Digitální identita: budoucnost digitální identity v České republice
Budoucnost digitální identity bude patřit evropské peněžence digitální indenty (EUDI wallet); takovou představu má Evropská komise, která by zároveň ráda, aby alespoň 80 % občanů Evropské unie využívalo prostředky digitální identifikace do roku 2030.[1] Autor ve svém článku popíše připravovanou revizi nařízení eIDAS[2] se zaměřením na evropskou peněženku digitální identity a nastíní možný budoucí vývoj digitální identity v České republice.
Legislativní proces
První zásadní otázkou je, kdy můžeme očekávat schválení revize nařízení eIDAS. Legislativní proces byl zahájen Evropskou komisí dne 3. června 2021, kdy Komise představila návrh revize nařízení eIDAS.[3] Následně, v březnu 2023, došlo k zahájení interinstitucionálního jednání (trialogu) v rámci řádného legislativního procesu.[4] V současné době by měly být veškerá sporná ustanovení připravované revize nařízení eIDAS již vyřešena a v brzké době by mohlo dojít k dosažení dohody mezi Evropským parlamentem a Radou. Konečné schválení revize nařízení eIDAS se očekává v prvním čtvrtletí roku 2024.[5]
Evropská peněženka digitální identity
Nejzásadnější novinkou pro oblast digitální identity obsaženou v návrhu revize nařízení eIDAS je zcela jistě evropská peněženka digitální identity (EUDI wallet), která bude doplňovat již v současnosti dostupné prostředky pro elektronickou identifikaci. Evropská peněženka digitální identity však nebude pouhým prostředkem pro elektronickou identifikaci, nýbrž bude mít celou řadu dalších funkcí.
Na rozdíl od prostředků pro elektronickou identifikaci bude navíc evropská peněženka digitální identity umožnovat například:
- ukládání elektronických atributů (například vysokoškolský diplom, řidičský průkaz, očkovací průkaz apod.);
- vytváření kvalifikovaných elektronických podpisů a pečetí.[6]
Zároveň, dle návrhu revize nařízení eIDAS, bude evropská peněženka digitální identity založena na modelu self-sovereign identity. To znamená, že její uživatelé budou mít maximální možnou kontrolu nad svými identifikačními údaji a elektronickými atributy, neboť uložená data budou decentralizovaná a bude tedy čistě na rozhodnutí uživatele komu svá data poskytne.[7], [8] Evropské peněženka digitální identity bude vydávána v rámci oznámeného systému elektronické identifikace s „vysokou“ úrovní záruky.[9] Bude ji tedy možné používat k veřejným i soukromým přeshraničním službám.[10]
Členské státy budou povinny dle návrhu revize nařízení eIDAS začít vydávat evropskou peněženku digitální identity do 12 měsíců po vstupu revize nařízení eIDAS v platnost; na vydávání evropské peněženky digitální identity budou tyto státy moci spolupracovat i se soukromým sektorem.[11] Přípustné je dokonce i to, aby pod podmínkou uznání ze strany členského státu evropskou peněženku digitální identity vydával soukromý subjekt.[12] Používání evropské peněženky digitální indenty by mělo být dle návrhu revize nařízení eIDAS bezplatné.[13]
Ostatní novinky v oblasti digitální identifikace
Návrh revize nařízení eIDAS stanovuje také povinnost soukromých spoléhajících se stran[14] akceptovat evropskou peněženku digitální identity, pokud spadají do taxativně vymezených oblastí (například zdravotnictví, doprava, bankovnictví atd.) a zároveň mají zákonem, či smluvně stanoven požadavek silné autentizace.[15], [16] Dále budou muset akceptovat evropskou peněženku digitální identity i velmi rozsáhlé on-line platformy[17] (například Amazon, Facebook, Twitter, YouTube apod), které využívají autentizaci k přístupu ke svým službám.[18]
Pro členské státy bude také nově zavedena povinnost oznámit alespoň jeden systém elektronické identifikace, včetně nejméně jednoho elektronického identifikačního prostředku.[19]
Postoje Evropského rady a Parlamentu k návrhu revize nařízení eIDAS
Rada ve svém obecném přístupu k revizi nařízení eIDAS doporučuje zavedení tzv. onboardingu. Tento mechanismus umožní uživatelům prostředků elektronické identifikace s úrovní záruky „značná“ založit si evropskou peněženku digitální identity na dálku za dodržení dodatečných pravidel a postupů onboardingu. Rada také doporučuje prodloužení lhůty pro vydávání evropské peněženky digitální identity z 12 na 24 měsíců, a možnost zpoplatněné evropské peněženky digitální identity. Bezplatné by přitom mělo být jak používání evropské peněženky digitální identity k autentizaci, tak i její zrušení.[20]
Evropský parlament doporučuje doplnit přenositelnost údajů mezi jednotlivými evropskými peněženkami digitální identity tak, aby nenastala situace uzamčení uživatele pouze na peněžence evropské digitální identity od jednoho vydavatele. Evropský parlament také navrhuje, aby zdrojový kód pro evropskou peněženku digitální identity byl open-source.[21]
Budoucnost digitální identity v České republice
S příchodem evropské peněženky digitální identity se rozšíří v současné době již dosti široká nabídka prostředků pro elektronickou identifikaci.
První otázkou, která tak vyvstává je, kolik různých vydavatelů evropské peněženky digitální identity budeme v České republice mít. Jak bylo totiž výše naznačeno, kromě státu bude moci za určitých podmínek vydávat evropskou peněženku digitální identity i soukromý sektor. Je tedy možné, že v České republice budeme mít alespoň dva či více vydavatelů evropské peněženky digitální identity. Neznámou však prozatím zůstává potencionální rentabilita tohoto projektu pro soukromý sektor v České republice. Ovšem například sdružení CZ.NIC, z.s.p.o. je však již v současné době členem konsorcia EU Digital Identity Wallet Consortium (EWC), které vytváří a testuje technická řešení pro evropskou peněženku digitální identity.[22] Je tedy možné, že takto získané zkušenosti použije později na projekt evropské peněženky digitální identity. Prozatím nejasná je pozice České republiky, která doposud neoznámila, zdali bude chtít sama vydávat evropskou peněženku digitální identity, nebo zda bude na jejím vydávání spolupracovat se soukromým sektorem.
Druhou, a o něco zásadnější otázkou je, jaký bude mít evropská peněženka digitální identity vliv na stávající prostředky pro elektronickou identifikaci. Jelikož bude evropská peněženka digitální identity obsahovat daleko více funkcí oproti stávajícím prostředkům pro elektronickou identifikaci, bude zcela jistě více uživatelsky atraktivní. Jediným problematickým aspektem by mohlo být administrativně náročné založení evropské peněženky digitální identity. Zde by mělo určitě pozitivní efekt zavedení onboardingu dle návrhu Rady. V tomto ohledu může evropskou peněženku digitální identity překonat zejména bankovní identita, které se zakládá již zpravidla automaticky při založení bankovního účtu.[23] Autor však zastává spíše názor, že zavedení evropské peněženky digitální identity povede ke snížení celkového počtu stávajících prostředků pro elektronickou identifikaci, když například provozování prostředků elektronické identifikace spravované akreditovanými (soukromými) osobami již nebude pro jejich provozovatele rentabilní.
Budoucnost digitální identity v České republice tedy dle autora bude náležet evropské peněžence digitální identity a bankovní identitě, a to zejména z důvodu její rozšířenosti, snadného založení a velkým přesahem do soukromé sektoru. Ostatní stávající prostředky pro elektronickou identifikaci mimo MojeID, které má také užitečné funkcionality a přesah do soukromého sektoru, tak perspektivní budoucnost pravděpodobně nečeká.
Co se týče na začátku vytyčeného cíle Evropské komise, aby alespoň 80 % občanů Evropské unie využívalo prostředky digitální identifikace do roku 2030[24], tento se prozatím jeví jako těžko dosažitelný. Například v České republice ke dni 31. prosince 2022 bylo zaznamenáno 2 134 144 unikátních uživatelů prostředků pro elektronickou identifikaci,[25] což odpovídá necelým 20 % obyvatel České republiky.
Závěr
Autor ve svém článku přiblížil zásadní body chystané revize nařízení eIDAS, kdy především představil evropskou peněženku digitální identity. Dále se zaměřil na budoucnost digitální identity v České republice. Poukázal v této souvislosti na možný redukční efekt evropské peněženky digitální identity a také naznačil, že buducnost digitální identity v České republice představuje především evropská peněženka digitální identity a bankovní identita. V závěru pak na konkrétních údajích demonstroval, že cíle, aby alespoň 80 % občanů Evropské unie využívalo prostředky digitální identifikace do roku 2030, nebude s největší pravděpodobností v rámci České republiky dosaženo.
Mgr. Bc. Karel Pelikán
advokátní koncipient
Doležal & Partners s.r.o., advokátní kancelář
Růžová 1416/17, 110 00, Praha 1
Koliště 1912/13, 602 00, Brno
Tel.: +420 222 544 201
e-mail: office@dolezalpartners.com
[1] Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů Digitální kompas 2030: Evropské pojetí digitální dekády [online]. EUR-Lex. 2021 [cit. 05.10.2023]. K dispozici >>> zde.
[2] Konkrétně se jedná o návrh nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení rámce pro evropskou digitální identitu
[3] 2021/0136(COD) European Digital Identity framework [online]. European Parliament [cit. 05.10.2023]. K dispozici >>> zde.
[4] MEPs back plans for an EU-wide digital wallet [online]. European Parliament. 9. 2. 2023 [cit. 07.10. 2023]. K dispozici >>> zde.
[5] Vedran L. LinkedIn [personal profile, user post]. 16.10.2023 [cit. 18. 10. 2023]. K dispozici >>> zde.
[6] Lips, S. et al. Re-Shaping the EU Digital Identity Framework. In: Hagen, L., Solvak, M., Hwang, S. (eds). dg.o 2022: The 23st Annual International Conference on Digital Government Research. New York: Association for Computing Machinery, 2022, s. 16.
[7] Schwalm, S., Albrecht, D., Alamillo, I. eIDAS 2.0: Challenges, perspectives and proposals to avoid contradictions between eIDAS 2.0 and SSI. In: Roßnagel, H., Schunck, C. H., Mödersheim, S. (eds). Open Identity Summit 2022. Bonn: Gesellschaft für Informatik e.V., 2022, s. 64-66.
[8] Sharif, A. et al. The eIDAS Regulation: A Survey of Technological Trends for
European Electronic Identity Schemes. Applied Sciences. 2022, č. 24, s. 22–24.
[9] Článek 1 bod 6 návrhu revize nařízení eIDAS.
[10] Schwalm, Alamillo-Domingo. Self-Sovereign-Identity & eIDAS, s. 99–100.
[11] Článek 1 bod 7 návrhu revize nařízení eIDAS.
[12] Schwalm, Alamillo-Domingo. Self-Sovereign-Identity & eIDAS, s. 99.
[13] Článek 1 bod 7 návrhu revize nařízení eIDAS.
[14] Jedná se o fyzickou nebo právnickou osoba, která se spoléhá na elektronickou identifikaci nebo službu
vytvářející důvěru. Srov. článek 3 bod 6 nařízení eIDAS.
[15] Silnou autentizací uživatele definuje návrh revize nařízení eIDAS jako dvou faktorovou autentizaci za použití kombinace faktoru vlastnictví, znalostí či inherentního faktoru. Srov. článek 1 bod 3 revize nařízení eIDAS.
[16] Článek 1 bod 16 návrhu revize nařízení eIDAS.
[17] Jedná se o platformy, které dosahující hranice alespoň 45 milionů uživatelů měsíčně. Srov. Nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách).
[18] Van Ramshorst, C., Den Boer, D. Mandatory EU Digital Identity Wallets: enforced hassle for your business or a welcome solution? [online]. INNOPAY. 4. 2. 2022 [cit. 20. 10. 2023]. K dispozici >>> zde.
[19] Schwalm, Alamillo-Domingo. Self-Sovereign-Identity & eIDAS, s. 99–100
[20] Evropská digitální identita (elektronická identifikace): Rada pokročila s prací na digitální peněžence EU, což představuje změnu paradigmatu digitální identity v Evropě [online]. Rada EU. 6. 12. 2022 [cit. 25.10.2023]. K dispozici >>> zde.
[21] Jerković, R. Report on the proposal for a regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity [online]. European Parliament [cit. 25.10.2023]. K dispozici >>> zde.
[22] CZ.NIC - Sdružení CZ.NIC je v konsorciu, které prověří koncept peněženky pro Evropskou digitální identitu [online]. CZ.NIC. 1. 2. 2023 [cit. 27.10.2023]. K dispozici >>> zde.
[23] Loutocký, P., Kasl, F. Potenciál a úskalí identifikačních služeb bankovní identity. Právník. 2021, č. 12, s. 1051.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz