29 grudnia w Biuletynie Informacji Publicznej Ministerstwa Cyfryzacji została podana informacja o udostępnieniu kodu źródłowego aplikacji mObywatel – stanowiącej pewną formę dostępu do danych obywatela za pomocą smartfona czy aplikacji w przeglądarce – w tym przypadku mowa o kodzie aplikacji mobilnej na systemy Android i iOS. Obawy o inwigilację obywateli mogą być naturalne, stąd wiadomość o udostępnieniu kodu powinna wydawać się zdecydowanie pozytywna. No właśnie, „wydawać się”.
Kod dostępny jest pod adresem https://www.mobywatel.gov.pl/kod-zrodlowy-mobywatel-mobilny. Wymagane jest logowanie Profilem Zaufanym, co ogranicza możliwość zapoznania się z kodem do części osób. Ciężko określić takie działanie „udostępnieniem”, ale ma wynikać to z opinii CSIRT MON:
Dostęp do udostępnionej części kodu źródłowego aplikacji mObywatel jest możliwy po potwierdzeniu tożsamości jedną z wybranych metod. Wymóg ten wynika z rekomendacji zawartych w opinii CSIRT MON, dotyczących zapewnienia kryterium rozliczalności użytkowników.
Problem dodatkowo w tym, że nie udostępniono całości kodu, a wyłącznie część „frontend” – nie jest to więc żadna logika biznesowa wymagająca szczególnej ochrony, gdzie przynajmniej częściowo można ograniczyć wrażliwe części (z wyjaśnieniem powodu). Tę opinię, ale też fakt braku wywiązywania się z zobowiązań, podziela większość osób, co widać pod postem (jak również w cytatach) ministerstwa w serwisie X.
Oczywiście zastosowana forma udostępnienia kodu jest daleka od branżowych standardów, czyli wykorzystania repozytorium Git. Strona zawierająca kod posiada „zabezpieczenia” przed kopiowaniem, ale nie stanowią one przeszkód – kod został już przesłany do niejednego publicznego repozytorium i jest dostępny przykładowo w tym miejscu: https://github.com/fajfer/mObywatel.
Chętnie zapoznałbym się także z code review udostępnionego kodu (na pewno powstanie takie opracowanie), ale raczej nie można spodziewać się zbyt wielu pochwał na jego temat.
Cyfryzacja wszelkich „kwestii urzędowych” rzecz jasna zasługuje na docenienie i wiadomo, że Polska na tle innych państw szeroko rozwinęła te usługi. Zagrożenie jest w tym, że niedługo posiadanie mObywatela może stać się „obowiązkiem” – na zasadzie: Nie posiadasz e-dowodu? Nie zasługujesz w wyborach itd. Miejmy nadzieję, że ten scenariusz pozostanie w wyobraźni, a nie stanie się rzeczywistością, chociaż przykładowo w Wielkiej Brytanii z digital ID nie jest to oczywiste.
Większe obawy są związane z inwigilacją. Biorąc pod uwagę, że mObywatel posiada dostęp do lokalizacji, można „profilować” konkretnego obywatela. Bez kodu źródłowego części backend nie jesteśmy w stanie (pomijając takie wyjaśnienia ministerstwa) jednoznacznie stwierdzić, co ta aplikacja zbiera i gdzie trafiają nasze informacje.
Widoczna jest też „bylejakość” państwa, która przejawia się w nawet w kwestii udostępnienia kodu. To brak szacunku do obywateli, którzy oczekiwali udostępniania kodu – dostali co prawda jego nieistotną część, ale za to udostępnioną w niewygodny i ograniczony sposób. Nie może tak to wyglądać.
