Připravovaná změna legislativy EU, která upravuje jeden ze segmentů digitálního trhu, dává příležitost podívat se na tuto problematiku širší optikou, resp. optikou jednoho z tradičních aktérů na tomto trhu v České republice, První certifikační autority, a. s.
eIDAS Digital Identity Wallet evropská legislativa elektronický podpis
Změna se týká evropského nařízení známého pod zkratkou eIDAS1, které v roce 2014 upravilo dvě oblasti – elektronickou identifikaci a služby vytvářející důvěru, jejichž převážnou část jsme dříve označovali jako certifikační služby. Zásadní změny jsou navrhovány u elektronické identifikace, kdežto v případě služeb vytvářejících důvěru jsou spíše marginální.
Předpokládá se, že nařízení eIDAS 2.02, jak bývá nový návrh označován, by se mělo stát jedním z témat českého předsednictví v Radě EU v druhé polovině letošního roku. To samozřejmě neznamená, že by čeští představitelé měli možnost do návrhu zasahovat ve větším rozsahu než představitelé jiných členských států, stanou se spíše moderátory mezi jednotlivými aktéry. Dává to ale naději, že na plánované změny bude u nás upřena větší pozornost a vznikne prostor na zamyšlení se nad celou problematikou a na maximální využití příležitostí, které eIDAS 2.0 nabídne. Toto nařízení dopadne na soukromý i veřejný sektor a má se za to, že bude určovat standardy pro různé typy elektronického právního jednání každého občana EU. Protože se jedná o předpis EU, řeší především přístup k přeshraničním digitálním online službám. Zároveň by mělo být silným signálem a doporučením, jak přistupovat k výlučně vnitrostátním řešením.
Při těchto úvahách bychom měli vzít v potaz výsledky hodnocení eIDAS 1.0, která provedla Evropská komise ve všech členských státech a na kterých založila nový návrh. Svá zjištění shrnula v důvodové zprávě k návrhu eIDAS 2.0. Především se ukázalo, že pokud se jedná o systémy elektronické identifikace, je úprava v eIDAS 1.0 nedostatečná a omezení na umožnění přístupu k online veřejným službám neodpovídá reálným požadavkům a očekáváním. Důvodem je skutečnost, že převážná většina potřeb v oblasti elektronické identity a dálkové autentizace zůstává v soukromém sektoru, zejména v oblastech, jako jsou bankovnictví nebo telekomunikace.
Evropská komise dále konstatovala, že řešení v oblasti identity, která nespadají do oblasti působnosti nařízení eIDAS, jako jsou řešení nabízená poskytovateli sociálních médií a finančními institucemi, vyvolávají obavy o ochranu soukromí a údajů. Tato řešení postrádají přeshraniční dosah, a nemohou tak účinně reagovat na nové požadavky trhu a nejsou schopná řešit zvláštní odvětvové potřeby v případech, kdy je identifikace citlivá a vyžaduje vysoký stupeň jistoty.
Lokální dopady globálních legislativních změn
S právními předpisy EU je – celkem logicky – jeden problém. Vznikají tak, že se zpravidla inspirují úspěšnými národními řešeními, a upraví se takovým způsobem, aby mezi nimi vznikl jakýsi výsledný průnik. S tím nemají zpravidla problém státy, které ještě k řešení daného problému nepřistoupily. Ty, které však již příslušné služby mají, nejsou nijak nadšené ze skutečnosti, že by měly úspěšné projekty nějakým způsobem upravovat, a tak je někdy raději ponechají použitelné pouze vnitrostátně. Např. v případě datových schránek Česko raději upustilo od prvotního záměru „přepracovat“ je do podoby „kvalifikované služby elektronického doporučeného doručování“ podle eIDAS. Kde jsme naopak naši praxi upravili, bylo používání hojně rozšířených, ovšem ryze českých elektronických značek, které jsme nahradili „evropskými“ elektronickými pečetěmi, jež mají několik zásadních odlišností. Do budoucna nejspíš musíme počítat se skutečností, že v oblasti elektronické identifikace bude nezbytné provést určité úpravy v naší NIA, resp. v celém řešení, alespoň pokud se jedná o přeshraniční používání elektronické identity.
Typy elektronických podpisů
Na druhou stranu však není v některých případech potenciál eIDAS zcela využit. Jako příklad může sloužit oblast elektronického podpisu. Začněme zdánlivou banalitou – kdysi dávno byl zvolen český termín „zaručený elektronický podpis“, který je velmi nešťastným až nebezpečným překladem anglického „Advanced Electronic Signature“ (AdES). Zdálo by se, že dává „zaručenost“, resp. záruku, že se na tento druh elektronického podpisu lze spoléhat – a to především jde-li o to, komu takovýto podpis patří. Tedy kdo je jeho autorem, resp. podepsanou osobou. Jenže právě toto zaručený elektronický podpis nezaručuje3. Ve zkratce – není zde žádný požadavek na certifikát, takže jej může vydat kdokoli (i podepisující osoba) a uvést v něm jakékoli údaje (třeba že je Bill Gates). Naopak u kvalifikovaných certifikátů platí, že jejich obsah musí ze zákona odpovídat skutečnosti a jejich poskytovatel za to ručí, a proto velmi pečlivě ověřuje totožnost žadatele o jeho vydání, případně i další skutečnosti, pokud mají být v certifikátu uvedeny (např. příslušnost k nějakému subjektu, např. zaměstnavateli). Pojem „zaručený“ je tak magický, že mu podlehli v minulosti i někteří čeští legislativci a stanovili v některých právních předpisech požadavek na použití „zaručeného elektronického podpisu“. I když ve většině zákonů a vyhlášek byl tento nedostatek již napraven, stále to neplatí o všech.
Na Slovensku takový problém nemají, anglické „Advanced Electronic Signature“ překládají jako „zdokonalený elektronický podpis“. To je možná méně libozvučné, ale jasně tím dávají najevo, že tento typ podpisu je něco víc než prostý elektronický podpis, kterým může být i jméno napsané z klávesnice, ale nic víc.
Ještě jeden příklad ze Slovenska, který ovšem platí pro naprostou většinu členských států – kvalifikovaný certifikát není přípustné vydat jinak než ve spojení s QESCD, tj. kvalifikovaným prostředkem pro vytváření elektronických podpisů, kterým je hodnocená čipová karta ve shodě s eIDAS. V České republice máme zákonem upravený tzv. uznávaný elektronický podpis a opět dochází k matení pojmů. Uznávaný je tak leda v ČR a jsou to vlastně dva typy elektronických podpisů schované pod touto legislativní zkratkou – kvalifikovaný elektronický podpis podle eIDAS (ten skutečně uznávaný v rámci EU je) a zaručený elektronický podpis založený na kvalifikovaném certifikátu. Ten první musejí používat orgány veřejné moci, pokud právně jednají, ten druhý všichni ostatní, pokud právně jednají vůči OVM – ti samozřejmě mohou používat i kvalifikovaný elektronický podpis. Čert aby se v tom vyznal, o chudáku uživateli nemluvě.
Že si byl zákonodárce problému vědom, vyplývá z důvodové zprávy k českému adaptačnímu zákonu4, kde se uvádí: Z pohledu povinného uznávání kvalifikovaného elektronického podpisu v ostatních zemích Evropské unie lze veřejnosti doporučit používání kvalifikovaných elektronických podpisů, přestože počáteční náklady mohou být vyšší než při pořízení zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu pro elektronický podpis. Pokud bude chtít občan používat kvalifikovaný elektronický podpis, bude muset vynaložit finanční prostředky na pořízení kvalifikovaného prostředku pro vytváření elektronických podpisů. To samozřejmě neplatí u občanských průkazů s čipem vydávaných zdarma od poloviny roku 2018, které takovým kvalifikovaným prostředkem jsou. Nechme se překvapit, jestli při další úpravě legislativy se odvážíme přiblížit se „zbytku“ EU a umožnit vydávání kvalifikovaných certifikátů výhradně ve spojení s QESCD. Z hlediska bezpečnosti a důvěryhodnosti je nezpochybnitelné, že umístění soukromého klíče v QESCD, ve kterém musí být generován, přičemž nesmí být možné jej „dostat ven“, představuje zcela jinou úroveň než jeho uložení v paměti počítače.
To samozřejmě není důvod, aby byly zcela zatracovány nižší typy elektronických podpisů, resp. certifikátů. Jen je žádoucí, aby ten, kdo pravidla stanoví, pečlivě zvážil všechny okolnosti, a je nanejvýš nutné, aby ten, kdo je podepisující osobou, byl srozumitelně informován o možnostech použití a případných omezení. Pokud se jedná o elektronickou komunikaci, jejíž náležitosti nejsou právním předpisem výslovně upraveny, je možné používat elektronické podpisy založené na jiných než kvalifikovaných certifikátech, zpravidla označovaných jako komerční. Instituce a firmy mohou provozovat vlastní certifikační autority a vydávat vlastní certifikáty s omezením jejich použití na zaměstnance, spolupracující subjekty a případně klienty. Setkávám se s nadšením některých pracovníků IT, pro které je postavení vlastní CA velkou výzvou. Je jen dobré vědět, že následné provozování a údržba už tak zábavné rozhodně nejsou. A každý subjekt si jistě vyhodnotí, zda je pro něj efektivní udržovat dva režimy a dvoje pravidla – jedna pro vlastní CA a druhá pro používání kvalifikovaných certifikátů v situacích, kdy je to nezbytné. A rovněž porovná náklady na pořízení a provoz vlastní CA ve srovnání s nákupem těchto služeb. Rozhodující pak není velikost firmy, ale frekvence komunikace. A ještě pro srovnání – není mi známo, že by provozování vlastní autority časových razítek bylo nějak zvlášť rozšířeno. V tomto případě je nezbytnost existence důvěryhodné třetí strany vnímána daleko citlivěji. Svou roli v tom samozřejmě hraje i nákladová složka.
Elektronická peněženka – Digital Identity Wallet
Určitou naději na „úklid“ v typech elektronického podpisu představuje eIDAS 2.0, resp. v něm obsažený návrh „vytvoření ekosystému digitální identity EU5 založeného na právních identitách vydaných členskými státy a na poskytování kvalifikovaných a nekvalifikovaných atributů digitální identity“. Členské státy budou mít povinnost vydat svým občanům zdarma peněženky digitální identity (European Digital Identity Wallet)6, které bude možné využít také jako prostředek pro vytvoření kvalifikovaného elektronického podpisu. Návrh eIDAS 2.0 záměrně připouští pouze nejvyšší úroveň elektronického podpisu dle nařízení eIDAS, který je celoevropsky právním ekvivalentem vlastnoručního podpisu na listině. Lze jen souhlasit s článkem, resp. jeho autory – právníky, že v České republice je pestrá paleta poskytovatelů služeb, kteří nabízejí „řešení pro vytváření elektronických podpisů často jen s nižšími úrovněmi elektronických podpisů a bez odpovídajících elektronických důvěryhodných záznamů či řešení pro dlouhodobou archivaci výsledných dokumentů, což nelibě nese určitá množina soudců, akademiků i odborné veřejnosti“7. Tím by také mohly napříště odpadnout různé protichůdné názory právníků a bohužel v některých případech i soudů.
Základní funkce Peněženky však bude identifikační, a stane se tak digitálním průkazem totožnosti při dodržení úrovně záruky VYSOKÁ dle stávajícího nařízení eIDAS, a to pro online, ale také offline použití. Reaguje rovněž na poptávku pro použití v mobilech a jiných mobilních zařízeních. Výzvou pro legislativce je oblast elektronické identifikace právnických osob. Tu prozatím v Česku právním předpisem upravenou nemáme – za právnickou osobu vždy jedná jedna či více fyzických osob.
Od členských států se očekává, že dospějí ke společné celoevropské dohodě na souboru nástrojů pro koordinovaný přístup k rámci pro evropskou digitální identitu, tzv. toolboxu8.
Novinky v eIDAS2
Je potěšitelné, že oblast služeb vytvářejících důvěru je ze strany Evropské komise hodnocena kladně jako fungující a rozvíjející se, bez nutnosti větších zásahů do legislativy. Nařízení eIDAS 2.0 poskytne větší podporu „remote“ řešením, po kterých je zvyšující se poptávka. Správu prostředků pro vytváření kvalifikovaných elektronických podpisů nebo kvalifikovaných elektronických pečetí na dálku jako kvalifikované služby může provádět pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru. To se již děje, služba je standardně poskytována, ale chyběla výslovná a jednotná právní úprava. Data pro vytváření, tj. soukromý klíč, mohou být tedy uložena v prostředku spravovaném podepisující osobou (čipová karta, hardwarový modul) nebo je může spravovat kvalifikovaný poskytovatel. Samozřejmě platí, že čipová karta může být víceúčelová – dnes běžně slouží jedna karta pro vytváření kvalifikovaného elektronického podpisu ve spojení s komerčním certifikátem pro autentizaci a ve spojení s identitním komerčním certifikátem pro elektronickou identifikaci.
Na příkladu nově navrhovaných služeb je možné demonstrovat již zmíněná úskalí právních předpisů EU. Návrh na kodifikaci nové kvalifikované služby v oblasti elektronické archivace zdůvodňuje EK tím, že řada členských států zavedla vnitrostátní požadavky na služby poskytující bezpečnou a důvěryhodnou digitální archivaci. V zájmu zajištění právní jistoty a důvěry považuje EK za nezbytné poskytnout právní rámec pro usnadnění přeshraničního uznávání těchto služeb. Tento rámec by měl podle EK rovněž přinést nové tržní příležitosti pro poskytovatele služeb vytvářejících důvěru. Uvidíme, a osobně na to nemám vyhraněný názor, zda potřeba přeshraničního uznávání je natolik silná, že povede ke změně vnitrostátních úprav. Rovněž není možné přehlédnout námitky, že tento typ služby, stejně jako kvalifikované elektronické účetní knihy, které jsou rovněž nově navrhovány, je zcela mimo rámec nařízení eIDAS a není jasné, z jakého důvodu by měl být regulován.
Úplnou novinkou je úprava elektronického potvrzení atributů. Pro tato potvrzení se stanoví, že nesou-li označení „kvalifikovaná“, mají stejný právní účinek jako zákonně vydaná potvrzení v tištěné podobě. A že vydaná v jednom členském státě se uznávají jako kvalifikovaná elektronická potvrzení atributů v jakémkoli jiném členském státě. Jednat by se mělo o informace o totožnosti, jako jsou adresy, věk, pohlaví, osobní stav, složení rodiny, státní příslušnost, vzdělání, odborné kvalifikace a tituly, licence, jiná povolení a platební údaje. Ty by pak měly být nabízeny, sdíleny a vyměňovány přes hranice za plné bezpečnosti s ochranou údajů a přeshraničním právním účinkem. Aktuálně je situace taková, že – jak konstatuje EK – některé členské státy zavedly nebo vytvářejí vnitrostátní systémy elektronické identity zahrnující digitální peněženky a vnitrostátní důvěryhodné rámce pro integraci atributů a oprávnění, další řešení jsou ve stádiu přípravy, a to i subjekty soukromého sektoru. Vznikají tedy opět odlišná řešení, stěží použitelná v rámci jednotného trhu.
Podle návrhu eIDAS 2.0 budou moci službu poskytovat jako kvalifikovanou pouze kvalifikovaní poskytovatelé služeb vytvářejících důvěru. Jejich povinností dále bude poskytování rozhraní s evropskými peněženkami digitální identity. Naopak peněženky by měly být vydány jednotlivými státy, případně jimi pověřenými subjekty. Elektronická potvrzení atributů nemusejí být nutně navázána na peněženky, mohou existovat i samostatně.
Co už teď budí v některých státech určité rozpaky, je ustanovení, že členské státy musejí zajistit, aby nejméně základní atributy, pokud se spoléhají na autentické zdroje v rámci veřejného sektoru, mohli kvalifikovaní poskytovatelé na žádost uživatele elektronickými prostředky ověřit autenticitu atributu přímo porovnáním s příslušným autentickým zdrojem na vnitrostátní úrovni nebo prostřednictvím určených zprostředkovatelů uznaných na vnitrostátní úrovni. Zde si Česká republika může oddechnout, obdobný mechanismus už v praxi funguje a pro příbuznou oblast je legislativně upraven.
Osobně považuji zavedení elektronických potvrzení atributů, a zejména těch kvalifikovaných, ať už samostatně existujících nebo ve spojení s peněženkou, za největší přínos eIDAS 2.0. Je v zájmu uživatelů, aby tato nesporně přínosná služba mohla být připravena a nabízena co nejdříve. Konkrétní představě o jejich podobě a fungování bohužel brání poněkud problematická nebo nezvykle použitá terminologie, možná i poněkud zmatečná. Zároveň prozatím nejsou k dispozici žádné upřesňující nebo vysvětlující dokumenty. Prováděcí akt by měla EK vydat až po šesti měsících od vstupu eIDAS 2.0 v platnost.
Co nás teď čeká?
Návrh eIDAS 2.0 bude v dohledné době projednáván ve výborech Evropského parlamentu, zejména v klíčovém výboru Průmysl, výzkum a energetika (ITRE). Tím se téma revize eIDAS dostane opět do popředí zájmu a jistě se objeví další upřesňující informace, např. právě těmto potvrzením atributů. Vše napovídá tomu, že se bude jednat o nějakou formu atributových certifikátů, byť možná ne přesně v takové podobě, jak je známe. Samozřejmě není jasné, z jakého důvodu tak nebyly nazvány. Možná jich bude existovat více typů, možná bude existovat rozdíl mezi kvalifikovanými a nekvalifikovanými. Podrobně se problému věnuje Jiří Peterka ve svém článku9 na Lupě.
Je vhodné připomenout, že nařízení eIDAS se stalo přínosným pro naplňování požadavků evropské směrnice PSD2, tj. Payment Services Directive, druhé směrnice Evropské unie o platebních službách. Ta významně ovlivnila, resp. to byl záměr, způsob provádění online plateb a poskytování informací v platebním styku. S ní je spjata PSD2 SCA, tj. Payment Services Directive 2 Strong Customer Authentication, která odkazuje na nařízení EK 2018/389 doplňující Směrnici a požadující dvoufaktorovou autentizaci. A dalším prvkem v této skládačce je norma ETSI TS 119 495 V1.5.1 (2021-04) Electronic Signatures and Infrastructures (ESI); Sector Specific Requirements; Certificate Profiles and TSP Policy Requirements for Open Banking. Velmi zjednodušeně – jedná se o definování požadavků na komunikaci mezi poskytovateli platebních služeb a institucemi spravujícími účty a vytvoření regulačního prostředí pro otevřené bankovnictví.
Také tento evropský právní předpis je ve stádiu revize a přípravy PSD3, co však zůstává, je používání dvou typů kvalifikovaných certifikátů podle eIDAS, a to pro autentizaci internetových stránek (QWAC) a certifikátů pro elektronickou pečeť, v obou případech uzpůsobených požadavkům PSD2.
Vraťme se však k přípravě eIDAS 2.0. Na jeho konečnou podobu budeme muset ještě nějakou dobu počkat a doufejme, že bude co nejkratší. Prozatím jsme zaznamenali celou řadu kladných reakcí, výhrady jsou ke srozumitelnosti některých ustanovení a nedostatku informací o tom, jak konkrétně mají být naplněna. Jak konstatovala sama EK, zúčastněné strany s převážně vnitrostátní zákaznickou základnou vyjádřily o přidané hodnotě evropského rámce digitální identity více pochybností. Zajímavé připomínky a náměty publikuje např. Jaap-Henk Hoepman, který se dlouhodobě zabývá ochranou soukromí, správou identit a internetem věcí. Jeden z výborů Evropského parlamentu, konkrétně Výbor pro občanské svobody, spravedlnost a vnitřní věci (LIBE), pana Hoepmana požádal před projednáváním návrhu eIDAS 2.0 o jeho názor, který byl následně zveřejněn10. Máme tedy možnost se na návrh podívat i trochu jinou optikou.
Je také zřejmé, že Evropské komisi velmi záleží na prosazení evropské peněženky digitální identity a elektronického potvrzení atributů a že udělá maximum pro přijetí tohoto návrhu. V současné době je velmi obtížné odhadovat, kdy by návrh mohl nabýt účinnosti, neboť některé kroky legislativního procesu nemají pevné lhůty – zjednodušeně je možné říci, že se jedná tak dlouho, než se Evropský parlament a Rada dohodnou – pokud není návrh shozen ze stolu, což se nepředpokládá. Sama EK žádné předpokládané datum nezveřejnila, odhaduje se rok 2023 nebo 2024. Na české straně bude následně nutné tzv. adaptovat některé naše zákony – nařízení sice platí v členských státech přímo, ale některé okolnosti je nezbytné konkretizovat – např. pokud jakékoli evropské nařízení stanoví, že členský stát vykonává kontrolu, český zákon musí stanovit, kdo ji konkrétně bude vykonávat. Je tedy úkolem státu, aby se problematice věnoval natolik, abychom se opět nedostali do situace jako v případě eIDAS 1.0, kdy „se nestihl“ schválit příslušný adaptační zákon a situace se zachraňovala metodickým pokynem, jehož právní síla je více než problematická.
Závěr
Popřejme tedy návrhu eIDAS 2.0 klidnou a úspěšnou plavbu nelehkým legislativním procesem, lemovanou 27 členskými státy zastoupenými v Evropském parlamentu a v Radě. A doufejme, že výsledek bude představovat významný posun v oblasti digitalizace a umožní poskytovat občanům nové, bezpečné a důvěryhodné služby.
A co to znamená pro nás? V oblasti elektronického podpisu, jak ho známe dnes, se toho moc nezmění, jen snad bude větší pořádek v terminologii a budeme využívat správně typy elektronického podpisu na těch správných místech a správným způsobem. Navíc budou k dispozici nové důvěryhodné služby s podepisováním spojené. Podstatné změny se budou týkat především elektronické identifikace a bude tlak na užívání vysoké úrovně záruk. Ta se stane standardem. Ostatně, tlak na zvyšování bezpečnosti ve všech oblastech, především v elektronické komunikaci, je na místě, jak nás přesvědčují poslední neradostné události.
Poznámky pod čarou:
- Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu.
- Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení rámce pro evropskou digitální identitu. https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:52021PC0281&from=EN
- Více k problematice PODANÝ, Jan: Podepisování soukromých listin včera, dnes a zítra. https://advokatnidenik.cz/2020/05/04/podepisovani-soukromych-listin-vcera-dnes-a-zitra/
- Zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce.
- Více k problematice: PETERKA, Jiří: Budoucnost elektronické identity v EU má být jednotná a decentralizovaná. Od české reality se dost liší. https://www.lupa.cz/clanky/budoucnost-elektronicke-identity-v-eu-ma-byt-jednotna-a-decentralizovana-od-ceske-reality-se-dost-lisi/
- Více k problematice PETERKA, Jiří: Evropské peněženky digitální identity budou průkazem i nosičem současně. https://www.lupa.cz/clanky/evropske-penezenky-digitalni-identity-budou-prukazem-i-nosicem-soucasne/
- KOVÁŘ, Dalibor, AMLER, Pavel: Už jste slyšeli o nařízení eIDAS 2.0? https://www.havelpartners.blog/blog/uz-jste-slyseli-o-narizeni-eidas-20/269
- DOPORUČENÍ KOMISE (EU) 2021/946 ze dne 3. června 2021 o společném souboru nástrojů Unie pro koordinovaný přístup k rámci pro evropskou digitální identitu. https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32021H0946&from=EN
- https://www.lupa.cz/clanky/eidas-a-problemy-s-duveryhodnosti-kvalifikovanych-certifikatu/
- https://blog.xot.nl/2022/01/31/civil-liberties-aspects-of-the-european-digital-identity-framework/index.html a https://blog.xot.nl/2021/06/14/the-european- digital-identity-framework/index.html