Vláda schválila novelu zákona o právu na digitální služby, která zavádí eDoklad – tedy možnost uložit občanku a další průkazy do mobilu. Návrh novely je k dispozici na portálu VeKLEP a čeká jej ještě schválení parlamentem. Na základě jeho znění a obsahu důvodových zpráv se podíváme na to, jak by měl eDoklad fungovat a jak se má k chystané Evropské peněžence digitální identity.
Novela zavádí pojem „digitální stejnopis průkazu“ a definuje potřebnou infrastrukturu a procesy pro poskytování, používání a ověřování digitálních stejnopisů průkazů. Průkazem je možné prokazovat totožnost a případně jiné skutečnosti (libovolný průkaz, který má obraz v některém z agendových systémů).
eDoklad funguje následovně: úřad odpovědný za vydávání fyzického průkazu rozhodne o vydávání jeho digitálního stejnopisu. Zaregistruje průkaz do seznamu vedeného DIA a připraví technickou integraci s portálem občana. Důležité je, že pro zavedení nových typů průkazů není potřeba změna zákona, jde o operativní akci, kterou legislativně plně pokrývá navrhovaná novela.
Pokud se držitel průkazu rozhodne, že chce využívat jeho digitální stejnopis, přihlásí se na portál občana svou elektronickou identitou a vyžádá si vydání digitálního stejnopisu. Vydavatel průkazu údaje, které je možné z fyzického průkazu přečíst při jeho předložení, převede do elektronické formy.
Pokud je údajů větší množství, může vydavatel průkazu vytvořit několik „balíčků“, aby bylo možné předkládat jen část údajů z průkazu. Takto vytvořené balíčky informací zapečetí zaručenou elektronickou pečetí založenou na kvalifikovaném certifikátu a skrze portál občana umožní jejich uložení do mobilní aplikace eDoklad držitele průkazu. Takto vydané digitální stejnopisy mají platnost 48 hodin a vydavatel průkazu je musí každých 24 hodin obnovovat a aplikace eDoklad je zřejmě bude automaticky pravidelně stahovat.
Držitel průkazu má vydané digitální stejnopisy uložené v mobilní aplikaci eDoklad a může je používat místo fyzické verze průkazu. Držitelem digitálního stejnopisu mohou být i nezletilí, pokud mají elektronickou identitu. Digitální stejnopis lze vydat pouze k průkazu, který existuje ve fyzické podobě. Digitální stejnopis je určen k použití výhradně za osobní přítomnosti jak držitele, tak zástupce ověřovatele.
Digitální stejnopisy průkazu může ověřovat jak veřejnoprávní, tak soukromoprávní subjekt, tzv. ověřující. Ověřující se nejprve musí zapsat do neveřejného seznamu ověřujících, který vede DIA a do kterého je možné se zapsat pomocí aplikace pro správu ověřujících s využitím elektronické identifikace. Jakmile je ověřující zapsán v seznamu, může umožnit držitelům digitálního stejnopisu průkazu jeho použití.
Pro ověření průkazu je možné využít buď mobilní aplikaci eDoklad Ověření (název zavedený autorem článku), která funguje i bez připojení k internetu, nebo webovou aplikaci, pro jejíž použití musí být obě strany „online“ a komunikace probíhá přes centrální server.
Ověření pomocí mobilní aplikace
Ověření pomocí mobilní aplikace v offline režimu je zachyceno na následujícím schématu a proces ověření je popsán pod obrázkem:
Ověření pomocí mobilní aplikace v offline režimu
Držitel digitálního stejnopisu průkazu si zajistí jeho vydání na Portálu občana (1, 2). Při předkládání digitálního stejnopisu vyzve ověřovatel držitele. Držitel spustí mobilní aplikaci eDoklad a zobrazí QR kód. Ověřovatel spustí ověřovací mobilní aplikaci a načte QR kód z aplikace držitele (3). Na základě údajů z QR kódu naváží aplikace komunikaci pomocí Bluetooth a dojde k výměně dat (4). Před odesláním údajů z průkazu je držiteli zobrazena informace o identitě ověřovatele a požadovaně sadě dat. Držitel schválí (nebo odmítne) poskytnutí údajů (5). Údaje jsou poté přeneseny přes Bluetooth spojení (4) a ověřovací aplikace údaje (pečeť) ověří a zobrazí.
Celá komunikace může probíhat bez připojení k internetu. Při offline použití musí mít držitel v aplikaci dostatečně „čerstvou“ verzi digitálního stejnopisu. Nesmí být starší než 48 hodin. Tzn. aplikace eDoklad musela být připojena k internetu v uplynulých 48 hodinách před ověřováním, jinak jsou digitální stejnopisy neplatné.
Pokud aplikace eDoklad má k dispozici připojení, musí ověřit, zda předkládaný digitální stejnopis je aktuální (§ 9d odst. 3).
Ověřování u webové aplikace
Při použití webové aplikace je postup ověřování následující:
Postup ověřování při použití webové aplikace
Držitel digitálního stejnopisu průkazu si zajistí jeho vydání na portálu občana (1, 2). Na ověřovacím pracovišti je umístěn statický QR kód. Ověřovatel vyzve držitele k naskenování QR kódu pracoviště. Držitel spustí mobilní aplikaci eDoklad, naskenuje QR kód (3). Aplikace eDoklad naváže na základě QR kódu spojení se serverem (4a). Prostřednictvím serveru se propojí webová aplikace s mobilní aplikací. Držiteli je v aplikaci eDoklad zobrazena informace o identitě ověřujícího a výčet požadovaných údajů. Držitel průkazu odsouhlasí (nebo odmítne) předání údajů. Webová aplikace pak ověří údaje (pečeť) a zobrazí získané údaje.
Kdo musí eDoklad akceptovat
Návrh zákona předepisuje povinnost akceptovat průkazy z aplikace eDoklad všem subjektům, kterým zákon ukládá povinnost ověřovat totožnost. Nedopadá tak jen na veřejnoprávní subjekty, ale také na subjekty soukromoprávní. Protože časový plán vydání zákona je ambiciózní, je povinnost akceptovat eDoklady rozvolněna v čase. eDoklad budou muset akceptovat:
- Od vyhlášení zákona ústřední správní orgány
- Od 1. 7. 2024 ostatní orgány veřejné správy včetně krajů a obcí (dobrovolně mohou kdykoli od vyhlášení zákona)
- Od 1. 1. 2025 soukromoprávní subjekty povinné ověřovat totožnost (finanční instituce v rámci AML, školy, zdravotnická zařízení apod. - dobrovolně mohou kdykoli od vyhlášení zákona)
Kromě subjektů, pro které je akceptace eDokladu dříve či později povinná, návrh zákona umožňuje využít eDoklad prakticky komukoli v rámci soukromoprávního jednání. Alespoň prozatím se nezdá, že by pro zápis na seznam ověřovatelů byly kladeny nějaké překážky. Kdokoli má zaručenou identitu, může se na seznam zapsat. Doufejme, že toto paradigma bude přejato také pro budoucí implementaci ekosystému evropské peněženky digitální identity a systém státem garantované identity se zcela otevře.
Uvidíme, jestli již od vyhlášení zákona bude kromě povinnosti eDoklad akceptovat také možné eDoklad získat.
Údaje získané při ověřování z digitálních stejnopisů průkazů bude možné přímo ukládat do informačních systémů. Pro přímé uložení elektronické verze je jako součást novely upravena textace AML zákona, který ukládá finančním institucím pořizovat kopie dokladů.
Náklady na akceptaci
Důvodová zpráva uvádí, že státní správa na zavedení a akceptaci dokladů vynaloží 50 milionů korun na centrální části řešení a aplikace v průběhu let 2023 až 2026. Celkové náklady napříč státní správou na akceptaci eDokladu jsou odhadovány na cca půl miliardy korun jednorázově a následně cca 60 milionů korun ročně provozních nákladů.
Převážná část nákladů je vyvolána nákupem mobilních zařízení pro ověřování, kde se předpokládá cena cca tři tisíce korun na jedno zařízení. Náklady, které se zavedením eDokladu budou mít samosprávy, jsou odhadovány na cca 135 milionů korun jednorázových nákladů.
Evropská peněženka digitální identity
eDoklady jsou českým předvojem připravované Evropské peněženky digitální identity (EDIW). eDoklady mají jisté rysy shodné se zamýšlenými funkcemi EDIW a lze předpokládat, že jednoho dne se možná aplikace eDoklady změní na implementaci právě jednotné evropské peněženky. Pro EDIW existuje již druhá verze (1.1.0) referenční architektury evropské peněženky digitální identity, a můžeme tedy srovnávat.
Digitální stejnopis průkazu je obdobou elektronické atestace atributů, jak je zavádí EDIW.
Vytváření balíčků nesoucích jen podmnožinu údajů průkazu odpovídá funkci tzv. selective disclosure, která je také součástí ARF.
EDIW má také online a offline scénáře. V případě EDIW je vidět silnější důraz na ochranu soukromí, kde při ověřovacích procesech je zakázáno, aby se o použití peněženky dozvěděl vydavatel průkazu (atributů), a to i při online scénáři, kdy ověřování probíhá přímo mezi dvěma zúčastněnými subjekty, a ne přes třetí server.
EDIW zavádí rejstříky vydavatelů atributů a rejstřík spoléhajících stran. eDoklad analogicky pracuje se seznamem ověřovatelů a také se seznamem průkazů, k nimž lze získat digitální stejnopis. EDIW je v tomto bodě výrazně otevřenější, zavádí dvě úrovně atributů (kvalifikované a ostatní) a otevírá celý ekosystém jak veřejnoprávním, tak soukromoprávním vydavatelům atributů. Součástí ARF je navíc rejstřík schémat atributů.
Platnost atributů
Problematiku odvolávání platnosti průkazu/atributů řeší eDoklady striktním nastavením délky platnosti na 48 hodin. Jedná se o kompromis mezi spoléháním na platnost údajů a nutností obnovovat neustále doklad uložený v telefonu. Celá odpovědnost zajištění platného stejnopisu je na jeho držiteli a neexistuje svoboda volby, kdy by si ověřovatel mohl rozhodnout, nakolik bude důvěřovat údajům v digitálním stejnopisu v offline scénářích a sám si řídit riziko.
DIA si na sebe šije bič neustále vytěžovaného datacentra. Každý stejnopis musí být nejméně jednou za den podepsán a nová verze podepsaného balíku stažena do telefonu držitele. Dovedu si představit, že správci infrastruktury se modlí, aby eDoklady nebyly přespříliš úspěšné. Pokud by eDoklady používaly miliony lidí a měly vydané desítky průkazů, mají centrální servery zaděláno na neustálou zátěž spojenou s neustálým přepočítáváním podpisů.
Odvolávání platnosti atributů je jedna z nejtěžších úloh i pro EDIW založenou na Self Sovereign Identity. Při kontrole platnosti atributu je třeba zachovat soukromí uživatele. Není tedy možné se doptávat na atributy konkrétního držitele u vydavatele atributu, ale je potřeba definovat protokol poskytující alespoň částečné soukromí na bázi seskupování stavů platnosti pro dostatečně velkou skupinu držitelů.
Ochrana osobních údajů
Součástí návrhu zákona ani v souvisejících dokumentech není nijak hodnocen dopad používání eDokladu na soukromí při použití eDokladu. Důvodová zpráva se zabývá ochranou osobních údajů, ale už ne soukromím při použití. Není se však čemu divit. Soukromí v dnešním centralizovaném nastavení systému elektronické identity je nulové a zjevně není něčím, čím by si státní úředníci lámali hlavu. Jenže eDoklad mění paradigma. Elektronickou identitu je dnes v ČR možné použít pouze vůči orgánům veřejné správy a výjimečně vůči soukromoprávním subjektům.
Nyní se nově otevírá možnost použít eDoklad i v soukromoprávním jednání. Pro tuto novou situaci je ignorace požadavků na soukromí při použití problematická. Pokud se já jako soukromá osoba rozhodnu použít eDoklad a předložím ho jinému soukromému subjektu, nemusí mi být milé, že by se o této interakci dozvěděl vydavatel dokladu.
Když tuto transakci zrealizuji plastovou občankou, informace nikam neunikají. Pokud zvolím eDoklad, i v případě mobil-mobil interakce zákon ukládá ověřit platnost stejnopisu, a dojde tedy k záznamu o jeho použití. Při mobil-desktop variantě je dokonce zaznamenána identita ověřujícího na centrálním serveru. Tenhle aspekt by bylo vhodné doladit.
V důvodové zprávě se připouští, že ověřovací aplikace v budoucnu bude moci být nejen ta státem poskytnutá, bude definován proces akreditace jiných implementací.
Digitální stejnopis na Portálu občana
V průběhu připomínkování byla ze zákona vyjmuta možnost získat digitální stejnopis průkazu také přímo na Portálu občana. Panovala obava, že kdyby bylo možné získat přímo použitelný digitální stejnopis, mohly by přijít pokusy o použití na dálku.
Nejsem si jist, zda se podařilo toto riziko eliminovat. Při použití modelu desktop-mobil, kdy je na desktopu používána webová ověřovací aplikace a na straně držitele mobil, nic nebrání tento scénář realizovat na dálku. Stačí přenést statický QR kód do aplikace eDoklad. Při komunikaci přes server nemusí být účastnící transakce na stejném místě. Bude to v rozporu se zákonem a nebudou existovat žádné garance vyplývající z legislativy, ale zřejmě to bude možné.
Něco na závěr
A na závěr jedna perlička z připomínek. Ministerstvo dopravy vyjádřilo názor, že některé průkazy jsou dle jeho názoru nedigitalizovatelné. Silně to připomíná reakce úřadů při tvorbě katalogu služeb a hodnocení možnosti jejich digitalizace, kdy se hledaly důvody, proč něco nejde digitalizovat, ale ve skutečnosti šlo pouze o zkostnatělost. Ministerstvo dopravy v roce 2023 prohlašuje, že například průkaz řidiče taxislužby je nedigitalizovatelný, protože:
„Průkaz řidiče taxislužby prokazuje, že jeho držitel je oprávněn vykonávat práci řidiče taxislužby, přičemž dle ustanovení § 21d odst. 3 zákona o silniční dopravě má být ve vozidle vystaven tak, aby se cestující mohl seznámit s údaji na něm uvedenými. Nadto zákon o silniční dopravě zná institut zadržení průkazu řidiče taxislužby v případě podezření ze spáchání závažného přestupku způsobujícího nespolehlivost. Pokud by tento průkaz mohl být v digitální podobě, nebylo by možné průkaz zadržet.“
Žádný z argumentů zde uvedených není relevantní. Vystavit informace o identitě řidiče taxíku lze na libovolném kusu papíru třeba v předepsaném formátu a klidně vybaveném QR kódem pro digitální ověření. U řidičského průkazu také existuje možnost odebrání, a přesto nebude od příštího roku povinnost ho nosit. Tuhle posedlost laminovanými papírky je potřeba vymýtit. Ve skutečnosti je jen velmi málo dokladů, které nejde digitalizovat. Ostatně, jsou to vždycky pouze nosiče informace.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU