Vyšlo v Deníku Insider, 1.9.2014
Vytištěno z adresy: http://www.earchiv.cz/b14/b0901002.php3

Elektronický svět už nebude takový, jaký býval. Přichází eIDAS.

Unijní nařízení eIDAS, o elektronické identifikaci a službách vytvářejících důvěru, chce sjednotit elektronickou Evropu

Tak už je to tady: mnozí nevěřili, že něco takového vůbec projde, a ono to nakonec prošlo docela hladce. V dubnu, ještě před koncem svého předchozího funkčního období, stihl Evropský parlament v prvním čtení odsouhlasit návrh Evropské komise, přezdívaný eIDAS. A Rada EU, která návrh následně dostala na stůl, jej z toho stolu neshodila (ani jej nevrátila europarlamentu zpět), ale také jej (v červenci) odsouhlasila. A tak mohlo samotné nařízení dostat svou definitivní podobu, a také definitivní načasování, skrze své zveřejnění v Úředním věstníku EU. Stalo se tak minulý týden, 28.8.2014, a nové nařízení dostalo číslo 910 (resp. 910/2014).

To, že vše prošlo tak hladce, dost možná souvisí i s tím, že jde o složitou technickou problematiku, které zase až tolik lidí nerozumí. Ono skutečně není snadné domyslet do důsledků to, k čemu všemu povedou líbivé slogany politiků o potřebě sjednocení v rámci celé Unie. A to jak při práci s elektronickými podpisy, tak i při nejrůznějším přihlašování (sdělování a prokazování vlastní identity) k on-line službám.

Pravdou je, že současný stav "věcí elektronických" není dobrý. Připomíná totiž souostroví s 28 vzájemně oddělenými ostrovy. Každý z nich používá pro elektronické podpisy a elektronickou identifikaci trochu jiné řešení. A nějaké jejich "přeshraniční" použití je sice teoreticky možné, ale prakticky téměř neschůdné. Třeba dokument, elektronicky podepsaný někým z jiné členské země (s využitím "tamního" certifikátu), by sice u nás měl mít stejné postavení a stejnou platnost jako dokument podepsaný v tuzemsku, ale reálná praxe je tomu na hony vzdálena.

Problém není ani tak v tom, že by se v různých členských zemích používaly jiné technologie. Ty jsou všude víceméně stejné. Problém je v tom, že není "o co opřít" důvěru, kterou chceme vkládat v aplikaci těchto technologií. Třeba právě u elektronického podpisu nevíme, zda se na konkrétní "zahraniční" podpis může spoléhat. Hlavně si nejsme jisti, kdo nám bude ručit za to, kdo je podepsanou osobou. Kdyby šlo o "náš" podpis, opírali bychom svou důvěru o "dobrozdání" jedné ze tří tuzemských akreditovaných certifikačních autorit (konkrétně I.CA, PostSignum a eIdentity, v podobě jimi vydaného kvalifikovaného certifikátu). Jenže co u těch zahraničních?

Podobně u elektronické identifikace: když se k nějaké tuzemské on-line službě bude chtít přihlásit nějaký zahraniční uživatel, a bude přitom používat své "národní" identifikační údaje, jak naše služba pozná, o koho jde? A kdo jí bude ručit za to, že jde skutečně o toho, za koho se vydává?

Právě takového věci chce řešit nové nařízení č. 910/2014, "o elektronické identifikaci a službách vytvářejících důvěru". Všimněte si onoho "službách vytvářejících důvěru" - to jsou právě ony "pevné body", o které můžeme následně opírat svou důvěru v něco jiného. Třeba v to, komu patří konkrétní elektronický podpis, či kdo se k nám právě přihlašuje. Takového služby pochopitelně samy také musí být důvěryhodné, ale to je jen nezbytný předpoklad: nám jde o to, co tyto služby produkují, co vytváří: jejich produktem jsou právě ona již zmiňovaná "dobrozdání", že něčemu (jinému) můžeme důvěřovat a spoléhat se na to. V takové a takové míře, v takovém a takovém ohledu, rozsahu atd.

Unie již dlouho volá po tom, aby celý systém nebyl tak rozkouskovaný a fragmentovaný, jako je dnes, kdy je téměř nemožné "přenášet důvěru" (v právě popsaném smyslu) mezi jednotlivými členskými zeměmi. Jenže samotná podstata Evropské unie, i její reálné fungování, znemožňují řešit vše bouchnutím do stolu a nařízením ve stylu: tady je jedno řešení, a všichni jej budete používat. Ať je to jednotné.

Nové nařízení skutečně nikoho nenutí, aby zahodil to vlastní řešení, které již má a používá (hlavně v oblasti elektronické identifikace). Místo toho složitě hledá, jak to zařídit, aby tato různá řešení (byť založená na stejných technologiích) mohla být vzájemně interoperabilní. Tedy aby si vzájemně "rozuměla" a mohla se i "přeshraničně" používat, pro přihlašování k nejrůznějším on-line službám. Podobně pro elektronické podpisy, ale i elektronické značky (nově pečetě), časová razítka a "další": používání těch zahraničních (z EU) by mělo být skutečně rovnocenné a stejně snadné, jako těch domácích. Vlastně by ani neměl být žádný rozdíl mezi "domácím" a "zahraničním".

Nakonec je to v samotném nařízení vymyšleno tak, že u elektronické identifikace si jednotlivé členské země mohou zvolit či ponechat jakékoli vlastní řešení. A pokud chtějí dosáhnout jeho "použitelnosti" i u služeb v jiných členských zemích, musí jej náležitě popsat a tzv. notifikovat ("nahlásit") do Bruselu. Je to dobrovolné, ale pokud se tak stane, budou mít ostatní členské země po určité době (cca od roku 2019) povinnost takto notifikovaná řešení podporovat u svých služeb. Dobrovolně tak samozřejmě mohou činit již dříve.

U elektronického podpisu bylo zvoleno řešení na stejném principu: jednotlivé země "sdělí" do Bruselu , které jejich služby "vytváří důvěru" (a jakou). Vlastně vytvoří jakýsi seznam "svých" služeb vytvářejících důvěru, a ostatní země s nimi pak pracují - skrze ně zjišťují, o co a kdy mohou opírat svou důvěru.

Zajímavé je, že stejný princip je u elektronických používán již dnes, v podobě tzv. TSL (Trusted List) seznamů, ale ne moc úspěšně. Bude nově, podle nového nařízení, fungovat lépe? To se teprve uvidí - od 1.7.2016, kdy nabudou účinnosti příslušné pasáže nového nařízení, a nahradí naši současnou právní úpravu elektron

ického podpisu.

Na závěr malá poznámka: o tom, jak složitá je celá problematiky a jak nesnadné může být její pouhé "uchopení", svědčí i historie českého překladu samotného nařízení z výchozí angličtiny. Ta totiž hovoří o "trust services", má-li na mysli ony služby, které "dávají své dobrozdání", za účelem možnosti důvěřovat něčemu jinému. Jenže nejenom překladatelé, ale i větší část odborné komunity, ono anglické "trust services" dlouho překládala jako "důvěryhodné služby", a nařízení vztahovala na všechny služby, od kterých očekáváme, že budou samy fungovat důvěryhodně. A těch je samozřejmě podstatně více, než těch, které "vytváří důvěru".

Naštěstí u nás ministerstvo vnitra včas otevřelo diskusi s odbornou veřejností, ze které nakonec vzešlo doporučení překládat "trust services" jako "služby vytvářející důvěru". A vnitro tento názor dokázalo také prosadit. Díky tomu máme nařízení "o elektronické identifikaci a službách vytvářejících důvěru". To třeba na Slovensku takováto diskuse neproběhla, a tak oni mají v překladu nařízení "o elektronickej identifikácii a dôveryhodných službách".