Názory k článku Od zítřka digitálně

"Infrastruktura datových schránek bude pochopitelně redundantní..."
No že to zatím moc nevypadá ;-)
hint: http://www.rozhled.eu/?ip=82.208.28.233

Příklad: Posílám dopis „s dodejkou“, pošta mi vydá potvrzení, že dopis převzala, a později, že jej doručila spolu s vlastnoručním podpisem příjemce.

Když bude odesílatel a příjemce ve sporu, může odesílatel vyrukovat s „údajným“ podpisem příjemce. Pošta zde skutečně figuruje jen jako tupý prostředník. Pokud můj dopis ztratí, tak ji můžu umlátit jejím podpisem z odeslání.

Problém ale bude mít pošta s fikcí doručení, kdy dopis místo doručení hodí do kanálu (vzpomeňme Blansko) a údajný příjemce bude křičet, že žádný pokus o doručení nebyl učiněn.

Příklad: Posílám datovou zprávu, systém mi vydá potvrzení, že zprávu převzal a později, že jej doručil ale bez podpisu příjemce.

Když bude odesílatel a příjemce ve sporu, vždycky skončíte u systému. Jedině, kdy lze nad systémem vyhrát, je, když odesílatel i příjemce budou v ruce držet potvrzení o odeslání a přijetí zprávy podepsané systémem, ale systém bude tvrdit, že zpráva nebyla přepravována. Ovšem tento případ nás netíží, protože všichni až na systém jsou spokojeni.

V podstatě také problém s fikcí doručení. Prostě vztah mezi poštou a příjemcem je značně nerovný.

Systémy provozované on-line z několika lokalit to na sebe většinou snadno prozradí. Ale možná že je ISDS provozován on-line v několika lokalitách, jenom to (alespoň na první pohled) úspěšně tají.

Poštu při doručování hmotných zásilek kontrolovat lze. Když někdo – omylem nebo schválně – vytvoří žádost o vrácení (neexistujícího) přeplatku daně a mým jménem to zašle na finanční úřad, který mne následně zažaluje, mohu se bránit – na té žádosti nebude můj pravý podpis. Když to samé udělá (omylem nebo úmyslně) provozovatel datových schránek, mám smůlu – provozovatel bude tvrdit, že jsem to poslal já, já budu tvrdit, že jsem to neposlal, a je to tvrzení proti tvrzení. Zvláště pikantní to bude, když tou druhou stranou bude MV nebo Pošta.

Když mi naopak Pošta „zapomene“ nějakou zásilku doručit, a pak bude tvrdit, že mi ji doručila, bude marně shánět na dodejce můj pravý podpis. Když tohle bude tvrdit provozovatel ISDS, klidně si tu dodejku vyrobí i za pět let, až se to dostane před soud.

ISDS nebude vystavovat žádný „doklad“ o odeslání nebo o přijetí, vystaví pouze doklad o tom, že ISDS tvrdí, že zprávu odeslal či doručil.

Mail se použít dá, když něco odešlete, a příjemce vám zpět pošle podepsané potvrzení o přijetí, máte doklad i o tom, že jste něco odeslal, i že to příjemce dostal. Já jsem také nikde netvrdil, že by ten systém musel být postaven zrovna na protokolu SMTP. Ale není žádný technický důvod, proč jsou datové schránky centralizované řešení. Všude ve světě se prosazují decentralizovaná řešení (ať už je to Internet samotný, web, e-mail, Jabber, P2P sítě), ale tady v ČR zřejmě platí nějaké jiné fyzikální zákony, a je výhodné mít všechno centralizované – ať už je to Indoš nebo teď ISDS.

Úplně jsem vynechal to, že ISDS neumožňuje šifrování zpráv (pokud tedy neobejdete provozní řád a nezabalíte data do nějakého povoleného formátu). Fakt, že se veškerá (zatím s výjimkou fyzických osob, které se tomu vyhnuly) úřední korespondence minimálně za poslední čtvrtrok nachází nešifrovaná někde na jednom místě, nás úrovní ochrany soukromí řadí někam mezi banánové republiky, ne do Evropy na začátku 21. století.

On ISDS je o doručování z úřadu (orgán veřejné moci) a do úřadu. Tak jaképak šifrování, když to úřad neumí rozšifrovat (bavíme se o přílohách).

Samotné "Centrální úložiště DS" je údajně v šifrovaném stavu. Jak moc je to bezpečně udělané, netuším.

Když se dá úřadu nařídit používání datových schránek, může se mu nařídit i to, že se naučí šifrovat a rozšifrovat. Ostatně stejně musí podepisovat, tak by úředník kliknul ještě na vedlejší tlačítko. Sice se to všechno týká úřadů, ale já nevím, co je vnitru nebo poště do toho, co si já píšu s finančním úřadem, školou nebo krajským úřadem.

Centrální úložiště je na disku možná v šifrovaném stavu, ale vzhledem k tomu, že dokáže on-line přijímat zprávy a zobrazovat je, to heslo tam někde lítá ve vzduchu. Ale nejde jenom o to, kdyby se někdo dostal fyzicky k diskům nebo k zálohám. Špatně je už jenom to, že ten systém šifrování vůbec nepředpokládá a neumožňuje a chápe mou korespondenci s úřady jako něco, co není potřeba nějak zvlášť chránit. Přitom když už by měl nějaký centrální registr adres pro doručování nějaký smysl, bylo by to právě v možnosti určit si, že chci veškerou komunikaci od úřadů dostávat šifrovanou. Všechno ostatní lze řešit i s prostředky, které zde byly před ISDS, a tahle jediná věc, kde by opravdu byl potřeba nový centrální registr, se vynechá.

Aha, takže HTTPS/SSL není šifrované. No, člověk se každý den dozví něco nového.

HTTPS je komunikační protokol, kterým se zprávy přenášejí od odesílatele do ISDS a z ISDS k adresátovi. O tom ale nebyla řeč. Mezi tím, tedy v systému ISDS, jsou ony zprávy nešifrované, a provozovatel ISDS tedy má přístup k jejich obsahu. Záleží jenom na jeho organizačních a technických opatřeních, kolik lidí má právo se k nim dostat, případně jak těžké je překonat nějaká opatření. Přitom ale provozovatel ISDS obsah zpráv vůbec vidět nepotřebuje, a vidí je jenom proto, že tvůrce toho systému (především legislativní) vůbec nenapadlo, že soukromí je něco, co by bylo dobré chránit. Vždyť přece slušný občan se nemá čeho bát a má mu být jedno, že policie odposlouchává jeho telefonáty, tak by mu nemělo vadit ani to, že odposlouchává jeho korespondenci, že.

Úřad neodpoví na každý nepodepsaný email. Je-li email zavirovaný, nečitelný nebo spam, tak by to jen těžko realizoval. Smiřte se tedy s tím, že s jistou pravděpodobností může nepodepsaný email skončit bez odpovědi.

Vaše představa, že každý úřad povede autonomní systém datových schránek na bázi emailového serveru, kde se nic nemaže a na věky věků zálohuje je mnohem absurdnější než systém ISDS.

A pořád to neřeší to zaručené doručení s fikcí ven z úřadu, které vyžaduje zákonem vynucenépovinné pravidelné vybírání schránky. Jinak se úřad nedozví, zda zpráva s důležitým předvoláním či pokutou vůbec došla.

Z cesty je ten kdo tu mele mimo realitu. Ten konkrétní úřad není nějaké MV, ale i obecní úřad v Horní Dolní. Zkuste tam přijít s touto myšlenkou a současně jim na to nedat ani korunu - např. cluster (samosebou geograficky rozlozeny do min 3 lokalit.)

Vaše představa, že každý úřad povede autonomní systém datových schránek na bázi emailového serveru, kde se nic nemaže a na věky věků zálohuje je mnohem absurdnější než systém ISDS.

Doporučil bych někdy se seznámit s klasickým e-mailem. Tam si můžete provozovat vlastní server, můžete používat nějakou službu zadarmo, můžete si objednat pár schránek od profesionálního vašeho ISP, můžete si objednat e-mailové řešení od profesionálního poskytovatele, který vám dá požadované záruky dostupnosti a bezpečnosti. Úplně stejně by to mohlo fungovat i pro zaručené doručování po způsobu datových schránek.

A pořád to neřeší to zaručené doručení s fikcí ven z úřadu, které vyžaduje zákonem vynucenépovinné pravidelné vybírání schránky. Jinak se úřad nedozví, zda zpráva s důležitým předvoláním či pokutou vůbec došla.

Doručení fikcí není třeba řešit nijak technicky, to se řeší v zákoně. Prostě se v zákoně ustanoví, že zpráva byla doručena bez ohledu na to, zda se to stalo ve skutečnosti, a je to. Podívejte se do zákonů, přesně takhle to dnes platí. Navíc doručení fikcí je pěkný nesmysl – stát se tváří, jak je pečlivý a hodný, že nic nezahájí bez toho, aby se o tom účastník dozvěděl, a pak zavede alibistické doručování fikcí, kde kdyby se s veškerým doručováním přestalo a vše házelo rovnou do kanálu, bude to vlastně taky správně. To je arogance moci. Správně by to bylo tak, že se úřad nejprve pokusí dokument několika způsoby doručit, a když se to nepodaří, může řízení pokračovat o bez informování účastníka. To by bylo alespoň férové. A ve správním řízení to takhle taky dlouho fungovalo, a myslím, že s tím nebyly větší problémy. Navíc zrovna u té elektronické komunikace se to dá celkem snadno zařídit tak, že by příjemce musel odmítat buď všechny zprávy, nebo žádnou (protože po něm můžete chtít potvrzení přijetí ještě v okamžiku, kdy nezná obsah), což spolu s možností poslat testovací zprávu k potvrzení přijetí nezávislou institucí dává docela dobré možnosti, jak mít buď prokazatelné potvrzení o přijetí zprávy, nebo prokazatelnou informaci o tom, že dotyčný zprávy odmítá.

Pan je znalec :-(
"... doručení fikcí je pěkný nesmysl ..." Takze podle Vas by se melo doruceni fikci zrusit. Jak snadne potom bude vyhybani se veskerym [prestupkovym] rizenim - staci neprebirat doporucene dopisy a je vymalovano ...

Doporučuju příště komentář dočíst až do konce, než na něj budete reagovat. Opakovat to tady asi nemá smysl, každý si může vyvrácení vašich argumentů přečíst v komentáři, na který jste reagoval. Pokud vám něco z toho není jasné, klidně se ptejte, ale prosil bych nějakou konkrétní část komentáře, opakovat znova celý komentář fakt nemá smysl.

Prostě se v zákoně ustanoví, že zpráva byla doručena bez ohledu na to, zda se to stalo ve skutečnosti, a je to. Podívejte se do zákonů, přesně takhle to dnes platí. Prosím konkrétní zákon a paragraf (A stačí v tom zákoně email nebo jen obyčejný dopis bez dodejky?).

Správní řád, § 20, odst. 4., § 23, odst. 4, § 24. Říká se tomu fikce doručení.

Takže jako důkaz o doručení u soudu předložím logy o odeslání (klidně opakované) z mailserveru úřadu? že by to byl tak jednoduché a prosté. Pak opravdu ISDS nepotřebujeme (ani podobný systém).

Odeslání nerovná se doručení. Ani u listinné (obyčejné) pošty a rovněž ani náhodou u prostého emailu.

Jak úřad zajistí, že můj email je můj "úřední" email? atd. atd. Přes email žádnou fikci doručení neprovedete, pokud dotyčný explicitně úřadu neoznámil, že si přeje používat ten a ten email.

Ujasněme si to: buď rozhoduje skutečné doručení, tj. mám od protistrany potvrzení, že zásilku přijala. Nebo platí fikce doručení, pak je zásilka považována za doručenou splněním nějakých podmínek, a protistrana ji ve skutečnosti vůbec mít nemusí. Když vám pošťák dnes uloží zásilku "na jiném vhodném místě", je považována za doručenou, a žádné "logy" k tomu nemáte (pokud vím, pošťáci si deníček psát nemusí).

Když je možné uložit dopis "na jiné vhodné místo", proč by nebylo možné "na jiné vhodné místo" doručovat e-mail? Když máte v zákoně fikci doručení, je zbytečné řešit, jak by se dokumenyt ve skutečnosti doručovaly, protože ten zákon slouží především jako alibi, aby se to s tím doručováním nemuselo brát až tak vážně.

A jak by jinak mohlo vypadat elektronické doručování s potvrzením přijetí? Úřad si zjistí adresu, kam má doručovat (buď v centrálním registru -- zde by centralizace jistý význam měla -- nebo ve svém registru). Zašifruje zprávu náhodně zvoleným klíčem, kontaktuje server příjemce a zprávu mu předá. Server příjemce přijetí zprávy potvrdí svým podpisem, načež mu odesílatel předá ono na začátku zvolené heslo, a příjemce opět potvrdí přijetí hesla. Pokud se celá transakce nezdaří, opakuje ji odesílatel znova, třeba 20krát během 14 dnů. Když se to ani pak nepodaří, je zpráva považována za nedoručitelnou a správní řízení běží dál za nepřítomnosti účastníka, kterému byla zpráva určena. Příjemce tedy nemůže taktizovat a přijímat zprávy dle obsahu. Zároveň pokud se mu podaří předat dvacetkrát šifrovanou zprávu a následně se nepodaří předat klíč (příjemce odmítne potvrdit jeho převzetí), považoval bych to už za dostatečný důkaz o tom, že se odesílatel snažil zásliku doručit. Pokud by to nestačilo, může existovat nezávislý "notář", který by šifrovací hesla poskytoval -- tj. před začátkem odesílání bych nevygenerovla heslo náhodně, ale získal bych veřejný klíč od takového "notáře", příjemce zprávy by si pak heslo vyžádal od onoho "notáře" (a zároveň by mu předal doručenku oné šifrované části). Takže by pak nemohl ani argumentovat tím, že mu úřad nikdy heslo schválně neposlal, a že jej z toho důvodu tedy nemohl potvrdit a zásilku si převzít.

Teoreticky tohle můžete dělat i posíláním e-mailů, lepší by samozřejmě bylo mít pro to zvláštní protokol. Ale technicky to řešitelné je a nepotřebujete k tomu žádné centrální úložiště zpráv, můžete to provozovat jako distribuovaný systém, kdy si bude moci třeba každý provozovat svůj vlastní "poštovní" server. Každý může mít klidně i víc adres a úřad může doručovat na všechny paralelně, nebo je zkoušet postupně.

To si snad děláte legraci (s tím výkladem), ale budiž. To můžeme rovnou zrušit obálky s pruhem a vše posílat obyčejnou poštou. Bude přece platit fikce doručení. Nejnovější legislativa se tomu jistě přiblížila, ale přece jen.

Server příjemce přijetí zprávy potvrdí svým podpisem, načež mu odesílatel předá ono na začátku zvolené heslo, a příjemce opět potvrdí přijetí hesla. No pokud to za mne bude vyřizovat a potvrzovat a podepisovat "nešika" server, tak pěkně děkuji. Navíc nevím, kdo další si to pak může na serveru vyzvednout a přečíst kromě mne.

Samozřejmě pro zaručené doručení není nutné centrální úložiště ani systém ISDS, který má řadu much. Nicméně je otázka kolik má být úložišť, jak zaručit bezpečné uložení (jak pro průkaznost tak pro zacházení s citlivými údaji). To není levné a vyplatí se to nějak centralizovat, nemluvě o "centrálním" přidělení emailových adres. Bez rodných čísel je to momentálně scifi a jistě narazí i systém DS (má tam jen neveřejné datum narození)

Já jsem ten zákon nevymyslel. Máte pravdu, že i se současným zákonem se doručování dá dělat slušně -- ale to šlo i s tím předchozím. A ta změna vede jednoznačně k tomu, aby to tolik nevadilo, když se něco nedoručí. Rozhodně to není vstřícný krok k lidem, ale pouze si stát dělá alibi.

Nešika server je takový server, jaký si vyberete. Můžete to mít svůj server připojený doma na ADSL, a zároveň to může být komerční řešení s tvrdými pokutami. Kdo to bude moc číst kromě vás opět záleží na vaší smlouvě s podkytovatelem. Tedy byste měl možnost volby -- tu dnes s ISDS nemáte.

Úložiště se nevyplatí centralizovat. Vyplatí se dát možnost, a vy už se sám rozhodnete, jaké úložiště využijete. Centrální přidělení e-mailových adres není potřeba -- podívejte se třeba na e-maily nebo Jabber, tam unikátní adresy fungují a žádné centrální přidělení se nekonalo. Potřebujete pouze evidenci přiřazení adres osobám, což si může dělat každý úřad zvlášť, a mohla by existovat i centrální evidence, která by měla určitý přínos (mohl by ji využít i úřad, se kterým jste zatím nekomunikoval).

Datum narození v ISDS je veřejné a dá se zobrazit a hledat podle něj. Rodná čísla tam nejsou, ale ta nejsou o moc lepší, protože bohužel nejsou unikátní.

Potřebujete pouze evidenci přiřazení adres osobám, což si může dělat každý úřad zvlášť - jistě, zvlášť když úřad má miliony (tedy třeba 2000000) adres se kterými koresponduje.

Datum narození v ISDS je veřejné a dá se zobrazit a hledat podle něj. Rodná čísla tam nejsou, ale ta nejsou o moc lepší, protože bohužel nejsou unikátní. - neplácáte. Celá státní správa dosud jede na rodná čísla, ale ISDS ne. Datum narození je citlivý údaj a není veřejný.

Úřady si dnes evidují poštovní adresy, telefony, e-maily -- evidovat k tomu další "e-maily" by je nezabilo. Celá státní správa nejede na rodná čísla, třeba resort MPSV používá číslo sociálního pojištění, které mají skutečně unikátní (ale nemají je úplně všichni občané ČR) -- následně je používají i některé další resorty, protože se dá použít ke skutečně jednoznačné identifikaci. Rodné číslo samostatně použít nejde, vždy je potřeba použít je v kombinaci s dalšími údaji.

Nevím, čemu říkáte veřejný či neveřejný, protože opravdu veřejný adresář ISDS nemá, je dostupný jen po přihlášení. A tam se pak vyhledávat i zobrazit datum narození dá -- alespoň u OVM, ale nikdo jiný stejně zatím hledat ve fyzických osobách nemůže. Ostatně, původně měl být datum narození při hledání povinný údaj.

Identifikátor MPSV není nic jiného než transformované rodné číslo podle tabulky 1:1 s tím, že nenese významové údaje (věk, pohlaví). Z hlediska použití v registrech státní správy jde o totéž. Pouze se pohlídaly ty chyby v omylem napáchaných duplicitách, neboť rodná čísla se přidělovala v offlinové době bez počítačových sítí. Další zápory zůstaly, nicméně z principu dovede státní správa dobře identifikovat podle obojího.

Ale ty miliony emailových adres do evidence každého úřadu (každého zvlášť jak navrhujete) opravdu lehce, rychle a spolehlivě (údaje se mění) nenaskáčou.

Identifikátor MPSV je na rozdíl od rodného čísla unikátní, což je pro informační systémy dost podstatná vlastnost. Když máte IK MPSV, máte jednoznačně identifikovanou osobu, když máte rodné číslo, identifikace není jednoznačná.

E-mailové adresy by samotzřejmě do evidencí úřadů nenaskákaly sami, ale stejně, jako tam "naskákaly" jména, adresy, telefony nebo e-maily dosud -- klient jedná s úřadem a tyto údaje mu poskytne.

Identifikátor MPSV je z definice (v zákonech) naprosto stejně unikátní jako rodné číslo. To, že se u rodného čísla vyskytly duplicity je technický problém, který nelze vyloučit ani u identifikátoru MPSV. Zavedení identifikátoru MPSV byl naivní napád úředníků tohoto resortu a situaci neřeší, naopak komplikuje dalším identifikátorem. Navíc chytré hlavy prosadily tento identifikátor do kvalifikovaných certifikátů (dobrovolný ale propagovaný údaj), čímž se tento údaj stal dokonce, pro ty co tak učinili, veřejným údajem, který je možné kdykoliv zjistit u CA (= veřejně na internetu). A řada známých mi ho se svým emailem naivně zasílá. Jejich rodné číslo na rozdíl od identifikátoru MPSV neznám.

klient jedná s úřadem a tyto údaje mu poskytne - nic takového v zákoně není Umožňuje-li to povaha dokumentu a má-li fyzická osoba, podnikající fyzická osoba nebo právnická osoba zpřístupněnu svou datovou schránku, orgán veřejné moci doručuje dokument této osobě prostřednictvím datové schránky, pokud se nedoručuje veřejnou vyhláškou nebo na místě. - úřade postarej se.

IK MPSV je unikátní, rodné číslo není unikátní - je to opravdu takhle jednoduché. Je to jediný skutečně masově používaný jednoznačný identifikátor osob v ČR. Na certifikáty se dává právě proto, že je podle něj možné osoby jednoznačně identifikovat. I když se ten člověk bude stěhovat, vdávat a ženit, budou mít dva lidé stejné jméno, podle IK MPSV pořád dokážete jednoznačně danou osobu identifikovat. To žádný jiný více používaný identifikátor neumožňuje. Situaci, kdy potřebujete jednoznačně identifikovat osoby, to řeší celkem dobře, dokonce nejlépe z dnes používaných řešení. Identifikátor je identifikátorem od toho, že danou osobu identifikuje, tedy musí být veřejný. Právě proto je rozumné mít bezvýznamový identifikátor (jako IK MPSV) a nikoli "identifikátor" jako rodné číslo, ze kterého poznáte datum narození a pohlaví. IK MPSV může znát každý, protože tím není narušena žádná ochrana osobních údajů.

klient jedná s úřadem a tyto údaje mu poskytne - nic takového v zákoně není

Není do v zákoně o datových schránkách, ale je to ve správním řádu. Ten dává možnost s úřadem se dohodnout na tom, jakým způsobem budeme komunikovat. Zákon o datových schránkách nedává možnost, ale prostě to nařídí. Já si nemyslím, že je to lepší způsob.

Aha, takže všichni úředníci s přístupem na ISDS mohou zadat dotaz - Najdi všechny Pepíky ze Žižkova, co mají dnes 25. narozeniny. To asi nee! To datum narození tam má na rozdíl od dotazu - Najdi všechny Pepíky ze Žižkova, co bydlí na Koněvce, přece jen jiná pravidla. Takže s tím vyhledáváním podle data i pro OVM bych trochu brzdil (pokud to nějaký programátor nerozsekl omylem jinak...to při tom hektickém programování i možné bude, ale není to záměr).

Jestli si myslíte, že všichni úředníci mají přístup do evidence obyvatel, tak si to klidně myslete.

Všichni úředníci s přístupem do ISDS a právem vyhledávat mohou zadat dotaz "najdi datové schránky všech Nováků narozených 29.4.2009". A u každé fyzické osoby, jejíž ID datové schránky znají, se mohou podívat na údaje o vlastníkovi datové schránky -- jméno, příjmení, rodné příjmení, bydliště, datum a místo narození. Ono je potřeba nějak zjistit, jestli ta datová schránka patří tomu, komu chci něco poslat, nebo patří jen někomu s podobnými údaji.

"Klasicky email vam samozrejme doruceni zajisti."
Zajimave, e-mail byl vzdy negarantovana sluzba. Kdy se to zmenilo?

"Kdyz ja jakozto admin provozuju firemni email, tak samosebou doruceni emailu v ramci firmy garantuji."
Aha. Bez komentare ...

Změnilo se to s vynálezem odpovědi na e-mail. Když vám příjemce zprávy přijetí e-mailu potvrdí, máte garantováno, že e-mail dostal. Takhle to funguje všude – i u té papírové pošty máte garanci toho, že příjemce zásilku dostal, teprve v okamžiku, kdy se vám vrátí jím podepsané potvrzení o převzetí.