Evropské peněženky digitální identity mají přinést online obdobu Schengenu
Při přihlašování k online službám zahraničních (veřejnoprávních) poskytovatelů dnes ještě musíte překonávat národní hranice a procházet přes speciální brány. S budoucími peněženkami digitální identity to má jít přímo, bez těchto bran.
V dnešním, v pořadí již třetím článku se podíváme trochu podrobněji na některé konkrétní aspekty nejnovějších návrhů EU v oblasti elektronické identifikace, které Evropská komise představila již počátkem června. V prvním článku jsme si nastínili změnu celkového směrování (k principům decentralizované identity, resp. self-sovereign identity) a koncept tzv. evropské peněženky digitální identity (European digital identity wallet). V druhém článku jsme si přiblížili představy o realizaci: vytvoření nového rámce pro evropskou digitální identitu cestou novelizace stávajícího právního rámce (tvořeného nařízením eIDAS) a hledáním technického řešení (čemuž má napomoci souběžně vydané Doporučení Evropské komise).
Národní hranice stále ještě existují
Dnes začneme připomenutím jednoho z hlavních cílů navrhovaných změn: odstranit překážky bránící „přeshraničnímu“ využití elektronické identifikace.
Současný stav je takový, že pokud jednotlivé členské země vůbec mají svá vlastní řešení („schémata“) elektronické identifikace, pak tato nemusí vycházet ze stejných technických standardů a být vzájemně interoperabilní (schopné přímé vzájemné spolupráce). Proto případné „přeshraniční“ využití vyžaduje přizpůsobení realizované prostřednictvím speciálních bran (gateways, resp. eIDAS nodes). Tu „naši“ dnes provozuje sdružení CZ.NIC.
Jinými slovy a s určitým nadhledem: i v oblasti elektronické identifikace existují národní hranice, které se dají překračovat jen přes přesně vymezené hraniční přechody (ony brány).
Příkladem může být situace, kdy se někdo přihlašuje k tuzemskému poskytovateli služby prostřednictvím prostředku pro elektronickou identifikaci, který byl vydán na Slovensku. Nejprve musí zvolit přihlášení přes příslušnou bránu, pak vybrat stát, který mu vydal jeho (notifikovaný) prostředek elektronické identifikace, a nakonec se tímto prostředkem skutečně přihlásit. Vše naznačuje následující obrázek a podrobněji popisuje tento návod.
Opačnou situaci, kdy se někdo přihlašuje k zahraničnímu poskytovateli služeb prostřednictvím českého prostředku elektronické identifikace, zase ukazuje následující obrázek. Povšimněme si na něm, že jediným nabízeným prostředkem je zde náš elektronický občanský průkaz – protože aktuálně jde o jediný prostředek, notifikovaný v rámci našeho národního schématu (zatímco ostatní prostředky notifikovány nejsou).
Hranice mají padnout – alespoň pro nové peněženky
Připomeňme si znovu to, co jsme si popisovali již v prvním článku: že nové návrhy usilují o odstranění překážek „přeshraničního“ využití elektronické identifikace. Nikoli ale cestou odbourání vzájemně nekompatibilních národních elektronických identit a zavedením nové celounijní elektronické identity, nýbrž vytvořením jednotné a jednotně fungující nadstavby nad stávajícími národními identitami.
Až tato nadstavba, v podobě evropské peněženky digitální identity, by měla setřít rozdíly a překonat vzájemnou nekompatibilitu národních identit – tak, aby používání peněženky coby prostředku elektronické identifikace (s úrovní záruky „vysoká“) mohlo být jednotné a využitelné „přímo“ v celé EU, již bez nutnosti průchodu přes dosavadní brány. Tedy přinést jakousi online obdobu schengenského prostoru a spolupráce.
S kteroukoli „národní“ peněženkou by mělo být možné se přihlašovat ke všem poskytovaným službám v celé EU (které budou peněženky akceptovat, ať již povinně, či dobrovolně). Bez ohledu na to, kde (ve které členské zemi) byla ta která peněženka vydána. A mělo by to fungovat přímo, jen mezi uživatelem (resp. jeho peněženkou) a poskytovatelem služby, bez dalších prostředníků a bran.
Pro ilustraci si to představme na možné budoucí podobě přihlašování k našemu Portálu občana: přibude nová možnost přihlášení pomocí peněženky, která by měla být plnohodnotně dostupná pro všechny držitele peněženek z celé EU (tedy nejenom pro držitele těch českých).
„Přeshraniční“ využití elektronické identifikace, cestou peněženky digitální identity, by se pak již nemělo odlišovat v postupu a vykonávaných krocích od „vnitrostátního“ využití. Poznalo by se vlastně jen podle toho, že se liší země vydání peněženky a země, kde „sídlí“ služba, resp. její poskytovatel.
V zájmu zpětné kompatibility by nicméně měla být zachována existence dosavadních bran i možnost použití stávajících národních prostředků elektronické identifikace. Takže třeba v našem výčtu možností přihlášení „přes NIA“ by nadále měla zůstat možnost přihlášení přes „naši“ bránu (IIG – International ID Gateway).
Velkým problémem je ztotožnění
Pojďme nyní k další významné součásti nových návrhů, kterou je požadavek na zavedení jedinečné identifikace a také jedinečného identifikátoru, který má zajistit „jedinečnou a trvalou identifikaci fyzických osob“ napříč celou Unií.
Jde o reakci na jeden z největších problémů, který nastal při naplňování současného rámce (nařízení eIDAS), je podrobněji rozebírán v hodnoticí zprávě a týká se tzv. ztotožnění (identity matching). Projevuje se nejvíce v rámci (dosavadní) přeshraniční elektronické identifikace, kdy se uživatel z jedné členské země Unie (přesněji: prostřednictvím prostředků elektronické identifikace, vydaných v jedné členské zemi) přihlašuje k poskytovateli služeb v jiné členské zemi přes příslušnou bránu (viz výše).
Při takovémto „přeshraničním elektronickém styku“ dosud platí pravidla daná prováděcím nařízením Komise č. 2015/1501. To stanoví, že o každé osobě se předává tzv. minimální soubor osobních identifikačních údajů jedinečně identifikujících (fyzickou nebo právnickou) osobu. A ten v současné době (pro fyzickou osobu) povinně zahrnuje následující atributy příslušné osoby:
a) současné (současná) příjmení;
b) současné jméno (jména);
c) datum narození;
d) jedinečný identifikátor vytvořený odesílajícím členským státem v souladu s technickými specifikacemi pro účely přeshraniční identifikace a pokud možno následně neměnný.
Povšimněme si, že jméno, příjmení a datum narození nemusí postačovat k jednoznačné identifikaci konkrétní fyzické osoby – protože osob se stejným jménem, příjmením a datem narození může existovat více.
Co je jedinečný identifikátor?
Nicméně je zde ještě onen čtvrtý povinný údaj, představující onen „jedinečný identifikátor“. Jedinečný v tom smyslu, že pro stejnou osobu by měl být vždy stejný a pro různé osoby různý. Měl by být i bezvýznamový. Tedy takový, že sám o sobě nevypovídá nic o tom, komu patří.
Podle (jedinečné) hodnoty takovéhoto (jedinečného) identifikátoru by poskytovatel služby měl být schopen rozlišit mezi sebou osoby, které se shodují v hodnotách ostatních atributů. Konkrétně by měl být schopen poznat, zda jde o konkrétní osobu, která se k jeho službám přihlašovala již někdy dříve, nebo o někoho jiného (kdo má jen shodou okolností stejné jméno, příjmení a datum narození). Stejně tak by tento jedinečný identifikátor měl pomoci řešit situace, kdy si někdo změní své jméno či příjmení.
Tím se dostáváme k tomu, proč se vlastně mluví o jedinečné identifikaci (unique identification), a ne o jednoznačné identifikaci (unambiguous identification): při té jedinečné jde o rozlišení mezi „stejný“ a „jiný“, zatímco u té jednoznačné nás zajímá „kdo konkrétní“.
Představme si to na příkladu poskytovatele služeb, k jehož službě se někdo právě přihlašuje a je potřeba mu přiřadit správný uživatelský účet. Pokud stejný uživatel využil stejnou službu již někdy dříve, tato ho „již zná“ – při prvním přihlášení mu mohla vytvořit (místní) uživatelský účet a u něj si zapamatovat jeho jedinečný identifikátor. Takže když se někdy později přihlašuje někdo, kdo se prokazuje stejnou hodnotou svého jedinečného identifikátoru, může z toho poskytovatel služby dovozovat, že jde o stejnou fyzickou osobu. A to i kdyby si v mezidobí tato osoba třeba i změnila své jméno či příjmení (a případně i další své atributy).
Ostatně, návrhy Komise nově zavádí definici jedinečné identifikace, a „jdou na to“ skutečně přes výběr uživatelského účtu:
„uživatelským účtem“ [se rozumí] mechanismus, který uživateli umožňuje přístup k veřejným nebo soukromým službám za podmínek stanovených poskytovatelem služeb;
„jedinečnou identifikací“ [se rozumí] postup, při němž jsou osobní identifikační údaje nebo prostředky osobní identifikace porovnávány nebo propojeny se stávajícím účtem patřícím téže osobě.“
Aby to ale mohlo všechno takto fungovat, musí být ony jedinečné identifikátory skutečně persistentní, ve smyslu trvalé. Nesmí se v čase měnit ani při změně atributů svého držitele (např. změně jména), či v důsledku nějakých organizačních změn (přechodu na nové číselníky apod.).
Jedinečný identifikátor má být trvalý
Problém ale je, že jedinečný identifikátor, který je již dnes povinnou součástí onoho minimálního souboru údajů, podle současných požadavků nemusí být tak úplně trvalý. Jen: „pokud možno následně neměnný“ (v angličtině: as persistent as possible), viz výše. A tak nové návrhy Komise tyto požadavky zpřísňují a trvají na tom, aby jedinečný identifikátor (v rámci minimálního souboru) byl plně persistentní.
Navíc je podle hodnotící zprávy při přeshraniční elektronické identifikaci problém i v tom, že některé členské země nemají žádný „národní“ identifikátor, který by mohl být podkladem pro takovýto jedinečný identifikátor v rámci onoho minimálního souboru údajů. V neposlední řadě se ukázal být problém v tom, že mnozí (národní) poskytovatelé služeb požadují konkrétní druh (národního) jedinečného identifikátoru a neakceptují „zahraniční“ jedinečný identifikátor.
Nové návrhy Komise proto jdou i tímto směrem a snaží se řešit i tento problém. Jdou na to tak, že nejprve nařizují členským státům zajistit jedinečnou identifikaci. Následně požadují, aby jedinečný identifikátor, již dnes zařazovaný do minimálního souboru údajů, byl nejednom jednoznačný, ale nově také skutečně trvalý (persistentní, neměnící se v čase). Jeho předávání ale bude podmíněno žádostí samotného uživatele a potřebou identifikace, vycházející z právních předpisů. Nakonec si Komise nechává prostor pro vydání prováděcích aktů, které by upřesnily, jak má být vše realizováno:
Článek 11a
Jedinečná identifikace
1. Používají-li se k autentizaci oznámené prostředky pro elektronickou identifikaci a evropské peněženky digitální identity, zajistí členské státy jedinečnou identifikaci.
2. Členské státy pro účely tohoto nařízení zahrnou do minimálního souboru osobních identifikačních údajů uvedeného v čl. 12 odst. 4 písm. d) jedinečný a trvalý identifikátor v souladu s právem Unie, aby uživatele na jeho žádost identifikovaly v případech, kdy je identifikace uživatele vyžadována právními předpisy.
3. Do šesti měsíců od vstupu tohoto nařízení v platnost Komise prostřednictvím prováděcího aktu o zavedení peněženky evropské digitální identity, jak je uvedeno v čl. 6a odst. 10, dále upřesní opatření uvedená v odstavci 1 a 2.“
Za zmínku určitě stojí, že onen „minimální soubor osobních identifikačních údajů“ je v současném právním rámci (nařízení eIDAS) vymezen v kontextu přeshraničního (cross-border) využití. Důvodem je nejspíše to, že stávající rámec nechtěl příliš omezovat národní schémata elektronické identifikace, a tak se zaměřil jen na jejich vzájemné přizpůsobení (v rámci „přeshraničního“ využití).
Jak jsme si ale již popsali, nové návrhy – alespoň na úrovni nově zaváděných peněženek digitální identity – fakticky stírají rozdíl mezi „přeshraničním“ a „vnitrostátním“. Onen minimální soubor osobních identifikačních údajů, včetně jedinečného a nově i plně persistentního (trvalého) identifikátoru, by se tak měl reálně týkat všech transakcí s novou peněženkou – a být předáván „na žádost uživatele, aby jej identifikoval v případech, kdy je identifikace uživatele vyžadována právními předpisy“.
Jak to děláme u nás?
Mimochodem, zde v ČR už s takovýmto jedinečným identifikátorem (fyzických osob) pracujeme. Jde o tzv. bezvýznamový směrový identifikátor (BSI), který poskytovatel služby (SeP) dostává od národního bodu (NIA) coby prostředníka v našem nepřímém modelu elektronické identifikace (podrobněji). A některé poskytované služby dokonce vystačí jen s tímto identifikátorem a nepotřebují žádné další atributy této osoby.
Ostatně, můžete si to vyzkoušet sami, například na Portálu občana: pokud jste k němu byli přihlášeni již někdy dříve, již vás pod příslušným BSI „zná“. A tak když při přihlašování k němu zakážete předání všech (volitelných) atributů (konkrétně: jména a příjmení, data narození, telefonu a emailu), stejně se úspěšně přihlásíte. Portál vás totiž „pozná“ již podle vašeho bezvýznamového směrového identifikátoru, který od národního bodu také dostává.
Nicméně, a to je velmi podstatné: v celém našem nepřímém modelu elektronické identifikace klademe až extrémní důraz na obecnou nepřevoditelnost nejrůznějších identifikátorů – chceme, aby každý „viděl“ jedno a to samé pod různými identifikátory a bez explicitního oprávnění neměl možnost zjistit, zda ostatní „vidí“ to samé, či něco jiného. Používáme proto složitou soustavu různých agendových a základních identifikátorů (AIFO a ZIFO), jejichž vzájemný převod (přes převodník ORG, spravovaný Úřadem pro ochranu osobních údajů) je velmi pečlivě hlídán a vázán na explicitní oprávnění.
Důsledkem je velmi významný aspekt týkající se i našeho výše zmiňovaného bezvýznamového směrového identifikátoru: ten je pro každého poskytovatele služby jiný. Jinými slovy: různí poskytovatelé služeb „znají“ jednu a tutéž osobu pod různými (bezvýznamovými směrovými) identifikátory. Pokud by si je nějak vzájemně porovnávali, nezjistí z nich, zda jde, či nejde o stejnou osobu. Nemohou si tak „dát dvě a dvě dohromady“ a agregovat údaje o svých uživatelích. Jedinou možností je jejich převod přes převodník ORG, ke kterému je ale nutný právní nárok.
Má být „jedinečný a trvalý identifikátor“ stejný pro všechny SeP, nebo pro každého jiný?
Pro „přeshraniční“ elektronickou identifikaci, v rámci které se předává onen „minimální soubor osobních identifikačních údajů“ (jeho složení viz zde), se i z naší strany již dnes používá jedinečný identifikátor, konstruovaný podle současných požadavků, vyplývajících z nařízení eIDAS.
Soudě podle této prezentace by i náš „přeshraniční“ jedinečný identifikátor měl být konstruován na stejném principu jako při „vnitrostátním“ využití. Tedy tak, že identifikátor stejné osoby bude pro různé poskytovatele služeb (SeP) různý:
… Vydaný pro každého IdP i SeP unikátně…
Pokud ale správně rozumím novým návrhům na revizi nařízení eIDAS, tyto nijak nezasahují do způsobu konstrukce jedinečného identifikátoru a tím ani nepředepisují, zda má být „trvalý“ i ve smyslu „pro stejnou osobu stejný pro všechny poskytovatele služeb“ (nebo zda se může pro různé poskytovatele služeb lišit, jako je tomu u nás).
Otázkou ale je, zda by budoucí evropské peněženky digitální identity peněženky vůbec dokázaly zajistit různost, ale současně i skutečnou trvalost (persistenci) těchto identifikátorů pro různé poskytovatele služeb, a přitom splňovat všechny požadavky, které jsou na ně kladeny. Tedy třeba fungování i offline či požadavek mít podobu mobilní aplikace, a tudíž i „přestát“ případnou odinstalaci či přechod uživatele na nový mobil.
No, uvidíme. Věcí k vyjasnění je mnohem více, technické řešení se teprve hledá a i „právní ukotvení“ se může ještě změnit, neboť novelizující nařízení je stále jen v podobě návrhu.