Da li je vreme da se JMBG pošalje u istoriju?

“Držimo celu Srbiju u šaci”, glasilo je upozorenje nepoznate grupe hakera koje su mediji preneli u decembru 2014: “Imamo gotovo sve podatke o stanovnicima Srbije, počevši od JMBG, pa do toga šta rade, gde žive, njihove brojeve telefona”.

Grupa je u poruci navela da se na ovaj postupak odlučila, između ostalog, da bi pokazala koliko je “privatnost u ovoj zemlji ugrožena i kako pomoću ovih podataka možemo dobiti apsolutno sve informacije” o građanima. Dokaz da su “upali u sistem” bile su tabele sa podacima građana Novog Beograda, Voždovca, Novog Sada i Jagodine, dostavljene medijima kao prilog saopštenju.

Javnost više nije čula za ovaj slučaj i do danas se ne zna kako su na kraju završili protagonisti ideje da se protiv države nadzora treba boriti daljim ugrožavanjem privatnosti građana. Nije razjašnjeno ni u čiju su bazu upali, pa konačno ni da li je uopšte reč o hakerima ili se grupa prosto poslužila bazom koja je u to vreme već skoro godinu dana, greškom ili hotimice, visila na sajtu Agencije za privatizaciju. Najmasovniji prodor u privatnost građana Srbije, podestimo, ustanovljen je novembra 2014. objavljivanjem podataka o 5.190.396 građana Srbije – njihovih imena i prezimena, srednjeg imena, jedinstvenih matičnih brojeva i statusa u evidenciji nosilaca prava na besplatne akcije.

Jedno je, međutim, uveliko jasno: jedinstveni matični broj građana, JMBG, postao je simbol ličnog podatka koji uživa pravnu zaštitu prvog reda, a o čijoj se praktičnoj zaštiti više ne može govoriti ozbiljno.

Skup brojeva koji po sebi predstavlja podatak o ličnosti, JMBG je sastavljen iz nekoliko numeričkih elemenata koji svaki za sebe bliže određuju osobu na koju se odnose. Prvih 7 cifara označavaju dan, mesec i godinu rođenja, dok su naredne dve obeležje područja registracije prema administrativnoj podeli u Jugoslaviji, u vreme uvođenja ovog sistema 1976. godine (Srbija koristi brojeve od 70 do 89, uz narednu dekadu za rođene na Kosovu). Ovaj deo JMBG na taj način doslovno preslikava osnovne činjenice o rođenju građana. Sledeće tri cifre se generišu redom u okviru definisanog opsega, od 000 do 499 za muški i od 500 do 999 za ženski pol. Poslednja, 13. cifra je kontrolna.

Kao individualna i neponovljiva oznaka identifikacionih podataka o građanima, preko koje se povezuju podaci o građanima iz svih drugih evidencija, JMBG je odštampan u ličnoj karti, zdravstvenoj knjižici, pasošu, vozačkoj dozvoli. Neophodan je podatak prilikom svake formalne komunikacije sa državom u ostvarivanju prava i izvršavanju obaveza i čini kontrolni identifikator za potvrdu identiteta prilikom školovanja, poslovanja, sklapanja ugovora, prijave boravka, otvaranja računa.

Na značaj JMBG ukazuje činjenica da nedostatak ovog broja predstavlja suštinsku prepreku za integraciju desetina hiljada Roma, dok privremena rešenja za naknadni upis u matične knjige dodatno usporavaju ionako složen proces izlaska iz začaranog kruga bede i diskriminacije. Stari zakon o jedinstvenom matičnom broju prepreka je i u rešavanju slučajeva dodele pogrešnog JMBG kojih, prema nezvaničnim procenama, ima više hiljada.

Iako još uvek nije završen proces prebacivanja papirnih registratora u elektronsku formu, ka konačnom ostvarenju sna o elektronskoj upravi, digitalne baze podataka o građanima Srbije uveliko žive na Mreži i množe se geometrijskom progresijom. Svaka od njih praktično je bezvredna bez jedinstvenog matičnog broja, ključnog identifikatora osobe na koju se odnosi, informacije na osnovu koje se nedvosmisleno utvrđuje njen identitet.

Pohranjen je u svakoj evidenciji koju država vodi o građanima, replicira se u beskrajnim nizovima dosijea, papirnim i elektronskim, objavljuje se u javno dostupnim bazama državnih organa, balansirajući na granici koju Ustav postavlja za svrsishodnost obrade ličnih podataka.

Na internet se postepeno povezuju čitavi sistemi elektronskih baza za čiju je pretragu, doduše, potrebna šifra – ali u obliku jedinstvenog matičnog broja. Čak i da nisu pušteni u promet provalom u baze Agencije za privatizaciju, stranačkih aktivista ili izbornih lista, nečiji jedinstveni matični broj nije teško otkriti. Građani ih ostavljaju putujućim trgovcima, čuvarima na prijavnicama, organizatorima igara na sreću, rečju, bilo kome ko im to zatraži – nesvesni u kojoj meri time zapravo izlažu svoj privatni život.

Naravno, za krađu identiteta nisu neophodne nove tehnologije, ali je svakako čine beskrajno lakšom. Paradoksalno, uprkos prelasku u digitalno okruženje i ukidanju fizičkog šaltera kao nepotrebne barijere za direktnu komunikaciju sa državom ili nekim privatnim akterom, celokupna razmena i dalje se odvija posredno. Danas taj posrednik više nije šalterski radnik, uslovljen ličnim raspoloženjem, znanjem i veštinom, već je čitav proces u najvećoj meri automatizovan i odvija se u deliću sekunde. Od takvih prilika, međutim, zavisi i potvrda da u razmeni učestvuju upravo one osobe kojih se ona tiče, građanin i službenik penzionog fonda ili bankarske filijale, na primer.

Lažno predstavljanje u elektronskoj komunikaciji – phishing, vishing, SmiShing, u zavisnosti od toga da li se odvija mejlom, telefonom ili sms porukama – u doba globalne umreženosti čini deo zasebne discipline socioloških i kriminoloških istraživanja, pod zajedničkim nazivom “društveni inženjering”, a koja podrazumeva lakoću stupanja u ličnu komunikaciju bez fizičkog prisustva.

Poznavanje bar jednog ličnog podatka žrtve društvenog inženjeringa biće prvi korak za prevaru zasnovanu na poverenju. Jedinstveni matični broj građana idealan je primer – predstavlja podatak koji je čvrsto asociran uz državne organe i, uopšte, ovlašćene rukovaoce ličnim podacima, a pritom je kompromitovan u meri koja obesmišljava odredbe Zakona o zaštiti podataka o ličnosti.

Upravo će stoga Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti krajem 2014. godine zatražiti hitnu izmenu odredbi kojima je propisano da jedinstveni matični broj građana istovremeno služi kao poreski identifikacioni broj poreskih obveznika. Objavljivanjem dokumenata o svom radu, lokalne poreske administracije su na taj način praktično objavile niz podataka o ličnosti građana. Primera radi, samo na internet prezentaciji Uprave javnih prihoda grada Beograda objavlјen je dokument od oko 50 hiljada jedinstvenih matičnih brojeva građana. Poverenik je konstatovao da je JMBG kompromitovan i da je, s obzirom na moguće zloupotrebe, njegova upotreba za svrhe identifikacije poreskih obveznika suviše rizična.

Iste godine državna elektrodistribucija će korisnicima poslati zahtev “za dostavu tačnog jedinstvenog matičnog broja građana”, na šta je Poverenik reagovao podsećajući da je i ovaj, kao i neki drugi zahtevi organa vlasti, javnih i privatnih preduzeća, oslonjen samo na pravilnik i slične interne papire kojima se iznova gaze ustavna i zakonska ograničenja za prikupljanje podataka o građanima i zadiranje u njihovu privatnost.

Aljkavost zakonom ovlašćenih rukovalaca ličnim podacima građana i sve brojniji digitalni predatori, od hakera do nasrtljivih oglašivača i trgovaca, ne samo što su obesmislili pravnu zaštitu JMBG, već je ovaj lični podatak praktično postao rizičan po privatnost njegovog vlasnika.

U digitalnom okruženju, takva transparentnost numeričkog ličnog podatka naprosto je neodrživa, nalik izboru niza “1234” za lozinku bankovnog računa.

Poučna su iskustva susednih zemalja. U Bosni i Hercegovini je 2013. JMBG bio u središtu političkog sukoba nakon suspenzije odredbe o registracionim područjima ove bivše jugoslovenske republike (8. i 9. broj u nizu), koja se nisu poklapala sa posleratnim entitetskim granicama. Uskoro su izbili i ulični protesti, jer deca rođena posle odluke Ustavnog suda o suspenziji nisu dobila jedinstveni matični broj, a time ni pravo na zdravstveno osiguranje i lečenje. Da matični broj nije vezan za stvarne činjenice iz života građana, problem ne bi ni nastao.

U Hrvatskoj je 2009. u upotrebu uveden osobni identifikacioni broj (OIB) kao primarni identifikator, jedinstven i nekazujući, što znači da niz od 11 brojeva ne sadrži konkretne podatke o ličnosti već se cifre generišu slučajnim izborom. Za dodelu osobnog broja zadužena je Poreska uprava Ministarstva finansija. JMBG se i dalje koristi dok za time postoji potreba na osnovu starih evidencija.

Slično rešenje moguće je i u Srbiji. Zapravo, unikatan broj sačinjen od niza nasumičnih cifara koje, za razliku od JMBG, ne otkrivaju lične podatke građana – već postoji i u širokoj je upotrebi. Dodeljen je svim državljanima i osobama sa prebivalištem na teritoriji zemlje koji su osigurani po bilo kom osnovu, kao zaposleni, deca, supružnici i slično. Prema nepotpunim podacima, poseduje ga blizu 7 miliona građana. Takođe, omogućava pristup pojedinim pravima, kao što je zdravstvena zaštita, i građanima kojima nikada nije dodeljen JMBG.

Lični broj osiguranika (LBO) dodeljuje Centralni registar za obavezno socijalno osiguranje (CROSO), najmlađi organ državne uprave koji je, kao takav, od početka građen u digitalnom okruženju. Broj sadrži 11 cifara od kojih je zadnja cifra kontrolni broj, a sve ostale cifre se dodeljuju izborom slučajnih brojeva. Određuje se svakom osiguranom licu samo jednom, trajan je i nepromenljiv, pa se može koristiti kao jedinstveni brojni identifikator osobe.

Za razliku od jedinstvenog matičnog broja, LBO nema nikakve veze sa ličnim svojstvima vlasnika, sam po sebi ne otkriva nijedan podatak o njemu, dok algoritamski izbor otklanja mogućnost pogrešnih dodela.

Relikt prošlih vremena, JMBG otkriva znatno više ličnih podataka nego što je to potrebno za svrhe evidntiranja građana. Kao takav, kompromitovan je na razne načine tokom protekle decenije, gde je slučaj Agencije za privatizaciju, odnosno slobodan pristup jedinstvenom broju većine građana Srbije na sajtu Agencije odakle su, po rečima njihovih predstavnika, preuzimani “više puta” – samo kap koja bi trebalo da prelije čašu. Po svoj prilici, više nikada nećemo moći da utvrdimo ko sve poseduje naše jedinstvene matične brojeve, kada ih i u koje svrhe može zloupotrebiti. Čini se da bi JMBG stoga konačno trebalo poslati u istoriju. Ovakvu odluku mogla bi da prate i nastojanja da se od države izdejstvuje besplatna zamena dokumenata, kao gest svojevrsnog obeštećenja građana za rizike kojima su bili izloženi.

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.