Hlavní navigace

Jak se bude hledat jednotné technické řešení pro evropské peněženky digitální identity?

13. 9. 2021
Doba čtení: 15 minut

Sdílet

 Autor: Evropská komise
Zatím ještě není známo, jaké má být konkrétní technické řešení budoucích peněženek digitální identity. Jasno má být za rok: do 30. září 2022 na něm má být shoda a do 30. října 2022 má být řešení zveřejněno.

předchozím článku jsme si popisovali, jakým směrem se ubírají nové návrhy EU v oblasti elektronické identifikace: za sloganem o „důvěryhodné a zabezpečené digitální identitě pro všechny Evropany“ je snaha o vybudování jednotné a jednotně fungující nadstavby nad dosavadními národními elektronickými identitami, inspirovaná konceptem tzv. decentralizované elektronické identity (též: self-sovereign identity). 

Středobodem má být tzv. evropská peněženka digitální identity v podobě certifikované mobilní aplikace, vydávané jednotlivými členskými státy pro jejich občany. Ta má svým držitelům umožnit, aby se stali skutečnými „suverény“ své vlastní identity, měli ji „u sebe“ a plně ve své moci a sami také rozhodovali o tom, kdy a které své identifikační údaje a atributy komu sdělí. Neméně ambiciózním cílem pak je odbourat národní rozdíly i hranice a také vzájemnou nekompatibilitu dosavadních národních řešení elektronické identifikace. Tak, aby vše fungovalo hladce a bezproblémově napříč celou Unií.

Co je nutné udělat?

Pro dosažení nově vytyčených, a nutno říci velmi ambiciózních cílů, je třeba minimálně dvou věcí: vhodné právní ukotvení a pak také nalezení a prosazení jednotného technického řešení.

„Minimálně“ v tom smyslu, že reálně bude zapotřebí i mnoho dalšího, aby se nové možnosti prosadily a skutečně využívaly. Například osvěta: bude nutné vysvětlit nejširší veřejnosti, o co vlastně jde a jak to funguje. Přesvědčit uživatele, že je to bezpečné, naučit je s tím pracovat a dát jim důvod nové možnosti skutečně využívat. Stejně tak bude nezbytné aktivní zapojení všech poskytovatelů služeb včetně těch, kteří to nebudou mít jako povinnost. Celkově pak bude nezbytný zájem a pozitivní přístup všech zainteresovaných stran, a ne aktivní nezájem a hledání všelijakých obstrukcí.

V tomto článku ale zůstaneme jen u onoho „minima“. Jak jsme si již řekli minule, nezbytné „právní ukotvení“ má vzniknout v podobě nového rámce pro evropskou digitální identitu (framework for European Digital Identity). Jednotné technické řešení pak má vzniknout ve spolupráci širšího okruhu subjektů a má mít podobu tzv. toolboxu („společného souboru nástrojů Unie pro koordinovaný přístup k rámci pro evropskou digitální identitu“).

Potřeba novelizace

Pro vytvoření nového právního rámce pro „důvěryhodnou a zabezpečenou digitální identitu pro všechny Evropany“ se Unie těžko mohla vydat cestou úplného zahození dosavadního právního rámce a jeho nahrazení úplně novým rámcem. Zvláště když podstatou nových návrhů je zachování dosavadních národních elektronických identit a vybudování nové nadstavby nad nimi.

Proto nový „rámec pro evropskou digitální identitu“ vzniká novelizací dosavadního rámce, který je tvořen především nařízením č. 910/2014, známějším jako nařízení eIDAS.

Připomeňme si, že nařízení eIDAS je ve skutečnosti jakési „dvojnařízení“, které pokrývá dvě relativně samostatné, ale vzájemně velmi úzce provázané oblasti: služby vytvářející důvěru (kam patří například elektronické podpisy a pečeti) a elektronickou identifikaci. Hlavně ale: toto (dvoj)nařízení pochází již z roku 2014 a jeho relevantní části jsou účinné od poloviny roku 2016. Takže už byl určitý čas na zjištění toho, kde nařízení eIDAS uspělo a kde nikoli. Nehledě na to, že samo nařízení má ve svém článku 49 zabudovánu povinnost přezkumu a vyhodnocení toho, zda je v něm potřeba něco upravit. 

Když opravdu maximálně zjednoduším závěry hodnotící studie, připravené na základě této povinnosti, i hodnotící zprávu samotné Komise, je celkový dojem takový, že v oblasti služeb vytvářejících důvěru to „dopadlo lépe“, zatímco v oblasti elektronické identifikace to „dopadlo hůře“. Především proto, že zdaleka ne všechny členské státy se svou „národní“ elektronickou identifikací dostatečně pokročily (do stádia unijní notifikace svého schématu a alespoň jednoho vydávaného prostředku). Nehledě na odlišnosti v pojetí a implementaci jednotlivých národních řešení, což v konečném důsledku vedlo k minimální míře „přeshraničního“ uznávání a využívání národních elektronických identit.

Svým způsobem se není čemu divit: u služeb vytvářejících důvěru (např. u elektronického podepisování) šlo vlastně již o druhou etapu, protože nařízení eIDAS zde navázalo na předchozí směrnici č. 1999/93/ES. Takže bylo z čeho se poučit a co vylepšovat. Stejně tak reálná praxe měla více času na uvedení věcí do života a „odladění“ jejich praktického používání. Naproti tomu v oblasti elektronické identifikace se začínalo do značné míry „na zelené louce“. 

Takže se asi dalo očekávat, že při případné novelizaci budou navrhované změny zásadnější právě u elektronické identifikace, a naopak méně zásadní u služeb vytvářejících důvěru. A tak tomu také skutečně je.

Poptávka po změnách

Technický pokrok se od dob, kdy současné nařízení eIDAS vznikalo, pochopitelně nezastavil. Schopnosti technologií pokročily a otevřely se nové možnosti, které dříve ještě nebyly dostupné. Nehledě na to, že významným způsobem vzrostla i poptávka po věcech, které souvisí se službami vytvářejícími důvěru i s elektronickou identifikací.

V souvislosti s covidovou pandemií pak doslova explodovala poptávka po vedení nejrůznějších aktivit online způsobem. Lidé najednou zjistili, že to jde a může to být i pohodlnější a efektivnější. Tak teď ještě aby to bylo dostatečně spolehlivé, dostupné a bezpečné.

Současně s tím se ukázalo – konkrétně na příkladu digitálních covidových certifikátů – že je možné prosadit v celounijním měřítku a velmi krátkém časovém horizontu i poměrně inovativní řešení. Ano, s covidovými certifikáty možná nešlo všechno úplně hladce a bezbolestně, ale ve srovnání se zaváděním jiným „digitálních novot“ to šlo bleskurychle a jak po másle.  

Pro novelizaci celého současného „dvojnařízení“ však byly i další důvody. V mezidobí totiž byla na úrovni celé Unie přijata řada dalších významných opatření (nařízení, směrnic, doporučení), zasahujících i do elektronické identifikace a služeb vytvářejících důvěru. Konkrétně třeba směrnice NIS z roku 2016 (o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii), nařízení o jednotné digitální bráně z roku 2018 či akt o kybernetické bezpečnosti z roku 2019. A jejich dopady je také nutné vhodně promítnout do dalších předpisů, včetně nařízení eIDAS.

Přišly technologie, které umožnily nové přístupy

Vedle rostoucí poptávky po nových možnostech přišly i nové technologie, které by měly umožnit praktickou realizaci moderních konceptů a přístupů. Například celé směrování k decentralizované („self-sovereign“) identitě (viz minule) by nejspíše nevzniklo bez existence a pokroku v oblasti tzv. blockchainu a na něj navazujících konceptů: například tzv. chytrých smluv (smart contracts) či ověřitelných pověření (verifiable credentials). Z nich by mohla vycházet i nově zaváděná elektronická potvrzení atributů (electronic attestations of attributes), se kterými nové unijní návrhy přichází. Stejně jako praktická implementace zásady, že protistraně se má předkládat jen minimální rozsah nezbytných údajů (atributů), a ne více.

Viz třeba minule zmiňovaný příklad s digitálními covidovými certifikáty: jak doložit očkovaný statut, bez současného sdělování dalších, již nikoli nezbytných údajů (jako je třeba druh schválené vakcíny či doba platnosti)? Dají se takovéto „nadbytečné“ informace v QR kódu nějak začernit či vyzmizíkovat? Nebo se na to musí jinak?

Mimochodem, technologie blockchainu, které původně vznikly pro potřeby kryptoměn a nově jsou základem pro mnoho dalšího, se skrze novelizaci mají dostat i do nařízení eIDAS a mají se zařadit mezi kvalifikované služby vytvářející důvěru. Jen terminologie je trochu jiná: místo pojmu „blockchain“ se v anglické verzi návrhu novelizovaného nařízení používá pojem ledger a v oficiálním českém překladu pak elektronická účetní kniha. Tak se připravme na budoucí kvalifikované elektronické účetní knihy, které s účetnictvím mohou mít, ale častěji nebudou mít vůbec nic společného. A na kvalifikované poskytovatele kvalifikovaných účetních knih, kteří s účetnictvím také nemusí mít nic společného. Ostatně, nebudou to zdaleka první „ne moc šikovné“ překlady, které navozují představu něčeho jiného, než co ve skutečnosti přináší. Už dlouho máme například zaručené elektronické podpisy, které nemusí zaručovat identitu podepsané osoby. Či uznávané elektronické podpisy, které v zahraničí neznají, a tudíž ani neuznávají.

Ale když už jsme u toho, kterých nových technologií si právní úprava chce nově všímat a zařazovat je mezi kvalifikované služby vytvářející důvěru, můžeme předběžně zmínit i oblast vzdáleného podepisování (remote signing): v době, kdy stávající nařízení eIDAS vznikalo, ještě nebyl k dispozici žádný standard, který by tyto služby pokrýval. Proto zatím nejsou mezi kvalifikovanými službami (vytvářejícími důvěru) a jejich poskytování je „posvěcováno“ pouhým souhlasem dozorového orgánu (příklad).

V mezidobí ale byly potřebné standardy přijaty (CEN EN 419241 a ETSI TS 119 431), a tak mohl být výčet kvalifikovaných služeb vytvářejících důvěru rozšířen i o vzdálené podepisování. Přesněji: nikoli o samotný akt vytváření elektronického podpisu (který musí vždy příslušet samotné podepisující se osobě), ale o správu kvalifikovaných prostředků pro vzdálené elektronické podepisování. Podrobněji v dalších článcích.

Naopak docela překvapením je návrh na zařazení služby elektronické archivace mezi ty kvalifikované – ačkoli v této oblasti k nějakému zásadnějšímu vývoji nedošlo a součástí portfolia kvalifikovaných služeb vytvářejících důvěru je již od začátku „příbuzná“ služba uchovávání elektronických podpisů a pečetí. Ale kdo ví, třeba tento krok umožní vznik dalších způsobů udržování digitální kontinuity, na principu elektronického notáře.  

Nový „rámec pro digitální identitu“ místo „nařízení eIDAS“

Vraťme se ale zpět k formální stránce: postup, který Evropská komise pro novelizaci dosavadního rámce zvolila, je dán pravidly fungování Unie jako takové. Jelikož současné nařízení eIDAS je nařízením Evropského parlamentu a Rady (nikoli nařízením Komise), má i jeho novela stejný charakter: půjde opět o nařízení Evropského parlamentu a Rady, přičemž Komise pouze připravila jeho návrh. Konkrétně jde o návrh nového nařízení, „kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení rámce pro evropskou digitální identitu“.  

Návrh tohoto nového nařízení byl zveřejněn 3. června a aktuálně putuje po své legislativní trajektorii, aby mohl být schválen Radou a Evropským parlamentem, vyhlášen v Úředním věstníku EU a stal se platným (dvacátým dnem po vyhlášení). Kdy se tak stane, si netroufám odhadovat. Nicméně některé termíny jsou v novém návrhu vázány právě na okamžik platnosti nově novelizovaného nařízení (jako například samotná dostupnost nových peněženek digitální identity, viz dále). A bude velmi zajímavé, jak se podaří tyto termíny reálně sladit s pevně naplánovaným postupem hledání technického řešení – jehož nalezení nutně musí předcházet praktické dostupnosti samotných peněženek.

Ještě ale jedna drobná terminologická poznámka: zatímco dnes jsme o aktuálním právním rámci zvyklí mluvit jako o „nařízení eIDAS“, do budoucna si zřejmě budeme muset zvyknout na to, že už to bude „rámec pro evropskou digitální identitu“.  

Nové peněženky do 12 měsíců od platnosti a třeba i od soukromoprávních subjektů

Jedním z termínů, které jsou navázány na platnost nového nařízení (a nikoli na dostupnost technického řešení, v podobě tzv. toolboxu), jsou samotné peněženky digitální identity: podle nového článku 6a budou mít členské země 12 měsíců na zajištění dostupnosti nových peněženek digitální identity pro své občany:

Článek 6a
Evropské peněženky digitální identity
1. S cílem zajistit, aby všechny fyzické a právnické osoby v Unii měly bezpečný, důvěryhodný a hladký přístup k přeshraničním veřejným a soukromým službám, vydá každý členský stát do dvanácti měsíců od vstupu tohoto nařízení v platnost evropské peněženky digitální identity.

Zmíněných 12 měsíců je hodně krátký termín – zvláště když si uvědomíme, že technické řešení pro budoucí peněženky se teprve začíná hledat. Na druhou stranu dnes ještě nevíme, od jakého data se oněch 12 měsíců bude počítat, protože to záleží na délce trvání celého legislativního procesu (přijetí nového nařízení v Radě a Parlamentu).

Upřesněme si ale jednu docela důležitou věc: zatím jsme pro jednoduchost předpokládali, že budoucí evropské peněženky digitální identity budou vydávat přímo jednotlivé členské státy. Tak ostatně vyznívá i výše citovaný odstavec 1 nového článku 6a. Ovšem další odstavec téhož článku připouští i jiné možnosti:

2. Evropské peněženky digitální identity jsou vydávány:
a) členským státem;
b) z pověření členského státu;
c) nezávisle, ale jsou uznávány členským státem.

To by mělo znamenat, že peněženky digitální identity by mohly vydávat i soukromoprávní subjekty – pokud jim to příslušný členský stát „aktivně posvětí“ (přímo je pověří jejich vydáváním, nebo alespoň bude uznávat již vydané peněženky). Možností je tedy více a soukromoprávním subjektům se zde otevírají docela široké možnosti.

Jak se bude hledat technické řešení?

Aby se ale nové evropské peněženky digitální identity mohly začít vydávat, a hlavně aby fungovaly tak, jak mají, a měly všechny požadované vlastnosti, včetně nezbytné interoperability a bezpečnosti, musí být nejprve nalezeno jejich technické řešení – od celkové architektury přes výběr vhodných technologií, standardy a normy až po postupy, certifikace atd. A to pro všechny součásti nového „rámce pro evropskou digitální identitu“, což nejsou jen samotné peněženky, ale vše kolem jejich fungování. Třeba i ona nově zaváděná elektronická potvrzení atributů, elektronická pověření atd.

Určitě to nebude jednoduché a snadné. A to i přesto, že pořádný kus práce na různých dílčích částech již byl odveden. Existují totiž určité vzory či základy, na kterých by se mohlo dále stavět. Zmínit zde mohu například tuto studii (ke konceptu self-sovereing identity a jeho implementaci pomocí blockchainu) či projekt IRMA, který by mohl posloužit jako určitá inspirace pro samotné peněženky. Dále projekty konsorcia W3C k distribuovaným identitám a identifikátorům či již jednou zmiňovaný návrh ověřitelných pověření (potvrzení), iniciativa CCI (Covid Credentials Initiative), Europass Digital Credentials a jistě mnohé další.

Takováto řešení a technologie by se mohly stát základem, na kterém bude vybudován celý „společný soubor nástrojů Unie pro koordinovaný přístup k rámci pro evropskou digitální identitu“, jak se dlouze říká oné druhé „věci“, zmiňované v úvodu tohoto článku (zatímco jedním slovem jde o tzv. toolbox): technickému řešení, na kterém má být vše postaveno.

Zopakujme si tedy, že technické řešení ještě není připraveno (i když určité výchozí prvky k dispozici jsou) a musí být nejprve nalezeno. Důležité tedy je: kdo je bude hledat, kolik času na to bude mít, jakou podobu bude mít výsledek (onen toolbox) a do jaké míry bude výsledek závazný.

Odpověď na takovéto otázky dává druhý legislativní akt, který Evropská komise zveřejnila také již 3. června 2021, a tedy souběžně s návrhem nového nařízení (které bude závazným, a dokonce přímo účinným právním předpisem). Zde ale již nejde o právně závazné nařízení, ani o směrnici, nýbrž jen o (právně nezávazné) doporučení Komise.

Formálně jde o Doporučení Komise (EU) 2021/946 ze dne 3. června 2021 o společném souboru nástrojů Unie pro koordinovaný přístup k rámci pro evropskou digitální identitu.

Toto doporučení je adresováno členským státům a vyzývá je k hledání onoho „společného souboru nástrojů Unie“ (anglicky: Common Union Toolbox), který by měl zahrnovat (řečeno právnickou terminologií):

a) technickou architekturu a referenční rámec vymezující fungování rámce evropské digitální identity v souladu s nařízením eIDAS, při zohlednění návrhu rámce pro evropskou digitální identitu předloženého Komisí;
b) společné normy a technické specifikace podle bodu 3 odst. 2;
c) společné pokyny a osvědčené postupy v oblastech, kde sladění postupů podpoří hladké fungování rámce pro evropskou digitální identitu podle bodu 3 odst. 3 tohoto doporučení.

Co všechno je ve hře a co bude toolbox zahrnovat, ilustruje podrobnější výklad v bodu 3 odst. 2, avizovaném výše v rámci písmene b):

Doporučuje se, aby členské státy určily společné normy a technické reference zejména v těchto oblastech: uživatelská funkčnost peněženek evropské digitální identity, včetně podepisování prostřednictvím kvalifikovaného elektronického podpisu, rozhraní a protokoly, míra jistoty, oznamování spoléhajících se stran a ověřování pravosti jejich údajů, elektronické potvrzování atributů, mechanismy ověřování platnosti elektronických potvrzení atributů a s nimi spojených osobních identifikačních údajů, certifikace, zveřejňování seznamu peněženek evropské digitální identity, oznamování porušení bezpečnosti, ověřování identity a atributů kvalifikovanými poskytovateli služeb vytvářejících důvěru pro elektronické potvrzování atributů, ověřování identity, minimální seznam atributů ze spolehlivých zdrojů, jako jsou adresy, věk, pohlaví, občanský stav, složení rodiny, státní příslušnost, vzdělání a odborné kvalifikace, tituly a licence, jiná povolení a platební údaje, katalog atributů a systémy potvrzování atributů a ověřovací postupy pro kvalifikované elektronické potvrzování atributů, spolupráce a správa.

Konkrétní přípravou toolboxu má být pověřena expertní skupina k nařízení eIDAS:

Doporučuje se, aby členské státy prováděly toto doporučení prostřednictvím expertní skupiny eIDAS.

Důležitý je i časový harmonogram, který je v Doporučení obsažen již jako absolutní (tj. s konkrétními termíny) a měl by vrcholit v době druhého předsednictví ČR v Radě EU. Nejde tedy o relativní načasování, jako je tomu u návrhu nařízení (s termíny vztaženými k okamžiku platnosti, případně účinnosti nařízení). Což souvisí s tím, že (právně nezávazné) Doporučení nemusí čekat na žádné pozdější nabytí platnosti či účinnosti.  

3) Předpokládá se následující harmonogram provádění tohoto doporučení:
a) do září 2021: dohoda o procesu a pracovních postupech, zahájení postupu shromažďování dat od členských států a diskuse o návrhu technické architektury;
b) do prosince 2021: dohoda o návrhu technické architektury;
c) do června 2022, určení konkrétní technické architektury, norem a referencí, pokynů a osvědčených postupů pro:
   1) poskytování a výměnu atributů identity;
   2) funkčnost a bezpečnost peněženek evropské digitální identity;
   3) budování důvěry v peněženky evropské digitální identity včetně ověřování identity;
   4) správu;
d) do 30. září 2022: dohoda mezi členskými státy, v úzké spolupráci s Komisí, o souboru nástrojů pro provádění rámce pro evropskou digitální identitu zahrnujícím komplexní technickou architekturu a referenční rámec, společné normy a technické reference a pokyny a osvědčené postupy;
e) do 30. října 2022: zveřejnění souboru nástrojů Komisí.

Pokud správně rozumím vzájemné provázanosti mezi Doporučením a Nařízením, měl by být výsledek celého snažení (hledání technického řešení, resp. naplnění toolboxu) formalizován tak, že příslušné specifikace Komise předepíše pomocí prováděcích aktů. K tomu má Komise přímo v návrhu novelizovaného nařízení potřebná zmocnění. Například pro základní vlastnosti a funkce peněženek digitální identity:

Do šesti měsíců od vstupu tohoto nařízení v platnost stanoví Komise prostřednictvím prováděcího aktu o zavedení evropské peněženky digitální identity technické a provozní specifikace a referenční normy pro požadavky uvedené v odstavcích 3, 4 a 5.

Zajímavý je zde rozdíl mezi „absolutním“ načasováním v Doporučení a „relativním“ v Nařízení: zatímco toolbox má být reálně naplněn do 30. září 2022 (kdy má dojít k dohodě na jeho obsahu), k vydání prováděcích aktů má dojít „do šesti měsíců“ od platnosti novelizovaného nařízení. A to si ještě musíme připomenout výše popisovaný termín pro samotné vydávání peněženek digitální identity: do 12 měsíců od platnosti nařízení.

WT100 temata

Aby mohla být dodržena potřebná časová souslednost, nemělo by novelizované nařízení nabýt platnosti dříve jak koncem března příštího roku (2022), aby pak zbývalo nejméně oněch 6 měsíců (do shody na obsahu toolboxu) na vydání prováděcích aktů. Bude tedy záležet na konkrétním naplnění celého Řádného legislativního postupu. Ale snad v tom problém nebude, když podle statistik trvá legislativní proces spíše delší dobu, a navíc se neustále prodlužuje:

Průměrná doba pro přijetí návrhu Komise v prvním čtení od jeho zveřejnění až po podpis následující po schválení aktu činila ve volebním období 2014–2019 téměř 18 měsíců, ve srovnání se 17 měsíci v období 2009–2014, 16 měsíci v období 2004–2009 a 11 měsíci v období 1999–2004.

V dalším článku si řekneme o tom, že nové návrhy chtějí zavést „jedinečný a trvalý identifikátor v souladu s právem Unie, aby uživatele na jeho žádost identifikovaly v případech, kdy je identifikace uživatele vyžadována právními předpisy“. Zastavíme se ale i u toho, jaký je rozdíl mezi potvrzeními atributů (attestation of attributes) a pověřeními (credentials), protože nové návrhy se podrobněji zabývají pouze tím prvním, zatímco tím druhým nikoli.

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.