fb
IT Systems 7-8/2020 IT právo Veřejný sektor a zdravotnictví 15. 9. 2020 9:52

Elektronická identita je klíč k transakčním službám eGovernmentu i soukromého sektoru

Ing. Petr KuchařPřestože v Česku máme již více než deset let fungující systém Datových schránek a jeho přístupové údaje ke každé schránce představovaly jakýsi zárodek identitního prostoru ČR, systematické řešení elektronické identity přišlo až na základě nařízení eIDAS z roku 2014, které služby elektronické identifikace definovalo v mezinárodním kontextu EU. Výchozím bodem v ČR pak byla novela zákona o občanských průkazech z roku 2016, která definovala OP s čipem jako státní a plošný prostředek elektronické identifikace. Bezprostředně pak navazoval zcela nový zákon o elektronické identifikaci z roku 2017, který původně jediný prostředek elektronické identifikace zasadil do širšího rámce národního identitního prostoru, který připouští prostředků více s tím, že jejich použití řídí podle své vůle občan v roli klienta veřejné správy. Tím začal vznikat systém, ze kterého se postupně a za přispění dalších sdílených služeb státu, například Portálu občana v roce 2018, začal rodit systematicky budovaný český eGovernment.

Ing. Petr Kuchař už šestým rokem řídí odbor Hlavního architekta eGovernmentu, MV ČR. Řadu let působil jako člen představenstva ICT unie. Je jedním z autorů prováděcích dokumentů k Informační koncepci ČR, zejména Národního architektonického plánu. Od února 2020, na základě kompetencí MV dle novely zákona č.365/2000 o ISVS, vydává stanoviska k výdajům na ICT celé veřejné správy. Elektronická identita vč. elektronických identifikátorů FO patří mezi jeho hlavní profesní témata. Petr Kuchař je také spoluzakladatelem firmy ABRA Software, která se specializuje na ekonomické systémy pro firmy a podnikatele.

Elektronická identita každého z nás je základním předpokladem toho, aby mohly existovat takzvané transakční služby, tedy služby pro konkrétního autentizovaného občana v roli klienta veřejné správy. Ten po přihlášení k portálovým řešením státu může zvolit službu, výpis či podání, které odpovídá jeho životní situaci, a může se nechat obsloužit elektronicky. Tím je naplněna základní definice eGovernmentu, kterou je výkon veřejné správy pomocí elektronických nástrojů. Identita každého z nás je reprezentována jediným řádkem v základním registru obyvatel ROB. K tomuto řádku může být připojeno v zásadě libovolné množství identitních prostředků, kterými je možné identitu jejich držitele spolehlivě prokázat. Z hlediska pojmosloví rozlišujeme tři základní termíny, které s elektronickým rozpoznáním fyzické osoby souvisejí. Jsou to: identifikace, autentizace a autorizace. Identifikací rozumíme souhrn činností, které směřují k předání údajů o konkrétní fyzické osobě, což ale ještě spolehlivě neříká, o čí údaje se jedná. To přináší až autentizace, která je jakousi vyšší verzí identifikace a znamená, že předávané údaje se týkají právě a jen osoby, která se ze své vůle autentizuje, tedy osoby držitele konkrétního identitního prostředku. A konečně třetí termín, tzv. autorizace, znamená, že pokud již známe identitní údaje fyzické osoby a víme, že jsou opravdu její, můžeme začít zjišťovat v nejrůznějších dalších systémech či registrech její oprávnění pro působení v určité konkrétní roli, například v roli občana, lékaře, soudce, podnikající fyzické osoby atd. A pokud lze danou osobu obsadit do konkrétní role, je možné jí pak zpřístupnit odpovídající služby, například služby portálu živnostenského podnikání, služby portálu e-Recept či několika desítek dalších dnes existujících portálů. A je úplně jedno, zda se daná osoba přihlásila elektronickým občanským průkazem, mobilním klíčem nebo třeba od ledna 2021 svojí bankovní identitou od banky xy.

Pochopitelně spolehlivě rozpoznaného klienta nepotřebují jen portály veřejnoprávních institucí, kterým říkáme tzv. agendové, ale i portály soukromoprávní. Nejlepším příkladem takového portálu je elektronické bankovnictví konkrétního bankovního domu, které naprosto zřejmě a legitimně potřebuje zařídit, aby přistupující osoba byla právě a pouze majitel konkrétního bankovního účtu či jím zmocněná osoba, protože jen takové osobě má být dovoleno s penězi na účtu manipulovat, prohlížet si denní zůstatky atd. Existuje tedy nepochybně poptávka po elektronické identifikaci a autentizaci i ze sektoru soukromoprávního. Veřejnoprávnímu sektoru slouží, na základě již zmíněného zákona o elektronické identifikaci, Národní bod elektronické identifikace (tzv. NIA – Národní identitní autorita), zatímco všem ostatním je ponechána smluvní volnost obrátit se na případné soukromoprávní dodavatele identitních služeb, kteří mohou na základě poptávky na trhu vzniknout. To se v roce 2019 povedlo na základě zahraničních příkladů z bankovního sektoru v severských státech. Díky tomu vznikla dohoda českých bank o budoucím produktu s pracovním názvem „BankID“, případně „SoNIA“ (soukromoprávní NIA). Jde o to, že každá dnešní banka poskytuje služby elektronického bankovnictví pro autentizované klienty, tedy takové osoby, kterým banka předala unikátní přístupové údaje pro přístup k jejich bankovnímu účtu. Tyto přístupové údaje jsou z určitého úhlu pohledu vlastně také identitním prostředkem, který jednoznačně definuje konkrétní osobu, nicméně bez dalšího jim věří jen a pouze vydávající banka. Díky aktivní spolupráci bankovního sektoru (ČBA) se státními orgány (MV, MF, ČNB a FAÚ) se v roce 2019 podařilo vyjednat takovou změnu zákona o bankách, která na jedné straně dovolila bankám podnikat v oboru poskytování elektronické identity, tedy prodávat takové služby soukromoprávním společnostem například z řad dodavatelů energií, služeb elektronických komunikací či dalším subjektům generujícím poptávku, ale na straně druhé zavádějící povinnost identifikační prostředky bank nabídnout pro použití ve státních portálech, tedy podřídit je pravidlům zákona o elektronické identifikaci. Mezi ně patří klasifikace a certifikace identitních prostředků na shodu s požadavky nařízení eIDAS z pohledu spolehlivosti či zaručenosti prostředku (úrovně Nízká, Značná a Vysoká), dále nutnost jednoznačně ztotožnit držitele prostředku v registru ROB a registrovat jeho prostředek v NIA, odebírat notifikace změn údajů držitele identitního prostředku (nejběžněji změna příjmení, změna adresy trvalého pobytu) a další povinnosti.

Pro klienta se tím otevřela velmi výhodná cesta, která jej nenutí rozlišovat mezi státními a soukromoprávními portály tím, že do každé skupiny je třeba používat jiné identifikační prostředky, ale naopak je možné používat na všechno jeden jediný přístupový prostředek, podle vlastní volby klienta. Není tedy podstatné, zda klient přistupuje k portálu České správy sociálního zabezpečení nebo Finančního úřadu na straně jedné, nebo k portálu dodavatele elektřiny, plynu či vody, k sázkovým společnostem nebo telefonním operátorům na straně druhé, protože ve všech případech může přistupovat jedním jeho oblíbeným identitním prostředkem. Tím může být stejně dobře občanský průkaz s čipem, prostředek jméno, heslo, SMS, nebo třeba moderní mobilní klíč pro přístup do bankovnictví jeho oblíbené banky. Ve všech případech jde o regulované použití prostředků, prokazujících jeho identitu s jasně definovanou úrovní bezpečnosti a aktuálnosti předávání jeho údajů třetím subjektům na základě jeho svobodné vůle. Tím je výrazně akcentován uživatelský zážitek klienta na úkor dodavatelů IT služeb, kteří to mají o něco složitější, nicméně komfort a svobodná volba klienta je za každých okolností garantována.

Obr. 1 Jak funguje Národní identitní prostor ČR.
Obr. 1 Jak funguje Národní identitní prostor ČR.

Jak tedy Národní identitní prostor funguje? V horní části obrázku 1 jsou naznačeni provozovatelé online služeb, tedy portálových řešení, která potřebují spolehlivě autentizovaného klienta. V levé části jsou to státní portály centrálních úřadů nebo municipalit, v pravé části jsou to libovolné soukromoprávní portály například dodavatelů médií, telekomunikačních služeb, ale i třeba běžných e-shopů, které mohou uvedené služby potřebovat, či dokonce vyžadovat. Ti všichni si dají na svá webová řešení tlačítko „Přihlásit“. To, jak ukazuje obrázek, v jednom případě povede na NIA, ve druhém případě na SoNIA. Ve střední části obrázku máme srdce obou systémů, tedy vlastní identitní autority NIA, resp. SoNIA. V případě bank je seriózní dodat, že není v tuto chvíli zcela zřejmé, zda se bankám podaří domluvit se na jednotícím identitním prostředku, případně zda si konkrétní soukromoprávní portál bude muset nasmlouvat separátní užití prostředku banky 1, separátní smlouvu na užití prostředku banky 2 atd. To ale pro klienta není podstatné, a ať to již banky realizují jedním či druhým způsobem, zůstává mu svoboda volby prostředku s tím, že pokud do budoucna přijdou banky s jednotícím identitním prostředkem, bude to ku prospěchu věci, tedy ke spokojenosti klienta. To nejpodstatnější se ale skrývá ve spodní řadě, ve které je naznačen výčet identitních prostředků, které bude možné na každé přihlášení použít. V levé části jsou to prostředky státní, reprezentované elektronickým OP s čipem, dále prostředkem jméno, heslo a SMS, anebo od podzimu letošního roku tzv. mobilním klíčem MEP, což je aplikace v mobilním zařízení uživatele shodná s již existující a široce užívanou aplikací pro přístup k systému Datových schránek. Ve střední a pravé části výčet doplňují tzv. soukromoprávní identitní prostředky, mezi které již nějaký čas patří prostředek společnosti I.CA (karta Starcos), velice čerstvě prostředek mojeID (token FIDO2) a velmi pravděpodobně tam budou od ledna 2021 patřit i identitní prostředky jednotlivých bank.

Krásou tohoto uspořádání je, že jednotlivé prostředky elektronické identity jsou sdíleny oběma částmi identitního prostoru ČR, tedy NIA i SoNIA, což přináší výše popsanou svobodu volby prostředku ze strany klienta.

Obr. 2: Aktuální poskytovatelé id. služeb a počty jejich prostředků
Obr. 2: Aktuální poskytovatelé id. služeb a počty jejich prostředků

Aktuální význam BankID pak spočívá zejména v tom, že zatímco držitelé státních prostředků se počítají na desetitisíce, s přihlédnutím k držitelům přístupových údajů k Datovým schránkám maximálně na vysoké statisíce, tak držitelé bankovních prostředků se budou po účinnosti novely zákona o bankách (po 1. 1. 2021) počítat na jednotky milionů. To pravděpodobně způsobí v roce 2021 významnou poptávku po elektronických službách státu i soukromého sektoru. To se velmi zajímavě potkává s katalogem digitálních úkonů, který podle zákona o právu na digitální služby č. 12/2020 začne fungovat také od ledna roku 2021 a každý se bude moci podívat na příslušném informačním portálu, které služby konkrétního úřadu jsou již zelektronizovány a případně v kterém roce se tak teprve stane a také jakými obslužnými kanály (portálovým řešením za podpory elektronické identity, zasláním formuláře datovou schránkou, asistovaným formulářem na CzechPointu nebo mailovým zasláním elektronicky podepsaného dokumentu). Katalog digitálních úkonů je odpovědí navrhovatelů zákona na námitky odpůrců, že původně velmi široce a plošně pojatá digitalizace veřejné správy je do značné míry bianko šekem na výdaje do informačních technologií. Vláda má díky katalogu v rukou nástroj rozhodování, které služby digitalizovat a v jakém období. V seznamu tak mohou být promítnuty jak politické priority vlády, tak i aktuální rozpočtová situace v souvislosti s pandemií onemocnění COVID-19. Je otázkou, zda bude akcentována spíše strategie obezřetnosti či rozpočtové opatrnosti, nebo naopak strategie proinvestování se z postpandemické krize. V každém případě výdaje na ICT a digitalizaci jsou nepochybně investicí, protože šetří čas běžných lidí, který jej můžou věnovat produktivní práci a přispět tak k navýšení HDP, což má zase zpětně pozitivní vliv na plnění cílů vlády. Budoucnost eGovernmentu v ČR je tedy možné očekávat spíše s optimismem a očekáváním elektronizace mnoha typů služeb.

Pro kompletní představu o uspořádání Národního identitního prostoru zbývá vyjasnit vztah systému Datových schránek a identitního systému, reprezentovaného NIA dle dále uvedeného zákona. Datové schránky byly zřízeny dle samostatného právního předpisu (zákon č. 300 z roku 2008) a jako takové jsou na národním identitním systému (zákon č. 250 z roku 2017) nezávislé. Uvedené uspořádání vnímá Ministerstvo vnitra jako dočasné, jako nutný důsledek postupného rozvoje eGovernmentu v ČR. Proto v rámci zákona č. 300/2008 navrhne v budoucnu změnu, která existující identitní subsystém Datových schránek postupně převede pod NIA. Děje se tak nejprve na základě volitelné migrace klientů, díky možnosti vytvoření identitního prostředku pod NIA na základě přístupových údajů do Datové schránky, což je již fungující cesta. Později pravděpodobně přistoupíme, na základě novely zákona samozřejmě, ke zrušení vlastního kmene přístupových údajů do ISDS s tím, že datová schránka bude zpřístupněna pouze prostřednictvím identifikačního prostředku v rámci NIA, tedy například i za pomoci soukromoprávních identitních prostředků bank a dalších partnerů. V této věci bude MV postupovat přísně tak, aby nedošlo k negativnímu ovlivnění dostupnosti služeb a aby komfort a kontinuita využívání služeb uživateli elektronické veřejné správy byly zachovány.

Ing. Petr Kuchař

Petr Kuchař převzal roli Hlavního architekta eGovernmentu v roce 2014 od Ondřeje Felixe, který se přesunul do pozice digitálního šampiona ČR a který dodnes zůstává jeho nejbližším spolupracovníkem.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 7-8 IT Systems 6 IT Systems 5 IT Systems 4
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1