Evropská cesta k digitální identitě

Rozvoj důvěryhodných služeb pro elektronické transakce na vnitřním trhu Evropské unie se stal nutností, která prošla mnoha problémy a peripetiemi.

Výchozí bod: eIDAS V červenci 2014 bylo zveřejněno evropské nařízení známé pod zkratkou eIDAS, které stanovilo akční rámec pro rozvoj nadnárodních elektronických transakcí. Toto nařízení bylo schváleno v roce 2016 a následně bylo evropskými státy od roku 2018 považováno za povinné.

Od té doby členové Unie zavádějí mechanismy elektronické identifikace, které byly vzájemně rozpoznatelné při použití mimo jejich příslušné vnitrostátní oblasti působnosti a vždy v rámci evropského vnitřního trhu.

Prvními důvěryhodnými službami, ve kterých byly stanoveny podmínky směny, byl elektronický podpis (ePodpis), takže měly stejný právní účinek jako vlastnoruční podpisy; elektronická pečeť (eSeal), která zaručovala původ a integritu dokumentu; elektronické časové razítko (eTimestamp), které lze použít jako důkaz, že dokument existoval v přesném okamžiku; certifikáty pro autentizaci webových stránek (WAC), které byly zodpovědné za to, že webová stránka byla propojena s osobou, které bude certifikát vydán; a konečně služby Elektronické doporučené doručení (eDelivery), jejichž užitečnost měla sloužit jako doklad o odeslání a doručení jakéhokoli dokumentu.

Evropská elektronická interoperabilita

Všechny tyto služby se obecně snažily usnadnit obchodní transakce v rámci Evropské unie prostřednictvím dokonale definovaných transakčních modelů, které byly celosvětově akceptovány 27 členskými státy EU.

Realita však byla méně idylická než teorie. Pouze 15 zemí plně přijalo toto nařízení a jen něco málo přes 58 % populace mělo prospěch z jeho uplatňování, vezmeme-li v úvahu, že přetrvávají rozdíly v kritériích, pokud jde o důvěru mezi členy EU, stejně jako v požadavcích, které musí být splněny, aby lze přijmout například jako důkaz v rámci soudního řízení.

Role občana: eIDAS-2

Relativní úspěch iniciativy však nedemotivoval členy Unie, kteří v již rozhodnuté změně předložili v roce 2020 nový návrh na aktualizaci tohoto nařízení včetně nových služeb souvisejících blíže s občany. To je to, co je známé jako eIDAS-2.

Tato druhá verze nařízení eIDAS, která se stále vyvíjí, má za cíl prosazovat právo každého občana na digitální identitu, která je uznávána kdekoli v Evropské unii. Tuto frázi opakujeme kvůli její důležitosti: digitální identita, která je uznávána kdekoli v Unii.

Myšlenka není vůbec podřadná. Po jejím dokončení budou moci občané bezpečně sdílet základní osobní údaje, jako je jméno, příjmení nebo DNI/NIE/pas. Mohou být také vyměňovány informace o dalších „atributech“ relevantních pro občana, jako je jeho řidičský průkaz, jeho zdravotní údaje nebo informace o jeho bankovním účtu. Celý soubor údajů, které efektivně představí každou osobu jako dokonale rozpoznatelného občana jakéhokoli evropského státu.

Tímto způsobem, například žádost o otevření bankovního účtu, zapůjčení auta nebo přístup ke zdravotním údajům pod kontrolou majitele, budou služby s okamžitým přístupem v případě potřeby v jiném evropském státě, než je stát bydliště vlastníka.

Digitální identita peněženka

Aby toho bylo dosaženo, byl definován koncept „evropských peněženek digitální identity“, jejichž dostupnost může být reálná prostřednictvím aplikací pro mobilní telefony, které musí být řádně chráněny.

Přestože ještě nebyla formalizována, Evropská komise již zahájila čtyři pilotní projekty, které se snaží prokázat životaschopnost její referenční architektury (ARF). V současnosti se účastní více než 250 soukromých společností a veřejných orgánů z 25 členských států spolu s Norskem, Islandem a Ukrajinou.

Zkoumané případy použití zahrnují přístup k veřejným službám; otevření bankovního účtu; registrace SIM; oprávnění k řízení vozidel; podepisování smluv; žádost o recepty; informace o cestovních dokladech; důkaz legitimního zastoupení organizace; ověření identity uživatele při zahájení online platby; vlastnictví akademických titulů; nebo přístup k dávkám sociálního pojištění.

Byl definován koncept digitálních peněženek evropské identity, jejichž dostupnost může být reálná prostřednictvím aplikací pro mobilní telefony, které musí být chráněny

Seznam je dostatečně rozsáhlý na to, aby posloužil jako solidní testovací lůžko. Pouze ve Španělsku piloti, kteří budou hodnoceni, zahrnují integraci řidičského průkazu do Peněženky; služby elektronického předpisu, digitální pověření pro cestování nebo přístup ke vzdělání a profesní kvalifikaci.

Pilíře k úspěchu

Horizont ukazuje, že směřujeme k redefinici identity, jak ji známe. Jedná se o nový model identity orientovaný na občany, kde jsou klíčem soukromí a suverenita nad osobními informacemi.

Vývoj tohoto nového modelu identity však vyžaduje ještě hodně práce. Dílo, které se musí zaměřit alespoň na tři základní pilíře:

• Bezpečnost a soukromí jako hlavní hledisko. Jakékoli řešení, které skončí definováno, musí být schopno zobrazit informace, které občan potřebuje nebo chce sdílet pro určitý cíl, aniž by musel zveřejňovat jakákoli nepožadovaná data. Občan bude moci například prokázat, že je starší 18 let, aniž by musel ukazovat datum narození.
• Interoperabilita a konzistence. Přestože 27 států bude moci vyvinout vlastní peněženky identity, všechny musí být interoperabilní a přijatelné v jakékoli zemi.
• Použitelnost a inkluzivita. Používání Identity Wallets musí být dobrovolné a bezplatné občany, kteří si budou moci vybrat, kdy a jak je používat. V každém případě si Komise klade za cíl, aby více než 80 % občanů mělo do roku 2030 digitální peněženku, kterou budou pravidelně používat.

Strach ze selhání

Pokud tato kritéria nejsou splněna, je velmi pravděpodobné, že modelu hrozí selhání. Odtud jeho důležitost. Mezi důvody tohoto selhání by byly:

• Vnímaná nejistota. Vzhledem k tomu, že Peněženky budou potenciálně obsahovat důležitá osobní data, musí být aplikace občany vnímány jako bezpečné. Pokud ne, nebudou nadále používány. Občan si musí uvědomit, že ztráta nebo deaktivace zařízení, kde je uložena jeho Peněženka, nepředstavuje riziko pro uložená data.
• Dohled a sledovatelnost. Občané se v žádném případě nebudou chtít cítit sledováni, tím méně sledováni ve svých aktivitách. To je základní aspekt, protože jedinečná identifikace občana je často spojena s přidělením jedinečného evropského identifikačního čísla, které, ačkoli některé země odmítají přijmout, může vést k této sledovatelnosti.
• Technologická vyspělost a jednoduchost řešení. Něco zásadního, pokud to má být masově přijato občany. Pro jejich každodenní používání bude klíčová standardizace aplikací a jejich odolnost.
• Kompatibilita se stávajícími předpisy, zejména GDPR. Bude nezbytné, aby předpisy nepředstavovaly nesrovnalosti nebo rozpory s jinými evropskými a národními předpisy, které vedou k používání a zneužívání údajů.

Stručně řečeno, s EIDAS-2 musí být občan autonomní při rozhodování o tom, jaké údaje poskytne a komu dá oprávnění k nahlédnutí do nich v případě žádosti třetí strany.

Ale ne všechno tam zůstane. Občan také musí mít možnost zcela obnovit seznam všech těch aktérů, kteří byli oprávněni nahlížet do údajů, a v případě potřeby mohou toto oprávnění jednotlivě nebo kolektivně odebrat na základě svých vlastních suverénních rozhodnutí.

Stejně tak se musíte cítit chráněni před možným nezákonným nebo neoprávněným použitím vašich údajů, chráněni bezpečnými a osvědčenými mechanismy sledovatelnosti, ale nesmíte narušovat vaše soukromí.

S těmito pravomocemi as jejich odpovídající legislativou na ochranu soukromí je velmi možné, že se občan nakonec rozhodne zúčastnit tohoto procesu digitalizace své identity. Čas ukáže.

Autor: Juanjo Galán, obchodní strategie společnosti All4Sec