tym USA.
I think we have a sufficient amount of credibility and so many institutions came out of Britain that are now operating in Dubai and Singapore and the US,” she said.
Myślę, że mamy wystarczającą wiarygodność, a tak wiele instytucji wywodzących się z Wielkiej Brytanii działa teraz w Dubaju, Singapurze i USA," powiedziała.