Vyšlo na Lupě, 9.5.2011
Vytištěno z adresy: http://www.earchiv.cz/b11/b0509001.php3

De-Mail: rozumnější než datové schránky?

Naše datové schránky jsou v mnoha aspektech světovým unikátem. Příklad Německa a jeho služby De-Mail ukazuje, že řada věcí mohla (a asi i měla) být jinak.

Minulý týden v Německu nabyl účinnosti nový zákon, který vytváří právní rámec pro používání nové služby s názvem De-Mail. Již podle názvu jde o variantu elektronické pošty, která má fungovat „právně závazným“ způsobem: má zajištovat spolehlivý, důvěrný a průkazný přenos, jednoznačně identifikovat odesilatele i příjemce, a má také potvrzovat doručení i vyzvednutí/přečtení. Její použití bude mít obdobné možnosti a právní účinky jako klasická (listovní) pošta, včetně možnosti doručení do vlastních rukou a stejné fikce doručení jako u listovních zásilek (a to do 3 dnů).

V mnoha ohledech tedy jde o obdobu našich datových schránek. Proto snad nezaškodí určité srovnání. Byť zatížené tím, že u nás datové schránky fungují v ostrém provozu již řadu měsíců, zatímco v Německu (po účinnosti příslušného zákona) teprve plánují spuštění ostrého provozu, ještě v letošním roce. Po půlročním pilotním provozu.

Pro koho?

Velkých a poměrně zásadních rozdílů mezi německým De-Mailem a našimi datovými schránkami je požehnaně. A nejde zdaleka o takové detaily, jako zájem nazývat věci pravými jmény: zatímco v Německu sami mluví o variantě emailu, u nás se něčemu takovému vehementně bráníme.

Místo toho oficiálně hovoříme o „krátkodobém úložišti“ (s omezením na 90 dnů), a o datových schránkách uvažujeme prakticky pouze v kontextu eGovernmentu. To v Německu se nebojí prezentovat své řešení též jako formu boje proti spammingu. Konkrétně jako řešení, které emailovou komunikaci konečně zbaví záplavy nevyžádaných zpráv, bez jasné identifikace původce zprávy a s bohatými možnostmi jak falšovat to či ono.

Osobně ale za největší odlišnost považuji to, proč vše vzniklo.

U nás si stát skrze datové schránky řešil jeden ze svých mnoha problémů: doručování úředních zásilek jejich příjemcům. A tak datové schránky primárně vznikly jako nástroj pro doručování (směrem od orgánů veřejné moci), ke kterému se přidala i možnost podávání (tj. pro opačný směr, neboli pro činění podání vůči orgánům veřejné moci). Vše v rámci „veřejnoprávní“ komunikace.

Teprve dodatečně, prý na základě požadavků podnikatelské sféry a přes námitky některých autorů původní koncepce, se připustila možnost využít datové schránky i pro „soukromoprávní“ komunikaci. Byť s poněkud odlišně nastaveným chováním (způsobu zpoplatnění, nutností potvrzovat přijetí, bez fikce doručení atd.).

To v Německu na to jdou opačně: stát iniciuje (nikoli sám buduje, viz dále) novou službu, určenou celé společnosti, a pro její fungování vytváří potřebné podmínky (včetně legislativních). Sám také bude jejím uživatelem (a „naváže“ si na ni své doručování), ale primárně je to řešení pro kohokoli, kdo chce využívat elektronickou obdobu listovní pošty, s garantovaným způsobem fungování a právní závazností. A nejspíše i bez spamu. Ovšem zase nikoli zadarmo.

Stát zřizuje vs. stát definuje

S tím souvisí i další významné odlišnosti. Zatímco u nás je zřizovatelem a správcem datových schránek stát, skrze své Ministerstvo vnitra, v Německu stát pouze stanovuje podmínky a kontroluje jejich dodržování: definuje, co a jak musí De-Mail splňovat, od funkcionality až po bezpečnost – ale konkrétní  implementaci a provoz nechává na privátních subjektech. Ty musí prokázat splnění všech požadavků (skrze proces jednorázové akreditace), a i průběžně pak podléhají určitému dohledu ze strany státu (pravidelným bezpečnostním auditům).

Podobně je tomu i se zpoplatněním: služby De-Mail nebudou poskytovány zdarma, ale budou placené. Platit budou uživatelé, a to jednotlivým poskytovatelům této služby, kteří si budou sami stanovovat své ceny. O zákazníka tak budou mezi sebou soupeřit i cenou.

Jde tedy o stejný model, jaký je používán i v ČR – ovšem nikoli u datových schránek, ale třeba u certifikačních autorit. Ty jsou u nás komerčními subjekty, a pokud chtějí vydávat kvalifikované certifikáty, použitelné ke komunikaci s úřady, podléhají jednorázové akreditaci i průběžnému dohledu státu. Ceny si také stanovují samy, a stát se ve stejném podnikání neangažuje (neprovozuje veřejnou certifikační autoritu).

V případě datových schránek si ale náš stát vybral jiný model, nejspíše vycházející už z jeho hlavní motivace (řešit vlastní problém, viz výše): datové schránky si „vzal na svá bedra“. Místo pro konkurenci se rozhodl pro monopol, který udělil České poště, a té také za provozování datových schránek platí (paušálně 15 milionů Kč měsíčně, plus za jednotlivé datové zprávy). I formálně přitom  zůstal zřizovatelem datových schránek, a stále má přímo „pod palcem“ řadu klíčových aspektů, včetně správy uživatelů datových schránek.

Centralizace vs. decentralizace

Naše datové schránky, stejně jako německý De-Mail, jsou (resp. budou) zcela odděleny od veřejných systémů elektronické pošty. Jinak se ale budou zásadně lišit v tom, že De-Mail bude mít stejnou celkovou koncepci jako dnešní internetová pošta a bude využívat i stejné technologie (jen více „zabezpečeným“ způsobem, viz dále), zatímco naše datové schránky jsou koncepčně zcela odlišné a používají takové technologie, které je nutné považovat za proprietární.

Celý systém De-Mail bude plně decentralizovaný: bude založen na poštovních  serverech, které budou důsledně využívat zabezpečené formy komunikace na bázi již dnes existujících internetových standardů. Jednotlivé zprávy budou přenášeny i uchovávány v šifrovaném stavu, aby byla zajištěna jejich důvěrnost. Nepůjde ale o „end-to-end“ šifrování, v rámci kterého by zprávy byly šifrovány samotnými uživateli (a poskytovatel služby je nedokázal dešifrovat).

To by totiž vyžadovalo, aby každý uživatel měl vlastní (šifrovací) certifikát, dostupný skrze vhodný (a samozřejmě plně fungující) adresář všech takovýchto certifikátů od všech uživatelů. Místo toho šifrování zajistí (v rámci přenosu i na serverech, a to svými klíči) sám poskytovatel služby. Vedle toho ale má povinnost provozovat i příslušné adresáře, tak aby ti uživatelé, kteří to chtějí, mohli zveřejnit nejen svou identitu, ale i své šifrovací certifikáty (s veřejnými klíči), a díky tomu mohli používat end-to-end šifrování ve vzájemné komunikaci, pokud sami chtějí.

V případě datových schránek je tomu přesně opačně: celý informační systém datových schránek je (přinejmenším koncepčně) plně centralizovaný, a jeho vnitřní architektura a technologické řešení nejsou příliš publikovány. Takže se ani neví, zda jsou jednotlivé datové zprávy nějak šifrovány. Nejspíše nikoli, už kvůli přidávání  časových razítek v ISDS na nezašifrovanou zprávu. Důvěrnost je pak řešena „netechnicky“, konstatováním v zákoně 300/2008 Sb., §14/6, že správce ani provozovatel nejsou oprávněni k přístupu do datových schránek jiných subjektů.

A co do použití konkrétních technologií asi není třeba připomínat, jakou roli zde hraje „ne zcela standardní“ formát ZFO, a jak je třeba používat 602XML Filler.

Zásadně se ale liší i koncepce uživatelských adres. Zatímco u datových schránek je používán velmi specifický formát (možná cílený na co nejobtížnější zapamatovatelnost), u německého De-Mailu jsou používány „klasické emailové adresy“ (přesněji: adresy dle RFC822). Jejich doporučený tvar pro soukromé osoby je

jméno.příjmení@poskytovatel.de-mail.de

Firmy, instituce atd. si pak mohou vytvářet vlastní subdomény (pod de-mail.de). Možné jsou i pseudonymy, ale ty musí být viditelně označeny (alias přes zavináčem musí začínat na pn_).

Stejné  jako u nás je to, že před zřízením účtu/schránky a přidělení adresy musí žadatel náležitě prokázat svou identitu. U nás ji prokazuje vůči státu (skrze CzechPointy či přímo MV ČR), zatímco v Německu ji prokazuje příslušnému poskytovateli, kterého si sám vybral.

A ještě jeden zásadní rozdíl: adresy v De-Mailu jsou veřejné a jednotliví poskytovatelé (i držitelé subdomén) mají povinnost vytvářet jejich veřejně přístupné adresáře, spolu s možností (nikoli povinností) zveřejnit i vlastní šifrovací certifikát. Veřejné už ale nejsou další údaje o identitě držitele, jako třeba bydliště dotyčné osoby apod.

Naproti tomu adresy, používané v rámci našeho informačního systému datových schránek jsou neveřejné.

Dobrovolnost vs. povinnost, fikce doručení

Naše datové schránky, stejně jako německý De-Mail, doručují zprávy s řádnými „právními důsledky“ (tj. zpráva je považována za doručenou i z pohledu práva a běhu příslušným lhůt). A to včetně fikce doručení, která je v Německu dokonce ještě přísnější než u nás: jde o 3 dny od dodání zprávy do (datové) schránky. Pokud se majitel schránky do ní nepřihlásí dříve.

Jenže, a to je zcela zásadní odlišností: zatímco u nás je vše postaveno na povinnosti, v Německu je to postaveno na dobrovolnosti: zmíněná fikce doručení (3 dny) platí jen pro toho, kdo sám rozhodl, že chce, aby mu bylo takto (výhradně v elektronické podobě a s fikcí) doručováno. Musí si tuto možnost sám navolit.

A princip dobrovolnosti se v Německu (na rozdíl od ČR) uplatňuje i obecně: zřízení účtu u služby De-Mail a její používání je pro všechny subjekty dobrovolné, nikoli povinné. K tomu je vhodné dodat, že třeba úřady mají pro vzájemnou komunikaci v elektronické podobě vlastní služby.

Fikce elektronického podpisu

Německý De-Mail také nemá jednu vlastnost, kterou naopak mají naše datové schránky: ty používají ještě jednu fikci, a to fikci elektronického podpisu. Byť je v našem, zákoně definována velmi vágně až chybně, což v praxi může vést k nejasnostem a problémům:

„úkon, učiněný prostřednictvím datové schránky, má stejné účinky jako úkon učiněný písemně a podepsaný“

Své podání (jako úkon) tedy například nemusíte napsat (aby to bylo písemné), ale můžete ho třeba namluvit, nazpívat či natočit na video. Ale častěji je to interpretováno tak, že své písemné podání nemusíte opatřovat elektronickým podpisem. Což si někteří lidí v praxi vykládají dokonce tak, že podepsány nemusí být ani přílohy, obsažené ve vašem podání (jejichž autorem je někdo jiný).

Důvodem pro zavedení této (troufnu si říci nebezpečné) fikce elektronického podpisu zřejmě bylo to, aby soukromé osoby či firmy (při svých podáních vůči orgánům veřejné moci) nemusely používat elektronický podpis (zatímco orgány veřejné moci své dokumenty musí elektronicky podpisovat, a měly by i opatřovat časovými razítky, podle jiných právních předpisů).

V Německu ale u De-Mailu žádnou takovouto fikci nemají: když někdo chce učinit v elektronické podobě takové podání, které v listinné podobě vyžaduje vlastnoruční podpis, musí jej opatřit svým kvalifikovaným elektronickým podpisem (u nás by to byl uznávaný elektronický podpis). Pak ale také odpadají všechny ty nejasnosti a neurčitosti, které jsou spojeny s naší fikcí elektronického podpisu. Například je ihned jasné, že řádně podepsané musí být i všechny přílohy, resp. náležitosti podání v elektronické formě.

Synergie: ano, či ne?

Zajímavou odlišností mezi německým a českým přístupem jsou také možné synergie celého konceptu „zaručené elektronické komunikace“.

Například: když už došlo k jednoznačné identifikaci poměrně širokého okruhu osob (kterým byly zřízeny datové schránky, resp. účty u De-Mailu), mají být jejich adresy využity i pro jiné potřeby prokazování identity? U nás, vzhledem k jejich neveřejnému charakteru, k ničemu takovému nedošlo.

To v Německu si asi řekli, že když už někdo musel podstoupit proces vlastní identifikace (musel se někam dostavit a prokázat svou totožnost), tak se toho využije i jinde – a vymysleli doplňkovou službu s názvem De-Ident. Ta bude jakousi „státem zaštítěnou“  implementací jednotného přihlašování na principu OpenID.

Nebo z jiného pohledu: náš stát zavedl datové schránky jako „dočasné úložiště“ na 90 dnů - ale už nemyslel na to, co a jak mají lidé dělat s dokumenty, které potřebují uchovávat déle a udržovat je „v použitelném stavu“ (aby stále šla prokázat platnost jejich podpisů). Tento problém nebyl dosud vyřešen, a to dokonce ani na té úrovni, aby stát přestal vydávat vzájemně protichůdné informace ohledně toho, jak to vlastně dělat.

Jeden „názorový proud“ (ke kterému se osobně hlásím) sází na pravidelné přidávání časových razítek. Druhý názorový proud, přicházející hlavně z kruhů kokem Národního archivu, ale říká, že je to nesmysl a „přerazítkovávat“ se nemusí.

To v Německu na problematiku dlouhodobějšího uchovávání elektronických dokumentů snad přeci jen nějak myslí. Alespoň tím, že počítají s další doprovodnou službou De-Safe. Byť z dosud dostupných informací o ní není jasné, zda problém se „zastaráváním“ elektronických podpisů nějak vyřeší. U nás by analogií byla služba Datový trezor, kterou provozuje až Česká pošta (a která celý problém také nijak neřeší).

Úroveň bezpečnosti

Na závěr si ještě řekněme, že v Německu a v ČR se liší i přístup k „minimální bezpečnosti“. Zatímco u nás se autoři datových schránek dlouhou dobu dušovali, že zabezpečení na úrovni pouhého jména a hesla je postačující (a je podle nich používáno i v rámci internetbankingu), v Německu si na takovou hloupost netroufli. A tak základní úrovni je autentizace, která kromě jména a hesla požaduje ještě třetí prvek, kterým může být například jednorázový SMS kód, certifikát, či kód generovaný tzv. kalkulačkou apod. A teprve ten, kdo chce, může následně požádat o přihlašování pouze pomocí jména a hesla.

To u nás k tomu přistupujeme přesně opačně: základem je pouze jméno a heslo, a volitelně lze přejít k použití certifikátu. A do budoucna, až vývoj v ČR zase o něco pokročí, se zřejmě dočkáme jak jednorázových SMS kódů, tak i možnosti použití autentizačních kalkulaček. Alespoň tak to naznačuje testovací verze nového Portálu datových schránek, který by časem měl nahradit stávající webový portál ISDS, ale také Portál veřejné správy (PVS).