Elektronická identifikace občana v systémech eGovernment (analýza a vize)
Obsah
1. Pár slov na úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2. Úvod 5 3. Identifikace občana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3.1 Identita jedince . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 3.2 Identifikace, autentizace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 3.3 Identifikátor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3.4 Identifikátory v některých státech EU a světa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4. Biometrické údaje a identifikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 5. Technické prostředky identifikace, nosiče e-identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 5.1. Identifikační karty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 5.2. Identifikační doklady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 5. 3 Krádež identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 6. Identifikace ve službách eGovernmentu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 6.1. Identifikace pro potřebu státu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 6.2. Identifikace a soukromý sektor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 6.3. Elektronický podpis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 7. Vize nového identifikátoru občanů ČR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 7.1 Rakouský model elektronické identifikace – inspirace pro ČR . . . . . . . . . . . . . . . . . . . 46 7.2. Základní identifikátor občana ČR – možné řešení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 7.3. Nový identifikátor z pohledu reakce občana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 8. Identifikace a legislativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 9. Identifikace a soukromí . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 10. Předběžná doporučení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
1. Pár slov na úvod
Slovo vládnutí je v mnoha jazycích odvozeno z latinského slova gubernatio a to potom ze staročeštiny κυβερνάω (kybernao), což znamená řídit, či kormidlovat. Úkolem národních vlád je kormidlovat a vést směr lodi . Někdy však vlády sklouzávají od udávání směru k pouhé rutině – veslování. Poskytování služeb lze připodobnit právě onomu veslování. Zkušenosti ze světa hovoří o tom, že vlády obecně nebývají dobrými veslaři, ale mohou být skvělými kapitány. V současném globalizovaném světě je flexibilita jedním z požadavků na veřejné instituce tak, aby mohly komplexně reagovat na rychlé změny ve společnosti. To bývá problém v zaběhnutých byrokraciích, které se formovaly po dlouhá desetiletí a někdy i staletí. Jedním z nástrojů jak této flexibility dosáhnout, je realizace tzv. eGovernementu. Na platformě nezávislé iniciativy eStat.cz (Efektivní stát) se snažíme pojmenovávat úzká hrdla naší byrokracie. Zároveň je ale naším cílem navrhovat konkrétní řešení v oblasti debyrokratizace, elektronizace, transparentnosti a řízení úřadů. Řešení, která povedou ke změně, větší flexibilitě a k lepšímu kormidlování České republiky. Naše pracovní skupina eStat.cz pod vedením Karla Neuwirta v tomto dokumentu otevírá odbornou diskuzi nad základním kamenem českého eGovermentu – elektronickou identifikací. Občanský průkaz, rodné číslo či prokazování identity jsou pro mnoho z nás symboly, které s postupujícím technologickým vývojem musí doznat změn. Elektronická identifikace s jasnými bezpečnostními garancemi přitom může výrazně zjednodušit vztah a komunikaci nejenom mezi občanem a státem, ale zefektivnit komunikaci mezi jednotlivými úřady a v neposlední řadě, také mezi občanem a poskytovatelem služeb z privátního sektoru. Tento dokument si nedělá ambice na komplexní popis všech oblastí souvisejících s identitou jedince, ani si neklade za cíl připravit legislativní a organizační zabezpečení nové identifikace občanů. Je jen podnětem k diskusi, která musí takovému zásadnímu rozhodnutí předcházet. Dokument chce poskytnout čtenáři představu o šíři problematiky elektronické identifikace a také mu poskytnout studijní materiál a odkazy na některé zajímavé odborné prameny související s touto problematikou. Think-tank eStat.cz (Efektivní stát) děkuje tímto také všem, kteří zaslali své připomínky k pracovní verzi tohoto dokumentu. Edvard Kožušník
3
„Nikdy bych tě neopustil, číslo moje rodné, sejdeme se vždycky spolu do roka a do dne“ Jan Vodňanský
2. Úvod
Jedinec je ve společnosti či v komunitě identifikován od nepaměti. Při nejrůznějších formách lidské aktivity a při komunikaci mezi lidmi bylo vždy nutné jedince identifikovat a tedy vzájemně odlišit. Ve starověku obchodník stvrdil svou identitu otiskem prstu do hliněné desky. V novodobé historii se jedinec identifikoval jednak vrozenými charakteristikami ve spojení s papírovým dokumentem, který patřil jen jemu. Zde je jedinec označován číslem, průkazem, pasem apod. Stefan Zweig si v roce 1941 postěžoval: „Všechna ponížení, která dříve postihovala výlučně zločince, doléhala nyní před cestou a během ní na každého cestujícího. Museli jsme se nechat fotografovat zprava i zleva, z profilu i z anfasu, vlasy mít sestřiženy tak krátce, aby bylo vidět uši, museli jsme dávat otisky prstů, nejprve jen palce, potom všech deseti, nadto jsme museli předkládat vysvědčení, osvědčení o zdravotním stavu, očkování, výpis z trestního rejstříku, doporučení, museli jsme uvádět pozvání a adresu příbuzných, dokládat morální a finanční záruky, vyplňovat a podepisovat formuláře v trojnásobném, čtyřnásobném vyhotovení, a chyběl-li z této kopy papírů jen jeden jediný, byl člověk ztracen.1 Moderní technologie, prostředky výpočetní a telekomunikační techniky, vytvářejí infrastrukturu pro elektronizaci nejrůznějších činností a aktivit lidské společnosti. V posledních letech se hovoří o e-Společnosti, e-Governmentu, e-Zdravotnictví, e-bankovnictví a pod. Tato infrastruktura vyžaduje, aby informace o jedincích, občanech, pacientech či klientech byla přesně označena tak, aby s ní byla snadná manipulace a aby se vůči e-systémům jedinec jednoznačně identifikoval a autorizoval. Jedinec tak může být vybaven např. unikátním číslem, pomocí něhož se autorizuje ve všech systémech, nebo naopak, může být vybaven různými identifikátory, specifickými pro jednotlivé e-systémy. Spolehlivá a přesná identifikace jednotlivce hraje zcela mimořádný význam po 11. září 2001, kdy se ukázalo, že teroristé se ve Spojených státech volně pohybovali, komunikovali ve společnosti a dokonce se přímo v napadené zemi vycvičili. Identifikace jedince se stala celosvětovým problémem. O přesné identifikační nástroje usilují nejen bezpečnostní a zpravodajské služby, ale stále více nejrůznější instituce ve veřejném i soukromém sektoru. Identifikace a autentizace jednotlivce hrají důležitou roli při fungování digitální společnosti. Na druhé straně nelze opomenout, že v této společnosti musí být každému zaručeno právo na soukromý život. Realizace tohoto práva naopak vyžaduje jistou míru anonymity člověka. Tyto dvě zdánlivě protikladné stránky informační společnosti je nutno postavit do koexistence, nikoliv do protikladu. V tomto dokumentu chceme čtenáři přiblížit složitost řešení spolehlivé identifikace a autentizace jedince v moderní společnosti a poskytnout náměty k úvahám o vývoji tohoto problému v České republice. Dokument byl postupně upravován a doplněn na základě podnětů a reakcí čtenářů.
1 Zweig Stefan: Svět včerejška. Vzpomínky jednoho Evropana. Torst, Praha, 1999.
5
3. Identifikace občana
Informatizace veřejné správy je jedním z klíčových projektů v Evropském společenství. V roce 2003 formulovala Evropská komise požadavky na informatizaci veřejné správy v dokumentu2, který definoval pojem eGovernment jako aplikaci prostředků informačních a komunikačních technologií do procesů veřejné administrativy při současném zavedení organizačních změn a nových znalostí a dovedností, za účelem zkvalitnění veřejných služeb a demokratických procesů a posílení politiky veřejné správy. Jedním z cílů eGovernmentu je přímý pozitivní vliv na život občanů. Dává jim průhledné a snadné nástroje pro poskytování online služeb a pro přístup k informacím. Umožňuje snadnou komunikaci s úřady a institucemi státní administrativy, mnohdy není nutná osobní návštěva občana na úřadu při vyřízení administrativního úkonu. Účast občanů na on-line službách však také znamená, že budou vytvořeny dostatečné technické nástroje a kapacity, které umožní tyto služby využívat co nejširšímu okruhu osob. Přitom je nutno také pamatovat na osoby zdravotně postižené nebo osoby s nižší počítačovou gramotností nebo na osoby s menší informační potřebou.
Všeobecná občanská legitimace z roku 1939 (Protektorát) s otiskem prstu 2 Communication from the Commission to the Council, the European Parliament, the European Economic and Social Committee and the Committee of the Regions: The Role of eGovernment for Europe‘s Future. COM(2003)567 final, Komise EC, 26. 9. 2003.
6
3.1 Identita jedince Identita má mnoho definic. Z obecného filozofického pohledu je chápána jako něco, co slouží k odlišení podobných prvků stejné kategorie. Identita je problematika spolehlivého rozlišení jedinců od sebe. Problémem identity člověka se zabývá mnoho filosofických esejí.3 V lidské společnosti je identita soubor vrozených či přirozených znaků, charakteristik a vlastností, a také vnějších atributů, které usnadňují vzájemné odlišení jedinců. Identita je také pojem sociální, národnostní, kulturní, psychologický a pod.4,5 Identita jedince je tedy definována jako soubor charakteristik pomocí nichž je jedinec rozlišen od jiných jedinců. Uvádí se tři způsoby pojetí identity: • identita vrozená je založena na charakteristikách získaných po rodičích (např. DNA, tvar tváře, obraz oka) • identita stavu je založena na charakteristikách získaných ze společnosti, v níž jedinec žije (např. rodné číslo, číslo identifikačního průkazu, číslo pojištění, číslo kreditní karty a pod.) • identita jako charakteristika chování, která je jedinci přidělena jinými lidmi na základě aktivit jedince (např. osobnostní profil, trestní záznam, hodnotový profil apod.). Dokument Rady Evropy o identifikačních a cestovních dokladech v souvislosti s bojem proti terorismu definuje „identitu“ jako „unikátní kombinaci charakteristik vztahujících se ke každému jedinci, jako jsou jméno, příjmení, datum a místo narození, pohlaví a fyzické charakteristiky, která, v souladu s národním zákonem, případně mezinárodním zákonem, prokazuje jeho individualitu kompetentním orgánům“6. Identita je tedy hodnotou těchto charakteristik.
3.2 Identifikace, autentizace Identifikace je odpověď na otázku – „kdo jsem?“ Identifikace je způsob jak co nejpřesněji popsat identitu jedince. Definice identifikace jedince má mnoho variant. Např. jako „přidružení údajů konkrétnímu jedinci“ (R.Clarke, 1994). Clarke popsal tři způsoby možné identifikace osoby: 1. vycházející z principu „znalostního“ (potvrzení znalosti unikátního přístupového kódu, knowledgebased), kdy se osoba prokazuje znalostmi informací, u nichž se předpokládá, že je zná jen ona – např. PIN u bankovních karet, příjmením matky za svobodna, nebo heslem (password), které mu bylo přiděleno již dříve. 2. založené na principu důkazů, jež má osoba v držení (token-based). Běžnými příklady jsou například identifikace pomocí identifikačního dokladu, cestovního pasu, řidičského průkazu a pod. Tyto předložené důkazy (dokumenty) obsahují informace a charakteristiky, které příslušejí danému jedinci. 3 Např. John Locke (1632–1704): Esej o lidském rozumu. Praha, Svoboda, 1984. 4 Müller, Karel B.: Formování pozitivních identit mezi minulostí a budoucností. Příspěvek k projektu evropské identity. Sociologický časopis/Czech Sociological Review, 2007, Vol. 43, No. 4: 785–807 5 Erikson, Erik H., (1902–1994): Dětství a společnost. ARGO, Praha, 2002. 6 Recommendation Rec(2005)7 of the Committee of Ministers to member states concerning identity and travel documents and the fight against terrorism. Rada Evropy, přijato Výborem ministrů 30. 3. 2005
7
3. založené na principu biometrie, t.j. měřitelných charakteristik, které jsou jedinci vrozené a které zpravidla nemůže ovlivnit vlastní vůlí. Všechny tři způsoby vedou k témuž cíli – identifikovat nebo autorizovat osobu, avšak způsoby, jakými je toho dosaženo jsou značně odlišné. První dva způsoby jsou založeny na principu utajení a ochrany před zcizením (osoba chrání heslo, chrání identifikační doklad), zatímco u třetího způsobu biometrické charakteristiky utajované nejsou, naopak jsou často běžně rozpoznatelné druhými osobami. Navíc třetí metoda poskytuje mnohem přesnější a spolehlivější identifikaci nebo autorizaci osoby. Biometrický prvek je vlastněn člověkem, je jeho charakteristikou, nelze jej jednoduše zcizit, duplikovat nebo sdílet více jedinci. Biometrický prvek si jedinec nemusí pamatovat, nemůže ho ani ztratit. Známe tedy následující identifikační prvky a metody: • Jméno (údaj, kterým je jedinec nazýván jinými jedinci ve společnosti. Např. jméno, příjmení, příjmení za svobodna, přezdívka a pod.); • Fyzický vzhled (charakteristické vnější znaky, pomocí nichž se jedinec odlišuje od jiných jedinců. Např. fyziognomie tváře, sekundární pohlavní znaky, barva vlasů, barva kůže, barva očí a pod.); • Kód (řetězec čísel, písmen nebo znaků, který je jedinci přidělen systémem, jehož je součástí. Např. rodné číslo, číslo pojištěnce, číslo klienta, číslo zaměstnance a pod.); • Znalost (jedinec se identifikuje znalostí určitého prvku, např. PIN, heslo, klíč a pod); • Bio-metrika (přirozené fyziologické znaky, např. DNA, otisk ruky, prstů, zubů, sítnice oka). Identifikace je tedy proces jednoznačného určení nějakého objektu (v našem případě fyzické osoby) v množině stejných sledovaných objektů (t.j. v populaci občanů státu). Účelem identifikace osoby tedy je vzájemné a jednoznačné rozlišení jednotlivých fyzických osob (občanů) v rámci populace státu. Autentizace je odpověď na otázku – „jsem opravdu ten za koho se vydávám?“ Autentizace (nebo také verifikace, autorizace, ověření) je proces, kterým se ověřuje, zda uživatel nebo nějaká osoba je opravdu tím, za koho se vydává, a je tedy držitelem tzv. autentizačního předmětu (token) – například hesla, šifrovacího klíče, identifikační karty nebo biometrického údaje (otisk prstu, obraz sítnice). Autentizace je proces ověřující tvrzení jedince o své totožnosti na základě jedincem předložených autentizačních předmětů. Při autentizaci má důležitou úlohu stupeň bezpečnosti a spolehlivosti. Autentizační předměty mohou být ztraceny, zcizeny, poškozeny. Např. autentizaci osoby pro přístup do systému pouhým heslem nelze považovat za bezpečnou. Naopak použití digitálních certifikátů bezpečnostní rizika snižují či eliminují. Autentizovat uživatele/osobu můžeme: • tím, co osoba zná (heslo, PIN), • tím, co má (nějaký předmět – klíč, magnetickou či jinou elektronickou kartu, soukromý klíč k příslušnému veřejnému klíči, a pod.); • tím, čím osoba je, co jsou její jedinečné fyziologické či charakterové vlastnosti (otisk prstu, jiný biometrický identifikační prvek (sítnice nebo duhovka oka a pod.), dynamika podpisu, charakter a barva hlasu, a pod.). • tím, že něco umí (např. vlastnoruční podpis).
8
Ve většině systémů je však jedinci ve společnosti přiřazen identifikátor (většinou číselný), jež je využíván k jeho identifikaci a autentizaci při administrativním styku s institucemi. Autentizace identity osoby je základní komponentou fyzického a logického přístupu – ke službám, ke vstupu do zabezpečených prostor a budov, k chráněným informacím, datům a databázím, do počítačových systémů, k chráněným dokumentům a pod. Tradiční autentizace je prováděna různými průkazy, uživatelskými hesly (passwords), klíči atd. V poslední době jsou tyto tradiční mechanismy nahrazovány kryptografickými prvky a biometrickými technikami. Biometrická autentizace je v současné době považována za nejbezpečnější a nejspolehlivější. V praktických aplikacích je však nutno brát v úvahu různou míru přesnosti jednotlivých biometrických charakteristik a také chyby při matematickém zpracování (tzv. falešné přijetí (FAR) či falešné odmítnutí (FRR) poskytnutého biometrického vzorku).
3.3 Identifikátor Identifikace v moderní společnosti Moderní komunikační technologie umožňují jedincům komunikovat s veřejnými i soukromými institucemi dálkově. Jedinec se při takové komunikaci nemusí druhé straně prezentovat osobně (t.j. fyzickou přítomností), ale může ji nahradit prezentací informací, které jej spolehlivě a pokud možno přesně identifikují7. Což znamená, že poskytne o své osobě a o svém místě ve společnosti takové informace, které jsou něj charakteristické a popisují jeho jedinečnost. Při komunikaci s různými institucemi nemusí být rozsah informací, které identifikují a charakterizují jedince vždy stejný. Záleží na tom, s jakou institucí a z jakého důvodu jedinec komunikuje. Např. při identifikaci návštěvníka při vstupu do budovy je rozsah nezbytných údajů nepochybně odlišný od rozsahu údajů potřebných pro identifikaci pacienta ve zdravotnickém zařízení, nebo pro identifikaci občana pro účely platby daní. Množinu údajů nezbytných pro účel identifikace je pak nutno chápat ve vztahu k úkonu či službě, poskytované občanovi a při potřebě komunikace s ním. Tento přístup k identifikaci osoby se stále více uplatňuje v moderní společnosti. Technická řešení umožňují, aby jedinec poskytl druhé straně vždy jen tolik údajů o své osobě, kolik jich je pro danou činnost či úkon nezbytně potřeba. Při potřebě identifikace jednotlivce je nutno vždy respektovat jeho právo na ochranu soukromí a ochranu osobních údajů. Proces identifikace osoby je nutno chápat v kontextu legislativních principů ochrany osobních údajů stanovených jak evropskými, tak národními právními předpisy. Identifikátor je určitá množina údajů vztahujících se k dané osobě, pomocí nichž je možno tuto osobu jednoznačně identifikovat. Jde tedy např. o datový prvek v registru osob, jehož obsah slouží k jednoznačnému určení osoby vedené v registru. Identifikátor se používá jako nástroj při vytváření vzájemné vazby mezi určenou osobou a údaji vedenými o této osobě (např. v nějakém registru). Identifikátor musí obecně splňovat určité vlastnosti: • je přidělen každému subjektu, který je v registru veden 7 Crosby, J.: Challenges and opportunities in identity assurance. Office of Public Sector Information, Londýn, březen 2008
9
• • • • •
va subjekty nesmí mít stejný identifikátor d identifikátor zaniklého subjektu není přidělen novému subjektu každý subjekt má v registru přidělen pouze jeden identifikátor každému identifikátoru v souboru je přiřazen právě jeden subjekt je, až na výjimky (např. při změně pohlaví, po bezpečnostním útoku na identifikátor, při závažných sociálních situacích8, změně biometrického údaje po úraze, apod.), neměnný v čase.
3.4 Identifikátory v některých státech EU a světa Česká republika Většina identifikátorů fyzické osoby je odvozena od data narození a zejména pak od rodného čísla. Není cílem této práce vyjmenovat všechny používané identifikátory, všimněme si pouze těch, které jsou pro účel diskuse o novém identifikátoru osoby podstatné. Rodné číslo Historie rodného čísla (RČ) se u nás datuje od roku 19479, kdy se začalo lidem přidělovat pro ukládání dokladu o zaměstnání, který později sloužil k výplatě důchodu. Rodné číslo či jeho obdoba, je obvyklým identifikátorem států bývalého sovětského bloku. Tyto identifikátory obsahují vnitřní informaci o jeho nositeli, zpravidla datum narození, pohlaví, a v některých případech místo narození. Po roce 1948, kdy se sjednotily sociální pojišťovny, se rodné číslo začalo přidělovat i lidem, kteří do té doby nebyli pojištěni. Později se rodné číslo přidělovalo v patnácti letech každému, aby je měl uvedené v občanském průkazu. Česká správa sociálního zabezpečení má evidenci rodných čísel občanů narozených do 31. 12. 196. Osobám narozeným od 1. 1. 1969 už přiděluje rodná čísla okresní oddělení statistiky, které jednotlivé koncovky nahlašuje matrikám. Ty pak, když se v jejich obvodu narodí dítě, vydávají rodný list i s příslušným rodným číslem. Systém přidělování rodných čísel je jen zdánlivě složitý. Rodné číslo bylo do konce roku 1953 opatřeno jen třímístnou koncovkou. Koncové číslo lidí narozených v Čechách začínalo nulou, na Moravě čtyřkou, na Slovensku sedmičkou a u cizinců devítkou. Od 1. 1. 1954 je koncové číslo čtyřmístné. Lidem v Čechách a na Moravě začínalo nulou, na Slovensku číslicí 6000. Toto hrubší dělení však nebylo vždy dodržováno. Údaj o kraji, v němž se osoba narodila však není v koncovkách rodných čísel zašifrován, jak se občas uvádí. Pouze po roce 1969, kdy přidělovaly rodná čísla už matriky, dostávaly regiony rovněž své kódy. Existuje docela jednoduchý návod, jak si osoby narozené po 1. 1. 1954 mohou zjistit, zda mají správné rodné číslo. Rodné číslo se čtyřmístnou koncovkou je utvořeno totiž tak, aby celé číslo bylo dělitelné číslem 11 beze zbytku (modulo 11). Rodné číslo bylo zavedeno pro statistické a evidenční účely10 a je definováno jako identifikační cha8 Např. dlouhodobě týraným či zneužívaným osobám je změněna identita, aby bylo usnadněno jejich zařazení ve společnosti. Jako příklad může sloužit rodina, kterou týral Jozef Fritzl v Rakousku, která požádala o změnu identity. (http:// zpravy.idnes.cz/obeti-josefa-fritzla-pozadaji-o-novou-identitu-flx-/zahranicni.asp?c=A080529_150531_zahranicni_tha) 9 Výnosem Ministerstva sociální péče ČSR z 20. 12. 1946 čj. IV-2324/21/12-46 10 Viz publikace Evidence, informace, systémy – právní úprava, Pavel Mates, Miroslava Matoušová, Codex 1997 a současně zákon č.21/1971 Sb.
10
rakteristika obyvatele (není však řečeno, zda je tato charakteristika jednoznačná). Určuje ho zásadně okresní oddělení Českého statistického úřadu (ČSÚ). Pro zabezpečení určitých činností je zákonem stanoveno, ve kterých případech se rodné číslo musí oznamovat. Používání rodného čísla jako jednoznačného identifikátoru v jiných případech se vžilo, avšak často je v rozporu se zákonem. Rodné číslo (u občanů narozených do 31. 12. 1953 devítimístné, u občanů narozených od 1. 1. 1954 desetimístné) tedy slouží ke zjednodušení identifikace občanů České republiky. Rodná čísla osobám narozeným do 31. 12. 1968 vydává MPSV – Česká správa sociálního zabezpečení, rodná čísla osobám narozeným od 1. 1. 1969 vydává Český statistický úřad, od 1. 1. 2003 přiděluje RČ ministerstvo vnitra11. RČ je tvořeno z data narození ve tvaru RRMMDD u ženského pohlaví se k hodnotě MM přičítá 50. Závěrečné trojčíslí má povahu sekvenčního čísla a posledním místem je kontrolní znak. Z uvedené struktury vyplývá, že RČ má poměrně značnou vypovídací schopnost: • den, měsíc a rok narození (poslední dvě číslice roku narození) • identifikace pohlaví (rozlišuje měsíc narození – u žen plus 50) • číslice za lomítkem je pořadové číslo přidělené na každý den k místu narození Při zavedení rodného čísla nebylo jeho používání nijak legislativně upraveno. Toto číslo začalo být postupně používáno ve všech situacích, kdy bylo potřeba jednotlivce jakkoliv identifikovat. A to i situacích docela banálních, kdy identifikace nebyla ani nutná či potřebná. Navíc se toto číslo, pro svou technickou strukturu, začalo všeobecně používat jako třídící klíč ve většině databází týkajících se jednotlivců. Vznikla tak možnost tyto databáze provázat a sdílet právě prostřednictvím rodného čísla. Nekontrolované propojování databází přineslo zásadní problémy z pohledu ochrany soukromí jednotlivců. Náprava tohoto stavu bude velmi dlouhá a obtížná. Při přechodu na jiný identifikátor je třeba vzít v úvahu i jiné systémy než jsou systémy státní správy, které využívají RČ jako jednoznačný (i když nikoliv jediný) identifikátor (např. bankovní systémy, účetní systémy, evidenční systémy, atd.). Zde všude by se musela provést pravděpodobně úprava, která by si vyžádala ve svém důsledku značné náklady - viz zkušenosti ze zahraničí (Nizozemsko). Identifikátor sociálního zabezpečení V České republice je Ministerstvem práce a sociálních věcí (MPSV) používán tzv. Identifikátor klienta MPSV (IK) a to k identifikaci osob, které jsou zapsány v Informačním systému státní sociální podpory MPSV (klienti SSP) a v Informačním systému služeb zaměstnanosti MPSV (klienti Úřadů práce). Toto číslo je desetimístné, nikdy nezačíná nulou, a na rozdíl od rodného čísla neobsahuje žádnou vnitřní informaci (bezvýznamový identifikátor v rozsahu 1 100 100 100 až 4 294 967 295). Z důvodu nezaměnitelnosti s rodným číslem se pro Identifikátor klienta MPSV nevyužívají hodnoty, které by se jako RČ mohly interpretovat. Identifikátor klienta MPSV se osobě přiděluje prostřednictvím kontaktního místa SSP nebo Úřadu práce. Toto číslo používá MPSV také při vydávání certifikátů pro zaručený elektronický podpis. Již v roce 2003 začalo dnes již zrušené ministerstvo informatiky uvažovat o náhradě rodného čísla právě tímto identifikátorem sociálního zabezpečení. Tyto úvahy vyústily v projednání návrhu ministerstva Vládou ČR dne 23. března 2005 a usnesením ke zpracování analýzy na postupné zavedení 11 Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů
11
bezvýznamového identifikátoru obyvatele ČR12. Tento návrh nebyl realizován, mimo jiné také proto, že nebyl dostatečně odůvodněn. Ministerstvem uváděné důvody – omezení možnosti zneužití RČ, odstranění vnitřní informace o držiteli rodného čísla a ukončení číselné řady v roce 2053 či centralizace vydávání nových identifikátorů13 – byly shledány jako nedostatečné pro realizaci příliš nákladné a složité akce. Využití identifikátoru sociálního zabezpečení při nahrazení rodného čísla se tak opět začalo prezentovat ministerstvem vnitra v roce 2008 v souvislosti se zavedením tzv. datových schránek14 a vybudováním základních registrů15. Ponechme nyní stranou mnohá úskalí navrhovaného zákona, v dalším textu se však blíže podíváme na problémy související s nahrazením rodného čísla tímto bezvýznamovým identifikátorem. Bohužel, koncepce ministerstva vnitra nebere v úvahu odlišnosti při identifikaci osob pro různé účely, jak je popsáno výše. Diskuse kolem obou vládních předloh by měla vyústit ve změny, které budou podstatně lépe respektovat soukromí občanů při přidělování a používání identifikačních čísel. Identifikátor zdravotního pojištěnce Nositeli čísla zdravotního pojištěnce jsou všichni účastníci pojištění na všeobecném zdravotním pojištění v České republice. Tento identifikátor je shodný s rodným číslem občana. Odlišnosti mohou vzniknout u osob se stejným rodným číslem nebo u osob, kterým nebylo rodné číslo přiděleno. V těchto případech přiděluje číslo zdravotního pojištěnce Všeobecná zdravotní pojišťovna ČR (VZP ČR)16. Problematikou elektronického identifikátoru zdravotního pojištěnce jako nástroje pro přesnou evidenci pojištěnců, pro bezpečnou komunikaci s pojištěncem a zvýšení informovanosti pacienta, pro vytvoření možnosti sdílení technické a datové infrastruktury mezi zdravotními pojišťovnami a souvisejícími agendami v rámci veřejné správy, zejména pak v oblasti státní sociální podpory, zaměstnanosti a sociálního zabezpečení, se VZP ČR zabývá již dlouhou dobu. V roce 2003 byl zpracován analytický dokument, jež stanovil základní cíle a perspektivu zavedení elektronického identifikátoru pojištěnce VZP ČR17. Od roku 2004 VZP ČR začala vydávat svým pojištěncům nové identifikační průkazy podle jednotného grafického a obsahového vzoru EU – Evropského průkazu zdravotního pojištění (EHIC – European Health Insurance Card)18, který nahrazuje formulář E 111 zdravotního pojištění. Od 1. 1. 2006 jsou tímto průkazem pojištěnce vybaveni všichni pojištěnci v ČR, bez rozdílu příslušnosti ke zdravotní pojišťovně. Na rozdíl od předchozího papírového průkazu pojištěnce VZP, obsahuje nový průkaz pojištěnce také identifikační číslo průkazu, podle něhož lze zjistit, kterému pojištěnci byla konkrétní karta vydána. Číslo průkazu vydaného pojištěnci je evidováno v identifikační databázi pojištěnců.
12 Usnesení Vlády ČR ze dne 23. 3. 2005 č.340 k možnosti postupného zavedení bezvýznamového identifikátoru obyvatele – http://kormoran.vlada.cz/usneseni/usneseni_webtest.nsf/ WebGovRes/9ABB176D8F2F07E1C12571B6006D058F?OpenDocument 13 Viz např. vyjádření ministra informatiky v Interview BBC 17.1.2005 14 Viz vládní návrh zákona o elektronických úkonech, osobních číslech a automatizované konverzi dokumentů, Poslanecká sněmovna PČR, tisk č. 445 – http://www.psp.cz/sqw/text/tiskt.sqw?O=5&CT=445&CT1=0 15 Vládní návrh zákona o základních registrech. 2008. (v mezirezortním připomínkovém řízení) 16 Zákon č. 592/1992 Sb., o pojistném na všeobecném zdravotním pojištění, v platném znění 17 Analýza zavedení EI jako průkazu pojištěnce zdravotního pojištění. VZP ČR, 2003. 18 Communication from the Commission concerning the introduction of a European health insurance card, Brusel, 17. 02. 2003, COM(2003) 73 final. (http://ec.europa.eu/employment_social/healthcard/index_en.htm)
12
Ve zdravotnickém systému je identifikátor zdravotního pojištěnce provázán s identifikátorem pacienta. Touto specifickou oblastí identifikace se zabývá řada evropských projektů a je také předmětem činnosti odborné skupiny v Evropském standardizačním výboru (CEN)19.
Evropský průkaz zdravotního pojištění (provedení bez čipu); Zdroj: VZP ČR Austrálie V Austrálii není používán jediný univerzální identifikátor občana. Pro různé účely identifikace jsou používány zdravotní číslo (Medicare card number) pro oblast zdravotnictví, číslo daňového záznamu (TFN-tax file number) pro oblast daňovou a finanční, nebo číslo řidičského oprávnění pro ostatní účely. Belgie Belgický způsob identifikace občana je vedle rakouského modelu dalším příkladem moderního nakládání s identifikátory. Od roku 1991 má každý belgický občan přiřazeno identifikační číslo, které je obecným identifikátorem při kontaktu se všemi státními orgány. Od roku 1998 je toto číslo uloženo na čipové paměťové kartě sociální identity (SIS karta). Identifikační číslo může být z karty přečteno vizuálně nebo elektronicky. Karta obsahuje také v kryptované formě informace o stavu sociálního a zdravotního pojištění, které však mohou číst pouze pracovníci zdravotně-sociálního sektoru (poskytovatelé zdravotní péče). Na základě zkušeností s touto SIS kartou byla vyprojektována všeobecná karta elektronické identity (EID card), která již obsahuje privátní klíče a certifikáty pro elektronickou autentizaci a pro vytváření elektronického podpisu. Elektronická identifikační karta je celostátní projekt, do konce roku 2005 bylo vydáno milión těchto karet a celá populace jí bude vybavena do konce roku 200920, 21. Projekt je řízen Bankou sociálního zabezpečení (Crossroad Bank for Social Security)22, specializovanou institucí pro aplikaci eGovernmentu v sociálně-zdravotním sektoru. 19 CEN TC 251 – Health informatics 20 Good practice case: Social Security Benefits for Citizens in Belgium. Evropská komise, Belgie, 2005 (http://www.egov-iop.ifib.de/downloads/GPC_IOP_in_soc_sec_in_Belgium.pdf) 21 http://www.cosic.esat.kuleuven.be/publications/article-769.pdf 22 e-Government Program of the Belgian Social Security. Crossroad Bank for Social Security, 2007 (http://www.ksz.fgov.be/documentation/En/UNO-CBSS-v2007.pdf)
13
Prováděcím předpisem k tomuto zákonu je Královský výnos týkající se složení identifikačního čísla osob, zapsaných do Národního registru fyzických osob. Tento Královský výnos určuje skladbu identifikačního čísla (dále jen IC), které se skládá z jedenácti číslic. První skupina tohoto čísla obsahuje 6 číslic a odvozuje se od data narození. Druhá skupina se skládá ze 3 číslic a je nazývána pořadovým číslem. Třetí skupina obsahuje 2 číslice a je nazývaná kontrolním číslem. Dále výnos ve svých ustanoveních pojednává o jednotlivých skupinách čísel a jejich tvorbě a významu. Výnos upravuje kdy je možno identifikační číslo znovu použít a za jakých podmínek bude identifikační číslo zrušeno.
Identifikační karta občana Belgie Bulharsko Každému občanu je přiřazeno 10 místné identifikační číslo (Uniform Civil Number, bulharsky:: Edinen grazhdanski nomer, EGN). Toto číslo je tvořeno datem narození (šest číslic ve tvaru YYMMDD), třímístným sériovým číslem (označuje pohlaví – lichá čísla ženy, sudá čísla muži). U osob narozených před rokem 1900 je třetí a čtvrtá číslice v identifikačním čísle (označení měsíce narození) zvýšena o 20 (např. březen je 23) a u osob narozených od 1. 1. 2000 je třetí číslice zvýšena o 40 (např. březen je 43). Francie Kód INSEE jako číselná indexace používaná Francouzským národním institutem pro statistiku a ekonomické studie (French National Institute for Statistics and Economic Studies – INSEE) je používán jako národní identifikační číslo občana. Kromě kódu INSEE je však také identifikátor používáno číslo sociálního zabezpečení (Social Security Number). Estonsko Osobní identifikační číslo (Personal identification code, estonsky isikukood-IK) je vytvořeno na základě data narození a pohlaví osoby. Slouží pro identifikaci osoby m.j. také v systémech veřejné správy. Číslo má zajímavou konstrukci, která umožňuje jeho použití bez limitů století, v němž se osoba narodila. Obsahuje 11 číslic ve formátu GYYMMDDSSSC, kde G je pohlaví a století narození osoby (liché číslo pro muže, sudé pro ženy; čísla 1–2 pro osoby narozené v 19. století, 3–4 pro osoby narozené 14
ve 20. toletí a 5–6 v 21. století), SSS je rozlišovací číslo pro osoby narozené ve stejný den a C je kontrolní číslice.
Integrovaná identifikační karta občana Estonska; obsahuje také certifikát elektronického podpisu Identifikační karta občana Estonska23 je ze zákona povinný identifikační doklad, s integrovaným procesorovým čipem. Držitel karty není oprávněn rozhodovat o obsahu údajů na kartě, má však právo deaktivovat elektronické funkce karty (certifikát elektronického podpisu). Karta obsahuje celou řadu identifikačních údajů (včetně osobního čísla, podpisu, data narození a pod.). Kromě procesorového čipu obsahuje karta na rubní straně identifikační údaje ve strojově čitelném formátu (kromě fotografie a podpisu). Karta občana je zajímavá tím, že v integrovaném čipu nejsou uložena duplicitně data ze strojově čitelné zóny. V čipu jsou uloženy dva certifikáty a jim odpovídající privátní klíče, jméno držitele karty a jeho identifikační číslo. Soukromé klíče jsou chráněny PIN a slouží pro autentizaci držitele karty a pro elektronické podepisování dokumentů. Velice inspirující je řešení, kdy autentizační certifikát obsahuje unikátní emailovou adresu, která je přiřazena držiteli karty. Adresa má tvar: jméno.příjmení
[email protected], kde NNNN 23 http://www.egov-iop.ifib.de/downloads/Interoperability_in_eID_in_Estonia.pdf; Estonsko má asi 1,4 mil. obyvatel
15
je náhodně generované číslo. Tato e-adresa by měla být neměnná a měla by platit po dobu života držitele karty. Tato adresa neslouží přímo pro použití v internetových službách, ale je jakýmsi směrníkem na reálnou e-adresu (kterou si držitel karty může libovolně měnit). Slouží však pro komunikaci mezi občanem a státem a může být rovněž využívána pro soukromou komunikaci s privátními subjekty. Tato adresa je veřejně dostupná a nachází se v centrálním registru poskytovatelů certifikačních služeb. Finsko Ve Finsku se vydává jednoznačné osobní číslo (henkilötunnus-HETU), které se používá pro identifikaci občanů ve vládních a občanských systémech. Má tvar DDMMRRCZZZQ, kde DDMMRR je datum narození, C je znak označující století („+“ pro 19., „–“ pro 20. a „A“ pro 21. století), ZZZ je osobní identifikační číslo (sudé pro ženy, liché pro muže) a Q je znak vyjadřující kontrolní součet. Znak kontrolního součtu se počítá z devíti číslic DDMMRRZZZ, z něhož se zjistí zbytek po dělení 31. Znak kontrolního součtu je pak n + 1. znak z řetězce „0123456789ABCDEFHJKLMNPRSTUVWXY“.24 Používání osobních čísel je omezeno zákonem. Osobní číslo mohou získat také cizí státní příslušníci, pokud jsou ve Finsku registrováni k pobytu. Chorvatsko V Chorvatsku, stejně jako v ostatních státech bývalé Jugoslávie, bylo zavedeno číslo občana (matični broj graždana), jako základní identifikátor osoby. Toto číslo je 13 místné – obsahuje datum narození, stát a oblast narození (např. číslo 33 označuje občana narozeného v Chorvatsku v regionu Zagreb), pohlaví a kontrolní součet. Chorvatsko připravuje náhradu tohoto identifikátoru 11 místným náhodně generovaným číslem. Irsko V Irské republice je zavedeno osobní číslo veřejných služeb (Personal Public Service Number – PPS No), není definováno jako národní identifikátor a jeho použití je vymezeno zákonem25. Avšak s rozšiřujícími se aplikacemi jeho použití se národním identifikátorem stalo. Zákon však nedovoluje shromažďování a uchovávání tohoto údaje pro libovolný účel. Není např. dovoleno, aby tento identifikátor používal zaměstnavatel pro evidenci zaměstnanců (výjimka se vztahuje na policii a na resort obrany). Soukromý sektor může identifikátor používat v případech, kdy je nutné vytvořit vazbu na veřejné služby (na sociální a důchodové zabezpečení, daňovou evidenci a pod.). Např. banky tedy nemohou toto číslo použít k identifikaci klientů. Litva Identifikační číslo občana bylo zavedeno zákonem o Registru populace v roce 1992. Tento identifikátor občana nebyl zaveden speciálně pro použití při veřejných elektronických službách. V zákoně se dokonce přímo stanoví, že toto číslo slouží pro vytvoření vztahů mezi jednotlivými databankami. Struktura identifikačního čísla je následující: 1. číslice vyjadřuje pohlaví osoby a století jeho narození; 2. až 7. číslice vyjadřují datum narození ve tvaru YYMMDD; 8.–10. číslice je rozlišovací sekvence pro osoby narozené ve stejný den; 11. číslice je kontrolní znak. 24 Wikipedia 25 Social Welfare Consolidation Act 2005. (http://www.irishstatutebook.ie)
16
Maďarsko V Maďarsku bylo rodné číslo jako jedinečný identifikátor osoby zrušeno v roce 1991. Ústavní soud jej svým výnosem prohlásil za neústavní – „Všeobecný a jedinečný identifikátor osoby, který lze používat a přidělovat každému občanovi v zemi je neústavní“26. Poté byl v Maďarsku částečně zaveden systém oddělené identifikace (pro sociálně-zdravotní oblast, pro finanční oblast a pro oblast veřejné správy). Německo V Německu se nepoužívá národní identifikační číslo a není vedena centrální databáze obyvatel. Většina obyvatel má přiděleno číslo sociálního pojištění, které je používáno při styku se státní správou. Pro účely daňové se používá číslo daňové evidence. Určitá nejednotnost v používání identifikace osob přetrvává ještě z dob rozděleného Německa. Nizozemí V Nizozemí je všeobecně používáno identifikační číslo (sofinummer; sofi – zkratka od social-fiscal). Má charakter osobního čísla a je vytištěno na všech identifikačních dokladech občana – cestovním pasu, řidičském průkazu, mezinárodní identifikační kartě a pod. Od roku 2007 je toto číslo nazýváno jako číslo služeb občana (Burgerservicenummer – BSN; Citizen's Service Number). Norsko V národním populačním registru norských obyvatel je každému jedinci přiřazeno 11 místné číslo, kde 6 číslic obsahuje datum narození osoby, 3 číslice tvoří individuální číslo a 2 číslice jsou kontrolní číslo. Jako osobní číslo je však všeobecně používána skupina posledních 5 číslic (tedy bez data narození). Individuální číslo je odvozeno od století data narození osoby a umožňuje identifikovat osoby narozené od roku 1854 do roku 2039. O přidělování identifikátoru osobám narozeným po roce 2039 není zatím rozhodnuto. Polsko V Polsku je používán všeobecný identifikátor PESEL (Powszechny Elektroniczny System Ewidencji Ludności) jako mandatorní pro všechny obyvatele a pro osoby s dočasným pobytem delším než 2 měsíce. Identifikátor má strukturu YYMMDDZZZXQ, kde YYMMDD je datum narození, ZZZ je osobní identifikační číslo, X označuje pohlaví a Q je paritní číslo.
26 Rozhodnutí maďarského ústavního soudu o právu na soukromí (č.4/13/91); http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-64762
17
Rakousko Rakouský model používá dvě koncepce identifikace občana. První model je Číslo sociálního zabezpečení, které je 10 místné a obsahuje datum narození jeho nositele. To je důvodem, že toto číslo je považováno za citlivé s ohledem na soukromí jednotlivce a jeho použití je vymezeno zákonem. Toto číslo nemůže být používáno jako univerzální identifikátor občana. Druhý, podstatně modernější a k soukromí občana ohleduplnější model, je sektorově orientovaný osobní identifikátor (Sector-Specific Personal Identifier – ssPIN). Tento identifikátor eliminuje nevýhody čísla sociálního zabezpečení a bylo zavedeno zákonem o eGovernmentu. Tento identifikátor je vytvořen modifikací identifikačního čísla občana (uloženého v centrálním registru obyvatel) na tzv. zdrojové identifikační číslo (Source PIN), které má občan uloženo na tzv. občanské kartě (může se jednat o čipovou kartu nebo jiné důvěryhodné úložiště – nezaměňovat s občanským průkazem!). Toto číslo je pak pomocí symetrického kryptovacího algoritmu změněno na ssPIN tak, že má různou hodnotu pro různé oblasti (sektory). Systém obsahuje rozdělení oblasti použití na cca 30 sektorů (zdravotnictví, daně, sociální zabezpečení, statistika, bydlení a stavebnictví, atd.). Podrobnější popis viz kapitola 7.1. Příklad sektorového identifikátoru: Identifikační číslo v centrálním registru (CCR-ID): 000247681888 (12–číslic) Zdrojové identifikační číslo (SourcePIN): MDEyMzQ1Njc4OWFiY2RlZg== (24 Bytes base64) Sektorově orientovaný identifikátor (ssPIN pro sektor bydlení a stavebnictví): MswQO/UhO5RG+nR+klaOTsVY+CU= (28 Bytes base64)
Karta zdravotního a sociální pojištění – Rakousko Rumunsko Každý rumunský občan má přidělen Osobní číselný kód (Personal Numeric Code; Cod Numeric Personal – CNP), který je vytvořen z pohlaví občana a století, v němž se narodil (1/3/5/7 pro muže, 2/4/6/8 pro ženy; např. číslo 1 je přiřazeno mužům narozeným v rozpětí let 1900–1999, pro stejné období u žen je použito číslo 2), data narození (ve tvaru RRMMDD), dvoumístného kódu oblasti státu (v rozmezí 1–52), 3 místa tvoří sériové číslo a 1 číslice je kontrolní.
18
Identifikační karta, Rumunsko Španělsko Národní identifikační d okument (Documento Nacional de Identidad, DNI) má ve Španělsku každý občan starší 14 let. Dokument obsahuje jednoznačné číslo jeho držitele (ve tvaru 00000000-A, kde 0 jsou číslice, A je kontrolní písmeno). Občané cizí národnosti mají obdobnou identifikační kartu, s identifikačním číslem ve formátu X-0000000-A (kde 0 jsou číslice, A je kontrolní písmeno, X je písmeno), které je nazýváno Identifikačním číslem cizince – NIE Number (Número de Identificación de Extranjeros, Foreigner‘s Identity Number). Tato identifikační čísla fyzických osob jsou široce používána pro nejrůznější účely.
Elektronická identifikační karta, Španělsko, 200527 Švédsko Švédské osobní číslo (Personal Identity Number – personnummer) je používáno pro veškerou komunikaci s veřejnými institucemi. Desetimístné číslo je odvozeno od data narození (prvních šest číslic ve tvaru YYMMDD), dále obsahuje 2 číslice jako unikátní číslo, devátá číslice rozlišuje pohlaví držitele čísla, desátá číslice je kontrolní. Osobní číslo je ve Švédsku používáno od roku 1947. USA V některých státech světa je idea jednotného identifikátoru občana stále nepřijatelná. Např. ve Spojených 27 http://www.dnielectronico.es/PDFs/Guia_de_referencia_basica_v1.0.pdf
19
státech byl v roce 1936 zaveden identifikátor – číslo sociálního zabezpečení (Social Security Number, SSN), jehož účel bylo označení čísla účtu propojeného na systém sociálního zabezpečení. Postupně se však toto číslo začalo používat v dalších aplikacích a byly vyvíjeny snahy zavést toto číslo jako univerzální identifikátor občana. Tyto snahy však měly a stále mají řadu odpůrců. Např. v roce 1971 Úřad sociálního zabezpečení odmítl použití SSN jako identifikátor pro identifikační karty. Po několika dalších neúspěšných snahách o zavedení jednotného identifikátoru se zdálo, že tento problém bude řešen v souvislosti s reformou zdravotnictví, kterou navrhla administrativa prezidenta Clintona. Plány z roku 1993 na zavedení karty zdravotního zabezpečení (Health Security Card) nebyly nikdy realizovány. Avšak zákonem z roku 1996 byl identifikátor SSN vložen do řidičských průkazů. Diskuse o zavedení identifikačního průkazu nabyly opět na závažnosti po 11. září 2001. Ačkoliv návrh na vydání identifikační karty všech občanů USA, která by obsahovala otisk palce a fotografii, byl předložen krátce po teroristických útocích, přesto tento problém není dořešen ani v roce 2008. Obecně používanou identifikační kartou se tak stal řidičský průkaz, jehož nový vzor (2008) obsahuje čip RFID a také celou řadu osobních údajů, včetně výšky nebo barvy očí. V souvislosti s nárůstem krádeží identity se však znovu diskutuje o omezení přístupu k číslu sociálního zabezpečení SSN. V dubnu 2008 oznámilo ministerstvo obrany, že na identifikačních kartách jejich zaměstnanců již nebudou úplná čísla SSN28. Obdobnou cestou půjdou další instituce vydávající zaměstnanecké ID karty. Jako jeden ze závěrů zprávy z vyšetřování teroristických útoků v roce 2001 bylo doporučení zavést v USA jednotný, celostátně platný identifikační průkaz. Jako hlavní argumenty podporující tuto ideu byly posílení národní bezpečnosti, odhalování teroristů a omezení nelegálního přistěhovalectví. Američané však tuto myšlenku odmítli. Poukazovali na snahy rozšířit číslo sociálního zabezpečení (SSN) na národní identifikátor, který by mohl být využíván pro nejrůznější účely, tedy nikoliv jen pro administraci sociálního zabezpečení. Tyto snahy byly opakovaně odmítány. V roce 1993, v době vlády prezidenta Clintona, byly předloženy návrhy na zavedení „zdravotní karty“, které však rovněž nebyly realizovány. V roce 2005 byl schválen zákon o identifikačních kartách – tzv. REAL ID Act29, který stanovil minimální požadavky na informace obsažené v řidičském průkazu nebo na identifikační kartě, vydávaných jednotlivými státy, aby tyto doklady mohly být akceptovány ve všech státech USA.
Řidičský průkaz USA 2008 s čipem RFID a řadou osobních údajů; Zdroj: Washington State Department of Licensing 28 http://www.defenselink.mil/news/newsarticle.aspx?id=49465 29 Úplná citace zákona je: “Emergency Supplemental Appropriations Act for Defense, the Global War on Terror, and Tsunami Relief, 2005. Zákon vstoupí v účinnost v květnu 2008 (text lze nalézt na http://epic.org/privacy/id-cards/ real_id_act.pdf)
20
Velká Británie Ve Velké Británii je používáno Číslo národního pojištění (National Insurance Number), nazývané také NI Number (NINO). Je používáno pro administrativní účely, nemůže však sloužit k prokázání identity jednotlivce. Číslo má formát LL NN NN NN L. Je také používáno číslo Národní zdravotní služby (National Health Service), avšak toto číslo se mění se změnou lékaře a nemůže sloužit k obecnému prokázání identity. V současné době je vedena bouřlivá diskuse o obligatorním vydání identifikační karty každému rezidentu v Británii. Návrh vlády na zavedení karty byl v roce 2007 pozastaven. Nejednotnost způsobu identifikace občana ve státech Evropského společenství lze kromě osobního čísla demonstroval také na příkladu daňového identifikačního čísla. V tomto směru však již Evropská komise podniká kroky k unifikaci.
Struktura daňového identifikačního čísla fyzické osoby v některých státech Evropy30: 1. ledna 2007 vstoupila v platnost Směrnice Rady o společném systému daně z přidané hodnoty31, která m.j. upravuje strukturu identifikačního čísla. Osobní identifikační číslo pro DPH obsahuje předponu podle kódu ISO 3166 – alfa 2, podle níž lze určit vydávající členský stát. Struktura kmenové části tohoto identifikačního čísla je v kompetenci každého z členských států EU a neplatí pro konstrukci označení osoby žádné omezení. Následující tabulka je ukázkou variability struktury čísel používaných pro daňové účely. V řadě států je používáno číslo, které bylo primárně vytvořeno pro jiný účel (např. pro sociální pojištění). Nicméně je nutno upozornit, že praxe se v některých státech EU mění.
30 Zdroj: http://ec.europa.eu/taxation_customs/vies/faqvies.do 31 Směrnice Rady 2006/112/ES
21
Stát
Struktura
Formát [*]
Belgie
BE999.999.999
3 bloky 3 číslic
Česko
CZ99999999 nebo CZ999999999 nebo CZ9999999999
1 blok 8, 9 nebo 10 číslic
Dánsko
DK99 99 99 99
4 bloky 2 číslic
Německo
DE999999999
1 blok 9 číslic
Estonsko
EE999999999
1 blok 9 číslic
Řecko
EL999999999
1 blok 9 číslic
Španělsko
ESX9999999X [1]
1 blok 9 znaků
Francie
FRXX 999999999
1 blok 2 znaků, 1 blok 9 číslic
Irsko
IE9S99999L
1 blok 8 znaků
Itálie
IT99999999999
1 blok 11 číslic
Kypr
CY99999999L
1 blok 9 znaků
Lotyšsko
LV99999999999
1 blok 11 číslic
Litva
LT999999999 nebo LT999999999999
1 blok 9 číslic nebo 1 blok 12 číslic
Lucembursko
LU99999999
1 blok 8 číslic
Maďarsko
HU99999999
1 blok 8 číslic
Malta
MT99999999
1 blok 8 číslic
Nizozemí
NL999999999B99 [2]
1 blok 12 znaků
Rakousko
ATU99999999 [3]
1 blok 9 znaků
Polsko
PL9999999999
1 blok 10 číslic
Portugalsko
PT999999999
1 blok 9 číslic
SI99999999
1 blok 8 číslic
Slovensko
SK9999999999
1 blok 10 číslic
Švédsko
SE999999999999
1 blok 12 číslic
Finsko
FI99999999
1 blok 8 číslic
Velká Británie
GB999 9999 99 nebo GB999 9999 99 999 [4] nebo GBGD999 [5] nebo GBHA999 [6]
1 blok 3 číslic, 1 blok 4 číslic a 1 blok 2 číslic; nebo předchozí následováno blokem 3 číslic; nebo 1 blok 5 znaků
Slovinsko
Poznámky:
22
[*] formát mimo dvoupísmenného prefixu 9 číslice X písmeno nebo číslice S písmeno; číslice; „+“ nebo „*“ L písmeno [1] první a poslední znak je písmeno nebo číslice, ale oba znaky nesmějí být číslice
[2] [3] [4] [5] [6]
na 10. pozici za prefixem je vždy „B“ na 1. pozici za prefixem je vždy „U“ pro obchodní firmy pro státní správu pro zdravotnická zařízení
4. Biometrické údaje a identifikace
Snad žádné jiné prostředky identifikace jedince nevzbudily tolik vášní a debat jako používání biometrických údajů člověka. Biometrika je aplikace automatizovaných metod rozlišování jedinců podle charakteristik jejich fyziologie nebo charakteristik jejich projevů a chování. Aby však mohly být tyto charakteristiky použity pro rozlišení jedinců, musejí vykazovat určité vlastnosti. Jednak musejí být jejich hodnoty do značné míry jedinečné, tedy, že bude existovat jen malá pravděpodobnost, že stejnou hodnotu budou vykazovat dva či více jedinců. Dále musejí být univerzální, t.j. charakteristika se obecně vyskytuje u všech jedinců. Charakteristika musí být měřitelná pomocí běžných technických instrumentů. Další vlastností je, že charakteristika vykazuje poměrně vysokou míru stability, tedy nemění se (podstatně) v čase. Takovými charakteristikami lidského jedince jsou geometrie tváře, otisk prstu, geometrie ruky, krevní řečiště hřbetu ruky (geometrie rozmístění a struktura cév vykazuje specifické znaky), rukopis (dynamika podpisu), obraz oka (sítnice a duhovka), DNA, tvar ucha, hlas, styl chůze, tvar rtů a řada dalších. Mezi biometrické údaje se řadí také infračervený obraz těla nebo jeho částí.
Historie biometrické identifikace Použití biomterických údajů pro identifikaci osob je metoda stará několik staletí. Již ve starověkém Babylonu byl používán otisk prstu do hliněné desky jako potvrzení obchodu. Bylo objeveno, že v Persii byl již ve 14. století používán otisk prstu na úředních listinách a jeden lékař zjistil, že se tyto otisky liší u každého jedince. V roce 1686 Marcello Malphigi (1628–1694), profesor anatomie na Univerzitě v Boloni a objevitel komparativní anatomie a vlásečnic v krevním systému, popsal systém rýh, spirál a smyček v kůži. Je po něm nazvána jedna vrstva kůže (asi 1,8 mm tenká). Tenkrát však ještě nebylo rozpoznáno, že tyto znaky mohou být použity pro identifikaci jedince. V roce 1823 publikoval Jan Evangelista Purkyně (1787–1869) teorii o 9 typech otisku prstu, avšak ani on tehdy neuvažoval, že by se mohlo jednat o identifikační znak člověka. Až v roce 1880 Henry Faulds (1843–1930), publikoval vědeckou stať o možnosti použití otisku prstu k identifikaci a o způsobu získání tohoto otisku pomocí inkoustu. Charakteristiky, které umožňují použít otisk prstu k identifikaci osoby popsal v roce 1880 britský antropolog a statistik Sir Francis Galton (1822–1911). Tyto charakteristiky jsou používány dodnes (tzv. minuties nebo také Galtonovy charakteristiky). V roce 1892, argentinský policejní úředník začal používat otisk prstu při vyšetřování trestných činů. Od té doby bylo popsáno mnoho případů použití „Galtonových charakteristik“ pro policejní účely. V roce 1946 měla americká FBI kartotéku 100 milionů otisků prstů a o 20 let později již 200 milionů. Biometrická identifikace jedince se stala rutinní součástí policejní praxe. Otisk prstu se tak stal běžnou součástí identifikačního průkazu občana.
23
Ukázka identifikačního dokladu s otiskem prstu (Bulharsko, 1941); Zdroj: eBay
Ukázka identifikačního dokladu s otiskem prstu (Španělsko, 1958); Zdroj: eBbay
Biometrická identifikace po 11. září 2001 Události 11. září 2001 znamenaly pro identifikaci jedince doslova průlom. Zvláštní význam dostala biometrické identifikace zejména tím, že biometrické údaje začaly být zpracovávány digitálně a v masovém měřítku. Poté, co USA oznámily, že budou shromažďovat biometrické informace ve svém programu US-VISIT a začaly požadovat, aby nové cestovní doklady osob cestujících do Spojených států obsahovaly tyto informace, začaly se biometrické údaje k identifikace jednotlivců masově používat nejen ve státní správě, ale také v soukromém sektoru. Hlavní výhodou je, že svou biometrickou informaci nemůže člověk ani ztratit, ani mu nemůže být zcizena. Tato informace může být sice kopírována, ale jedinec se jí nemůže zříci. Řada biometrických informací vykazuje vysokou míru stability v čase, mnohé se nemění po celý život člověka. Jsou také vysoce unikátní, což znamená, že je malá pravděpodobnost shody těchto informací u různých osob. Všechny tyto vlastnosti dělají z biometrické informace vynikající způsob identifikace a autorizace jedince. Navíc je identifikace pomocí biometrických údajů pro člověka vlastně pohodlná, nemusí si informaci pamatovat (na rozdíl od různých hesel a PINů), nemusí se obávat její 24
ztráty (na rozdíl od identifikačních dokladů). Je pro něho navíc bezpečnější a efektivnější. Současně však takové použití biometrických informací vyžaduje určité právní regulace. Biometrické rozpoznávání spočívá v použití vrozených a charakteristických znaků fyziologických (např. biometrika tváře, oka, ucha, prstu, dlaně a pod.) a znaků chování (např. podpisu, chůze) při automatizovaném porovnávání a vyhodnocování. Tyto charakteristiky jsou propojovány mezi sebou, čímž se umocňuje jejich jedinečnost. Například některé vnější či vnitřní fyziologické znaky mohou být velmi podobné v rámci pokrevních příbuzných (rodiče-děti), přičemž se však odlišují při použití charakteristik chování, a obráceně. Některé biometrické informace mohou být složeny jak ze znaků fyziologických, tak ze znaků chování (např. hlas). V pracovním dokumentu o biometrii přijatém Pracovní skupinou pro ochranu dat (WP29)32 se uvádí, že „rychlý pokrok v oblasti biometrických technologií a jejich rozšířené používání v posledních letech, vyžaduje pečlivou kontrolu z hlediska ochrany údajů. Široké a nekontrolované používání biometrických prvků vyvolává obavy pokud jde ochranu základních práv a svobod fyzických osob. Tento typ údajů má zvláštní povahu. Souvisí s fyziologií a s chováním fyzické osoby a může umožnit její vysoce pravděpodobnou identifikaci.“ Od roku 2003 však nastal mohutný vývoj jak v používání biometrických údajů, tak v oblasti legislativy a dalších regulačních opatření, která mají minimalizovat negativní dopad zpracování biometrických údajů na soukromí lidí. Nejznámějšími aplikacemi s použitím biometrických údajů pro jednoznačnou identifikaci jedince se tak staly nové cestovní pasy a identifikace ve vízovém a azylovém informačním systému. V roce 2004 byl Evropskou komisí předložen návrh na přijetí bezpečnostních standardů při použití biometrických údajů v cestovních dokladech. V prosinci 2004 pak bylo přijato Nařízení Rady k této věci33. K identifikaci jedince pomocí některých biometrik lidského těla byly rovněž vypracovány mezinárodní normy a standardy, které jsou nezbytné pro zajištění interoperability systémů a pro zajištění bezpečnosti zpracování. Jako příklad lze uvést normy: ČSN ISO/IEC 19794-9 (36 9860) Informační technologie – Formáty výměny biometrických dat – Část 9: Data vaskulárního obrazu ČSN ISO/IEC 19794-10 (36 9860) Informační technologie – Formáty výměny biometrických dat – Část 10: Data geometrického obrysu ruky ČSN ISO/IEC 27006 (36 9790) Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací.
Biometrická identifikace Při použití biometrik pro identifikaci nebo autorizaci osoby jsou porovnávány dva vzorky a jejich digitální šablony. Tzv. „živá data“, získána od dotčené osoby bezprostředně před porovnávací procedurou, a tzv. „referenční data“, která byla získána již dříve a jsou uchovávána na nosiči informací 32 Working party on the protection of individuals with regard to the processing of personal data: Working document on biometrics. 12168/02 WP 80, Brusel, 2003. (http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/ wpdocs/2003_en.htm) 33 Nařízení Rady (ES) č. 2252/2004 ze dne 13. prosince 2004 o normách pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy. (Úř. věst. L 385, 29. 12. 2004, s. 1–6),
25
(na identifikační kartě, v databázi a pod.), vůči nimž se porovnávají „živá data“. Do porovnávací procedury (matching) mohou vstupovat jak původní obrazy biometriky, tak jejich digitální formy. Digitální forma (template) vzniká použitím speciálního matematického algoritmu na původní obraz. Hlavní výhodou počítačového zpracování biometrických znaků jsou: Rychlost digitálního porovnávání dvou obrazů je nesrovnatelně vyšší než při „manuálním“ porovnávání člověkem. Technické možnosti výpočetní techniky umožňují provádět velké množství operací, pro něž by člověk potřeboval nesrovnatelně více času. Kvalita rozpoznávání, kdy pomocí výpočetní techniky a digitalizace obrazu lze docílit výsledků, kterých při zpracování člověkem není možné dosáhnout. Zpracování pomocí výpočetní techniky není ovlivněno lidskými faktory, jako jsou stres, únava nebo subjektivní rozhodování. Kapacitní možnosti jsou u počítačových pamětí vlastně neomezené, takže na rozdíl od porovnávání lidskou bytostí, která může zvládnout pouze malý počet porovnávaných obrazů, může počítač porovnávat obrazy milionů lidí, aniž by tím byla ovlivněna kvalita porovnávání. Biometrické informace používáme při rozpoznání jedinců mezi sebou v běžném životě – své přátele a známé poznáváme podle tváře, hlasu, barvy očí a pod. Při tomto rozpoznávání (t.j. při identifikaci osoby) pracuje mozek systémem porovnávání – „one-to-many“, t.j. biometrické charakteristiky osoby, kterou potřebujeme identifikovat, porovnává s charakteristikami, které si již dříve do paměti uložil. Obdobně pracuje digitální porovnávání při biometrické identifikaci – biometrický údaj „autenticky, živě“ získaný je porovnáván s údaji již dříve uloženými do nějaké databáze. Jde tedy o porovnání nového vzorku biometrického údaje se vzorkem již dříve uloženém do databáze. Např. identifikační systém americké FBI IAFIS, používaného pro identifikaci osob páchajících trestnou činnost, provádí takových porovnání více než 100 tisíc během vteřiny, takže je schopen prohledat databázi s více než 50 milióny záznamů během několika minut34. Nejčastěji používaný biometrický identifikátor je otisk prstu. Uvádí se, že při identifikaci za použití jednoho prstu je výsledná přesnost 98,6 %, u porovnání charakteristických bodů v křivkách otisku dvou prstů je přesnost 99,6 % a u více prstů pak tato přesnost dosahuje 99,9 %35. Avšak zdánlivé výhody a přednosti technických parametrů používání biometrických údajů je vždy nutno korigovat pravidly a zásadami ochrany soukromí osob36.
34 FBI Integrated Automated Fingerprint Identification System (IAFIS). 35 National Institute of Standards and Technology (NIST). Zpráva 2005 – Biometrics Evaluations and Developments. (zdroj: ftp://sequoyah.nist.gov/pub/nist_internal_reports/ir_7204.pdf ) 36 Progress Report on the Application of the Principles of Convention 108 to the Collection and Processing of Biometric Data. Rada Evropy, T-PD(2005)BIOM E, Strasbourg 2005.
26
Příklad snímání biometrického obrazu tváře pro porovnávání s údaji v databázi; Zdroj: Image Source/Getty; Statewatch
Statické rysy Tvář Otisk prstu Duhovka oka Sítnice oka Dlaň Ušní boltec
Dynamické rysy Hlas Podpis Úhozy do klávesnice Chůze
Zdroj: Rada Evropy: Study on Biometrics, 2004
27
Porovnání některých biometrických charakteristik37: Charakteristika
Otisk prstu
Geometrie ruky
Sítnice oka
Duhovka oka
Tvář
Podpis
Hlas
snadnost použití
vysoká
vysoká
malá
střední
střední
vysoká
vysoká
vliv na přesnost, chyby
suchá kůže, špína, věk
poranění, věk
brýle
nedostatek světla při snímání
přesnost
vysoká
vysoká
velmi vysoká
velmi vysoká
vysoká
vysoká
vysoká
menší (obava z poškození oka)
střední
střední
střední střední
světlo, věk, změna brýle, vlasy podpisu ve tváři
přijatelnost uživateli
střední
střední
menší (obava z poškození oka)
bezpečnost
vysoká
střední
vysoká
velmi vysoká
střední
střední
stabilita
vysoká
střední
vysoká
vysoká
střední
střední
hluk, chlad, vlhkost při snímání
Střední
37 Liu,S., Silverman, M.: A Practical Guide to Biometric Security Technology. IT Professional, vol.3, no.1, 2001.
28
5. Technické prostředky identifikace, nosiče e-identity
Informace týkající se jednotlivce, pomocí nichž ji lze s určitou míru spolehlivosti identifikovat, je nutno zaznamenat na záznamové médium. Tradiční způsob je vydání identifikačního dokladu v papírové formě. Tato forma přetrvává v řadě států dodnes, v některých však byla nahrazena buď zatavením papírového dokladu do plastové fólie nebo přímo plastovou kartou. V ČR byl zaveden občanský průkaz v roce 194838 a byl vydáván osobám starším 15 let. Tyto formy identifikačních dokladů však nejsou přímo použitelné při elektronické komunikaci mezi občanem a orgány státní správy či jinými institucemi. Nebudeme jim tedy v této práci věnovat větší pozornost. S rozšířením moderních prostředků výpočetní a komunikační techniky je nutno věnovat pozornost těm technickým nosičům, které jsou schopny uchovávat identifikační a jiné osobní informace jednotlivce v elektronické formě. Tedy nástrojům, které budou tvořit součást technické infrastruktury systémů pro elektronickou komunikaci (např. eGovernement). Budeme v této souvislosti hovořit o tzv. nosičích elektronické identity nebo také o elektronickém identifikátoru jednotlivce.
5.1. Identifikační karty Identifikační karty slouží pro označení příslušnosti jedinců ke společnosti, ke státu, ke klubu či k nějaké komunitě, či k zájmové skupině osob. Obsah, účel a funkčnost identifikačních karet je velmi různorodá. V řadě států světa je vydávána identifikační karta jako všeobecně povinný doklad občana, jinde jsou vydávány karty označující příslušnost občana na systému pojištění (karta zdravotního nebo sociálního pojištění) nebo jako karta sektorová (zdravotní karta). V podstatě má však identifikační karta jeden zásadní účel – přiřadit jedinci jednoznačný identifikátor (většinou číselný) pro použití při administrativních úkonech ve styku instituce s jednotlivcem. V řadě států je pak identifikační průkaz jednotlivce propojen na centrální evidenci občanů a stává se tak součástí integrovaného evidenčního systému. Identifikační karta občana je nejvíce diskutovanou oblastí související s elektronickou identifikací jedince. Zavedení identifikační karty občanů (zejména pak s elektronickým nosičem dat) je často odůvodňováno zejména bezpečnostními a zpravodajskými složkami států jako nástroj zvýšení národní bezpečnosti tím, že pomáhají identifikovat zločince, potenciální teroristy či nelegální přistěhovalce. Nicméně je fakt, že žádná studie či statistiky jednoznačně neprokázaly takové argumenty. Např. v diskusi o zavedení identifikačních karet ve Velké Británii, kde vláda poukazovala na jejich význam v boji 38 Zákon č.198/1948 Sb., o občanských průkazech
29
proti terorismu, bylo argumentováno, že ve 35 procentech je při terorismu zneužíváno falešné identity. Samotný Interpol analyzoval, že „všichni“ teroristé používají falešné cestovní pasy39. Ovšem studie organizace Privacy International analyzuje, že nelze potvrdit domněnky, že identifikační karty přispívají v boji proti terorismu40. Identifikační karty jsou používány v mnoha státech světa. Identifikační karty jsou různých typů (papírové nebo plastové karty, různé knížky či pasy) a plní různé funkce (občanský průkaz, karta sociálního zabezpečení, řidičský průkaz a pod.). V současné době se kromě tradičních důvodů vydávání identifikační průkazů přidávají další důvody, zejména pak: omezování ilegální migrace, boj proti terorismu a organizované kriminalitě, omezení škod plynoucích z krádeže identity a také zlepšení poskytování služeb občanům daného státu. Identifikační karty jsou obvykle vydávány státními institucemi a poskytují občanům tyto služby: • Verifikace (ověření) identity (Identity Verification): Občanská karta (občanský průkaz), Řidičský průkaz, elektronický cestovní pas, propustky pro přechod hranic. • E-Government: zákonem stanovená povinnost identifikace a autentizace, nosič digitálního podpisu pro online služby poskytované státem. • Cestování: předplatní jízdenky pro veřejnou dopravu, oprávnění ke slevám (městská doprava, železniční doprava a pod.). • Nároky a výhody: zdravotnické služby, státní sociální podpora, sociální zabezpečení. • Platby: elektronická peněženka, debet/kredit, platby různého druhu. • Telekomunikace: předplatní telefonní karty. V řadě států mají občané povinnost u sebe stále mít identifikační průkaz. Jeho moderní forma je často plastová karta velikosti bankovní karty, obsahující řadu osobních informací o jeho držiteli – jméno a příjmení, pohlaví, datum narození, adresu bydliště, občanství a pod. Informace o vydavateli karty, číslo karty a datum platnosti jsou na kartě často uvedeny reliéfním písmem (tzv. embosované karty). Identifikační karta obsahuje také fotografii držitele, záleží však na účelu a typu karty. Elektronická národní identifikační karta prokazuje identitu jejího držitele. V řadě zemí obsahuje identifikační karta také certifikát pro použití elektronického podpisu. V této souvislosti je však nutno zmínit, že v řadě států je povinností jednotlivce prokázat svou identitu, je-li o to požádán kompetentním orgánem. Toto prokázání identity není závislé na druhu dokladu. K prokázání identity může sloužit kromě občanské karty (občanského průkazu), také cestovní pas, řidičský průkaz, průkaz sociálního nebo zdravotního pojištění, případně jiné věrohodné doklady vydané oprávněnými institucemi. V některých státech není tedy občanská karta vydávána vůbec (např. Anglie, USA), v jiných státech není občanská karta vydávána jako povinný doklad, ale jako doklad dobrovolný (např. Rakousko, Francie, Finsko, Švédsko, Maďarsko). Bylo by tedy vhodné zvážit, zda se k dobrovolnému vydávání občanských průkazů nepřipojí také Česká republika. K nepovinnému používání občanských průkazů v tradičním pojetí vedou totiž mimo ekonomických důvodů také důvody plynoucím z nových možností moderních technologií. V budoucnu bude tedy občanovi uložena povinnost se identifikovat a bude na jeho rozhodnutí jakými legálními technologiemi to provede. 39 All terror attacks use false passports, claims Interpol chief. The Register, 2. 12. 2004 (http://www.theregister.co.uk/2004/12/02/noble_wows_lords/) 40 Mistaken Identity; Exploring the Relationship Between National Identity Cards & the Prevention of Terrorism. Interim Report, Privacy International, April 2004.
30
Jako technické záznamové médium je používány:
Karta s magnetickým páskem Plastová karta s magnetickým proužkem na rubní straně je dosud používána jako bankovní platební karta (debetní, kreditní). Rozměr karty je stanoven mezinárodní normou41. Magnetický proužek slouží jako médium pro záznam identifikačních údajů potřebných pro provedení platební transakce elektronickým způsobem42. Zápis údajů je prováděn na základě magnetického principu, což neposkytuje dostatečné záruky pro bezpečnost jejich používání. Postupně jsou tyto karty nahrazovány kartami čipovými.
Čipová karta Čipová karta je technický nosič s integrovaným čipem. Do plastové karty stejného rozměru jako u karty s magnetickým páskem, je zabudován čip – kontaktní nebo bezkontaktní – s různou kapacitou paměti. Do čipu jsou pak nahrávána data potřebná pro různé aplikace. Do jednoho čipu lze nahrát jednu a více aplikací (multiaplikační karta). Čipová karta jako nosič identifikátoru občana umožní bezpečný přístup k veřejným službám a je důležitým prvkem rozvoje informační společnosti. Použité bezpečnostní a ochranné mechanismy dělají z čipové karty důvěryhodnou a bezpečnou součást infrastruktury elektronické komunikace a služeb.
Schéma použití multifunkční čipové karty OYSTER ve Velké Británii. Karta je používána jako platební instrument a jako předplatní karta pro londýnské metro a autobusovou dopravu. V oběhu je na 15 milionů karet; Zdroj: Smart Card Talk, duben 2008 Standardy pro používání čipových karet v harmonizovaných systémech vydávají standardizační instituce ISO/IEC a CEN (viz kap. 8). Čipová karta jako prostředek pro identifikaci osoby musí obsahovat čip s kvalitními bezpečnostními prvky nebo s kryptovacími moduly. Tzv. paměťové čipy se v identifikačních kartách nepoužívají (jsou známy např. z telefonních karet). V identifikační kartě se používají mikroprocesorové čipy, čipy RFID nebo tzv. kryptografické čipy. Čipové karty tak postupně nahrazují karty magnetické. 41 Mezinárodní norma ISO 3554 stanoví rozměr platební karty 85,6 x 54,0 x 0,76 mm. 42 Viz např. Juřík Pavel: Svět platebních karet. Radix, s.r.o., Praha, 1995
31
V České republice jsou čipové karty dnes již hojně používány jako multifunkční předplatní karty (elektronická peněženka a předplatní jízdenka na městskou hromadnou dopravu), věrnostní karty, karty v identifikačních a docházkových systémech a pod.. Čipová karta je v ČR např. zavedena také jako osvědčení pro některé druhy vozidel, tzv. paměťová karta řidiče43.
Čipová karta Evropského zdravotního pojištěnce (EHIC) je již používána v Rakousku, Německu, Itálii, Lucemburku, Litvě, Nizozemí a Lichtenštejnsku.
Průkaz zdravotního pojištění jako čipová karta (EHIC); Zdroj: EU
Radiofrekvenční identifikační čip (RFID) Identifikace na základě čipu ovládaného rádiovou frekvencí (dále jen „RFID“) je technologie umožňující automatickou identifikaci a sběr údajů. Nejvýraznějším rysem této technologie je, že pomocí mikročipu dovoluje přiřazení jednoznačného identifikátoru a jiných informací jakémukoli objektu, živočichu či dokonce osobě a přečtení těchto informací se provádí na dálku, prostřednictvím bezdrátového zařízení44. Tato technologie se používala již za 2. světové války pro rozlišení bojových letadel. Větší uplatnění však nastává až v 70. letech minulého století v komerčních aplikacích a později pak jak v akademické, tak ve veřejné sféře. Ve veřejné diskusi o této technologii se však projevily obavy lidí o bezpečnost této technologie a její negativní vliv na soukromí osob. 43 §110a, zákona č.361/2000 Sb., ve znění pozdějších předpisů. 44 Sdělení Komise: Identifikace na základě rádiové frekvence (RFID) v Evropě; kroky k rámci politiky. KOM(2007)96 v konečném znění, Brusel, 2007 (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0096:FIN:CS:PDF)
32
RFID je v současné době jedním z nejrychleji se rozvíjejících technických prvků45, poskytujících široké aplikační možnosti v nejrůznějších odvětvích lidské aktivity. V roce 2006 bylo na světě prodáno asi 600 milionů čipů technologie RFID, v roce 2016 se očekává, že by se objem prodeje měl oproti roku 2006 zvýšit 450krát. Tato technologie se uplatňuje ve zdravotnictví, ve farmaceutickém průmyslu, v letecké a jiné veřejné dopravě, v cestovních a identifikačních dokladech, v systémech bezpečné autorizace osob. V řadě aplikací slouží RFID čip k uložení osobních údajů jednotlivce, včetně údajů identifikačních. Do širšího povědomí se technologie RFID dostala v souvislosti s použitím v nových cestovních pasech (tzv. biometrické pasy). Do RFID čipu jsou zapsány identifikační a biometrické osobní údaje o držiteli pasu. Při čtení informací z čipu není nutno technický nosič vkládat do čtecího zařízení, čtení se provádí na vzdálenost (tzv. distančně), t.j. přiložením nosiče do určité vzdálenosti ke čtecímu zařízení (u biometrických pasů je tato vzdálenost 10–20 cm). Vyvstává však vážný problém, jak tyto údaje chránit proti neoprávněnému čtení a tedy, aby nedocházelo k narušování soukromí osob a k porušení zásad ochrany osobních údajů stanovených evropskými a národními předpisy pro ochranu dat. Na tyto problémy upozornila již v roce 2005 odborná skupina WP29 zřízena podle článku 29 Směrnice 95/46/ES46. Tyto bezpečnostní problémy byly z velké části vyřešeny aplikací standardu EAC (Extended Access Control) vydaného BSI (Bundesamt für Sicherheit in der Informationstechnik) pod označením TR-03110, který bude využit i v nové generaci českých cestovních dokladů s otisky prstů. Závěr: Použití technologie RFID rychle narůstá, je tedy nutné řešit řadu problémů, které tato technologie předkládá. Zejména se jedná o bezpečnostní rizika a obavy z narušování soukromí osob – RFID čipy mohou být sledovány a komunikace s nimi odposlouchávána47.
Radiofrekvenční čip s anténou 45 http://www.rfidconsultation.eu/ 46 Article 29 Data Protection Working Party: Working document on data protection issues related to RFID technology. Dokument 10107/05/EN, Brusel, 2005. 47 V literatuře se pro tato rizika používají termíny „skimming“ a „eavesdropping“. „Skimming“ je činnost, kdy někdo s neautorizovaným čtecím zařízení čte a shromažďuje data z čipu RFID; „Eavesdropping“ je činnost, kdy neautorizovaná osoba odposlouchává komunikaci mezi čipem a autorizovanou čtečkou.
33
K použití RFID čipů v informační společnosti se opakovaně vyslovila Evropská komise. V dokumentu z listopadu 2007 se říká, že tato technologie se považuje za odrazový můstek k nové etapě rozvoje informační společnosti, označované také jako „Internet věcí“. V takové společnosti nebude Internet propojovat pouze na počítače a koncová komunikační zařízení, ale bude potenciálně propojovat všechny předměty, které člověka obklopují v každodenním životě lidí48. Nicméně je v této souvislosti nutno upozornit, že všeobecné obavy z narušování soukromí technologiemi RFID jsou někdy nadnesené. V dokumentech, které tato rizika zmiňují se opomíjí a nerozlišují různé technologie RFID – pasivní a aktivní. Tento rozdíl je však pro posuzování rizika zásadní, určuje totiž délku vzdálenosti pro čtení dat z čipu49. Rozhodnutím Evropské komise byla také zřízena komise expertů, jejímž úkolem je radit Komisi při řešení problémů a při tvorbě dokumentů týkajících se RFID, vypracovávat pokyny k používání RFID, podílet se na zvyšování povědomí občanů o problémech a o používání této technologie, a také „poskytovat objektivní informace o legislativním rámci Společenství a jednotlivých členských států v oblasti ochrany údajů a soukromí a o dalších politických otázkách“50. Problematikou ochrany soukromí při používání RFID technologie se zabývá také dokument OECD51. V České republice se používání RFID čipů rovněž rychle rozšiřuje. Řada aplikací však má spíše módní podtext, než aby byla odůvodněna nezbytnost použití této technologie. RFID čip je snímán bezkontaktně, což je považováno za jeho hlavní přednost, aniž jsou dostatečně analyzována bezpečnostní rizika vůči soukromí vyplývající z této formy snímaní dat52.
Technologie NFC Koncem roku 2007 spustil britský operátor O2 testování mikroplateb pomocí technologie NFC (Near Field Communication) instalované v mobilních telefonech. Platba probíhá přiložením mobilního telefonu ke speciálnímu čtecímu zařízení. Obdobné testovací projekty jsou realizovány ve Francii (operátor Bouygues Telecom), Německu (Vodafone), ale také v Jižní Koreii nebo Číně53. První zařízení s technologií NFC plně integrovanou do mobilního telefonu vyrábí NOKIA (typ 6131 NFC). Technologie NFC funguje na kmitočtu 13,56 MHz a používá standard ISO 18092 umožňující dosah přes 10 cm (RFID čip s krátkou čtecí vzdáleností). Při komunikaci stačí, aby dvě zařízení podporující tuto technologii byla blízko sebe. Technologie podporuje řadu standardizovaných protokolů pro bezpečný přenos dat (kryptování dat, přístupové klíče). Testovací aplikace začínají být prováděny také 48 Sdělení Komise: Identifikace na základě rádiové frekvence (RFID) v Evropě: kroky k rámci politiky. KOM(2007)96 v konečném znění, 15. 3. 2007. 49 Některé studie popisují možnost čtení dat z aktivního RFID čipu (t.j. s vlastním napájecím zdrojem) na vzdálenost 30–100 metrů a více. 50 Rozhodnutí komise ze dne 28. června 2007, kterým se zřizuje skupina odborníků pro identifikaci na základě rádiové frekvence (RFID). (2007/467/ES) 51 Radio Frequency Identification (RFID): Drivers, Challenges and Public Policy Considerations. Document DSTI/ ICCP(2005)19/FINAL, OECD, February 2006. Radio Frequency Identification (RFID): A Focus on Information Security and Privacy. Document DSTI/ICCP/ REG(2007)9/FINAL, OECD, January 2008. 52 Viz např. tzv. In-karta Českých drah (http://www.inkarta.cz/informace-o-in-karte.aspx). 53 http://www.cardtechnology.com/article.html?id=20060905WX46HRPO
34
v ČR. Uživatel bude moci použít mobilní telefon jako platební kartu, když jej přiloží na krátkou vzdálenost k bezdrátovému čtecímu zařízení a v určitých případech zadá bezpečnostní kód PIN. Lze očekávat, že po praktickém testování bude technologie NFC v krátké budoucnosti používána v řadě aplikací běžného života osob, včetně prokazování identifikace a autorizace při poskytování služeb eGovernmentu.
5.2. Identifikační doklady Identifikační průkaz Za identifikační dokumenty jsou považovány jakékoliv dokumenty vydané kompetentním úřadem v souladu se zákonem, za účelem prokázání a potvrzení identity držitele dokumentu. Občanům jsou tedy vydávány nejrůznější identifikační průkazy různých forem, velikostí a obsahů. Jejich společným znakem však je, že jsou opatřeny fotografií jejího držitele. Hlavním problémem těchto identifikačních dokladů je jejich bezesporné přiřazení k osobě, jejíž identitu mají prokazovat. Zejména v informační společnosti jsou klasické papírové doklady, byť opatřeny fotografií držitele, snadno padělatelné a zneužitelné. Doklady s technickými nosiči dat jsou stále poměrně nákladné, bereme-li v úvahu že mají smysl jen v případě, že jimi jsou vybaveni všichni příslušníci daného společenství (státu, ucelených celků či komunit). Avšak i elektronické identifikační karty jsou zneužitelné pokud neexistuje spolehlivé prokázání jejich vlastnictví54 Jistým omezením a ochranou proti padělání a zneužívání těchto dokladů je přijetí legislativních a samoregulačních (např. zásady, pokyny, normy) ochranných opatření. V této souvislosti lze připomenout zásady stanovené ve zmíněném doporučení Rady Evropy č.REC(2005)7 členským státům: • přijmout legislativní a jiná přiměřená opatření, včetně opatření technických a organizačních, k posílení fyzické bezpečnosti identifikačních a cestovních dokladů a posílit integritu aplikačních a vydávacích procedur, zejména při ověřování identity žadatelů o doklady; • přijmout všechna vhodná opatření k zabezpečení evidencí o vydaných dokladech, včetně všech relevantních osobních údajů (včetně biometrických, pokud jsou uchovávány), a zajištění přístupu k nim za účelem ověřování pouze oprávněným orgánům; • zajistit soulad se standardem ICAO č. 9303 o strojově čitelných cestovních dokladech55 všech dokladů potvrzujících identitu a národnost používaných při překračování hranic státu jakýmikoliv pasažéry. Státy musí zejména podporovat použití biometrických standardů v jimi vydávaných cestovních dokladech v souladu se standardy ICAO; • přijmout vhodná opatření, aby držitelé identifikačních a cestovních dokladů hlásili kompetentním úřadům jejich ztrátu nebo odcizení; 54 Např. v listopadu 2007 zatkla policie 23 zaměstnanců letiště v Chicagu (O’Hare Airport), kteří používali falešné identifikační karty pro vstup do bezpečnostních prostorů letiště. (http://www.washingtontechnology.com/print/23_07/32639-1.html) 55 International Civic Aviation Organisation (ICAO) standard 9303 on machine-readable travel documents (www.icao.int). Tento standard byl přijat Mezinárodní standardizační organizací (ISO) a vydán jako ISO normy: ISO/IEC 7501-1:1997, ISO/IEC 7501-2:1997 a ISO/IEC 7501-03:1997.
35
• p řijmout vhodná opatření, aby ztracené nebo zcizené doklady byly zneplatněny. Pokud jsou takové doklady znovu nalezeny poté, co byly vydány nové, pak znovunalezené doklady se nesmí znovu aktivovat; • podporovat opatření pro vysvětlování správného používání dokladů a prevence proti neoprávněnému kopírování jak jejich držiteli, tak veřejnými a soukromými institucemi (např. vydáváním příruček, pravidel, návodů a pod.); • přijmout vhodná opatření, aby byly evidovány informace o ztracených nebo zcizených dokladech (údaj o čísle dokladu a jeho vydání) a také informace o zcizených nových a nevyplněných dokladech. V České republice je základním identifikačním dokladem občana Občanský průkaz. Náležitosti, vydávání a používání tohoto dokladu je upraveno zákonem o občanském průkazu56.
Cestovní doklad Cestovní doklad je ve zmíněném dokumentu Rady Evropy definován jako „oficiální dokument vydaný státem nebo kompetentním úřadem (např. zastupitelským úřadem), který je jeho držitelem používán pro mezinárodní cestování a které obsahují mandatorní zrakem čitelné údaje a také fotografii držitele dokladu“. Obdobně jako u jiných identifikačních dokladů, problémy s falzifikací a zneužíváním tradičních cestovních dokladů vedly k řešení, které by ve větší míře nezpochybnitelně „svázalo“ tento doklad s jeho oprávněným držitelem. V roce 2003 na svém zasedání v řecké Soluni přijala Evropská rada rozhodnutí o nezbytnosti řešení používání biometrických identifikátorů a biometrických údajů v cestovních dokladech evropských občanů, ve vízovém procesu a v Schengenském informačním systému. Koncem roku 2003 pak Evropská komise předložila první návrh nařízení, v němž byl stanoven jednotný vzor víz a povolení k pobytu, který již obsahoval biometrickou identifikaci žadatele. V únoru 2004 pak Rada předložila návrh nařízení o normách pro bezpečnostní a biometrické prvky v cestovních dokladech vydávaných ve státech EU. Biometrický identifikátor měl zvýšit bezpečnost cestovních pasů a podstatně redukovat možnosti jejich zneužití tím, že byl spolehlivě propojen s držitelem cestovního pasu. Poprvé tak bylo požadováno, aby nové cestovní pasy obsahovaly paměťové médium, do něhož by bylo možné uložit digitální obraz tváře a později další biometrické údaje. V prosinci 2004 Rada rozhodla svým nařízením57, že v paměťovém médiu budou kromě digitální fotografie povinně uloženy také biometrické otisky prstů. Tento návrh, s výhradami, které se týkaly především vytvoření centrální databáze biometrických pasů, podpořil v prosinci 2004 také Evropský parlament; Rada však k výhradám EP nepřihlédla. V únoru 2005 vydala Evropská komise „rozhodnutí, kterým se stanoví technické specifikace k normám pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy“. Nařízení Rady vstoupilo v platnost 18. ledna 2005. Použití biometrických identifikátorů v cestovních dokladech je v nařízení Rady č.2252/2004 odůvodněno následovně – „Harmonizace bezpečnostních prvků a začlenění biometrických identifikátorů je důležitým krokem směrem k používání nových prvků s ohledem na budoucí vývoj na evropské úrovni, který by měl učinit cestovní doklady bezpečnějšími a zavést spolehlivější spojení mezi držitelem 56 Zákon č.328/1999 Sb., o občanských průkazech, v platném znění. 57 Nařízení Rady č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v cestovních dokladech vydávaných členskými státy. Úř. věst. L 385, 29.12.2004, s. 1–6.
36
a cestovním pasem a cestovním dokladem jako důležitý příspěvek k zajištění jeho ochrany před podvodným použitím“. V souvislosti s používáním nové generace cestovních dokladů s biometrickými údaji se očekává paradoxně snížení bezpečnosti a ochrany soukromí a naopak zvýšení rizik spojených s krádeží identity. Projekt EU FIDIS58 poukazuje na rizika distančního čtení čipů používaných v biometrických pasech (2–10 metrů a v budoucnu více) a nedostatečné technické možnosti jejich ochrany proti zneužití a na řadu bezpečnostních rizik (nelze zneplatnit či jednoduše změnit biometrické údaje v čipu, možnost klonování čipu, nedostatečná ochrana přístupových klíčů k RFID čipu, možnost tajného odposlouchávání komunikací mezi čipem a čtečkou a pod.). Jak jsme uvedli, tyto bezpečnostní problémy byly částečně vyřešeny aplikací standardu EAC (pod označením TR-03110).
Cestovní pas s logem o elektronickém čipu Zdroj: MV ČR
Řidičský průkaz Ve většině států Evropy a v řadě dalších států světa obsahuje řidičský průkaz stejné množství osobních údajů, pomocí nichž lze identifikovat občana stejně jako je tomu u jiných identifikačních dokladů. Lze tedy řidičským průkazem spolehlivě prokazovat identitu jeho držitele. Zejména ve státech, kde není vydávání specifický národní identifikační průkaz (např. USA, Velká Británie), slouží řidičský průkaz při potřebě prokazování identity osoby. Řidičské průkazy v EU směřují k jednotnému vzoru řadu let. První směrnice byla přijata již v roce 199159 a trendy směřují k řidičským průkazům ve formě čipové karty60. Náležitosti řidičského průkazu vydávaného v ČR jsou stanoveny v zákonu o provozu na silničních komunikacích61 a v prováděcích vyhláškách. Od roku 2004 je v rámci EU držitel řidičského průkazu identifikován shodným rozsahem a označením osobních údajů62 (údaje na lícní straně průkazu): 1. Příjmení držitele řidičského průkazu 58 FIDIS – Future of Identity in the Information Society; www.fidis.net 59 Council Directive 91/439/EEC of 29 July 1991 on driving licences, OJ No L 237 of 24. 08. 1991. 60 http://www.eurosmart.com/Update/06-04/DrivingLicence_Eurosmart_Mar2006_Final.pdf 61 Zákon č.361/2000 Sb., o provozu na pozemních komunikacích a o změnách některých zákonů, ve znění pozdějších předpisů. 62 Vyhláška č.177/2004 Sb., kterou se mění vyhláška č.31/2001 Sb., o řidičských průkazech a o registru řidičů, ve znění vyhlášky č.154/2003 Sb.
37
2. Jméno, popřípadě jména, popřípadě titul držitele řidičského průkazu 3. Datum a místo narození 4a. Datum vydání průkazu 4b. Datum ukončení platnosti průkazu 4c. Název úřadu, který průkaz vydal 4d. Rodné číslo (pokud bylo vydáno) 5. Série a číslo řidičského průkazu 6. Fotografie držitele 7. Podpis držitele 8. Obec trvalého pobytu držitele 9. Skupiny a podskupiny řidičského oprávnění. Informace na rubní straně řidičského průkazu se týkají skupin řidičského oprávnění, doby platnosti průkazu a případná podmínění nebo omezení řidičského oprávnění. V ČR je řidičský průkaz (vzoru ES) vydáván od 1. 5. 200463
Řidičský průkaz podle jednotného vzoru EU; Zdroj: ministerstvo dopravy
5.3 Krádež identity Podvody s identitou a krádeže identity (identity theft) jsou nejrychleji rostoucí oblastí kriminality (identity crime). Tato kriminalita je založena na nelegálním přivlastnění a používání identity a dalších osobních údajů druhých osob nebo na pozměňování vlastní identity při autorizaci nebo identifikaci osoby za účelem ekonomického, obchodního či finančního prospěchu, získání zboží nebo informací, přístupu ke službám, a jiným výhodám. Krádež identity spočívá v předstírání identity druhé osoby a nesouvisí jen se ztrátou osobních dokladů, je však výsledkem celkově nedostatečné ochrany, zejména bankovních aplikací a také aplikací ve státním sektoru. Nejznámější variantou je otevření a použití bankovního účtu oběti pomocí zcizené bankovní karty a autorizačních údajů. Jiná forma naopak umožňuje neoprávněné získání peněz, zboží nebo služeb pomocí zcizených dokumentů a autorizačních dat jiných osob. Při této formě vznikají škody jak institucím (bankám, obchodům, poskytovatelům služeb), tak osobě, jejíž data a dokumenty byly zneužity. Krádež identity se však dotýká i řady jiných oblastí – např. zdravotnictví. Krádeže průkazů zdravotního nebo sociálního pojištění vedou nejen k zneužívání těchto systémů a k neplacení za poskytnuté zdravotní a sociální služby, ale také k velkým problémům při zpracování zdravotnické dokumentace pacienta64, kdy tato dokumentace může být modifikována tak, že následně poškodí pacienta, jemuž dokumentace přísluší. 63 vyhláška č. 31/2001 Sb., o řidičských průkazech a o registru řidičů, ve znění pozdějších předpisů. 64 Combating Identity Theft, A Strategic Plan. The President’s Identity Theft Task Force, April 2007 (http://www.idtheft.gov/reports/StrategicPlan.pdf)
38
Oběťmi nejrůznějších forem krádeže identity jsou prakticky všechny věkové kategorie osob. Např. v roce 2007 byla zveřejněna statistika o krádežích identity ve Spojených státech za rok 200565, která uvádí, že touto s nějakou formou této kriminality mělo v uvedeném roce zkušenost nebo bylo postiženo více než 6 milionů osob66 a byla jim způsobena škoda za více než jednu miliardu dolarů. Touto formou kriminality jsou postiženy prakticky všechny věkové kategorie lidí:67 Méně než 18
5%
18–29
29 %
30–39
23 %
40–49
20 %
50–59
13 %
60 a starší
10 %
Krádež identity je závažný a stále rostoucí problém, který se některé státy USA rozhodly řešit legislativními prostředky. Např. ve státě New York byl podán návrh legislativy, která by umožnila pomáhat obětem této trestné činnosti, ale také by postavila mimo zákon např. držení tzv. skimovacího zařízení (t.j. zařízení, umožňující získat osobní informace z bankovní karty)68. Ve Velké Británii způsobuje kriminalita pomocí krádeže identity ročně škody ve výši 1,3 miliard liber šterlinků a je jí postiženo na 4 milióny Britů. Krádeže identity a škody jí způsobené se týkají jak veřejného, tak soukromého sektoru. Průměrná škoda každou krádeží identity dosahuje částky 85 tisíc liber šterlinků69. Při krádeži identity se používá celá řada způsobů získání identifikačních a dalších osobních dat. Nejznámější (a také v ČR stále více se rozšiřující) kriminalitou je získávání osobních údajů pomocí phishingu (odvozeno od „rybaření“) a pharmingu: Phishing. Při této kybernetické kriminalitě se používá podvodných emailů a webových stránek (tzv. „zrcadlových“ stránek), které s vysokou přesností napodobují internetové (on-line) bankovnictví. Emailová zpráva falešně informuje příjemce o bezpečnostním útoku na jeho bankovní účet a žádá jej, aby pro ochranu účtu zaslal identifikační a přístupové údaje ke svému účtu. Falešná emailová zpráva obsahuje obvykle logotyp banky a také napodobuje grafické a obsahové informace banky. V České republice se tato forma podvodného získávání identifikačních a dalších dat výrazně rozšiřuje, byly zneužity grafické symboly několika bank. Pharming je důmyslnější forma phishingu. Spočívá v přesměrování spojení mezi IP adresou a jejím cílovým serverem. Což znamená, že kdykoliv se uživatel pokouší komunikovat s příslušnou institucí (většinou bankou) prostřednictvím web stránek, je přesměrován na falešné stránky a komunikace se tváří jako pravá. 65 Informace o krádeži identity v USA zveřejňuje také Department of Justice (Bureau of Justice Statistics) ( http://www.ojp.usdoj.gov/bjs/pub/pdf/it05.pdf ) 66 Guvernér Paterson uvádí ve své tiskové zprávě k návrhu na zpřísnění zákona o krádeži identity, že ročně je v USA touto kriminalitou postiženo přibližně 10 milionů Američanů. 67 Statistika Federal Trade Commission, http://www.identitytheftportal.com/statistics.html 68 Návrh guvernéra D.A.Patersona na zpřísnění zákona o krádeži identity z května 2008 (viz http://www.ny.gov/governor/press/press_0521081.html ) 69 Entitlement Cards and Identity Fraud. A Consultation Paper. Ministerstvo vnitro V.B., 2002 (http://www.identitytheft.org.uk/ID%20fraud%20table.pdf)
39
V České republice, stejně jako v jiných státech, je základním problémem při krádeži identity zcizení a zneužití osobních dokladů, platebních karet a obecného identifikátoru. V České republice byla krádež identity jako nový fenomén porušování lidských práv poprvé zmíněna ve Výroční zprávě Rady vlády ČR pro lidská práva za rok 200370. Bylo zde konstatováno, že „novým problémem, který se v roce 2003 vyskytl ve zvýšeném počtu, je tzv. krádež identity, kdy je na základě znalosti identifikačních údajů jednotlivce a jejich neoprávněným používáním páchána trestná činnost. Krádež identity je i v světě stále závažnějším problémem a lze předpokládat nárůst této trestné činnosti i v ČR.“. Obavy z „rostoucího počtu zneužívání identifikačních dokladů a zcizení identity vůbec“ byly vyjádřeny také ve zprávě této Rady za rok 2004. V souvislosti s krádeží identity je ve Výroční zprávě za rok 2003 uváděn také problém s obecným identifikátorem občana ČR – rodným číslem, kdy „moderní prostředky výpočetní a telekomunikační techniky umožňují na základě znalosti rodného čísla vyhledávat informace a vytvářet tak závažná rizika možnosti zásahů do soukromí jednotlivce.“. V posledních letech výrazně stoupl počet útoků na klienty bankovních institucí. V té době statistiky ČR o počtech útoků na identitu osob evidují především krádeže občanských průkazů71. Je však zřejmé, že tato trestná činnost bude dále narůstat a budou k ní využívány stále důmyslnější metody. Lze také očekávat, že se zvýší počet poškozených osob, poněvadž komunikace přes podvodné emaily a webové stránky je prováděna stále častěji v českém jazyce. Vzhledem ke stále sofistikovanějším metodám a používání moderních technologií je boj s touto kriminalitou stále složitější. Metody autentizace při internetovém nákupu či bankovnictví nelze zabezpečit ani autentizací s využitím certifikátu, pokud uživatel má tento certifikát uložen v počítači, pomocí něhož on-line služby využívá. Je tedy nutno podporovat autentizační metody pomocí zařízení, které není spojeno s počítačem. Řada států zakotvila neoprávněné získání identity pro páchání podvodů do právních předpisů pod režim trestné činnosti. Některé státy stanovily soukromému sektoru povinnost oznamovat klientům útoky na jejich data ve firemních informačních systémech72. Národní vlády pak vynakládají nemalé prostředky na preventivní osvětové, informační a vzdělávací kampaně, aby se osoby samy mohly útokům proti jejich identitě lépe bránit. Mohlo by se zdát, že krádež identity se týká jen žijících osob. Avšak ve zprávě britského komisaře pro ochranu dat se uvádí, že v roce 2006 byla zcizena identita 70 tisíc zemřelých a v roce 2007 se toto číslo zvýšilo na 100 tisíc případů73. V USA byl např. popsán případ, kdy žena ukradla identitu a čísla kreditních karet osob, krátce po jejich smrti, získala přístup k jejich bankovním účtům a získala neoprávněný finanční prospěch74 Na významnost rizik spojených s krádeží identity poukazuje řada studií, statistik a specializovaných webů75.
70 Zpráva o stavu lidských práv v České republice v roce 2003. Rada vlády ČR pro lidská práva, 2004. (http://www.vlada.cz/assets/cs/rvk/rlp/dokumenty/zpravy/zprava2003_1.pdf) 71 Např. v článku Ukradený průkaz? Klíč k podvodům. (HN, 1. 7. 2004) se uvádí, že v roce 2003 Policie ČR evidovala 34 tisíc krádeží občanských průkazů. 72 Např. California Computer Security Breach Notification Act (SB 1386). Vstoupil v účinnost 1. 7. 2003. Řada dalších amerických států má obdobný zákon. Rovněž Austrálie a další státy chystají stejný režim oznámení rizika. EU zatím k takovému opatření zachovává rezervovaný postoj. 73 Identity Theft – Pushing Back the tide. World Data Protection Report. Vol.7, no.3, 2007, p.15-16. 74 Feds Charge California Woman With Stealing IDs From the Dead. Wired Blog Network, 17. 4. 2008 (viz -http://blog.wired.com/27bstroke6/2008/04/feds-charge-cal.html) 75 Např. http://www.identitytheftportal.com/
40
Není dosud vyjasněno, zda snížení počtu krádeží identity lze očekávat po zavedení a širším používání biometrické identifikace jedince, kdy osobní doklady a identifikační průkazy budou s jejich oprávněným vlastníkem „svázány“ pomocí biometrických údajů. Některé studie a řada expertů poukazují spíše na opačný efekt.
41
6. Identifikace ve službách eGovernmentu
Elektronická společnost neboli eGovernment má řadu definic. Např. Evropský standardizační výbor (CEN) ji definuje jako “použití informačních a komunikačních technologií (ICT) na podporu a zlepšení činnosti veřejné správy a poskytování komplexních a včasných veřejných služeb občanům. Použití ICT v administrativě veřejného sektoru vyžaduje nejen změnu organizace, ale také nové znalosti státních zaměstnanců. Pojem eGovernment je definován nejen jako poskytování informací o nabízených službách ze strany státu, ale také jako možnost provádět úkony související s veřejnou správou přes Internet. Dokument Evropské komise o úloze eGovernmentu v budoucnosti Evropy definuje eGovernment jako využití ICT ve veřejné správě v kombinaci s organizačními změnami a novými znalostmi při zlepšení veřejných služeb a demokratických procesů a posilování podpory veřejné politiky2.
6.1. Identifikace pro potřebu státu Plány na vybudování elektronické administrativy a zvýšení účinnosti, efektivnosti a transparentnosti činnosti státních orgánů při styku s občany, se v Evropě odvíjejí od politické iniciativy Evropské komise, která v roce 1999 vyhlásila plán e-Europe 2002. Akční plán realizace této iniciativy byl přijat v červnu 200076. Jedním ze stanovených cílů bylo vytvoření „Governmentu online: elektronický přístup k veřejným službám“ za pomocí širokého uplatnění výpočetní a komunikační techniky. eGovernment měl transformovat staré způsoby používané ve veřejném sektoru na moderní, rychlé a efektivní poskytování služeb občanům. Řešení problémů souvisejících s identifikací občanů není v dokumentu explicitně zmíněno – elektronická komunikace, elektronické přístupy k dokumentům a používání elektronických podpisů měly identifikovat občany jednotlivých států podle dosavadních zvyklostí. Jak již uvedeno výše, identifikátor občana ve většině států Evropy je postaven na datu narození a nebyly důvody, ani zřetelná snaha na této dosavadní praxi v identifikaci osob nic měnit. Identifikátory vyhovovaly požadavkům pro digitální zpracování a tedy pro použití v systémech eGovernment a v dalších aplikacích v plánu eEurope. Usnadnění a zpřesnění identifikačních procesů mělo přinést zavedení elektronických identifikačních karet. Úlohu eGovernmentu v budoucím rozvoji eEurope specifikuje dokument přijatý Evropskou komisí 26. září 200377. eGovernment má důležitý a pozitivní efekt na život občanů, když jim umožňuje větší přístup k informacím státní správy a přímou komunikaci s nimi. Realizace těchto cílů se neobejde bez 76 eEurope 2002 – An Information Society for all. Action Plan prepared by the Council and the European Commission for the Feira European Council. 19–20 June 2000. (http://ec.europa.eu/information_society/eeurope/2002/action_plan/pdf/actionplan_en.pdf) 77 Communication from the Commission: The Role of eGovernment in Europe’s Future. COM(2003) 567 final, Brusel, 2003.
42
zpracování individualizovaných informací a přenosů založených na individuálních datech každého jedince. Je tedy nutno zabývat se vývojem elektronické identity občana, řešit přidělování a správu identifikačních a autorizačních údajů. Samozřejmě, že tato část eGovernmentu musí plně respektovat evropské a národní právo pro ochranu osobních údajů. V souvislosti se snižováním byrokratické zátěže při komunikaci občana se státem je nutno vzít v úvahu také potřebu a rozsah shromažďovaných osobních údajů. Tradiční byrokratický systém identifikuje občana při každé, byť jen bagatelní, komunikaci. Často je identifikace občana při komunikaci se státní správou zcela zbytečná. Mnoho informací je získáváno zbytečně, bez zřejmé nutnosti a často pouze jako relikt zažitých postupů a rutiny. Efektivita moderního eGovernmentu spočívá mimo jiné také v omezování sběru osobních (identifikovaných) údajů o občanech, ale naopak, v rozšíření rozsahu poskytovaných elektronických služeb občanům78. Projektům elektronizace státní správy musí předcházet důsledná inventarizace potřeby informací, zejména pak informací týkajících se občana. Moderní stát shromažďuje a zpracovává osobní informace o občanech jen v rozsahu nezbytně nutném.
6.2. Identifikace a soukromý sektor Rozvoj elektronického obchodu a poskytování služeb on-line klade nové požadavky nejen na bezpečnou komunikaci, ale také na spolehlivé a bezpečné prokazování identity osob. Na realizaci on-line obchodů a částečně i služeb se významně podílí právě soukromý sektor79. Na rozdíl od veřejného sektoru, není sdílení identifikačních a jiných osobních údajů fyzické osoby většinou dovoleno. Soukromý sektor si pro své rozmanité účely musí zajistit identifikaci fyzické osoby samostatně. Každá instituce v soukromém sektoru je sama odpovědna za ochranu osobních dat občanů, klientů, zákazníků, odběratelů atd. V některých případech jsou však naopak tyto instituce ze zákona povinny předávat vybrané osobní údaje orgánům státu (poskytovatelé elektrické energie, telekomunikační operátoři, banky a pod.). Instituce soukromého sektoru vesměs nemají zákonné oprávnění nahlížet do neveřejných evidencí vedených státem. Nemohou si tedy volně ověřovat získané identifikační údaje občanů v registrech a databázích vedených státem. Z této skutečnosti také plyne snaha změnit legislativu tak, aby se do evidencí vedených státem mohly soukromoprávní subjekty „dostat“ a získávat z nich údaje. Těmto snahám nelze vyhovět zejména s ohledem na ochranu soukromí osob, lze však vytvořit technické a právní podmínky, aby mohla být soukromými institucemi ověřována elektronická identita občana pomocí evidencí vedených státem. Této myšlence napomáhá komplexní řešení eGovernment a zejména nový způsob elektronické identifikace fyzické osoby. Identifikace jednotlivce v soukromém sektoru, stejně jako ostatní osobní údaje o fyzických osobách podléhají režimu ochrany podle zákona. K dodržování správného nakládání s osobními daty jednotlivců je nutno v soukromém sektoru přijmout některá vnitřní opatření, jakými jsou kodexy správného chování a praxe, interní závazné směrnice80 a interní audity. 78 Tyto požadavky v českém e-Governmentu ve vysoké míře splňují dvě nejznámější projekty – eSMO v Ostravě a Virtuos v Plzni. 79 Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu. 80 V EU jsou tyto normy nazývány „Binding Corporate Rules“ a pro jejich tvorbu existuje řada návodů a příkladů (viz např. dokumenty přijaté Pracovní skupinou WP29 – http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/ wpdocs/2008_en.htm)
43
6.3. Elektronický podpis Od fungujícího systému eGovernmentu se všeobecně očekává zvýšená kvalita a zlepšení efektivity služeb a komunikace mezi orgány státu a „klienty“ (t.j. jak občany, tak soukromými institucemi). Při naplnění těchto očekávání hraje klíčovou roli celková bezpečnost systému, zejména pak bezpečnost komunikace dat. Je tedy nezbytné zabezpečit informace jak uvnitř státních orgánů, tak při jejich přenosu při předávání mezi státními orgány navzájem a také při přenosu směrem k občanům či soukromým subjektům. Adekvátně silné bezpečnostní mechanismy nabízejí kryptografické metody, elektronický podpis nebo autorizace na bázi certifikace. Nahrazení rukou psaného podpisu zaručeným elektronickým podpisem na bázi kvalifikovaného certifikátu, splňujícím parametry stanovené evropskou směrnicí81 a národními předpisy82, vytváří dostatečný potenciál pro bezproblémový proces elektronického obchodu v rámci veřejných služeb. Elektronický (digitální) podpis je jedním ze způsobů, potvrzujících identitu odesílatele elektronické zprávy pomocí elektronické kryptografie a certifikační autority. Relativně vysoká bezpečnost a důvěrnost přenosu je pak zajištěna kryptováním celé přenášené zprávy. Je však nutno připomenout, že ani tento způsob přenášení zpráv elektronickou cestou není absolutně bezpečný. Jednak mohou být rozkryta kryptografická schémata a jisté bezpečnostní riziko spočívá v ochraně tzv. privátních klíčů, které nejsou vždy bezpečně chráněny samotnými držiteli certifikátů. Navíc elektronický podpis nemůže dostatečně identifikovat osobu, poněvadž v certifikátu je uloženo buď pouze její jméno (např. v Rakousku), pseudonym nebo číselný identifikátor. Tyto údaje postačují pro spolehlivé podepsání a doručení elektronické zprávy, avšak nepostačují pro jednoznačnou identifikaci osoby. Elektronický podpis sám o sobě by tedy neměl sloužit pro účel identifikace osoby. Je však právně považován za ekvivalent ručního podpisu, takže v situacích, kde postačuje ruční podpis bude rovněž postačující digitální podpis. Elektronický podpis může sloužit k identifikaci osoby pouze tehdy, pokud je zkombinován s jednoznačným identifikátorem. Z hlediska ochrany soukromí je však diskutabilní, zda by v certifikátu měl být uložen základní identifikátor jedince. Certifikáty vydává certifikační autorita, která také spravuje veřejné a privátní klíče, které identifikují danou entitu-jedince (t.j. toho, komu byl certifikát vydán). Cerifikáty mají jednak omezenou platnost, jednak jsou používány pro aplikace m-commerce, e-commerce, e-bank, e-government a v řadě dalších internetových transakcí. Je tedy zřejmé, že vložením základního identifikátoru do certifikátu je usnadněno propojování databází pořízených pro různé účely. Hlavní účel elektronického podpisu je bezpečným a důvěryhodným způsobem podepsat elektronickou zprávu a zaručit její původ. Samozřejmě tím přispívá k vysoké bezpečnosti a ochraně soukromí při komunikaci občana se státem. V řadě případů elektronicky podepsaná zpráva dostatečně autorizuje (ověřuje pravost) jejího odesílatele, není nutno zjišťovat další údaje o odesílateli zprávy. Za účelem verifikace podpisu musí však být vždy ověřována platnost certifikátu. Toto ověřování zvyšuje požadavky na komunikační sítě. Podle některých analýz se počet elektronických transakcí v roce 2011 zvýší více než 15krát oproti roku 2007, zejména v souvislosti s rozšiřováním elektronického bankovnictví a mobilních finančních služeb83. Což v budoucnosti může vést k zahlcení komunikačních sítí a kolapsu. Bude tedy nepochybně nutno hledat další způsoby a metody ověřování certifikátů a ověřování identity jedince. 81 Směrnice Evropského parlamentu a Rady č.1999/93/ES 82 V ČR zákon č.227/2000 Sb., o elektronickém podpisu a o změně některých zákonů, v platném znění 83 Mobile Financial Services. Banking & Payment Markets 2007–2011. Juniper Research, 2008. (http://www.juniperresearch.com/)
44
7. Vize nového identifikátoru občanů ČR
Identifikátor s vnitřní informací Jak již bylo uvedeno výše, používání rodného čísla k identifikaci občana v ČR se pomalu dostává ke svému zenitu. Narůstající námitky a nespokojenost občanů s vnitřní informací uložené v RČ (datum narození, pohlaví), blížící se vyčerpání použitelné číselné řady, ale také určitá míra nepřesností či duplicit v databázích státních orgánů, vysoká míra zneužitelnosti identifikátoru, značná nedůvěra v dostatečné zabezpečení, obavy, aby se identifikátor nestal snadným propojovacím klíčem pro sdílení osobních informací mezi různými informačními systémy, to vše jsou argumenty, které nutí k zamyšlení nad novými možnostmi identifikace občana. S právními předpisy pro zavádění eGovernmentu v České republice je spojen závažný problém tvorby a zavedení nového univerzálního identifikátoru pro každou fyzickou a právnickou osobu, které je v návrzích těchto předpisů nazýváno „osobní číslo“. Toto číslo má být konstrukčně shodné s identifikátorem fyzické osoby, který je využíván Ministerstvem práce a sociálních věcí, je součástí certifikátů elektronického podpisu a má být také využíván pro informační systém datových schránek. Z hlediska ochrany osobních údajů a ochrany soukromí občanů je vytvoření dalšího, konstrukčně jednoduchého, zapamatovatelného a tedy i snadno zneužitelného identifikátoru, který bude takto široce využíván, velkým rizikem. Dostatečným varováním může být dnešní situace v používání a nadužívání rodného čísla. Celá řada instrumentů eGovernmentu by měla fungovat nezávisle na struktuře identifikátoru občana. Na druhé straně rozhodnutí o novém způsobu identifikace jedince není jednoduchý problém. Bude nutno zvážit důsledky finanční, technické, organizační, ale také různé přístupy a reakce osob. Mnoho občanů si své rodné číslo pamatuje, k čemuž vnitřní informace o datu narození pomáhá. Bude nutno zvážit, jak se nový identifikátor začlení do elektronických komunikací s občany. V neposlední řadě je nutno posoudit vývojové trendy technických prostředků tak, aby nový identifikátor vyhovoval novým typům komunikace příštích generací. V této souvislosti je nutno se zmínit např. o dalším rozvoji biometrické identifikace nebo o použití nanotechnologí. Tyto dvě, rychle se rozvíjející oblasti, nebyly zatím dostatečně analyzovány v souvislosti s potřebou dlouhodobé identifikace jednotlivce.
Bezvýznamový identifikátor Jak jsme již uvedli, je v České republice, podobně jako v řadě jiných států, identifikace jednotlivce založena na identifikátoru, který obsahuje informace o jeho nositeli. Jedná se zejména o datum narození, pohlaví a v některých případech o lokalizaci místa narození osoby. Vnitřní informace identifikátoru pak způsobuje řadu problémů při jeho použití v různých aplikacích, v nichž se osoba musí vůči druhé straně 45
identifikovat. Zejména odkrytí data narození osoby v situacích, kdy tato informace není potřebná při autorizaci osoby, je vnímáno jako zásah do soukromí a je porušením principu přiměřenosti stanoveném legislativou pro ochranu osobních údajů.
Kontextově orientovaný identifikátor Na jedné straně potřeba sdílet některé informace o občanech v systémech orgánů státní správy, na druhé straně zajistit ochranu soukromí a ochranu osobních údajů, vedou k diskusím, jak tyto zdánlivě dva protichůdné požadavky sladit. Jednou z možných cest je řešení tzv. kontextově orientovaného identifikátoru občana, což znamená, že není používán jeden všeobecný identifikátor pro všechny situace a případy, kdy je nutno občana identifikovat, ale identifikátor je různý pro příbuzné domény, sektory. Pro řešení eGovernment je tento kontextový přístup k identifikaci jedince velmi vhodným řešením. V této souvislosti je nutno zmínit také dokument OECD, který oddělenou identifikaci občana pro různé aplikace výrazně podporuje (viz kapitola 9)84.
7.1 Rakouský model elektronické identifikace85 – inspirace pro ČR Identifikace jednotlivce v digitálním věku by neměla být založena na přidělení jedinečného čísla, které se po dobu života člověka nemění, a k němuž má neomezený přístup nejen státní správa, ale v mnoha případech také soukromý sektor. Nemělo by být možné, aby jeden státní orgán (v našem případě ministerstvo vnitra) mělo k dispozici nástroje, pomocí nichž se libovolně propojí (nahlédne) do databází s osobními informacemi občanů provozovanými orgány státní správy. Problematiku identifikátoru jednotlivce, pomocí něhož by nebylo jednoduše možné propojování databází mezi orgány státní správy, vcelku zajímavým způsobem řeší Rakousko již od roku 200386. Rakouský model eGovernmentu byl v roce 2003 oceněn cenou „Evropský E-Government“. Tento model je také některými experty navrhován pro použití v České republice. Uvažuje o něm také např. Slovenská republika87. Jaké jsou základní principy tohoto modelu popíšeme v následující části:
Zdrojové číslo (PIN) Pro účely identifikace je každé fyzické osobě, která je rezidentem v Rakousku, přiděleno tzv. zdrojové číslo (source PIN), které je odvozeno kryptografickou formulí z identifikačního čísla zapsaného v centrálním registru obyvatel (ZMR-Zentrales Melderegister). Fyzickým osobám, které nejsou v tomto registru zapsány je zdrojové číslo odvozeno z doplňkového registru. Toto zdrojové číslo je uloženou pouze 84 At a Crossroad: “Personhood” and Digital Identity in the Information Society. Dokument DSTI/DOC(2007)7, OECD, únor 2008. (link: http://www.oecd.org/department/0,2688,en_2649_34255_1_1_1_1_1,00.html) 85 The Austrian E-Government Act. Federal Act on Provisions Facilitating Electronic Communications with Public Bodies. Published in the Austrian Federal Law Gazette, part I, Nr. 10/2004, entered into force on 1 March 2004 86 Administration on the Net. An ABC Guide to E-Government in Austria. Federal Staff Unit for ICT-Strategies. Federal Chancellery, Austria. 2004 87 Osobní sdělení ing.Petera Lieskovského, Úrad pre ochranu osobných údajov, Slovensko (2008).
46
na identifikační čipové kartě občana, nemůže být uloženo v žádné centrální evidenci. Tím je prakticky zajištěno, že občan má kontrolu nad používáním jeho zdrojového čísla.
Sektorově specifický identifikátor Z důvodu ochrany soukromí a ochrany osobních údajů nemůže být zdrojové číslo uchováváno v evidencích orgánů a institucí. Tyto subjekty mohou jedince identifikovat pouze pomocí identifikátoru vztahujícímu se k jejich sektoru (sector-specific personal identifier ssPIN). Tento ssPIN je odvozen od zdrojového čísla a kódu sektoru, pomocí zvláštního matematického algoritmu zpracování (hash funkce). Tento algoritmus je jednosměrný, není možné zpětná konverze za účelem získání zdrojového čísla. Sektorově zaměřený identifikátor je platný pouze pro instituce, jejichž činnost spadá pod definovaný sektor. Navíc je nutné, aby při vytváření ssPIN byla osobně přítomna dotčená osoba, která musí poskytnout zdrojové číslo ze své občanské karty. Je pamatováno také na situace, kdy dotčená osoba nemá u sebe svou občanskou kartu, přesto administrativní identifikace je potřebná. V těchto případech je možné zdrojové číslo získat ze zvláštního registru zdrojových čísel bez použití občanské identifikační karty. Sektorově orientovaný identifikátor zaručuje vysokou úroveň ochrany osobních údajů a prakticky vylučuje, že občané jsou „průhlední“ každému zaměstnanci státní správy. Potřeba zdrojového čísla vyžaduje aktivní konání držitele identifikační karty (na níž je toto číslo zaznamenáno), čímž se vytváří přímá vazba mezi občanem a eGovernmentovou aktivitou. Jednou z předností tohoto způsobu je také zajištění ochrany soukromí občana. Zdrojový identifikátor neopouští občanskou kartu, výpočet sektorového identifikátoru probíhá na tomto nosiči a v agendě se tedy ukládá pouze agendový identifikátor.
Registr zdrojových čísel (údajů) Vzhledem k tomu, že jedním z klíčových problémů důvěryhodnosti celého systému je ochrana soukromí a osobních údajů občanů, nemůže být správa Registru zdrojových údajů (t.j. údajů, které vstupují do algoritmu pro výpočet zdrojového identifikátoru) svěřena žádnému orgánu státní správy, vůči němuž se občan musí identifikovat v souvislosti s výkonem státní správy. Správce Registru zdrojových údajů by měl být orgán státu, který pro výkon své působnosti nepotřebuje důslednou identifikaci osoby a nemá tedy téměř žádnou motivaci s tímto Registrem manipulovat ve svůj prospěch. Správcem registru tedy nemůže být např. ministerstvo vnitra (jak je navrhováno v českém modelu) nebo jiné ministerstvo. Rakousko navrhlo zajímavé řešení, které je prakticky aplikovatelné ve všech členských státech EU – správa tohoto registru je svěřena Komisi pro ochranu dat (tedy jakési obdobě českého Úřadu pro ochranu osobních údajů. Komise však není v Rakousku dozorovým orgánem, jako je tomu v případě Úřadu pro ochranu osobních údajů v ČR.
Doplňkový registr V tomto registru jsou zapsány fyzické osoby, které nejsou evidovány v centrálním registru obyvatel a také instituce, které nejsou registrovány v Registru ekonomických subjektů.
47
Občanská karta Občanská karta je tedy nosičem zdrojového čísla držitele karty. Tato karta obsahuje také nástroje pro jednoznačné prokázání identity (autentizaci) jednotlivce (držitele karty), kterou vyžadují některé aplikace a úkony eGovernmentu. Tímto nástrojem je elektronický podpis. Kvalifikovaný certifikát a zejména příslušný soukromý klíč je na kartě rovněž uložen. Velmi zásadní je však skutečnost, že občanskou kartu nelze chápat jako unifikovaný technický prvek (jako např. občanský průkaz českého občana), ale jako prvek různorodý – občanskou kartou může být také bankovní karta, profesní karta, karta pojištěnce, mobilní telefon a pod. Podstatné je, že na kartě jsou uloženy základní identifikační číslo a certifikát elektronického podpisu, technická forma tedy není rozhodující. Občanská karta je tak založena na zaručeném certifikátu vydaném certifikační autoritou (Trust Center), takže obsahové požadavky na občanskou kartu mohou splňovat velmi různorodé technické nosiče. V současné době tyto požadavky splňují: • karta vydaná certifikační autoritou (a.sign premium card of A-Trust) • členská karta rakouské počítačové společnosti (Austrian Computer Society – OCG Card) • bankovní karta Maestro. V budoucnosti se předpokládá, že parametry občanské karty budou splňovat také: • mobilní telefon, • karta sociálního pojištění, • studentská karta rakouských univerzit Westverbund, Südverbund a Vídeňské Ekonomické a Obchodní Univerzity, • karty různých profesních komor, • různé čipové karty (věrnostní, zaměstnanecké a pod).
Rakouská osobní identifikační karta Zdroj: Austria Card
7.2. Základní identifikátor občana ČR – možné řešení Některé prvky rakouského modelu jsou převzaty také do návrhu českého zákona o eGovernmentu, zpracovaného Ministerstvem vnitra. Avšak v jiných částech návrhu zákona jsou použity modely a principy zastaralé, čímž pochopitelně může tato právní norma hodně utrpět, bude-li schválena v původní předložené verzi. Všechny aspekty zavedení nového identifikátoru občana je nutno velmi pečlivě zvážit, novému řešení je nutno věnovat velkou pozornost, umožnit širokou odbornou debatu a věnovat jí dostatek času. Řešení 48
nového identifikačního čísla občana ČR by nemělo být přijato unáhleně a nemělo by vytvořit překážku při používání moderních technologií příštími generacemi. Bude nutno navrhnout řešení, které bude vyhovovat déle než 100 let, jak je tomu u rodného čísla používaného v současné době. Obecným bezvýznamovým identifikátorem osoby se zabývá řada států nejen v Evropě88, ale i v ostatním světě. Pro Českou republiku by jistě bylo vhodné různá řešení posoudit, analyzovat a zvážit vhodnost některých řešení. Podle zahraničních zkušeností se ukazuje jako jedna z možných cest, použití bezvýznamového identifikátoru orientovaného na příbuzné činnosti nebo oblasti výkonu státní správy. Tuto cestu zvolily Rakousko a Belgie a sdružení eStat.cz doporučilo, aby tato varianta byla pečlivě posouzena jako možné řešení také pro Českou republiku. Rakouský model (stručně popsán v předchozí kapitole) vychází z existence poměrně přesně vedeného Registru obyvatel (Zentrales Melderegister). Tento model by bylo možné aplikovat v ČR, i přes obecně známé chyby a nepřesnosti v českém Registru obyvatel. I když se v Rakousku realizace tohoto modelu setkává s řadou problémů, je ho nutno považovat za hodná následování. V následujícím textu popíšeme možnou konstrukci a použití základního osobního identifikačního čísla fyzické osoby (pro jasnější porozumění používáme termín „základní identifikátor“ místo „osobní číslo“) tak, jak jej navrhuje sdružení eStat.cz. Následující text není návrhem právní normy, ale přehledem základních ustanovení, které by právní norma měla obsahovat: Pro účely elektronické identifikace osob se rozumí: a) „základním identifikátorem (ZIFO)“ jedinečný identifikátor fyzické osoby přidělovaný podle tohoto zákona, b) „agendovým identifikátorem fyzické osoby (AIFO)“ identifikátor fyzické osoby v oblasti působnosti orgánu veřejné moci, c) „nosičem elektronické identity“ technické zařízení umožňující zpracování osobního čísla, d) „informačním systémem ZIFO“ informační systém sloužící ke správě elektronické identifikace fyzických osob spravovaný „Úřadem“. Obecně musí být použití základního identifikátoru striktně omezeno od samého počátku zavedení. Základní identifikátor by nebylo možné přímo používat v registrech veřejné správy nebo soukromého sektoru. Základní identifikátor bude vstupovat do matematických algoritmů při generování reálného identifikátoru jedince v různých aplikacích. Správa informačního systému ZIFO (písm. d) je svěřena „Úřadu“. Je zde použit obecný pojem „úřad“, který by při praktické realizaci měl být představován takovou institucí v systému orgánů veřejné moci, která bude dostatečně důvěryhodná a splní veškeré požadavky na zabezpečení a ochranu údajů. V této souvislosti se nabízí možnost, aby „úřadem“ byl Úřad pro ochranu osobních údajů, Český statistický úřad nebo jiný orgán státu. Identifikátory fyzických osob 1) Údaje o fyzických osobách nemohou být v oblasti působnosti orgánů veřejné moci zpracovávány pod jediným univerzálním identifikátorem; využití jednoho shodného, nebo zaměnitelného identifikátoru 88 Již v roce 2004 se konstrukcí bezvýznamového identifikátoru zabývala také pracovní skupina pro návrh nových identifikačních znaků občanů Slovenské republiky (viz: Sasinek,M.: Bezvýznamový identifikátor osoby. Návrh struktury. Bratislava, 2004.
49
pro identifikaci v oblasti působnosti různých orgánů veřejné moci není dovoleno. Podnikající fyzické osoby evidované v registru osob, mohou být pro činnosti spojené s podnikáním identifikovány identifikátorem využívaným v registru osob. 2) Identifikace fyzické osoby je založena na matematických vztazích základního identifikátoru a agendového identifikátoru. 3) Proces identifikace fyzické osoby založený na vztazích základního identifikátoru a agendového identifikátoru mohou, se souhlasem osoby o jejíž identifikaci se jedná, využívat i osoby, které nejsou orgánem veřejné moci. Základní identifikátor (ZIFO) 4) ZIFO přiděluje úřad. ZIFO je neveřejným osobním údajem fyzické osoby. 5) ZIFO může být zpracováno pouze pro účely jednoznačné identifikace podle tohoto zákona, a to výhradně v informačním systému ZIFO (IS ZIFO), nebo na nosiči elektronické identity. 6) ZIFO je vytvořeno matematickým algoritmem z údajů o fyzické osobě, vedených v IS ZIFO a dalšími daty zajišťujícími ochranu ZIFO. 7) Matematický algoritmus kryptografické metody, stanovený správcem IS ZIFO, zajistí, že ze znalosti osobních údajů fyzické osoby nelze při náležité míře bezpečnosti odvodit ZIFO. Kryptografická data pro stanovení ZIFO jsou neveřejná a úřad má povinnost zachovávat mlčenlivost o těchto datech. 8) ZIFO má účinky a požívá ochrany veřejné listiny. 9) Úřad zneplatní ZIFO bez zbytečného odkladu od a) oznámení ztráty, zničení, zneužití nebo porušení bezpečnostních prvků nosiče elektronické identity, b) okamžiku, kdy mu je ministerstvem vnitra předána informace o úmrtí, nebo který je v rozhodnutí soudu o prohlášení za mrtvého uveden jako den úmrtí. Zneplatněné ZIFO není povoleno opětovně přidělit a používat. 10) Žijící fyzické osobě, jejíž ZIFO bylo zneplatněno, přidělí nové ZIFO. Základní identifikátor nebude obsahovat vnitřní informaci, která by mohla být použita v reálné aplikaci. Matematickým algoritmem se míní jednosměrná funkce, na jejímž vstupu budou osobní údaje jedince, které vykazují relativně vysokou míru stability (časové a obsahové). Jedním z těchto údajů by byl tzv. rozlišovací znak, který by byl využit např. pro zjištění důvodu při vydání nového základního identifikátoru jedinci, pro možnost zřetězení různých základních identifikátorů vydaných téže osobě, z důvodu zajištění integrity všech zpracovávaných dat týkajících se jedné osoby a pod. 11) Správce IS ZIFO určuje obsah rozlišovacího znaku a dat zajišťujících ochranu základního identifikátoru. Rozlišovací znak je speciální prvek, sloužící k možnosti přiřadit základní identifikátor původně jedinci přidělený, pokud mu bude vytvořen nový základní identifikátor. Takové situace mohou nastat např. při zcizení nosiče základního identifikátoru, prolomení bezpečnostní ochrany identifikátoru a pod. Správce informačního systému základních identifikátorů pak určí hodnotu rozlišovacího znaku. 12) Matematický algoritmus kryptografické metody, stanovený správcem IS ZIFO zajistí, že ze znalosti 50
osobních údajů fyzické osoby nelze, při náležité míře bezpečnosti, zpětně odvodit hodnotu základního identifikátoru. Kryptografická data pro stanovení základního identifikátoru jsou neveřejná a správce registru má povinnost zachovávat mlčenlivost o těchto datech. Základní identifikátor má účinky a požívá ochrany veřejné listiny. Základní identifikátor nebude přímo používán v žádných reálných registrech či evidencích, nebude uchováván a zpracováván veřejnými ani soukromými subjekty. Základní identifikátor bude pro příslušnou agendu spojen s číslem agendy speciálním matematickým algoritmem. Tento algoritmus musí zajistit, že žádná instituce či osoba nemůže jinou matematickou operací zjistit hodnotu zdrojového identifikátoru jedince. Použitá kryptografická data požívají vysoké úrovně ochrany např. tím, že budou chráněna určitým stupněm utajení ve smyslu zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Nosič elektronické identity 13) Nosič elektronické identity musí splňovat technické a bezpečnostní podmínky pro bezpečné uložení a nakládání se základním identifikátorem. Technické a bezpečnostní podmínky jakož i seznam typů vhodných technických zařízení zveřejňuje úřad ve věstníku. 14) Základní identifikátor lze zapsat pouze na takové technické zařízení, které splňuje podmínky odstavce 1. Základní identifikátor na technický prostředek zapisuje úřad prostřednictvím výdejního místa osobních čísel. 15) S nosičem elektronické identity je oprávněna nakládat pouze osoba jejíž základní identifikátor je na něm uloženo. Při vydání nosiče elektronické identity musí být ověřena totožnost žadatele. 16) V případě ztráty, zničení, zneužití nebo porušení bezpečnostních prvků nosiče elektronické identity je držitel identity povinen oznámit tuto skutečnost úřadu. Oznámení je možné učinit i prostřednictvím výdejního místa ZIFO. Základní identifikátor by byl uložen na tzv. nosiči elektronické identity občana. Tímto nosičem může být jakýkoliv technický nosič s chráněným paměťovým médiem, který by splňoval předem stanovené technické a bezpečnostní parametry. Technické nosiče by byly pro tento účel certifikovány. V praxi by to znamenalo, že občan nemusí být vybaven klasickým „elektronickým občanským průkazem“, ale může mít svůj základní identifikátor (ZIFO) uložen na libovolném paměťovém médiu, které bude vyhovovat stanoveným parametrům (např. bankovní karta, elektronická klubová karta, případně speciální SIM karta v mobilním telefonu, apod.). Základní identifikátor osoby neopouští technický nosič, transformační proces na tzv. agendový identifikátor osoby vždy probíhá na nosiči a teprve výsledný agendový identifikátor je následně přenesen do příslušné aplikace. S nosičem elektronické identity by tedy byla oprávněna nakládat pouze osoba jejíž základní identifikátor je na nosiči zaznamenán. Základní identifikátor bude chráněn před neoprávněným shromažďováním a zpracováním v reálných aplikacích. Jedním z bezpečnostních opatření bude ochrana tohoto identifikátoru režimem „veřejné listiny“. Tento statut umožní při neoprávněném použití či zpracování základního identifikátoru použít různé legální formy postihu (včetně § 176 Trestního zákona – Padělání a pozměňování veřejné listiny).
51
Informační systém základních identifikátorů: Pro účely přidělování a ověřovaní platnosti základního identifikátoru fyzické osoby by byl vytvořen zvláštní informační systém – IS základních identifikátorů (IS ZIFO). 17) Informační systém základních identifikátorů (IS ZIFO) je neveřejným informačním systémem veřejné správy, jehož správcem je úřad. 18) V informačním systému základních identifikátorů jsou vedeny tyto údaje o fyzických osobách a jim přidělenému základnímu identifikátoru: 1. jméno, popřípadě jména, příjmení, rodné příjmení, 2. datum narození, 3. místo a okres narození; u fyzické osoby, která se narodila v cizině, místo a stát, na jehož území se narodil, 4. státní občanství, není-li občanem České republiky, 5. datum a čas zneplatnění základního identifikátoru, 6. rozlišovací znaky přidělených základních identifikátorů, 7. údaje o dokladu na jehož podkladě byla ověřena totožnost žadatele pro přidělení základního identifikátoru na žádost nebo pro zapsání základního identifikátoru. 19) Úřad určuje obsah rozlišovacího znaku a dat zajišťujících ochranu základního identifikátoru. Úřad je povinen zachovávat mlčenlivost o rozlišovacích znacích, které plní funkci dat zajišťujících ochranu základního identifikátoru. 20) Úřad přidělí základní identifikátor každé fyzické osobě, která byla zapsána do registru obyvatel. Pokud fyzická osoba není zapsána do registru obyvatel, přidělí této osobě základní identifikátor na její žádost. 21) Žádost o přidělení základního identifikátoru, musí být podána osobně a kromě obecných náležitostí žádosti podle správního řádu obsahuje: a) rodné příjmení, b) místo a stát, na jehož území se narodil, c) adresa místa pobytu nebo trvalého pobytu, d) údaj o státním občanství, e) údaje o dokladu na jehož základě byly ověřeny údaje uvedené v žádosti a totožnost žadatele. 22) Žádost o zapsání základního identifikátoru na nosič elektronické identity musí, kromě obecných náležitostí žádosti podle správního řádu obsahovat: a) rodné příjmení, b) místo a stát, na jehož území se narodil, c) adresa místa pobytu nebo trvalého pobytu, d) údaj o státním občanství, e údaje o dokladu na jehož základě byly ověřeny údaje uvedené v žádosti a totožnost žadatele. 23) Výdejním místem základních identifikátorů může být jakákoliv osoba, které byla udělena akreditace. Organizační a technické podmínky pro činnost výdejního místa základních identifikátorů, jejichž splnění je podmínkou akreditace stanoví vláda nařízením. O udělení akreditace výdejnímu místu základních identifikátorů rozhoduje úřad. Doba platnosti akreditace je omezena nejvýše na 2 roky od právní moci rozhodnutí o udělení akreditace, dobu platnosti stanoví v rozhodnutí o dělení akreditace úřad. 52
Základní identifikátory a osobní údaje občana, na jejichž základě byl základní identifikátor vytvořen, by byly uchovávány ve zvláštním informačním systému základních identifikátorů. Správcem tohoto IS by bylo vhodné pověřit orgán státu, který však sám neprovozuje žádné agendy, pro něž by byla nutná přesná identifikace občana (nebo má takových agendy minimální počet). Určitou inspirací by mohlo být řešení přijaté v Rakousku – správcem takového IS je pověřen orgán pro ochranu osobních údajů, ale může jím být např. i státní statistický úřad či jiný státní orgán podobného zaměření. Určitý problém je způsob zneplatnění základního identifikátoru v případě jeho ztráty, zničení nebo zcizení, nebo v případě jiného bezpečnostního problému. Zneplatnění základního identifikátoru zvýší celkovou bezpečnost systému, omezí množství trestné činnosti páchané pomocí falešné identity a zvýší důvěryhodnost systému. Zneplatnění základního identifikátoru bude v prvé řadě provedeno v IS základních identifikátorů, což umožní, aby nebylo možné generovat agendový identifikátor pomocí ztraceného či zcizeného základního identifikátoru občana. Předpokládá se, že by ke zneplatnění základního identifikátoru v IS základních identifikátorů mohlo dojít do jedné hodiny od chvíle, kdy se správce IS dozví o bezpečnostním útoku vůči identifikátoru. Pokud se ukáže tato doba jako reálná, bude to znamenat, že nejpozději po jedné hodině od nahlášení útoku na základní identifikátor jej nebude možno použít pro komunikaci se státní správou. Poněkud více problematické bude zneplatnění základního identifikátoru při jeho použití v soukromém sektoru. Ačkoliv by mělo být povoleno, aby platnost základního identifikátoru byla soukromým subjektem ověřována v IS základních identifikátorů, nelze předpokládat, že se bude provádět při každé potřebě identifikace osoby. K omezení používání ztraceného nebo zcizeného základního identifikátoru by přispělo ověřování jeho platnosti vůči IS základních identifikátorů ve všech situacích. Bude však potřeba vytvořit samoregulační principy (normy), které budou toto ověřování vyžadovat; zejména při vytváření důležitých smluvních vztahů, při jejichž vzniku bude potřeba jedince identifikovat. Dalším bezpečnostním opatřením bude zákaz znovu přidělovat a používat základní identifikátor, který byl již jednou zneplatněn. Toto by platilo i pro případy, kdy by se ztracený či zcizený základní identifikátor znovu nalezl a vrátil původnímu držiteli. Důvěryhodnost systému by byla mimo jiné podporována povinností správce IS ZIFO vést evidenci všech žádostí o přístup ke zdrojovému identifikátoru prostřednictvím tohoto IS. Identifikace fyzické osoby v informačním systému (v agendě orgánu státní správy): Při potřebě jednoznačně identifikovat fyzickou osobu orgánem státní správy by byl vytvořen tzv. agendový identifikátor fyzické osoby. Tento identifikátor by vznikl jako výsledek matematického vztahu mezi základním identifikátorem a číslem příslušné agendy. Čísla agend by stanovilo Ministerstvo vnitra. Pro tvorbu agendového identifikátoru by však agendou nebyla míněna každá dílčí jednotlivá činnost orgánu veřejné správy. Agendu by měla tvořit celá skupina činností, např. také celá působnost konkrétního orgánu veřejné správy, pokud není nutno při výkonu této působnosti zajistit ochranu před možným propojením datových souborů. Takže jedna instituce by mohla mít jedno nebo více čísel agend , které by vstupovaly do matematické funkce generující agendový identifikátor jedince. Samozřejmě, že by bylo nutno zajistit, aby z agendového identifikátoru nebylo možné zjistit základní identifikátor fyzické osoby. Fyzická osoba bude orgánem státní správy identifikována jen v nezbytných případech. K identifikaci nebude používán zdrojový identifikátor, ale tzv. identifikátor pro příslušnou agendu (agendový identifikátor osoby). 53
Tvorba agendových identifikátorů 24) Orgány veřejné moci zpracovávají, pro účely identifikace, určený agendový identifikátor. Orgány veřejné moci mohou využívat také své vlastní identifikátory; tyto identifikátory nesmí být shodné nebo zaměnitelné se základním identifikátorem, agendovým identifikátorem, nebo jiným identifikátorem již využívaným jiným orgánem veřejné moci. 25) Agendový identifikátor, pro oblast působnosti orgánu veřejné moci, určuje úřad na základě návrhu orgánu veřejné moci. Vyžaduje-li to zájem na ochraně osobních údajů, určí úřad orgánu veřejné moci agendový identifikátor i pro jednotlivou činnost nebo soubor činností vykonávaných v rámci působnosti orgánu veřejné moci. 26) Agendový identifikátor je vytvářen v IS základních identifikátorů nebo na nosiči elektronické identity kombinací základního identifikátoru a čísla agendy. Kryptografický algoritmus matematického vztahu pro vytvoření agendového identifikátoru fyzické osoby stanoví úřad. Algoritmus nesmí umožnit odvození základního identifikátoru z agendového identifikátoru. Kryptografická data pro stanovení agendového identifikátoru jsou neveřejná a správce registru má povinnost zachovávat mlčenlivost o těchto datech. Jak již bylo řečeno výše, základní identifikátor fyzické osoby je možné použít také v privátním sektoru. Avšak opět pouze pro vytvoření specifického agendového identifikátoru. Některé požadavky na proces využívání elektronické identity 27) Požadavky na ověření elektronické identity do informačního systému základních identifikátorů může podávat pouze informační systém soustavy registrů. Informační systém základních identifikátorů komunikuje pouze prostřednictvím informačního systému soustavy registrů. 28) Informační systém soustavy registrů může vznést požadavek na ověření totožnosti, nebo výměnu údajů o fyzických osobách pouze, pokud je tento požadavek iniciován požadavkem informačního systému, který je k tomu oprávněn. O požadavcích informačních systémů na ověření totožnosti nebo výměnu údajů uchovává informační systém soustavy registrů, který umožňuje určit žádající informační systém, jaká data byla požadována a datum a čas požadavku. Záznam je předáván úřadu k vyhodnocení. Záznam je v informačním systému soustavy registrů uchováván po dobu 1 roku. 29) Úřad odpovídá za bezpečnost elektronické identity. Úřad přijímá a uplatňuje náležitá opatření v oblasti bezpečnosti elektronické identity. Zůstává ovšem otevřená otázka jak dále nakládat s rodným číslem. Jedno z možných řešení je například: 30) Orgány veřejné moci, které ke dni účinnosti nového zákona pracují s identifikátorem fyzické osoby, který je shodný nebo zaměnitelný s identifikátorem, který je přidělován jiným orgánem veřejné moci, jej mohou využívat jako svůj vlastní identifikátor nejdéle po dobu 3 let od nabytí účinnosti zákona. Je však možné nalézt další řešení, které by po přechodnou dobu umožnilo používat dosavadní identifikační údaj fyzické osoby (např. rodné číslo) a zároveň poskytlo dostatečný časový prostor pro přechod na nový způsob identifikace fyzické osoby.
54
7.3. Nový identifikátor z pohledu reakce občana Jak jsme uvedli v kap. 3 (Identifikace občana), jedním z cílů eGovernmentu je přímý pozitivní vliv na život občanů – posílení bezpečnosti a důvěry občanů ve veřejný sektor. Každý nový nástroj, způsob či změna v identifikaci občana vyvolává různou odezvu. Je jisté, že postupné kroky k nové elektronické identifikaci budou rozdílně přijímány různými skupinami populace ČR. V případě jakýchkoliv změn ve způsobu identifikace či prokazování identity jednotlivce, bude nutné znát aktuální názory lidí. Tyto názory pak bude nutno zohlednit při nastavení optimální komunikace s občany, která umožní pomáhat občanovi při hledání cest ke spontánnímu a správnému využívání elektronické identifikace. Stávající nespokojenost občanů s možným zneužíváním rodných čísel a dlouhodobě narůstající námitky ke stávající identifikaci (jak vyplynulo např. z analýzy dotazníku eStat.cz89), vytvářejí základnu pro nedůvěru také k novému způsobu identifikace. O to více je pro efektivní implementaci jednotlivých kroků nutné znát nejen stávající názory populace, ale i jejich očekávání. Úspěšnost zavedení elektronické identifikace bude mimo jiné záležet také na informační kampani, která musí mít osvětově-vzdělávací charakter. Pro takové kampaně bude nutno předem znát postoje a názory občanů k elektronické identifikaci, jako například: • úroveň důvěry občanů ve veřejný sektor z hlediska soukromí (důvěrnost, transparentnost, bezpečnost) • názory na téma identifikace – co si lidé myslí, co cítí, čeho se bojí, bariéry, ochrana osobních údajů, čemu nerozumí • dosavadní zkušenosti s identifikací (pozitivní, negativní) • názory na jednotlivé varianty elektronické identifikace a různé formy aplikací (jednoduchost, srozumitelnost, bezpečnost aj.) • užití a hodnocení jednotlivých informačních kanálů veřejné správy. Se znalostí těchto informací bude pak možné připravit účinnou komunikační kampaň ( jak ji zaměřit, co zdůrazňovat, co vysvětlovat) a sledovat změny názorů populace v průběhu implementace elektronické identifikace.
Závěr: Výše uvedený text je nutno chápat jako ideu možného řešení, nikoliv za legislativní text. Ten bude možno rozpracovat až poté, kdy se s touto ideou ztotožní odborná veřejnost a politická reprezentace. Jsme si vědomi, že v legislativním textu by bylo nutno vyřešit řadu dalších problémů (např. mechanismus zápisu základního identifikátoru na nosič informací). Z tohoto důvodu nelze ani očekávat předložení analýzy finanční náročnosti realizace návrhu; taková analýza již přesahuje účel tohoto dokumentu. Není rovněž účelem tohoto dokumentu řešit všechny související legislativní, technické a organizační problémy tohoto návrhu. 89 Viz www.estat.cz
55
8. Identifikace a legislativa
Jak již uvedeno v kap.3.2, proces zjišťování identity osoby pomocí identifikačních a jiných osobních údajů spadá po režim právních zásad stanovených evropským a domácím právem pro ochranu soukromí a ochranu osobních údajů. Identifikace je proces splňující kritéria zpracovávání osobních údajů. Musí tedy vyhovovat principům ochrany osobních údajů stanoveným zejména ve Směrnici Evropského parlamentu a Rady č.95/46 ES a zákona ČR o ochraně osobních údajů. Identifikace jednotlivce má řadu specifik – např. nelze identifikaci považovat za účel zpracování sám o sobě; účelem je vždy jiné zpracování osobních údajů při němž je nutno identifikovat jedince. Z tohoto pohledu tak nelze identifikaci sdílet všemi subjekty, které o ní projeví zájem a odvolávat se přitom, že se jedná o stejný účel a použít tak přípustnost podle zákona90: Nelze tedy také shromažďovat identifikační údaje osob bez vztahu k nějakému legitimnímu účelu; nelze tedy vytvořit pouze databází identifikátorů osob a nestanovit účel pro který by taková databáze byla určena. Podívejme se tedy, jak je nutno aplikovat základní principy ochrany osobních údajů na zpracování identifikačních (a tedy osobních) údajů: 1. princip – osobní údaje musí být zpracovávány čestným a legitimním způsobem Získání a jakékoliv další zpracování identifikačních údajů musí být prováděno čestným, otevřeným, transparentním a legitimním způsobem, nelze tedy tyto údaje získat krádeží, koupí, výměnou a pod. V zásadě platí, že tyto údaje jsou získávány přímo od dotčené osoby (subjektu údajů). Výjimky mohou být aplikovány pouze na základě zákona, např. státní orgány si pro určité druhy administrativních činností mohou identifikační údaje občana předávat, mohou je sdílet. Pro soukromý sektor žádné výjimky neplatí, každý soukromý subjekt musí získat identifikační údaje přímo od dotčené osoby. Jakýkoliv jiný způsob získání údajů (např. získání údajů od třetí osoby) pak vyžaduje souhlas subjektu údajů. Tento princip posiluje důvěru jednotlivce v každý jednotlivý systém, v němž jsou jeho osobní údaje zpracovávány, dává mu jistotu, že jeho soukromí je v těchto systémech respektováno. 2. princip – osobní údaje mohou být zpracovávány pouze ke stanovenému účelu a nemohou být zpracovávány pro jiné účely Tento princip znemožňuje, aby identifikační údaje osob byly volně využívány různými subjekty pro různé cíle. Vytváří tedy omezení, aby se tyto údaje předávaly mezi veřejným a soukromým sektorem, a také mezi subjekty uvnitř těchto sektorů. Tedy např. identifikační údaje uchovávané v databázích orgánů státní správy pro plnění jejich povinností stanovených zákonem, nemohou být předány pro jakýkoliv účel soukromému subjektu. Jestliže výkon státní správy nelze přenést na soukromoprávní subjekt (jak
90 Např. §5 odst. 1, písm. f) zákona č. 101/2000 Sb., v platném znění
56
např. judikoval Nejvyšší správní soud91 ve věci měření rychlosti vozidel soukromými subjekty), nelze mu poskytnout ani osobní údaje potřebné pro takový výkon. V těchto případech tedy nelze uplatnit ani zásadu kompatibility, tedy zpracování údajů pro podobné účely. 3. princip – zpracovávané osobní údaje musejí být přiměřené, odpovídající účelu a v rozsahu nezbytném pro naplnění stanoveného účelu Již jsme již uvedli výše, identifikace je proces zpracování jisté množiny údajů vztahujících se k jednotlivci, za účelem zjištění jeho identity při potřebě jeho jednoznačného určení a rozlišení od jiných jedinců. Je tedy zřejmé, že pro různé situace může být rozsah identifikačních údajů rozdílný. Princip přiměřenosti tedy stanoví požadavek, že pro každý jednotlivý účel musí být posouzeno, zda některý údaj je pro identifikaci osoby potřebný, nezbytný či nikoliv. Je tedy nutno si položit otázku – Jaké informace jsou opravdu potřebné pro identifikaci osoby? Odpověď bude jiná u různých orgánů a institucí pro různé činnosti a účely. Jiný rozsah identifikačních údajů bude potřeba pro běžný administrativní úkon úřadu, jiný pro potřebu policie při vyšetřování trestné činnosti, jiný pro poskytování peněžních služeb, jiný při poskytování služeb řemeslníka, jiný evidenci cestujícího atd. Je tedy také zřejmé, že je nutno si položit otázku, zda je vůbec nutná identifikace osoby při konkrétní aktivitě či činnosti – jistě není nutná identifikace návštěvníka restaurace či kavárny, jistě není nutná identifikace cestujícího v městské hromadné dopravě, pokud cestující nechce využívat nějakých výhod poskytovaných přepravcem (předplatné, slevy, bonusy a pod.). V běžném životě občana lze nalézt řadu situací, kdy je po něm požadována identifikace (často velmi podrobná), aniž je to vůbec potřebné. Je nutno také připomenout, že pro identifikaci osoby nelze (až na výjimky) používat tzv. citlivé osobní údaje92 (na zpracování těchto údajů se vztahuje přísnější režim). V této souvislosti je vhodné uvést předběžný názor hlavního prokurátora Německa ve věci sporu rakouského občana Heinze Hubera s Německem93, který vyhověl stížnosti podle níž tento občan považoval za diskriminační v rámci EU, že byl evidován v oddělené evidenci osob na základě údaje o národnosti. 4. princip – osobní údaje musejí být přesné a pokud je to s ohledem na účel potřebné, aktualizovány Jedna z důležitých zásad při zpracování osobních údajů obecně, a při zpracování identifikačních údajů tím více, je, že údaje musejí být přesné. Zpracováním nepřesných údajů může být jedinec významně poškozen na svých právech, může mu být způsobena újma nejen materiální, ale i duševní. Při zpracování identifikačních údajů je nutno vždy rozlišit, zda se jedná o zpracování jednorázové či zda budou tyto údaje využívány opakovaně. Při opakovaném využití tak platí zásada, že musí být zajištěno, aby tyto údaje byly pravdivé a přesné. Lze si jistě představit řadu problémů, které mohou dotčené osobě vzniknout, pokud by jeho identifikační údaje byly chybné, nepřesné – od doručování poštovních zásilek, vyplácení finančních dávek, poskytování zdravotní péče, vystavení identifikačních dokladů, poskytování bankovních služeb atd. U identifikace osob je tedy zásadní požadavek, aby oprávněný uživatel používal pouze přesné údaje. 91 Dohled nad bezpečností a plynulostí provozu na pozemních komunikacích je výkonem veřejné správy a nelze ji bez zákonného zmocnění přenést na soukromé subjekty (Rozhodnutí Nejvyššího správního soudu ze dne 2. dubna 2008 sp.zn. 1 As 12/2008; ve věci soukromých radarů). 92 Viz definici v §4 písm. b) zákona č.101/2000 Sb., v platném znění 93 Stanovisko ve věci Heinz Huber vers. Německo, č. C 524/06 zemského hlavního prokurátora Nordrhein-Westfálska. (http://www.statewatch.org/news/2008/apr/ecj-ag-opinion-huber.pdf)
57
V této souvislosti je nutno poukázat na problém, kdy je jako jeden z identifikačních údajů používána fotografie tváře osoby (např. v osobních či cestovních dokladech). Poněvadž tvář osoby se mění v čase a může být řadou vnějších zásahů pozměněna (kosmetika, účes, doplňky), lze fotografii samotnou použít pro účel identifikace jen velmi omezeně. V praxi to znamená, že k fotografii musejí být přidruženy další osobní informace, aby bylo možné osobu jednoznačně určit. Fotografie tváře osoby má však důležitou roli např. v kriminalistické praxi při rychlé a předběžné identifikaci pachatele. Použití fotografie tváře jako jedinečného identifikátoru omezuje také např. podobnost některých osob, často téměř nerozeznatelná pouhým pohledem (dvojníci, dvojčata, příbuzní a pod.). Fotografie tváře osoby tak v zásadě může sloužit k identifikaci pouze kontextově a ve spojení s jinými údaji. 5. princip – osobní údaje mohou být uchovávány pouze po dobu nezbytnou pro naplnění stanoveného účelu Tato zásada stanoví, že nelze jednou poskytnutou identifikaci libovolně použít po neomezenou dobu. Po skončení a naplnění účelu, pro který identifikace byla poskytnuta, je nutno identifikační údaje zlikvidovat, stejně jako ostatní osobní údaje (pokud další uchovávání údajů nespadá pod výjimky stanovené zákonem94). Nelze tedy připustit ani situaci, kdy jsou po naplnění účelu zlikvidovány ostatní osobní údaje a správce si ponechá v evidenci „pouze“ identifikační údaje. Z těchto důvodů bylo nutno přistoupit k právní regulaci rozsahu zpracovávaných dat, doby jejich uchovávání, možnostmi jejich přenosu a dalším aspektům manipulace s informacemi o identifikovaných osobách. Do souboru právních norem zařazujeme také dokumenty přijaté významnými evropskými institucemi a to i v případě, kdy tyto dokumenty mají spíše doporučující, nikoliv závazný, charakter. Uveďme alespoň některé z nich:
Organizace pro ekonomickou spolupráci a rozvoj (OECD) Již v roce 1980 přijala Organizace pro ekonomickou spolupráci a rozvoj (OECD) pokyny pro ochranu soukromí při přeshraničním toku osobních údajů95. OECD se také podílela na přípravě právně závazného dokumentu, který již od roku 1976 připravovala Rada Evropy. OECD se také zabývá otázkami ochrany soukromí při používání moderních technologií, např. o RFID (viz kapitola 6.1) nebo také v souvislosti s elektronickou identitou. Velmi zajímavý a inspirativní dokument se zabývá elektronickou identitou a různými souvislostmi v informační společnosti, včetně ochrany soukromí96. OECD vydala rovněž doporučující pravidla týkající se elektronické autentizace97.
94 §5 odst. 1, písm. e) zákona č.101/2000 Sb., v platném znění 95 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980 96 At a Crossroad: “Personhood” and Digital Identity in the Information Society. Dokument DSTI/DOC(2007)7, OECD, únor 2008. (link: http://www.oecd.org/department/0,2688,en_2649_34255_1_1_1_1_1,00.html) 97 OECD Recommendation on Electronic Authentication and OECD Guidance for Electronic Authentication. OECD, červen 2007. (link: http://www.oecd.org/dataoecd/32/45/38921342.pdf)
58
Rada Evropy Od listopadu 1976 do května 1979 pracoval výbor expertů na textu dokumentu, který by splnil tři základní očekávání: • stanovit základní principy a pravidla pro zpracování osobních informací pomocí moderní výpočetní a komunikační techniky; • stanovit zásady pro přenášení těchto informací přes hranice států; • stanovit mechanismy vzájemné spolupráce a konzultační činnosti mezi členskými státy, aby ochranný režim byl co nejvíce slučitelný, aby práva občanů a povinnosti správců při zpracování osobních dat byla harmonizovaná v rámci Evropy. Rada Evropy přijala v roce 1981 první právně závazný dokument v Evropě, který se týká ochrany soukromí při automatizovaném zpracování osobních dat98. Česká republika Úmluvu ratifikovala v roce 2000, po přijetí zákona o ochraně osobních údajů. Dokument používá pojem „identifikovaná nebo identifikovatelná osoba“, avšak nijak blíže jej nedefinuje. Definici provedla až směrnice Evropského parlamentu a Rady.
Evropské společenství Při tvorbě práva Evropského společenství byla pozornost věnována také zpracovávání informací o jednotlivcích a již od roku 1990 byl zahájen proces tvorby právního rámce pro taková zpracování, který by zajistil adekvátní ochranu soukromí osob. Bylo konstatováno, že systémy zpracování údajů mají sloužit lidem a musí tedy dodržovat základní svobody a práva osob, zejména pak právo na soukromí. Takové systémy mají přispívat k hospodářskému a sociálnímu pokroku, k rozvoji obchodu, jakož i dobrých životních podmínek jednotlivce. Ochrana osobních údajů jednotlivců byla zahrnuta do samostatné směrnice Evropského parlamentu a Rady z roku 199599. Směrnice definuje osobní údaj jako „veškeré informace o identifikované nebo identifikovatelné osobě; identifikovatelnou osobou se rozumí osoba, která může být identifikována, přímo nebo nepřímo, zejména s odkazem na identifikační číslo nebo jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity“100. V souvislosti s potřebou snížit rizika plynoucí ze zpracování identifikačních údajů jednotlivce, je v této směrnici zvláštní odstavec v rámci článku 8 – „Zpracování zvláštních kategorií údajů“. Za zvláštní kategorii údajů jsou zde považovány také identifikační číslo či jakékoliv identifikační prvky obecného významu. Odstavec 7 článku 8 stanoví, že: „Členské státy určí podmínky, za kterých může být předmětem zpracování identifikační číslo nebo jakýkoli jiný identifikační prvek obecného významu“.
98 Úmluva o ochraně jednotlivců s ohledem na automatizované zpracování osobních dat. ETS 101, Rada Evropy, 1981 99 Směrnice 95/46/ES Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů 100 Článek 2 písm. a)
59
Evropská komise dále pozorovala, že také ochrana databází provozovaných pomocí moderních technologií je nedostatečná, a předložila návrh samostatné směrnice o právní ochraně databází101. Specifické problémy týkající se ochrany osobních údajů v telekomunikačních systémech vedly k přijetí samostatné směrnice přijaté v roce 1997102, která byla v roce 2002 nahrazena směrnicí o soukromí a elektronických komunikacích103 .
Standardizace Standardizace je jednou z klíčových oblastí fungování eGovernmentu. Zajišťuje bezproblémová technická, datová a komunikační rozhraní nutná pro vzájemnou komunikaci mezi všemi stranami využívajícími služby eGovernmentu. Je tedy nutno stanovit příslušné standardy a normy, jak na národní, tak na mezinárodní úrovni. Národní úroveň zajišťuje orgán státní správy pověřen zavedením eGovernmentu do praxe, ve většině států EU jsou to ministerstva pro vnitřní věci. Tyto orgány jsou odpovědné jak za vytvoření odpovídající infrastruktury, tak za zpracování vnitřních norem a předpisů pro aplikace v rámci celého systému eGovernment104. Národní aktivity v oblasti standardizace prvků eGovernment pak doplňují normy mezinárodní, vydané zejména organizacemi CEN, ETSI, a ISO. Standardy mohou mít status duševního vlastnictví, což velmi komplikuje jejich zavádění a používání v běžném praktickém životě. Evropská komise podporuje tvorbu standardů, které nebudou omezeny tímto statutem a mají tedy povahu otevřených standardů105.
Evropský výbor pro standardizaci (CEN) Evropský Výbor pro standardizaci (CEN, European Committee for Standardization) byl založen v roce 1961 národními standardizačními orgány států Evropského ekonomického společenství (EEC) a států Evropské zóny volného obchodu (EFTA). CEN vytváří technické normy a standardy podporující volný obchod, bezpečnost práce, interoperabilitu sítí, aplikaci moderních technologií a pod. Spolupráce členských států CEN se promítá také do řešení problematiky elektronické identity a identifikace; byla zřízena pracovní skupina eAuthentication v rámci CEN/ISSS (Information Society Standardisation System). Expertní skupina (Porvoo Group) stanovila požadavky (Common Requirements) pro tvorbu a vývoj elektronické identity v rámci celé Evropy. Technickou standardizací evropské občanské karty se zabývá v CEN odborná skupina WG 15106.
101 Směrnice 96/9/ES o právní ochraně databází (Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases) 102 Směrnice 97/66/ES Evropského parlamentu a Rady ze dne 15. prosince 1997 týkající se zpracování osobních údajů a ochrany soukromí v telekomunikačním sektoru. 103 Směrnice 2002/58/ES Evropského parlamentu a Rady ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) 104 Viz např. normy a standardy stanovené německým ministerstvem vnitra (http://www.kbst.bund.de/saga) 105 Viz např. vystoupení komisaře EU pro konkurenční politiku Neelie Kroes o otevřených standardech, přednesené na OpenForum Europe dne 10. 6. 2008 (http://www.euractiv.com/en/infosociety/kroes-calls-open-standardsegovernment/article-173209) 106 CEN 224 WG 15 (European Citizen Card)
60
Evropský ústav pro telekomunikační normy (ETSI) Evropský ústav pro telekomunikační normy (ETSI, European Telecommunications Standards Institute) je odpovědný za vypracování norem pro současnost i budoucnost (např. EN – telekomunikace, TS – technické specifikace, ES-normy nižší úrovně, technické zprávy a pokyny, a pod.) pro oblast telekomunikací a jiných elektronických komunikací. ETSI je nezávislá nezisková organizace, založena v roce 1988 se sídlem ve Francii (Sophia Antipolis)107. ETSI hraje klíčovou roli při tvorbě široké oblasti standardů a technických dokumentů, kterými, jako evropská instituce, přispívá k celosvětové standardizaci v oblasti ICT.
Mezinárodní organizace pro standardizaci (ISO) Mezinárodní nevládní organizace pro standardizaci (ISO, International Organization for Standardization) je tvořena sítí národních standardizačních institucí (156 států) se sídlem v Ženevě. Členové ISO jsou zástupci jak privátní tak veřejné sféry. Proto normy, který ISO přijímá jsou jakýmsi mostem mezi soukromou a státní sférou, jsou akceptovány oběma stranami konsensuálně.
Mezinárodní organizace pro civilní letectví (ICAO) ICAO (International Civil Aviation Organization, založena v roce 1944) má hlavní úlohu ve vývoji standardů pro používání biometrických údajů v aplikacích strojově čitelných cestovních dokladů108, včetně biometrických pasů, víz a dalších cestovních dokumentů. ICAO vypracovává jak technická doporučení, tak také popisy logických datových struktur. ICAO spolupracuje s pracovní skupinou ISO/IEC JTC1 SC17 (skupina pro čipové karty a identifikace).
107 www.etsi.org 108 MRTD – Machine Readable Travel Documents (občas se tato zkratka používá i v jiných jazycích); www.icao.int
61
9. Identifikace a soukromí
Jedním z cílů zavádění eGovernmentu je posílení bezpečnosti a důvěry občanů ve veřejný sektor, v němž občan má kontrolu nad shromažďováním, zveřejňováním a jiným zpracováním jeho osobních informací a v němž je pohyb těchto informací mezi různými orgány a institucemi pro občana průhledný. Tyto požadavky jsou zásadní. V systému eGovernmentu je totiž potřeba identifikace jednotlivce vyšší než tomu bylo v dřívějších dobách, kdy se stačilo druhé straně představit a komunikace mohla začít, aniž by identifikační informace bylo nutno shromažďovat a uchovávat. Při digitální komunikaci s institucemi však občan musí poskytnout své identifikační a další informace téměř ve všech situacích, nebo alespoň ve většině z nich. Tam, kde dříve stačilo jen ukázat občanský průkaz, aby činnost byla provedena, je nyní nutno identifikační doklad předkládat elektronicky, přičemž jeho „stopa“ je v systému rovněž uložena. Tam, kde dříve stačilo ukázat svou tvář, je nyní identita jedince uchovávána v databázích. Při digitální komunikaci se částečně ztrácí fenomén osobních vztahů a znalosti jednotlivců mezi sebou. Digitální komunikace vyžaduje identifikaci prakticky vždy a opakovaně. Ochrana osobních údajů, bezpečná správa autorizačních a identifikačních prvků jsou oblasti, v nichž státní správa nemůže a nesmí chybovat. Elektronická komunikace mezi státními orgány navzájem a také s jinými institucemi nebo s občany musí probíhat bezpečně a musí zajistit respektování principů ochrany soukromí občanů. Jestliže evropská legislativa pro ochranu osobních údajů109 poskytuje jednotlivcům právo na přístup k údajům, které se jich týkají, pak zavedením eGovernmentu je toto právo realizováno bezpečným a důvěryhodným způsobem. Občané by měli mít vždy přehled o tom, kdo „vstupoval“ do jejich osobních údajů prostřednictvím státem vedených databází, jak jsou údaje orgány státu uchovávány a používány. Nedodržení těchto zásad může mít závažné sociální a ekonomické důsledky. Zpracování osobních údajů o občanech ve všech dílčích systémech a eGovernment jako celku musí tedy splňovat následující kritéria: • Důvěrnost: úspěšnost informačních systémů ve státní správě je podmíněna důvěrou občanů v jeho funkčnost a uplatňování přísných bezpečnostních zásad a ochranu osobních informací. Nesprávným zacházením s informacemi může být důvěryhodnost systému zásadním způsobem narušena110. • Transparentnost: znamená otevřenost, dostupnost, avšak při současném dodržování zásad ochrany soukromí. Často jedná o opačné atributy – otevřenost a dostupnost nelze aplikovat na osobní informace. Ty by měla naopak být chráněny, pro mnohé zájemce nedostupné, přístup k nim by měl být 109 Např. Směrnice 95/46/EC 110 V prosinci 2007 byly Královským důchodovým úřadem Velké Británie ztraceny 2 CD disky s osobními údaji o 25 milionech Britů. Tato událost výrazně poškodila důvěryhodnost státních institucí při zpracování osobních údajů a ukázala na nedostatky v přístupu státních zaměstnanců k ochraně dat.
62
omezen a také monitorován. V řadě případů musí být přístup povolen pouze k anonymním datům a systém tedy musí umět spolehlivě osobní data anonymizovat. • Bezpečnost: Infrastruktura a jednotlivé procesy zpracování osobních informací musí být spolehlivě chráněny pomocí přiměřených a efektivních organizačních, technických, personálních a právních opatření. Bezpečnost je jednou z klíčových oblastí eGovernmentu, poněvadž moderní informační a komunikační techniky vytvářejí také nová bezpečnostní rizika. Při ochraně soukromí musí eGovernment podporovat využívání technických prostředků a technologií zvyšujících ochranu soukromí111. Ochrana osobních údajů, bezpečnost informací a komunikačních sítí, opatření proti kybernetické kriminalitě a celková spolehlivost jsou základními předpoklady pro dobře fungující informační společnost.
Soukromí Pro občana je identita úzce spojena se soukromím a s ochranou osobních údajů. Zejména při elektronické komunikaci a při použití informačních technologií se v institucích, soukromých i veřejných, soustřeďuje velké množství informací o jednotlivcích. Zjednodušeně je možno říci, že čím méně je naše identita známa, tím větší máme soukromí. Digitální technologie umožňují manipulaci s osobními daty jednotlivců způsobem, který byl ještě před několika desítkami let nemyslitelný. Moderní technologie umožnily vytvářet rozsáhlé soubory dat velmi levně. Finanční otázky týkající ceny nosičů, ceny zpracování, archivace či likvidace dat, skartací a pod. ustoupily do pozadí při rozhodování o vlastním rozsahu zpracovávaných dat. Tato skutečnost vedla k tomu, že instituce shromažďují stále více informací o jednotlivcích, poněvadž jim takto vytvářené „kartotéky“ nedělají vážné finanční, technické, organizační či jiné problémy. Digitální forma informací usnadňuje jejich uložení, zpracování a přenos a také snižuje cenu veškeré manipulace s nimi. Na druhé straně však použití informačních a komunikačních technologií při vytváření a zpracování rozsáhlých souborů informací ukázalo na zcela nové problémy související s ochranou soukromí osob. Americký expert na bezpečnost dat Bruce Schneier112 tvrdí, že v informační společnosti není téma debaty „bezpečnost vers. soukromí“, ale téma „svoboda vers. kontrola“. Upozornil na to, že státní orgány pro bezpečnost oficiálně tvrdí, že „Soukromí již neznamená anonymitu. Soukromí naopak znamená, že stát a byznys důkladně chrání soukromé komunikační a finanční a jiné informace o občanech113“. Jinými slovy, že stát a soukromý sektor mají stále více důvěrných soukromých informací o občanech a může je snadno zneužívat. Občan vlastně nedobrovolně předává kontrolu a ochranu nad svými soukromými informacemi jiným subjektům, které však samy rozhodují jak to budou dělat. Je to jen jiná forma ztráty svobody. Avšak v demokratické společnosti musí být anonymita, soukromí a bezpečnost provázány, nikoliv odděleny. Soukromí je součást bezpečnosti, nelze bezpečnost nadřadit soukromí. Hodnota soukromí je ve svobodné společnosti zásadní. V souvislosti s identifikací fyzické osoby pomocí moderních technologií je nutno zmínit nové možnosti, které nabízejí nanotechnologie. Tato technologie je z pohledu ochrany soukromí velkou neznámou, 111 Tzv. Privacy Enhancig Technologies (PET). Viz např. Sdělení Komise o podpoře ochrany osobních údajů prostřednictvím technologií zvyšujících ochranu soukromí (PET). KOM(2007)228 fin, Brusel 2007. 112 http://www.schneier.com/ 113 Dr Donald M. Kerr, vrchní zastupující ředitel Národní zpravodajské služby, býv. zástupce ředitele pro technický výzkum CIA a FBI (link: http://www.schneier.com/blog/archives/2007/11/redefining_priv.html)
63
prozatím nejsou známy odborné texty či studie, které by možná rizika použití nanotechnologií na soukromí lidí popisovaly. Lze však očekávat, že nanotechnologie mají schopnost realizovat některé futuristické vize – např. implantace paměťového čipu do těla člověka. Některé výzkumné práce uvádějí, že nanotechnologický čip nabídne v tomto směru velké možnosti a také nová rizika (monitorování a sledování osob). Nová rizika vůči identitě osob vznikají z globálních komunikačních technologií. Stále více přenosů se například provádí prostřednictvím amerických internetových providerů a to i přenosů, které se týkají komunikací mezi evropskými institucemi. Na tuto skutečnost upozornila americká unie pro občanské svobody evropskou skupinu expertů pro ochranu údajů zřízenou podle článku 29 směrnice 95/46/ES114 a požádali, aby se tímto zjištěním zabývala ve vztahu k soukromí občanů EU. V roce 2007 se uskutečnilo 2,7 miliard přenosů, v roce 2011 se jich očekává 37 miliard, zejména díky nárůstu nebankovních služeb115.
Zdroj: Wired News, 2007
V mnoha případech je přenos dat mezi dvě evropskými subjekty realizován prostřednictvím amerických telekomunikačních operátorů.116 Podle zákonů USA mají k informacím o těchto přenosech přístup americké státní instituce. Výsledkem mohou být nová rizika vůči soukromí evropských občanů, nehledě na to, zda takové praxe vůbec vyhovuje evropskému právu. Je nutno si uvědomit, že při většině těchto přenosů jsou součástí přenášených dat také identifikační a jiné osobní informace o jednotlivcích. Reakce evropských ochránců dat, spolupracujících v rámci WP 29, na sdělení amerických expertů, nebylo v době dokončení této práce známo.
114 Dopis ředitele programu Technologie a svoboda American Civil Liberties Union (ACLU) Barry Steinhardta předsedovi Article 29 Working Party Alexi Türkovi ze dne 16. 4. 2008. 115 Původní zdroj Wired Magazine, říjen 2007. Údaje použity z dopisu B. Steinhardta (78). 116 Singel,R.: NSA’s Lucky Breaks: How the U.S. Became Switchboard to the World. Wired Magazine, říjen 2007. (link: http://www.wired.com/politics/security/news/2007/10/domestic_taps)
64
10. Předběžná doporučení
V této části je přehled doporučení, která by měla vést k systémovému rozhodování při tvorbě nového identifikátoru občana ČR. Tato doporučení jsou uváděna jako předběžná, jejich seznam, priority a postupy se budou dále vyvíjet a měnit. 1. Upravit vládní návrh zákona o elektronických úkonech, osobních číslech a autorizované konverzi dokumentů tak, aby tímto zákonem nebyl zaveden nový identifikátor občana, aby navrhované datové schránky byly označeny jiným způsobem než identifikátorem občana. 2. Zahájit práce na odborné analýze některých evropských identifikačních systémů (Belgie, Estonsko). 3. Zahájit odbornou analýzu rakouského modelu identifikace občana, oddělené pro různé sektory. Seriózně posoudit vhodnost aplikace tohoto modelu pro Českou republiku. 4. Navázat odborné kontakty s experty Slovenské republiky, kteří se aplikací rakouského modelu identifikace na podmínky SR zabývají. 5. Zajistit, aby v expertních skupinách pro tvorbu nového systému identifikace občana ČR byl vždy zastoupen expert na problematiku ochrany soukromí a ochrany osobních údajů. 6. Zjistit aktuální názory populace ČR na téma bezpečnosti, identifikace a důvěry ve veřejný sektor (realizovat reprezentativní výzkum veřejného mínění populace ČR) 7. Zajistit, aby ke všem návrhům právních předpisů, které se jakkoliv týkají identifikace občana, vždy měla možnost vyjádřit širší odborná veřejnost ( realizovat workshopy případně výzkum názorů odborné veřejnosti v různých etapách zavádění elektronické identifikace) 8. Nedopustit, aby se vytvoření nového identifikátoru občana ČR stalo politickým tématem s krátkodobým řešením. 9. Zajistit, aby všechny nové systémy a aplikace, související s identifikací občanů (např. včetně zavedení nových identifikačních dokladů) vzaly v úvahu příslušné normy a doporučení vydané evropskými a světovými standardizačními autoritami (CEN, ISO, ICAO a dalšími). 10. Zajistit, aby návrhy nových systémů a aplikací, související s identifikací občanů, byly řešeny v dlouhodobých horizontech a s ohledem na možný rozvoj moderních technologií. Nové systémy a aplikace by neměly vytvořit překážky a problémy příštím generacím. 11. Připravit komunikační kampaň osvětově-vzdělávacího charakteru, která pomůže populaci při hledání cest ke spontánnímu a správnému využívání elektronické identifikace. 12. Prosazovat soustavně respektování práva na ochranu soukromí osob při vytváření nových systémů a aplikací vztahujících se k identifikaci a autorizaci jednotlivce ve společnosti. 13. Podporovat snahy, aby se problematika identifikačních a autorizačních systémů řešila mezioborovně, aby se zavedení takových systémů na celostátní úrovni nestalo doménou jednoho rezortu. 65
14. Zajistit kontinuální sledování změn názorů/postojů populace v průběhu implementace elektronické identifikace. 15. Posoudit, zda je v ČR nezbytná povinnost občana mít občanský průkaz či zda tento průkaz vlastnit bude pouze „možnost“. V takovém případě by bylo možné prokazovat identitu jednotlivce vůči veřejným i soukromým orgánům také jinými způsoby.
Další literatura: 1. Adams C.: Privacy Risk Register: a practical perspective. Data protection Law & Policy, Vol. 4, no.11, 2007. 2. Administration on the Net. An ABC Guide to e-Government in Austria. Federal Chancellery, Austria, 2004. 3. Beynon-Davies, P.: Personal Identification in the Information Age: the case of the national identity card in the UK. European Business Management School, University of Wales Swansea, 2005. 4. Borland, J.: A global assault on anonymity. CNET News.com, USA, 2004. 5. Brázda, R.: Problém osoby a identity v etice aneb of identity k osobě a zpět. Sborník prací filosofické fakulty Brněnské univerzity. B48, 2001. 6. Clarke Roger: Human Identification in Information Systems: Management Challenges and Public Policy Issues. Info.Tech &People, December 1994, s. 6–8. 7. Code of Practice on the Identity Card Number and other Personal Identifiers. Office of the Privacy Commissioner, Hong Kong, 1997 8. Coping with identity theft: Reducing the risk of fraud. Privacy Rights Clearinghouse, USA, 2003 9. Danish DPA’s case concerning „Bornholmstrafikken“ and its use of fingerprints as a mean of passenger identification. Rada Evropy, Štrasburk, 2004. 10. Doporučení Rec(2005)7 Výboru ministrů členským státům týkající se identity a cestovních dokumentů a boje proti terorismu. Rada Evropy, Štrasburk, 2005. 11. Electronic Identity Cards: A smart move to a smart card. World Data Protection Report, no. 3, 2007, s. 20–23. 12. Frank,T.: Biometric IDs could see massive growth. US Today, 16. 8. 2005. 13. Hill, Claire A., „The Law and Economics of Identity“. Queen‘s Law Journal, Vol. 32, No. 2, 2007 Available at SSRN: http://ssrn.com/abstract=844345 . 14. Chadwick P.: Identity and Privacy – a very short introduction. Privacy Issues Forum, New Zealand, 2006. 15. ID Theft. What’s it all about? Federal Trade Commission, USA, 2003. 16. ID Theft. When Bad Things Happen To Your Good Name. Federal Trade Commission, USA, 2003. 17. Institutional, political, and policy frameworks affecting IdM for eGovernment. Version 1. EC Project GUIDE, 2005. 18. Interoperability of eGovernment systems. The identification number, data sharing and data protection issues. Centre de Recherche Public Gabriel Lippmann, Luxembourg, 2005. 19. Khaled El Emam a kol.: Evaluating Common De-Identification Heuristics for Personal Health Information. J. of Medical Internet Research, Vol. 8, No. 4, 2006. 66
20. LoPucki, Lynn M., „Did Privacy Cause Identity Theft?“. Hastings Law Journal, Vol. 54, No. 4, April 2003 Available at SSRN: http://ssrn.com/abstract=386881 or DOI: 10.2139/ssrn.386881. 21. LoPucki, Lynn M., „Human Identification Theory and the Identity Theft Problem“. Texas Law Review, Vol. 80, pp. 89–134, 2001 Available at SSRN: http://ssrn.com/abstract=263213 or DOI: 10.2139/ssrn.263213 22. Marx, Gary T.: Identity and anonymity: Some conceptual distinctions and issues for research. Princeton University, 2001. 23. O‘Connor, Sean M., „Biometrics and Identification After 9/11“. Bender‘s Immigration Bulletin, Vol. 7, P. 150, 2002 Available at SSRN: http://ssrn.com/abstract=299950 or DOI: 10.2139/ ssrn.299950 24. Ocakoglu,G.: Interoperable eID as a key enabler for eGovernment: an overview of Commission actions. EU, presentation at PORVOO meting, 2006. 25. Privacy and Identity Management for Europe (PRIME) – white paper. Version 2, June 2007. 26. Pan-European electronic identity is being widely developed. 6. Konference mezinárodní skupiny Porvoo, Řím, 2004. 27. Pergl, V.: Plastové náramky brání záměně pacienta. Právo, 26. 5. 2005. 28. Personal Data Protection Audit Framework. CEN, CWA 15499-1,2, 2006. 29. Pfitzmann, A., Hansen, M.: Anonymity, Unlinkability, Unobservability, Pseudonymity, and Identity Management – A Consolidated Proposal for Terminology. 2005. http://dud.inf.tu-dresden.de 30. Rundle, Mary C. and Trevithick, Paul, „Interoperability In the New Digital Identity Infrastructure“ (February 13, 2007). Available at SSRN: http://ssrn.com/abstract=962701 . 31. Sociological study of IdM issues in Europe: Theoretical underpinnings. EC Project GUIDE. 2005. available at http://istrg.som.surrey.ac.uk/projects/guide/files/documents/D2.1.2.A.pdf 32. Solove, Daniel J., „Identity Theft, Privacy, and the Architecture of Vulnerability“. Hastings Law Journal, Vol. 54, p. 1227, 2003 Available at SSRN: http://ssrn.com/abstract=416740 or DOI: 10.2139/ssrn.416740 33. The introduction and use of personal identification numbers: the data protection issues. Rada Evropy, 1991. 34. Zákon o elektronické veřejné správě (eGovernment) – Rakousko. 2004. Český překlad eStat.
67
68