eIDAS: Kromě elektronických občanek by mohly mít šanci i soukromé systémy

6. 11. 2013
Doba čtení: 6 minut

Sdílet

Revoluce v elektronizaci jménem eIDAS, kterou připravuje EU, může přinést zrovnoprávnění e-občanek a nástrojů pro elektronickou identifikaci vydávaných soukromými poskytovateli.

Před měsícem zde vyšel článek, ve kterém se Jiří Peterka věnoval návrhu „Nařízení o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu“ (tzv. eIDAS). Komplexní rozbor dopadů tohoto stále připravovaného nařízení by zabral několik obrazovek, a tak se dnes zaměřím pouze na jedno z nových témat regulace, kterým je vzájemné uznávání elektronické identifikace a možnost soukromých subjektů zrovnoprávnit (alespoň v přeshraničních elektronických službách) své nástroje s elektronickými občanskými průkazy či dalšími kartami vydávanými státními organizacemi.

Hlavní oblasti regulace eIDAS
Autor: Jiří Průša, CZ.NIC

Hlavní oblasti regulace eIDAS

Legislativní podpora nestátních poskytovatelů identit (IDP) 

V rámci připravovaného návrhu nařízení se od samého počátku hovoří o možnosti (nikoliv však povinnosti) členských států notifikovat systémy pro elektronickou identifikaci používané pro přístup k veřejným službám na národní úrovni.

When an electronic identification using an electronic identification means and authentication is required under national legislation or administrative practice to access a service online in one Member State, the electronic identification means issued in another Member State, shall be recognised in the first Member State for the purposes of authentication for that service online.

V případě, že se však členské státy pro notifikaci rozhodnou, mají následně mimo jiné povinnost nejpozději do 12 měsíců zajistit vzájemné uznávání eID nástrojů notifikovaných jinými členskými státy, čímž bude umožněno, aby např. občan Estonska mohl se svým elektronickým občanským průkazem přistoupit k datové schránce firmy, které je v ČR jednatelem. 

Vzhledem k tomu, že v některých státech, zejména na sever (a severovýchod) od našich hranic, využívají služby eGovernmentu k přihlašování bankovní nástroje, hovoří Evropská komise od samého počátku projednávání návrhu o tom, že v rámci notifikovaných systémů nemusí jako nástroje autentizace fungovat jen občanské průkazy, ale i další nástroje, které členský stát notifikací posvětí a převezme odpovědnost za identifikaci a autentizaci poskytovanou tímto nástrojem, viz např. citace z preambule:

Member States should be able to decide to involve the private sector in the issuance of electronic identification means and to allow the private sector the use of electronic identification means under a notified scheme for identification purposes when needed for online services or electronic transactions.

Z administrativně-právního pohledu je pak nutné, aby daný nástroj byl již v daném státě využíván rovněž k přihlašování k tzv. veřejným službám, mezi které se vedle např. národních portálů veřejné správy či aplikací pro podávání daňových přiznání řadí i elektronické služby měst, obcí, ale i veřejných knihoven.

O čem se v návrhu eIDAS již tolik přímo nepíše, je konkrétní propojení jednotlivých systémů. Zde je možné se vydat buď cestou dvoustranných smluv, jako se tomu stalo v případě Německa a Polska, nebo prostřednictvím spolupráce více států, které společně vytvoří standardy a rámce zajišťující interoperabilitu jednotlivých (často velmi rozdílných) řešení. 

Projekt STORK a e-SENS aneb propojování infrastruktury již začalo 

Nejvýznamnější evropský projekt v oblasti interoperability národních eID řešení představuje projekt STORK (Secure idenTity acrOss boRders linKed), jehož realizace byla zahájena v roce 2008 a zaměřovala se především na veřejné služby, jako je např. možnost vyřízení změny bydliště online či elektronické doručování.

V rámci projektu bylo nutné vyřešit rovněž rozdílnou sílu (a věrohodnost) jednotlivých nástrojů. Za tímto účelem vzniklo poměrně komplexní hodnocení QAA (Quality Authentication Assurance), které dělí nástroje od těch nejslabších (QAA 1) jako je prosté uživatelské jméno a heslo až po ty nejsilnější (QAA 4), kterými jsou např. elektronické občanské průkazy umožňující přihlašování pomocí certifikátu. Pokud se pozorně podíváme do přílohy 0 eIDAS, zjistíme, že dle čl. 5 kritéria jednotlivých nástrojů prakticky odpovídají úrovni QAA 3 a QAA 4 projektu STORK. 

Projekt STORK v současné době pokračuje jako STORK 2.0 a snaží se zaměřit jednak na soukromé poskytovatele identit a potom na sběr nejrůznějších atributů (např. studované předměty na vysoké škole, informace o pověření jednat za organizaci apod.). Za Českou republiku se STORK 2.0 účastní Ministerstvo vnitra ČR a sdružení CZ.NIC, které do projektu zapojilo svoji službu mojeID. Tu by díky projektu bylo možné v budoucnu využít např. pro přihlašování k autentizační službě Evropské komise (tzv. ECAS), která je využívána jednak úředníky při přístupu k dokumentům na jednání v Bruselu či Lucemburku, ale i všemi, kteří podávají na Evropskou komisi žádost o projekty např. z FP7. 

Propojení často mnohdy odlišných národních řešení je pak v projektu STORK řešeno prostřednictvím tzv. PEPS (Pan-European Proxy Services) představující rozhraní, na které je možné připojit jednotlivé národní eID nástroje. V rámci implementace projektu STORK se v první fázi počítá jen se zapojením mojeID.

Později, pravděpodobně po skončení projektu v dubnu 2015 a následném přijetí eIDAS se předpokládá napojení systému na základní registry. Uživatel by si zároveň mohl vybrat, zda chce autentizaci provést prostřednictvím mojeID či elektronického občanského průkazu s čipem.

Návrh fungování vzájemného uznávání eID s využitím projektu STORK 2.0
Autor: Jiří Průša, CZ.NIC

Návrh fungování vzájemného uznávání eID s využitím projektu STORK 2.0

Další z projektů zaměřených na propojování infrastruktury představuje projekt e-SENS, který si klade za cíl především propojení jednotlivých rozsáhlých pilotních projektů, které se zaměřovaly na jinou oblast elektronizace: Zatímco STORK řeší především otázku elektronické identifikace, epSOS se zabývá otázkami elektronického zdravotnictví, PEPPOL záležitostmi spojenými se zadáváním veřejných zakázek, SPOCS tzv. jednotným místem pro podnikatele a e-CODEX záležitostmi elektronické justice.

Časová návaznost tzv. rozsáhlých pilotních projektů podporovaných Evropskou komisí

Časová návaznost tzv. rozsáhlých pilotních projektů podporovaných Evropskou komisí

Jaké nástroje v ČR mají šanci být notifikovány? 

Podle optimistických scénářů by eIDAS sice měl vstoupit v platnost nejdříve na začátku příštího roku (Evropská komise by ráda schválení stihla před volbami do Evropského parlamentu, které se budou konat v květnu 2014), přesto však neuškodí se podívat na to, o jakých eID nástrojích je možné uvažovat v případě, že se Česká republika rozhodne k vzájemnému uznávání identit připojit a notifikovat jeden (či více) národních eID systémů.

MM 25 baliček

Při hodnocení jednotlivých nástrojů je třeba vzít v úvahu, že Evropská komise nepočítá s notifikací tzv. měkkých nástrojů, kdy jako jeden z příkladů uvádí přihlašování přes Facebook. Tím se nám výčet omezuje zejména na následující nástroje:

  • Elektronické občanské průkazy (eOP) logicky přicházejí v úvahu hned na prvním místě. V souvislosti s eOP je však nutné si uvědomit, že jen méně než 1 % těchto průkazů je vybaveno čipem, který by mohl (v případě, že by to zákon umožňoval, ale zatím tomu tak není) obsahovat rovněž certifikát pro přihlašování. V souvislosti s požadavkem na již existující řešení je pak nutné zmínit, že náš zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů již sice téměř dva roky zmiňuje přihlášení k datovým schránkám přes eOP, v praxi však toto přihlášení zatím není realizováno. „Přihlášení podle odstavce 1 zajišťuje ministerstvo prostřednictvím jím vydaných přístupových údajů nebo elektronických prostředků, prostřednictvím elektronicky čitelných identifikačních dokladů anebo prostřednictvím elektronických prostředků třetích osob.“
  • Sociální karty, či tzv. s-Karty, na které jako jeden z autentizačních mechanismů odkazuje již výše citovaný zákon č. 300/2008 Sb.„Například zákon č. 328/1999 Sb., o občanských průkazech, ve znění pozdějších předpisů, zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.“ Díky neslavnému konci s-Karet se však tato možnost jeví opravdu jen jako teoretická a je otázkou, zda při některé z novelizací zákona nezmizí.
  • mojeID – tuto službu dnes využívá více než 250 000 uživatelů, a to nejen pro přihlašování k elektronickým obchodům, komunitním či zpravodajským serverům, ale rovněž ke službám knihoven či stránkám vybraných měst a obcí, čímž je splněna podmínka využití eID nástroje ve veřejných službách. Výhodou pro mojeID může být rovněž jeho zapojení do evropských projektů STORK a e-SENS. Ve vztahu k požadavkům eIDAS je však nutné si uvědomit, že v rámci národních eID systémů by v rámci mojeID přicházeli do úvahy pouze tzv. validovaní uživatelé. 

Zda se mojeID či některý jiný nástroj nakonec dočkají zrovnoprávnění např. s elektronickými občanskými průkazy, však ukáže teprve čas. Projednávání návrhu eIDAS stále není u konce a jistě se dočká mnohých změn. Záležet bude i na nové české vládě a tomu, jakou prioritu eGovernmentu a přeshraničním službám eGovernmentu nakonec dá.

Autor článku

Autor se dlouhodobě zabývá především problematikou českého i evropského eGovernmentu. Ve sdružení CZ.NIC má na starosti projekty s veřejnou správou a rovněž evropské projekty zaměřené na IPv6 (GEN6) a vzájemné uznávání eID (STORK 2.0 a eSENS).

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).