Gospodarka zmierza w kierunku bycia „gospodarką danych” (data economy), w której zdigitalizowane informacje stają się najważniejszym aktywem strategicznym, zmieniającym m.in. zasady konkurencji, modele biznesowe, ale także sposób działania administracji państwowej. Mamy do czynienia z radykalnym wzrostem analityki danych w nadzorze państwa nad gospodarką.
W administracji skarbowej obserwuje się przejście na powszechną, automatyczną wymianę informacji (m.in. standardy AEOI, CRS, FATCA, DAC7/DAC8) oraz korzystanie z potężnych narzędzi do analizy (data analytics) i eksploracji ogromnych zbiorów danych (data mining). Podmioty państwowe zaczynają automatycznie tworzyć wyrafinowane profile ryzyka, analizować powiązania w sieciach społecznościowych i algorytmicznie typować podatników do audytu, ucinając ścieżki potencjalnych oszustw jeszcze przed ich fizycznym dokonaniem. Państwo potrzebuje także m.in. danych w zakresie AML/CFT (stąd między innymi tzw. travel rule dla kryptowalut, informacji o rachunkach bankowych w ramach pakietu AML) czy nawet danych przemysłowych (Data Act). Ciężko więc nie zrozumieć, że państwo chce zbierać dane – i to zbierać tych danych coraz więcej, a także coraz częściej te dane przekazywać międzynarodowo. Datafication of compliance stanowi odpowiedź na realną zmianę cywilizacyjną: cyfryzację, platformizację, finansjalizację, kryptowaluty, złożone łańcuchy dostaw, transgraniczność usług.
Jest jednak druga strona medalu i jedno powinno wybrzmieć wyjątkowo wyraźnie: więcej danych dla państwa powinno oznaczać więcej odpowiedzialności bardziej kompetentnego i lepiej przygotowanego państwa.
Centralizacja ogromnych wolumenów danych finansowych, medycznych czy identyfikacyjnych w systemach państwowych tworzy naturalne punkty koncentracji ryzyka, które stają się celem zarówno grup przestępczych, aktorów państwowych prowadzących operacje o charakterze hybrydowym, a także zwyczajnej, nieuczciwej konkurencji. Kompromitacja danych zbieranych przez państwo może generować co najmniej dwa krytyczne typy ryzyka. Po pierwsze, zagrożenie dla fizycznego bezpieczeństwa osób – patrz obecna afera we Francji dot. udostępniania danych posiadaczy kryptowalut. Po drugie, zagrożenie dla tajemnicy przedsiębiorstwa i uczciwej konkurencji.
Państwa, działając jako “superagregatorzy” ryzyka, coraz częściej tworzą potężne bazy danych gospodarczych z urzędnikiem jako tzw. single point of failure. Tutaj można wspomnieć chociażby o sprzedaży danych z deklaracji podatkowych GSTR przez urzędników w Indiach, która umożliwiała konkurencji zdobywanie pełnej listy kontrahentów oraz parametrów transakcji, a następnie przejmowanie tychże kontrahentów poprzez precyzyjne obniżanie cen. Podobna sytuacja miała także miejsce we Włoszech, gdzie Equalize – spółka business intelligence – wykupywała dostęp do baz państwowych przez co najmniej 4(!) lata i sprzedawała go dalej. W obu przypadkach doszło więc do przekształcenia danych zbieranych przez państwo w towar.
Państwo polskie, wprowadzając KSeF, również musi zmierzyć się z ryzykiem powstania poważnego procederu sprzedaży danych absolutnie kluczowych dla polskiej gospodarki. Na szczęście te dwa imperatywy – zapewnienia państwu możliwości skutecznego działania oraz zapewnienia obywatelom i firmom bezpieczeństwa ich danych – da się pogodzić. Pogodzić trzeba je na niwie legislacyjnej, architektonicznej, kontroli dostępu i audytu. Ale i tutaj można mieć wątpliwości co do sfery wolicjonalnej polskiego ustawodawcy, który to może chcieć poczekać na ostateczny kształt dyrektywy VIDA i zmianę przepisów krajowych dopiero w ramach implementacji tejże. Czas pokaże.
Autor: Jakub Kozdra, Ekspert Centrum Strategii Rozwojowych
