Документ структурних гарантій

Рамка суверенності й довіри

Хартія нейтральності визначає, чого ми не робитимемо. Ця Рамка пояснює, чому ми за самим устроєм не можемо.

Оприлюднено AGPT Ltd. Чинна від дня відкриття Платформи.

Цей документ відповідає на законне занепокоєння: коли Платформа оприлюднює показники легітимності посадовців, що діють від імені держави, уряди й установи потребують певності, що Платформу не можна використати як знаряддя чужоземного впливу, що дані громадян лишаються під суверенним контролем і що жоден гравець – зокрема оператор Платформи – не може маніпулювати результатами.

Де живуть дані громадян, як їх відокремлено й чого оператор не зберігає ніколи.

1.1
Юрисдикційна резиденція даних
Дані громадян кожної країни зберігаються на серверах у межах її території, де це можливо. Де національна інфраструктура ще не відповідає вимогам Платформи щодо безпеки, доступності й відповідності, дані зберігаються в інфраструктурі юрисдикції з рівноцінним рівнем захисту. У жодному разі дані громадян не виходять за межі застосовного режиму захисту даних.
1.2
Національна незалежність даних
Дані кожної країни існують у власній незалежній інфраструктурі. Бази даних повністю розділені – не логічно поділені в межах спільної системи, а розгорнуті незалежно. Інцидент безпеки в інфраструктурі однієї країни не відкриває даних жодної іншої. Міжкраїнні запити неможливі за архітектурою.
1.3
Жодного централізованого сховища персональних даних
Немає центральної бази, що містила б ідентифіковну інформацію про громадян кількох країн. AGPT Ltd керує Платформою, але не зводить персональних даних через юрисдикції. Єдине, що є спільним для країн, – оприлюднені зведені показники, публічні за устроєм.
1.4
Мінімізація даних
Платформа не збирає імен, номерів документів, адрес чи будь-яких персональних ідентифікаторів. Єдиний зв'язок між громадянином і його рахунком – односторонній криптографічний відбиток (SHA-256 із сезонною сіллю), отриманий під час підтвердження особи. Цей відбиток неможливо обернути, щоб упізнати людину.

Чого AGPT Ltd – оператор Платформи – за устроєм не здатна робити.

2.1
Оператор не може упізнати громадян
AGPT Ltd не має доступу до процесу підтвердження особи в спосіб, що розкривав би, хто є той чи той громадянин. Перетворення підтвердженої особи на відбиток відбувається на межі автентифікації. У систему входить відбиток, а не людина.
2.2
Оператор не може змінити показники
Показники легітимності обчислюються автоматично зі зведених громадянських суджень за оприлюдненими формулами. Немає адміністративного інтерфейсу, щоб вручну змінити значення показника. Конвеєр обчислення детермінований: за тих самих вхідних даних він завжди дає той самий результат. Це забезпечено архітектурою, а не політикою.
2.3
Оператор не може дістатися окремих суджень
Система зберігає лише теперішній стан судження кожного рахунку щодо кожного посадовця (довіра, недовіра або нейтральність). Ці стани анонімні й не можуть бути пов'язані з особою. Немає механізму запитати «як громадянин X судив посадовця Y» – модель даних цього не передбачає.
2.4
Оператор не може вибірково придушити чи підсилити
Правила публікації однакові: кожен посадовець на кожному рівні підлягає тим самим порогам, тим самим обчисленням довірчого інтервалу, тому самому виявленню аномалій. Немає налаштувань для окремого посадовця, якими можна було б відкласти публікацію, підняти пороги чи якось інакше повестися з ним інакше.

Як будь-хто може переконатися, що числа обчислено правильно.

3.1
Оприлюднена методологія
Повну методологію обчислення показника оприлюднено в Білій книзі й стисло викладено на кожній національній Платформі. Сюди входять: формула, метод довірчого інтервалу, пороги публікації, правила округлення й критерії позначення аномалій. Кожен, хто має зведені вхідні дані, може самостійно перевірити результат.
3.2
Незалежні аудити
AGPT Ltd зобов'язується періодично проходити незалежні аудити силами сторонніх організацій: безпека (щорічне тестування на проникнення), методологія (академічний огляд), приватність (огляд архітектури захисту даних) і відповідність (правовий огляд дотримання застосовного закону про захист даних). Результати аудитів оприлюднюють.
3.3
Журнал Платформи як журнал змін
Кожна зміна алгоритму, порогів публікації чи операційних параметрів документується в Журналі Платформи (teisond.com/journal), перш ніж набути чинності. Журнал – публічний, версіонований, постійний запис. Жодних тихих оновлень.
4.1
Жодного державного фінансування
AGPT Ltd не отримує фінансування від жодного уряду, міжурядової організації чи пов'язаної з державою структури. Це стосується всіх юрисдикцій, де працює Платформа.
4.2
Жодного державного доступу до даних
Жоден уряд не має привілейованого доступу до даних Платформи поза тим, що є загальнодоступним. Запити правоохоронних органів опрацьовують через стандартні правові процедури (судові ухвали) у відповідній юрисдикції й лише в технічно можливих межах – а вони обмежені, бо Платформа не зберігає ідентифіковних персональних даних.
4.3
Жодного «вимикача»
Архітектура Платформи не має механізму, яким один гравець (зокрема й керівництво AGPT Ltd) міг би вимкнути, призупинити чи суттєво змінити розгортання в країні без задокументованої процедури. Аварійні процедури для інцидентів безпеки існують, але їх журналюють, вони придатні для аудиту й розкриваються в Журналі Платформи.
4.4
Незалежність доходу
Дохід Платформи надходить із підписок за фіксованою ціною, що їх сплачують посадовці й установи. Ціна підписки фіксована за рівнем влади (€1,90–€19,90/міс), однакова в кожній країні, де працює Платформа, і не залежить від значення показника. Підписка купує глибину аналізу, а не вплив на результати.
4.5
Структурна стійкість
Якщо AGPT Ltd припинить діяльність, методологія (оприлюднена в Білій книзі), архітектура вихідного коду (задокументована) і зведені дані (публічні) існуватимуть незалежно від компанії. Платформу спроєктовано так, щоб її публічні результати міг перевірити, відтворити чи продовжити інший оператор за тією самою оприлюдненою методологією.
Траєкторія власності
Платформу спроєктовано так, щоб вона перейшла від контролю оператора до власності громадян. Це не майбутня обіцянка – це теперішнє архітектурне зобов'язання. Інфраструктуру, яку будують сьогодні, будують для того, щоб передати. Строки, механізм і шлях врядування описано в Білій книзі (Розділ 9).

Жодна технічна архітектура не усуває всіх ризиків. Ця Рамка чесна щодо своїх меж.

Координовані кампанії реальних, перевірених громадян можливі. Платформа їх виявляє й позначає, але не може заборонити громадянам організовуватися.

Уряди можуть спробувати правовий тиск через місцеві суди. AGPT Ltd діє за правом Сполученого Королівства й тримає правові резерви для юрисдикційних викликів.

Платформа залежить від інфраструктури цифрової ідентичності, якою керують національні уряди. Якщо уряд погіршить власну систему ідентичності, якість підтвердження в тій країні може постраждати.

Це реальні ризики. Призначення Рамки – не проголосити досконалість, а забезпечити, щоб оператор Платформи ніколи не був джерелом проблеми.

Рамка суверенності й довіри – постійний публічний документ. Будь-які зміни оприлюднюють у Журналі Платформи з повним обґрунтуванням, перш ніж вони набудуть чинності. Попередні редакції лишаються в публічному архіві.

AGPT Ltd — Advanced Global Polling Technology Ltd, United Kingdom · teisond.com