Pracovní skupina pro ochranu údajů podle článku 29
1710-01/05/CS-rev WP 112 04/09/12
Stanovisko 3/2005, kterým se provádí nařízení Rady (ES) č. 2252/2004 ze dne 13. prosince 2004 o normách pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy (Úř. věst. L 385, 29.12.2004, s. 1 – 6),
přijatého dne 30. září 2005
Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES. Jde o nezávislý evropský poradní orgán na ochranu údajů a soukromí. Jeho úkoly jsou popsány v článku 30 směrnice 95/46/ES a článku 15 směrnice 2002/58/ES. Sekretariát skupiny zajišťuje ředitelství C (Občanská spravedlnost, práva a státní občanství) Evropské komise, generální ředitelství pro spravedlnost, svobodu a bezpečnost, B-1049 Brusel, Belgie, kancelář č. LX-46 01/43. Internetové stránky: http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm
Obsah Stanovisko, kterým se provádí nařízení Rady (ES) č. 2252/2004 ze dne 13. prosince 2004 o normách pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy (Úř. věst. L 385, 29.12.2004, s. 1 – 6) ......................................... 3 1.
Úvod ................................................................................................................................... 3 1.1. Obecně......................................................................................................................... 3 1.2. Historie a pozadí nařízení Rady (ES) č. 2252/2004 .................................................... 4 1.3. Předchozí stanovisko pracovní skupiny ...................................................................... 5 1.4. Usnesení mezinárodní konference členů Komise o ochraně údajů a soukromí .......... 6
2. Zavedení biometrických prvků do cestovních pasů, jiných cestovních dokladů a průkazů totožnosti .................................................................................................................................... 7 2.1. Obecná hlediska .......................................................................................................... 7 2.2. Etická rizika používání biometrických prvků v cestovních pasech, jiných cestovních dokladech a průkazech totožnosti................................................................................ 7 2.3. Právní aspekty zavedení biometrických prvků............................................................ 8 a) Výhrady vůči centralizované evropské nebo vnitrostátní databázi biometrických prvků............................................................................................................................ 8 b) Přístup k biometrickým prvkům výlučně pro příslušné orgány .................................. 9 2.4. Technická hlediska ...................................................................................................... 9 a) Zavedení digitálního zobrazení obličeje ................................................................... 10 b) Zavedení dodatečných biometrických prvků, zejména otisků prstů ......................... 11 3.
Závěry............................................................................................................................... 11
2/12
Stanovisko 3/2005, kterým se provádí nařízení Rady (ES) č. 2252/2004 ze dne 13. prosince 2004 o normách pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy (Úř. věst. L 385, 29.12.2004, s. 1 – 6) PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH OSOB V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ zřízená podle směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 19951 s ohledem na článek 29, čl. 30 odst. 1 písm. c) a čl. 30 odst. 3 uvedené směrnice, s ohledem na jednací řád, a zejména na články 12 a 14 tohoto řádu, PŘIJALA TOTO ROZHODNUTÍ:
1. Úvod 1.1. Obecně Ve svém „pracovním dokumentu o biometrii2“ pracovní skupina zdůraznila, že „rychlý pokrok v oblasti biometrických technologií a jejich rozšířené používání v posledních letech vyžaduje pečlivou kontrolu z hlediska ochrany údajů. Široké a nekontrolované používání biometrických prvků vyvolává obavy, pokud jde ochranu základních práv a svobod fyzických osob. Tento typ údajů má zvláštní povahu. Souvisí s fyziologií a chováním fyzické osoby a může umožnit její jednoznačnou identifikaci.“ Od doby vydání tohoto dokumentu o biometrii zaznamenal vývoj legislativy rychlý vývoj. Evropská rada na zasedání v Soluni ve dnech 19. a 20. června 2003 potvrdila nezbytnost jednotného přístupu Evropské unie k biometrickým identifikátorům nebo biometrickým údajům pro doklady státních příslušníků třetích zemí, cestovní pasy občanů Evropské unie a informační systémy (VIS a SIS II). Na podzim roku 2003 předložila Evropská komise předlohu nařízení Rady, kterým se mění nařízení č. 1683/95 a 1030/2002, kterými se stanoví jednotný vzor víz a povolení k pobytu pro státní příslušníky třetích zemí.
1
Úřední věstník L 281, 23.11.1995, s. 31 je k dispozici na této internetové adrese: http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm. 2
MARKT/10595/03/EN – WP 80 přijatý dne 1. srpna 2003. 3/12
1.2. Historie a pozadí nařízení Rady (ES) č. 2252/2004 Dne 18. února 2004 předložila Evropská komise návrh nařízení o normách pro bezpečnostní a biometrické prvky v cestovních pasech vydávaných členskými státy EU3. Cílem návrhu bylo pomocí právně závazného nástroje o normách pro harmonizované bezpečnostní prvky zajistit větší bezpečnost cestovních pasů a současně vytvořit spolehlivé spojení mezi skutečným držitelem a dokumentem zavedením biometrických identifikátorů. Navíc to členským státům EU umožní splnit požadavky programu pro zrušení amerických víz v souladu s mezinárodními normami. V tomto dokumentu Evropská komise navrhla, že cestovní pasy a cestovní doklady musí obsahovat médium pro uchování údajů, které obsahuje zobrazení obličeje. Členským státům bylo povoleno na základě svých vnitrostátních předpisů zahrnout do cestovních dokladů otisky prstů. Evropská komise dále navrhla, aby byl biometrický identifikátor ukládán na paměťové médium, které má dostatečnou kapacitu. Bylo by možné použít bezkontaktní čip nebo jiné paměťové médium s potřebnou kapacitou. Podrobnosti stanoví techničtí odborníci v příslušném výboru. Předloha nařízení nabízí rovněž možnost evidence otisků prstů ve vnitrostátní databázi s tím, že v budoucnu bude zřízen evropský rejstřík vydaných dokladů. V létě 2004 byl návrh projednán v pracovní skupině pro víza. Dne 6. října 2004 byl návrh projednán ve Strategickém výboru pro přistěhovalectví, hranice a azyl (SCIFA) a předložen Evropskému parlamentu. Konečný návrh tedy počítá s digitálním zobrazením obličeje jako prvním povinným biometrickým prvkem a s otisky prstů jako s druhým nepovinným biometrickým prvkem. Na základě jednání Rady ve složení pro spravedlnost a vnitřní věci ve dnech 25. a 26. října 2004 byl návrh změněn tak, aby obsahoval povinné zavedení obou biometrických prvků4. Nezávazné legislativní usnesení Evropského parlamentu k návrhu Komise pro nařízení Rady o normách pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy ze dne 2. prosince 20045 bylo přijato v poměru 471 hlasů pro návrh, 118 hlasů proti a 6 poslanců se zdrželo hlasování. Parlament podporuje zavedení cestovních pasů se zobrazením obličeje, neboť tento biometrický prvek ztíží možnost falšování těchto dokladů. Podle názoru Parlamentu biometrické údaje zaručí, že osoba prokazující se cestovním pasem je skutečně osoba, které byl tento doklad vydán. Zavedení biometrických prvků nesmí narušit soukromí a práva občanů na ochranu údajů, proto Parlament zamítl povinné otisky prstů v cestovních dokladech a zřízení centrální databáze cestovních pasů EU a jiných cestovních dokladů. V legislativním usnesení ze dne 2. prosince 2004 se uvádí, že biometrické prvky v cestovních dokladech mají být použity pouze k ověření pravosti dokladu a totožnosti držitele cestovního pasu a že musí být zabezpečeny. „Médium pro jejich uchování musí mít dostatečnou kapacitu a schopnost zaručit neporušitelnost,
3
Dokument KOM(2004)116 – v konečném znění zveřejněný v Úředním věstníku C 98 dne 23. dubna 2004 na str. 39.
4
Dokument Rady 15139/2004.
5
Legislativní usnesení Evropského parlamentu k předloze nařízení Rady o normách pro bezpečnostní a biometrické prvky v cestvních pasech a cestovních dokladech vydávaných členskými státy (KOM(2004(0116 – C5-0101/2004 – 2004/0039(CNS)),http://www2.europarl.eu.int/omk/sipade2?PUBREF=//EP//TEXT+TA+P6-TA-2004-0073+0+DOC+XML+V0//EN&LEVEL=2&NAV=X. 4/12
pravost a utajení údajů.“ V usnesení se dále uvádí, že k těmto údajům smí mít přístup pouze ty orgány členských států, které jsou příslušné a odpovědné za čtení, uchovávání, změny a mazání biometrických údajů. Navíc Parlament předložil změnu návrhu nařízení, která výslovně uvádí, že „nebude zřízena žádná centrální databáze cestovních pasů a jiných cestovních dokladů Evropské unie, která by obsahovala biometrické a jiné údaje o všech držitelích cestovních pasů EU.“ Podle zprávy Výboru pro občanské svobody, spravedlnost a vnitřní věci ze dne 25. října 2004 by „zřízením centrální databáze byl porušen účel a zásada proporcionality. Zvýšilo by se rovněž riziko zneužití databáze nebo její využití k jiným účelům. V neposlední řadě by se zvýšilo riziko možného použití biometrických prvků jako přístupového klíče k různým databázím, čímž by došlo k propojení souborů dat.“ Na základě návrhu Rady ve složení pro spravedlnost a vnitřní věci ze dne 25.a 26. října 20046 přijala Rada dne 13. prosince 2004 nařízení (ES) č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v cestovních dokladech vydávaných členskými státy. Nařízení Rady počítá s digitálním zobrazením obličeje jako prvním povinným biometrickým prvkem a s otisky prstů jako s druhým, rovněž povinným biometrickým prvkem. Rada nepřihlédla k návrhům a požadavkům Parlamentu. Podle článku 6 vstoupilo nařízení v platnosti dnem 18. ledna 2005. Ve stejném článku se stanoví, že členské státy toto nařízení použijí: „a) pokud jde o zobrazení obličeje: nejpozději 18 měsíců, b) pokud jde o otisky prstů: nejpozději 36 měsíců od přijetí opatření uvedených v článku 2.“ Dne 28. února 2005 vydala Evropská komise „rozhodnutí, kterým se stanoví technické specifikace k normám pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy“7, které se vztahují k článku 2 nařízení Rady (ES) čl. 2252/2004. 1.3.
Předchozí stanovisko pracovní skupiny
Předseda pracovní skupiny podle článku 29 zaslal dne 18. srpna 2004 dopis předsedovi Evropského parlamentu, předsedovi výboru LIBE, generálnímu tajemníkovi Rady evropské unie, předsedovi Evropské komise, generálnímu řediteli Generálního ředitelství pro podniky a generálnímu řediteli Generálního ředitelství pro spravedlnost a vnitřní věci. Dopis obsahoval tyto konkrétní návrhy8. „1. Pracovní skupina striktně odmítá uchovávání biometrických a jiných údajů všech držitelů cestovních pasů v centralizované databázi evropských cestovních pasů a jiných cestovních dokladů.
6
Úř. věst. L 385, 29.12.2004, s. 1–6.
7
C(2005) 409 v konečném znění (dosud nezveřejněný v Úředním věstníku).
8
Dopis předsedy pracovní skupiny podle článku 29 ze dne 18. srpna 2004 adresovaný předsedovi Evropského parlamentu, předsedovi výboru LIBE, generálnímu tajemníkovi Rady evropské unie, předsedovi Evropské komise, generálnímu řediteli Generálního ředitelství pro podniky a generálnímu řediteli Generálního ředitelství pro spravedlnost a vnitřní věci (dosud nezveřejněný).
5/12
2. Účel zavedení biometrických prvků do cestovních pasů a cestovních dokladů definovaných v nařízení musí být jednoznačný, vhodný, přiměřený a jasný. 3. Členské státy by měly technicky zajistit, aby cestovní pasy obsahovaly médium pro uchování biometrických údajů, které musí mít dostatečnou kapacitu a schopnost zaručit neporušitelnost, pravost a utajení údajů. 4. Nařízení by mělo definovat, kdo může mít k tomuto médiu přístup a za jakým účelem (čtení, uložení do paměti, změna nebo vymazání údajů). 5.
Členské státy zřídí rejstřík příslušných orgánů.“
Předseda zdůraznil, že bezpečnostní prvky v cestovních pasech a cestovních dokladech musí být platné a zaručené po celou dobu platnosti dokumentu. Vydávající orgány jsou odpovědné za bezpečnostní normy a potřebnou infrastrukturu. Občané nemohou nést odpovědnost za jakékoli nedostatky, které se mohou vyskytnout v procesu úpravy či vydávání dokladu nebo v průběhu jeho platnosti. Předseda rovněž upozornil na stanovisko k biometrickým prvkům (WP 80), které přijala pracovní skupina dne 1. srpna 20039, a na stanovisko k biometrickým prvkům ve vízech apovoleních k pobytu (WP 96) přijaté dne 11. srpna 200410. V dalším dopise ze dne 30. listopadu 2004 adresovaném předsedovi výboru LIBE a předsedovi Rady Evropské unie uvedl předseda pracovní skupiny podle článku 29 své argumenty proti druhému povinnému biometrickému prvku. Předseda zdůraznil, že zavedení dodatečného biometrického prvku by vyžadovalo vytvoření bezpečného a nepropustného systému, který by zaručil, že základní právo občanů na soukromí nebude porušeno. V této souvislosti je rovněž třeba vzít do úvahy nedávné stanovisko pracovní skupiny podle článku 29 (WP 110) ze dne 23. června 2005 k návrhu nařízení Evropského parlamentu a Rady o vízovém informačním systému (VIS) a výměně údajů o krátkodobých vízech mezi členskými státy (KOM (2004) 835 v konečném znění)11. Stanovisko připomíná postoj pracovní skupiny k biometrickým prvkům a požaduje přiměřený způsob zabezpečení při zpracování biometrických údajů ve vízovém informačním systému. 1.4. Usnesení mezinárodní konference členů Komise o ochraně údajů a soukromí Dne 16. září 2005 bylo na 27. mezinárodní konferenci členů Komise o ochraně údajů a soukromí v Montreux přijato usnesení o používání biometrických prvků v cestovních pasech, průkazech totožnosti a cestovních dokladech12. V tomto usnesení mezinárodní konference se zdůrazňuje, že rozšířené používání biometrických prvků bude mít dalekosáhlý dopad na celou společnost, a proto by mělo být předmětem otevřené celosvětové diskuse. Mezinárodní konference požaduje
9
MARKT/10595/03/EN – WP 80 přijaté dne 1. srpna 2003.
10
MARKT/11224/04/EN – WP 96 přijaté dne 11. srpna 2004.
11
JLS/1022/05/EN.
12
http://www.privacyconference2005.org (dosud nezveřejněné). 6/12
1. účinné zabezpečení, které má již od počátku snížit přirozená rizika spojená s povahou biometrických prvků, 2. striktní odlišení biometrických údajů, které se shromažďují a uchovávají na základě právních závazků pro veřejné účely (např. kontrola na hranicích), a těch, které jsou shromažďovány a uchovávány pro na základě souhlasu ke smluvním účelům, 3. technické vymezení používání biometrických prvků v cestovních pasech a průkazech totožnosti pro účely ověřování porovnáním údajů v dokladu s údaji, které uvede držitel při předložení dokladu.
2. Zavedení biometrických prvků do cestovních pasů, jiných cestovních dokladů a průkazů totožnosti Čl. 1 odst. 2 nařízení (ES) č. 2252/2004 stanoví digitální zobrazení obličeje a otisky prstů jako povinné biometrické prvky pro cestovní pasy občanů EU. Podle článku 6 uvedeného nařízení a podle rozhodnutí Evropské komise C (2005) 409 ze dne 28. února 2005 musí členské státy zahrnout digitální zobrazení obličeje do cestovních pasů svých občanů do 28. srpna 2006 a otisky prstů do 28. února 2008. První členské státy začnou s vydáváním takzvaných e-pasů s digitálním zobrazením obličeje uloženém v čipu RFID na podzim roku 2005. Členské státy, ve kterých jsou vydávány průkazy totožnosti, uvažují o zavedení biometrických prvků i do těchto dokladů. 2.1. Obecná hlediska Zavedení biometrických prvků do cestovních pasů bude mít dalekosáhlé důsledky pro jejich držitele. Není proto možné je zavést bez řádného posouzení dopadu na jejich soukromí. Doposud obsahovaly cestovní pasy nebo jiné cestovní doklady popis některých biometrických prvků ve formě fotografie a údajů o pohlaví, výšce nebo barvě očí. Po provedení nařízení Rady (ES) č. 2252/2004 budou muset občané Evropy poskytnout biometrické údaje v digitální formě. Tyto údaje mohou být uchovávány v databázích a mohou být zpřístupněny k celé řadě nepředvídatelných účelů. 2.2. Etická rizika používání biometrických prvků v cestovních pasech, jiných cestovních dokladech a průkazech totožnosti Používání biometrických prvků v cestovních pasech, jiných cestovních dokladech a průkazech totožnosti má celou řadu etických rizik. V říjnu 2004 byl zahájen projekt BITE (biometric identification technology ethics) financovaný v rámci šestého rámcového programu pro výzkum a technologický vývoj (FP6)13. Cílem toho projektu BITE je podnítit výzkum a zahájit veřejnou diskusi o biometrii a biometrické technologii. Veřejná diskuse bude zahájena v červnu 2006. Další projekt podporovaný Evropskou unií v rámci FP6 je FIDIS14 (Future of Indentity in the Information Society), který provádí konsorcium evropských vysokých škol, podniků a dalších veřejných i soukromých organizací. Cílem
13
http://www.biteproject.org/
14
http://www.fidis.net
7/12
projektu FIDIS je formulovat požadavky pro budoucí řízení identity v evropské informační společnosti a přispět k potřebným technologiím a infrastrukturám15. Podle výhledové studie16 vypracované pro výbor LIBE Evropského parlamentu by měly být jako základní bezpečnostní opatření pro zavedení biometrických prvků k dispozici nouzové postupy, neboť tyto systémy nejsou jednak přístupné všem a nejsou ani zcela bezchybné. Tyto postupy by měly být zavedeny a používány tak, aby byla respektována důstojnost osob, které nemohou ovlivnit úspěšnost postupu evidence, a aby zároveň nenesly odpovědnost za nedostatky systému17. Jedním z aspektů této diskuse je, zda budou státní instituce a jiné státní orgány schopny shromažďovat a uchovávat tak obrovské množství citlivých údajů o svých občanech. V tomto kontextu je třeba zejména zdůraznit, že shromažďování biometrických prvků znamená shromažďovat údaje o těle osoby. Jiný aspekt je, že až dosud byly biometrické prvky jako například otisky prstů shromažďovány v souvislosti s trestnými činy. Otázka tedy zní: Budou evropští občané ochotni poskytnout své otisky prstů pro jiné účely? Jsou zde i další obavy různého druhu: Tento systém se může nespravedlivě zaměřit na osoby, u nichž by mohlo být prokazování jejich totožnosti obtížnější, jako jsou například přistěhovalci; postižení lidé, kteří nemohou podstoupit biometrické měření, se mohou cítit být poznamenáni; a umožnil by získat citlivé údaje o zdravotním stavu. Z praktického hlediska jsou právní předpisy upravující soukromí osob v každé zemi jiné, což by mělo dopad na využívání údajů a spolupráci mezi jednotlivými databázemi. V případě uchovávání otisků prstů bude třeba věnovat pozornost diskusím o různých korelacích mezi některými papilárními vzory a příslušnými chorobami. Říká se například, že určité kapilární charakteristiky závisí na výživě plodu v těle matky během třetího měsíce těhotenství18. Ze statistiky zase vyplývá, že existuje určité srovnání mezi leukémií a rakovinou prsu a papilárními vzory. I když žádné přímé nebo přesné korelace v těchto případech nejsou známé, vědecká diskuse o nich pokračuje a nelze ji nechat bez povšimnutí. 2.3. Právní aspekty zavedení biometrických prvků a) Výhrady vůči centralizované evropské nebo vnitrostátní databázi biometrických prvků V legislativním rozhodnutí ze dne 2. prosince 2004 požadoval Evropský parlament zákaz vytvoření centrální databáze cestovních pasů a cestovních dokladů obsahujících biometrické a jiné údaje všech držitelů těchto dokladů v EU. Pracovní skupina podporuje tento požadavek
15
Tuto otázku řeší do určité míry i dva další projekty BIOSEC a BIOSECURE financované v rámci programu FP6. http://www.biosec.org http://www.biosecure.info
16
Biometrie na hranicích: posouzení dopadu na společnost, únor 2005, Institut pro budoucí technologické studie, GŘ Společné výzkumné středisko, Evropská komise.
17
Zpráva o pokroku při uplatňování zásad úmluvy 108 o shromažďování a zpracování biometrických údajů, Rada Evropy, 2005, strana 11.
18
FIDIS, studie o PKI a biometrii, s. 68.
8/12
a uvádí, že výhrady proti evropské centrální databázi cestovních pasů a dokladů Evropské unie jsou shodné s výhradami vznesenými proti vnitrostátním centrálním databázím cestovních pasů a cestovních dokladů a proti centrálním databázím dokladů totožnosti. Vytvořením centralizované databáze obsahující osobní údaje, a zejména biometrické údaje všech (evropských) občanů, by mohlo dojít k porušení základní zásady proporcionality. Každá centrální databáze by zvýšila riziko zneužití a zpronevěry. Zvýšilo by se rovněž nebezpečí zneužití databáze nebo její využití k jiným účelům. V neposlední řadě by se zvýšila možnost použití biometrických prvků jako přístupového klíče k různým databázím, čímž by došlo k propojení souborů dat. b) Přístup k biometrickým prvkům výlučně pro příslušné orgány Biometrické prvky v cestovních pasech, v jiných cestovních dokladech nebo v průkazech totožnosti mají velmi citlivý charakter. Je proto nutné zabezpečit, aby byly údaje uložené v čipu přístupné výlučně příslušným orgánům. Jakýkoli neoprávněný přístup je nepřípustný. Z tohoto důvodu podporuje pracovní skupina požadavky Evropského parlamentu, aby každý členský stát vedl rejstřík příslušných orgánů a oprávněných institucí podle čl. 3 nařízení (ES) č. 2252/2004. Členské státy poskytnou tento rejstřík a případně jeho pravidelnou aktualizovanou verzi Komisi, která povede aktualizovaný online rejstřík a každý rok zveřejní soupis vnitrostátních rejstříků. V případě zamítnutí při hraniční kontrole nebo jiné kontrole provedené příslušnými orgány musí být dotčeným osobám sděleny důvody zamítnutí a možnosti, jak mohou vyjádřit svá vlastní stanoviska, včetně udání příslušných míst, na která mohou směřovat svou stížnost. 2.4. Technická hlediska Pokud jde o technické hledisko, existují různá rizika. Týkají se zavedení bezkontaktního čipu (čip RFID) i zahrnutí biometrických prvků do tohoto čipu. V legislativním rozhodnutí ze dne 2. prosince 2004 Evropský parlament požadoval, aby cestovní pas obsahoval bezpečné médium pro uchování prvků s dostatečnou kapacitou, které musí být schopné zaručit neporušitelnost, pravost a utajení uložených údajů. Pracovní skupina tento požadavek19 podporuje, Rada jej však v úvahu nevzala. Čip RFID podle normy ISO 1443, se kterým počítá nařízení ze dne 13. prosince 2004, představuje celou řadu rizik z hlediska práva evropských občanů na soukromí. Rozhodnutí Komise ze dne 28. února 200520 taková práva občanů nezaručuje, neboť při komunikaci mezi čipem RFID a čtecím zařízením lze údaje odposlouchávat a získat uložené údaje. Rizika spojená se zavedením čipů RFID do cestovních pasů, jiných cestovních dokladů nebo do průkazů totožnosti, stejně jako rizika spojená se zavedením biometrických prvků do čipů vyžadují takový systém zabezpečení, který by zajistil zvýšený stupeň utajení údajů, které mají být vyměňovány. Pracovní skupina si je plně vědoma těchto souvisejících problémů, a považuje proto za nezbytnou celkovou infrastrukturu veřejných klíčů (PKI). Certifikát PKI 19
Dopis předsedy pracovní skupiny podle článku 29 ze dne 18. srpna 2004 adresovaný předsedovi Evropského parlamentu, předsedovi výboru LIBE, generálnímu tajemníkovi Rady evropské unie, předsedovi Evropské komise, generálnímu řediteli Generálního ředitelství pro podniky a generálnímu řediteli Generálního ředitelství pro spravedlnost a vnitřní věci (dosud nezveřejněný).
20
C(2005)409 v konečném znění. 9/12
obsahuje údaje o držiteli. Podle každého digitálního certifikátu lze jednoznačně najít osobu, které byl tento certifikát vystaven. Digitální certifikáty jsou stejně jedinečné jako čísla sociálního pojištění, čísla průkazů totožnosti nebo registrační čísla zdravotního pojištění. Digitální certifikáty je však možné zneužít pro odepření přístupu jeho držitele ke službám. Údaje vygenerované z určité transakce a přenášené cílovými certifikáty je možné navíc pomocí kontrolních nástrojů přefiltrovat a v elektronické podobě předat třetí straně, policii nebo jiným orgánům. Z těchto důvodů je nutné vytvořit ochranný profil (PP-Protection Profile), který odpovídá normě „the Common Criteria for Information Technology Security Evaluation (Common Criteria – CC) vers. 2.1 (ISO norma 154O8).“ Tato norma poskytuje obecně přijatelné řešení problémů bezpečnosti informačních technologií. Ochranný profil popisuje koncept bezpečnosti IT, který musí být úplný, jednotný a konzistentní. Ochranný profil by měl předložit výbor zřízený článkem 5 nařízení (ES) č. 2252/2004. V souladu s požadavky na změny předložené Evropským parlamentem v jeho legislativním usnesení ze dne 2. prosince 2004 pracovní skupina navrhuje, aby byli výboru nápomocni odborníci, které určí pracovní skupina. a) Zavedení digitálního zobrazení obličeje Podle rozhodnutí Evropské komise ze dne 28. února 2005 se členské státy zavázaly, že zahrnou digitální zobrazení obličeje do cestovních pasů svých občanů do 28. srpna 2006. Podle článku 1 rozhodnutí a bodu 5.2 přílohy rozhodnutí mají členské státy zabezpečit přístup k údajům na čipu prostřednictvím bezpečnostního prvku nazvaného základní kontrola přístupu (Basic Access Control – BAC). BAC doporučuje Mezinárodní organizace pro civilní letectví (ICAO), není však povinný21. Cílem mechanismu BAC je zabránit získání údajů i odposlouchávání komunikace. Měl by zaručit, že přístup k údajům, a zejména biometrickým údajům, je možný pouze tehdy, jestliže se před čtením údajů z čipu optickým kontaktem mezi cestovním pasem a čtecím zařízením ze strojově čitelné zóny (machine readable zone MRZ) vytvoří základní přístupový klíč k dokumentu (Document Basic Acess Key). Tento základní přístupový klíč k dokumentu se získá z čísla cestovního pasu, data narození a data ukončení platnosti pasu. Teprve po vytvoření tohoto přístupového klíče je čtecí zařízení schopno údaje uložené na čipu RFID přečíst. Z bezpečnostních důvodů se přenos údajů uskuteční šifrovaně. To předpokládá certifikovaný bezpečnostní čip se šifrovaným koprocesorem22. BAC však nepředstavuje adekvátní bezpečnostní prvek. Je založen na strojově čitelné zóně (MRZ) cestovního pasu. S údaji v MRZ se však nezachází jako s přísně důvěrnými. Chce-li například některý evropský občan získat vstupenku na akci pořádanou v zahraničí, např. Mistrovství světa ve fotbale v Německu v roce 2006 nebo na Mistrovství Evropy ve fotbale v roce 2008 v Rakousku a ve Švýcarsku, musí ve formuláři na internetu zveřejnit své jméno, datum narození, číslo pasu nebo průkazu totožnosti a datum jeho vystavení. Tento postup nákupu vstupenek byl již použit při Mistrovství Evropy ve fotbale v roce 2004 v Portugalsku.
21
Technická zpráva ICAO: PKI for Machine Readable Travel Documents offering ICC Read-Only Access (PKI pro strojově čitelné cestovní doklady, která nabízí přístup pouze pro čtení ICC), verze 1.1., zveřejněná dne 1. října 2004, str. 16.
22
Pro účely bezpečného přenosu vyvinula tzv. skupina Essen zvláštní software nazvaný Golden Reader Tool. Skupinu Essen tvoří zástupci státních orgánů, firem zabývajících se bezpečností IT a firem, které zajišťují cestovní doklady pro Německo, Nizozemí a Spojené království.
10/12
A bude se používat i pro další události jako jsou koncerty, velké sportovní akce typu olympijských her nebo světových pohárů v atletice. Jelikož si některé soukromé společnosti v členských státech pořizují kopie cestovních pasů nebo průkazů totožnosti kvůli zajištění svých nezaplacených pohledávek, nejsou nedílné součásti základního přístupového klíče k dokumentu důvěrné a existuje proto nebezpečí, že algoritmus BAC bude časem na internetu dostupný. b) Zavedení dodatečných biometrických prvků, zejména otisků prstů Okolnosti, za nichž jsou shromažďovány otisky prstů, musí zaručovat úplnou spolehlivost. Zatímco ICAO nepovažuje digitální zobrazení obličeje za citlivý prvek – neboť v cestovním pase je stále fotografie držitele –, uznává, že zahrnutí otisků prstů a jiných dodatečných biometrických prvků do cestovní pasů je velmi citlivou záležitostí. ICAO proto doporučuje zvláštní bezpečnostní mechanismus, který se nazývá „rozšířená kontrola přístupu23 Rozšířená kontrola přístupu je mechanismus pracující na podobné bázi jako shora popsaný BAC. V případě rozšířené kontroly přístupu se používá místo základního přístupového klíče k dokumentu sada rozšířených přístupových klíčů k dokumentu. Definovat sadu rozšířených přístupových klíčů k dokumentu (specifickou podle čipu) je na státě, který tuto sadu zavádí. Sada rozšířených přístupových klíčů k dokumentu se může skládat buď ze symetrických klíčů derivovaných např. z MRZ a základního národního klíče (National Master Key), nebo z kombinace asymetrického klíče s příslušným kartovým certifikátem. Řada podrobností těchto bezpečnostních mechanismů je však stále nejasná. Rozšířená kontrola přístupu představuje pokrok z hlediska bezpečnostních opatření, tento bezpečnostní mechanismus je však pouze jednou z možností stejně jako BAC24. Navíc je sporné, zda rozšířenou přístupovou kontrolu zavedou také nečlenské státy. Evropská komise a členské státy by měly zabezpečit, aby cestovní pasy evropských občanů, včetně údajů o otiscích prstů, nebylo možné přečíst čtecím zařízením, které není vybaveno rozšířenou kontrolou přístupu.
3. Závěry Zavedení biometrických prvků do pasů, jiných cestovních dokladů a průkazů totožnosti vyvolává množství etických, právních a technických otázek. Pracovní skupina zdůrazňuje zejména tata hlediska: 1. Zavedení biometrických prvků do cestovních pasů, jiných cestovních dokladů nebo průkazů totožnosti musí předcházet široká diskuse ve společnosti. V této souvislosti je nezbytné počkat na výsledky projektu BITE. 2. Za účelem snížení rizik spojených s povahou biometrických prvků musí být zajištěno účinné zabezpečení již v samém počátku. Výbor zřízený podle článku 5 nařízení (ES) č. 2252/2004, kterému budou nápomocni odborníci určení pracovní skupinou podle článku 29, musí proto předložit ochranný profil. 23
Technická zpráva ICAO: PKI for Machine Readable Travel Documents offering ICC Read-Only Access (PKI pro strojově čitelné cestovní doklady, která nabízí přístup pouze pro čtení ICC), verze 1.1., zveřejněná dne 1. října 2004, str. 17.
24
Technická zpráva ICAO: PKI for Machine Readable Travel Documents offering ICC Read-Only Access (PKI pro strojově čitelné cestovní doklady, která nabízí přístup pouze pro čtení ICC), verze 1.1., zveřejněná dne 1. října 2004, str. 17, 21 a 22. 11/12
3. Musí být zaručeno striktní odlišení biometrických údajů, které se shromažďují a uchovávají na základě právních závazků pro veřejné účely, a těch, které jsou shromažďovány a uchovávány na základě souhlasu ke smluvním účelům. 4. Používání biometrických prvků v cestovních pasech a průkazech totožnosti musí být technicky vymezeno pro účely ověřování porovnáním údajů v dokladu s údaji, které uvádí držitel při předložení dokladu. 5. Evropská komise a členské státy by měly zabezpečit, aby cestovní pasy evropských občanů, včetně údajů o otiscích prstů, nebylo možné přečíst čtecím zařízením, které není vybaveno rozšířenou kontrolou přístupu. 6. Je proto nutné zabezpečit, aby byly údaje uložené v čipu přístupné výlučně příslušným orgánům. Členské státy zřídí rejstřík příslušných orgánů.
V Bruselu dne 30. září 2005
Za pracovní skupinu předseda Peter Schaar
12/12
