Цифровизация ЕС: удобство или новый контроль

EDRi предупреждает: цифровые госуслуги ЕС могут незаметно превратить права в доступ по удостоверению, проверке и разрешению.

2026-05-29 GIGATAP Team #opsec
#EU#digital rights#privacy

Source: EDRi — https://edri.org/our-work/whats-behind-the-eus-digitalisation-push-surveillance-control-and-exclusion/

Что изменилось: EDRi спорит не с технологиями, а с их ролью#

EDRi не утверждает, что цифровые госуслуги вредны сами по себе. Тезис точнее: цифровизацию ЕС продают как эффективность, модернизацию и расширение возможностей граждан, но вместе с этим строят системы, которые могут сделать наблюдение, контроль и исключение нормой.

Разница принципиальная. Одно дело — более быстрый портал для получения социальной помощи. Другое — система, где личность, право на поддержку, перемещение и доступ к услугам зависят от совместимых цифровых удостоверений. В первом случае меняется интерфейс. Во втором — отношения человека с государством.

EDRi вписывает курс ЕС в более широкий глобальный тренд, который часто называют «Digital Welfare State». В такой модели государства используют цифровые инструменты, чтобы автоматизировать, прогнозировать, проверять и оптимизировать доступ к социальной защите. Обещание — скорость и административная ясность. Риск — сдвиг от заботы к подозрению: заявитель превращается в набор данных, который нужно оценить, проверить, аутентифицировать и иногда отфильтровать.

Источник ссылается на ранние международные примеры, включая цифровизацию соцподдержки, связанную с Aadhaar, как предупреждение. Опасение в том, что цифровизация может работать как троянский конь для политики экономии. Когда государство ставит цифровой слой между человеком и поставщиком услуги, отказ, задержку и наблюдение легче спрятать в устройстве процесса.

Именно об этом спор вокруг ЕС: не о том, должны ли госуслуги использовать технологии, а о том, станут ли цифровая идентичность, обмен данными и автоматическая проверка условиями для реализации прав.

«Расплывание компетенций» — юридический шов, за которым стоит следить#

Самый сильный институциональный аргумент EDRi касается власти. По договорам ЕС ключевые публичные услуги — здравоохранение, социальное обеспечение, образование — в основном остаются ответственностью государств-членов. У ЕС нет прямого мандата решать, как житель сельской Румынии попадет к врачу или как работник в Лиссабоне получит пособие по безработице.

По оценке EDRi, Комиссия продвигала цифровизацию более мягкими путями: через логику внутреннего рынка, трансграничную совместимость, административную координацию и условия финансирования. Здесь и появляется «competence creep» — постепенное расширение компетенций. Политику, которую трудно обосновать как прямой контроль над национальными системами соцобеспечения, можно представить как техническое согласование систем.

Но такая рамка не нейтральна. Стандарты совместимости формируют базы данных, потоки идентификации, правила аутентификации и институциональные настройки по умолчанию. Когда национальные системы перестраивают под эти стандарты, политический выбор оказывается встроен в инфраструктуру.

Финансирование тоже важно. EDRi указывает на механизмы вроде Recovery and Resilience Facility, где «цифровая трансформация» может быть привязана к финансовой поддержке. Это не значит, что каждый профинансированный цифровой проект злоупотребляет данными. Но это значит, что политическая дискуссия может начаться слишком поздно — уже после выбора архитектуры.

Для команд безопасности и оценки приватности это знакомая территория. Архитектура — это управление. Схема базы данных, поставщик идентификации, обязательный API или механизм отказа могут определять практические права сильнее, чем политический лозунг.

Временные системы часто остаются навсегда#

EDRi связывает нынешний курс и с периодом COVID-19. EU Digital COVID Certificate подавали как успешную координацию. Он действительно решал реальную трансграничную административную проблему во время кризиса. Но он также построил инфраструктуру континентального масштаба для проверки статуса здоровья и контроля передвижения в чрезвычайных условиях.

Вопрос не только в том, что сертификат делал тогда. Вопрос в том, что он сделал политически и технически мыслимым после.

По мнению EDRi, сертификат стал шаблоном для последующей инфраструктуры идентификации, включая EU Digital Identity Wallet. Инструмент, оправданный проверкой вакцинационного статуса в чрезвычайной ситуации, становится частью более широкой архитектуры, которая может связать водительские удостоверения, рецепты, банковские счета и другие учетные данные.

Эту закономерность стоит проверить до того, как принимать любую «временную» систему на веру. Управление в аварийном режиме сжимает надзор. Оно поощряет скорость. Оно трактует сопротивление как саботаж. Когда чрезвычайная ситуация проходит, инфраструктура остается, а обществу приходится объяснять, почему ее не нужно расширять.

Это не доказывает, что каждое последующее применение кошелька незаконно или неправомерно. Но показывает, почему важна история происхождения. Системам, построенным в кризис, часто не хватает согласия, проверки и ограничений, которых потребовали бы в обычном законодательном процессе.

Почему это важно для приватности и публичных прав#

Практический эффект концентрируется в нескольких зонах: идентичность, медицинские данные, право на соцподдержку, трудовая мобильность и контроль, близкий к пограничному.

EDRi выделяет не один единый закон о цифровизации, а несколько отраслевых проектов. Это важно. Риск не приходит в виде одной очевидной центральной базы данных с предупреждающей табличкой. Он приходит как набор пересекающихся систем, каждая из которых по отдельности выглядит практичной.

European Health Data Space должен поддерживать трансграничный обмен медицинскими записями. Польза понятна: доступ к лечению становится проще, когда люди пересекают границы. Риск находится в положениях о «вторичном использовании», где псевдонимизированные медицинские данные могут стать доступными для исследований и индустрии. Псевдонимизация снижает раскрытие, но это не полная анонимность. Медицинские данные остаются одной из самых чувствительных категорий персональной информации.

ESSPASS, European Social Security Pass, представлен как способ проверять права мобильных работников на социальное обеспечение. Удобство здесь тоже реально. Но переносимая цифровая социальная идентичность может стать инструментом мониторинга, если трудовые инспекторы, пограничные органы или другие участники получат регулярный доступ к сигналам о социальных правах.

EU Digital Identity Wallet находится в центре опасений, потому что он может собрать разные учетные данные в одной мобильной среде. Чем больше сервисов завязано на кошелек, тем сильнее отказ, исключение, потеря устройства, сбой аутентификации или предвзятый дизайн влияют на реальный доступ к правам.

Это не абстракция. Если цифровое удостоверение становится обычным доказательством права на услугу, цену платит человек без подходящего телефона, стабильной связи, документов, грамотности, легального статуса или поддержки при обжаловании.

Что проверить перед тем, как верить заявлению о цифровизации#

Не стоит считать каждый цифровой проект ЕС наблюдением по умолчанию. Это слишком грубо. Лучше проверять каждую систему по практическим вопросам, которые показывают, куда смещается власть.

🔎 Сначала проверьте:

  • Какое право или услуга становятся доступнее — и для кого?
  • Цифровое удостоверение действительно необязательно или только на бумаге?
  • Какой нецифровой путь остается, если аутентификация не сработала?
  • Какие органы получают доступ к данным, на каком правовом основании и с каким журналированием?
  • Данные минимизируют или система собирает лишние поля в расчете на будущую повторную обработку?
  • Могут ли люди видеть, исправлять, оспаривать и обжаловать решения, принятые через систему?
  • Отказ от участия простой, заметный и без негативных последствий?
  • Создает ли трансграничная совместимость новый доступ для тех, кто раньше не мог запрашивать эти данные?
  • Участвуют ли частные поставщики в слоях идентификации, хостинга, аналитики или проверки?
  • Что происходит с людьми без документов, людьми с инвалидностью, пожилыми, сельскими пользователями и теми, у кого нет надежных устройств?

Это базовые проверки безопасности для публичной инфраструктуры. И одновременно проверки гражданских прав. Если система не отвечает на них ясно, одного обещания эффективности недостаточно.

Для читателей, которые следят за безопасностью open source и публичной цифровой инфраструктурой, тот же урок виден и в других темах: артефакты, тесты и код важны, но именно управление решает, как используется доверие. См. также заметки GigaTap об операционных артефактах безопасности и безопасности open source: OpenSSF’s April signal: make security artifacts operational, 100% package test coverage is the point, not the slogan и Open Source Security Needs More Than Code.

Чего не стоит утверждать сверх источника#

EDRi дает критику с позиции прав, а не доказательство того, что каждый цифровой проект ЕС уже причинил одинаковый вред. Эта граница важна.

Источник поддерживает ясное предупреждение: цифровая повестка ЕС может сместить публичные услуги к совместимой идентификации, более широкому обмену данными и более условному доступу. Он также поддерживает скепсис к инфраструктуре, построенной в чрезвычайной ситуации и затем закрепленной на постоянной основе. Но по предоставленному материалу нельзя выводить конкретные числа злоупотреблений, индивидуальные юридические исходы или доказательство того, что все государства-члены внедрят эти системы самым принудительным способом.

Правильная позиция — не паника и не доверие по умолчанию. Нужна проверка до того, как система зафиксируется.

Когда системы идентичности и соцподдержки уже перестроены, откат обходится дороже. Когда ведомства и поставщики выстраивают процессы вокруг совместимых удостоверений, бумажные альтернативы и человеческая проверка становятся «исключениями». Когда повторное использование данных становится нормой, отказ начинает выглядеть как помеха, а не как право.

В этом и состоит реальный операционный риск цифровизации: не один громкий провал, а постепенная перестройка доступа к публичным услугам вокруг систем, которые все труднее оспаривать после того, как они стали инфраструктурой.