Jedná se neoficiální český překlad přílohy k Recommendation cm/rec(2017) 5 of the committee of ministers to member states on standards for e-voting – přeložena je pouze navazující část od Úvodu po směrnice pro implementaci.
Vyzývá vlády členských států, aby zajistily, že směrnice budou široce šířeny mezi volební řídící orgány, volební úředníky, občany, politické strany, domácí a mezinárodní pozorovatele, nevládní organizace (NGO), média, akademiky, poskytovatele elektronického hlasování řešení a konkrétní kontrolní orgány elektronického hlasování.
Úvod
1. Tyto pokyny jsou aktualizovanou verzí pokynů pro vývoj procesů, které potvrzují shodu s předepsanými požadavky a standardy (certifikace systémů elektronického hlasování) a pokynů pro transparentnost voleb s možností elektronického hlasování. Původní dva pokyny byly schváleny v roce 2011 s cílem poskytnout návod, jak implementovat ustanovení o certifikaci a transparentnosti doporučení Rec(2004)11 Výboru ministrů členským státům o právních, provozních a technických normách pro elektronické hlasování ze dne 30. září 2004.
2. Doporučení Rec(2004)11 a původní pokyny byly přezkoumány a aktualizovány v letech 2015 a 2016 Ad hoc výborem expertů pro právní, provozní a technické normy pro elektronické hlasování (CAHVE), zřízeným Výborem ministrů dne 1. dubna 2015.
3. Tyto pokyny poskytují vodítko pro provádění ustanovení doporučení CM/Rec(2017)5. Každý z pokynů je označen číslem, které odkazuje na odpovídající ustanovení v doporučení.
4. Současná verze pokynů je ve fázi probíhající práce, která bude dále dokončena, aby se zabývala všemi formami elektronického hlasování, na které se vztahuje doporučení CM/Rec(2017)5. Pokračující vývoj v právní a technické oblasti proto bude vyžadovat, aby byla ustanovení pokynů pravidelně aktualizována.
5. Pokyny jsou navrženy pro použití v politických volbách a referendech na všech úrovních správy. Nejsou zamýšleny jako přísný soubor pravidel pro členské státy, ukládající konkrétní způsob implementace ustanovení aktualizovaného doporučení, ale mají poskytnout vodítko a podpořit členské státy v této věci.
6. Pokyny, stejně jako aktualizované doporučení, nepředstavují vyčerpávající regulační rámec pro elektronické hlasování. Členské státy musí tato ustanovení dále rozvíjet, aby zohlednily vnitrostátní specifika v oblasti voleb. Pokyny také obsahují příklady efektivní implementace standardů ve specifických kontextech, nazývané „dobré postupy“. Příklady dobré praxe jsou uvedeny pro informační účely.
I. Směrnice pro implementaci doporučení pro všeobecné volební právo
1. Voličské rozhraní systému elektronického hlasování musí být snadno srozumitelné a použitelné pro všechny voliče.
a. Prezentace možností hlasování na zařízení používaném voličem by měla být optimalizována pro běžného voliče, který nemá specializované počítačové znalosti.
Produkty a služby musí být přizpůsobitelné funkčním omezením uživatelů a konkrétním okolnostem, aniž by porušovaly zásady, jako je rovnost. Toho lze dosáhnout nabídkou různých verzí stejného produktu, změnou klíčových parametrů, modulární konstrukcí, příslušenstvím nebo jinými metodami.
b. Voliči by měli být zapojeni do návrhu systémů elektronického hlasování, zejména s cílem identifikovat omezení a otestovat snadnost použití v každé hlavní fázi procesu vývoje.
Přístupnost znamená, že systémy jsou navrženy tak, aby je mohlo používat co nejvíce voličů. IT produkty a služby musí být funkční a zohledňovat potřeby veřejnosti, aniž by byly zbytečně složité. Těchto požadavků lze dosáhnout společným přístupem zahrnujícím vývojový tým a reprezentativní panel uživatelů.
c. Při vývoji nových IT produktů je třeba vzít v úvahu jejich kompatibilitu se stávajícími.
2. Systém elektronického hlasování je navržen tak, aby umožňoval osobám se zdravotním postižením a zvláštními potřebami volit nezávisle.
a. Voliči by měli mít k dispozici, kdykoli je to nutné a možné, další zařízení, jako jsou speciální rozhraní nebo jiné ekvivalentní prostředky, jako je osobní asistence.
Elektronické hlasování může být alternativním způsobem hlasování, který poskytuje lidem se zdravotním postižením a zvláštními potřebami další možnosti samostatně volit. Měla by být nalezena přijatelná rovnováha mezi poskytováním takových možností přístupu a respektováním dalších požadavků, zejména požadavků na bezpečnost elektronického hlasování.
b. Internetová hlasovací rozhraní by měla co nejvíce odpovídat pokynům stanoveným v iniciativě Web Accessibility Initiative (WAI).
World Wide Web Consortium (W3C) bylo vytvořeno v roce 1994, aby dovedlo World Wide Web (WWW) k plnému potenciálu rozvojem společných protokolů. Iniciovala WAI, aby podporovala vysoký stupeň přístupnosti pro osoby se zdravotním postižením. WAI usiluje o přístupnost webu prostřednictvím pěti hlavních oblastí práce: technologie, pokyny, nástroje, vzdělávání a dosah a výzkum a vývoj. WAI vytvořila sadu standardů a pokynů na podporu přístupnosti (například pokyny pro přístupnost webového obsahu, nástroje pro tvorbu obsahu, pokyny pro přístupnost, uživatelský agent, pokyny pro přístupnost, pokyny pro přístupnost XML). Další informace jsou k dispozici na webových stránkách WAI na adrese http://www.w3.org/WAI .
WAI se běžně používá v kontextu řešení založených na prohlížeči pro internetové hlasování. I když internetové hlasování využívá alternativní řešení (např. hlasovací aplikace je samostatným unikátním „prohlížečem“ sama o sobě), lze dodržovat obecné zásady WAI.
II. Směrnice pro implementaci doporučení rovného volebního práva
5. Všechny oficiální informace o hlasování jsou prezentovány stejným způsobem, v rámci hlasovacích kanálů i mezi nimi.
a. Elektronický hlasovací lístek používaný pro elektronické hlasování by neměl obsahovat žádné informace o možnostech hlasování, kromě těch, které vyžaduje zákon.
Rozhraní elektronického hlasování by nemělo obsahovat více informací o volbách než oficiální (obvykle papírové) hlasovací lístky. Prvky, jako jsou vyskakovací obrazovky, které propagují konkrétního kandidáta nebo pozici, nebo zvukové prvky, které jsou spojeny s konkrétním kandidátem nebo hlediskem, a jakékoli další informace, které se neobjeví na papírovém hlasovacím lístku (rovnost volebních kanálů), by se neměly objevit na rozhraní elektronického hlasování. To nebrání zobrazování oficiálních informací o možnostech hlasování.
b. Pokud jsou informace o možnostech hlasování dostupné ze stránky elektronického hlasování, musí být prezentovány spravedlivým způsobem.
Informace o možnostech hlasování by měly být prezentovány spravedlivým způsobem ve všech hlasovacích kanálech.
9. Systém elektronického hlasování zajistí, aby byl odevzdán pouze příslušný počet hlasů na jednoho voliče, uložen do elektronické volební schránky a zahrnut do výsledku voleb.
a. Pokud je voliči umožněno odevzdat elektronický hlas vícekrát, měla by být přijata vhodná opatření, která zajistí, že bude započítán pouze jeden hlas.
b. Pokud je voliči umožněno hlasovat více než jedním hlasovacím kanálem, měla by být přijata vhodná opatření, aby se zajistilo, že se započítává pouze jeden hlas.
Směrnice 9a a 9b: Kdykoli je povoleno vícenásobné hlasování, mělo by to být zohledněno také v elektronickém hlasování. Například některé hlasovací systémy umožňují voličům předložit hlas předem nebo několik hlasů předem a později změnit názor. Do urny se vloží pouze poslední hlas a tím se hlas odevzdá. To je případ Andorry, Dánska a Švédska.
Možnost vícenásobného hlasování (vícenásobné elektronické hlasování nebo vícenásobné hlasování prostřednictvím více než jednoho hlasovacího kanálu) může být zavedena s elektronickým hlasováním jako protiopatření proti nátlaku na voliče, které zůstává možné, když hlasování probíhá mimo kontrolované prostředí (hlasování na dálku). To je případ Estonska.
Rozhodnutí o tom, který hlas by měl být započítán, má být učiněno na vnitrostátní úrovni. V kontextu elektronického hlasování se země může rozhodnout, že přednost má papírové hlasování. Jinde bude započítán pouze poslední odevzdaný hlas. Třetí země může rozhodnout, že první platně vydaný hlas je ten, který se počítá. Aby byly v souladu s principy demokratických voleb, systém elektronického hlasování (nebo současné použití metod papírového hlasování a elektronického hlasování) zajistí rovné volební právo. O tom, který z více hlasů se započítává, rozhoduje vnitrostátní legislativa. Je třeba respektovat zásadu „jedna osoba, jeden hlas“.
Rozhodnutí o tom, který hlas se započítá, závisí na národní politice vůči vzdálenému hlasování. Země, které mají přísnější politiku vůči hlasování na dálku, budou mít tendenci upřednostňovat papírové hlasování, pokud se jedná o hlas vydaný ve volební místnosti (řízené prostředí). Země, které jsou otevřenější k hlasování na dálku, se mohou rozhodnout, že první platně vydaný hlas je ten, který se počítá, a v tomto případě může elektronický hlas z nekontrolovaného prostředí nahradit později vydaný papírový hlas. Rozhodnutí o tom, jak se vypořádat s nátlakem na voliče v případě hlasování na dálku obecně, musí přijmout vnitrostátní zákonodárce. Neměly by být ponechány pouze na správě elektronického hlasování, protože jsou záležitostí politiky vzdáleného hlasování obecně, a nejen implementace elektronického hlasování.
c. Ve všech ostatních případech by měla být přijata vhodná opatření, která zabrání voliči odevzdat více než jeden hlas.
V zemích, kde není povoleno vícenásobné hlasování, je vícenásobné hlasování považováno za pokus odevzdat více hlasů, než je povoleno určitému voliči. Toto riziko může nastat například v případě, že se volič pokusí sám odevzdat více hlasů nebo pokud se jiná osoba pokusí použít identitu voliče, aby hlasovala jménem voliče poté, co hlasoval.
V souvislosti s hlasováním pomocí papírových hlasovacích lístků je toto riziko řízeno organizačními opatřeními. Například ve Spojeném království, pokud osoba vstoupí do volební místnosti, aby volila, a zjistí, že někdo jiný již hlasoval jejím jménem, je tato osoba oprávněna odevzdat zvláštní hlas s nabídnutým hlasovacím lístkem. Tento hlasovací lístek se nevkládá do urny, ale je zapečetěn v obálce a nahlíží se do něj pouze v případě volebního návrhu a v souladu s nařízením soudu. Obdobné ustanovení platí v případě, že jsou pro téhož voliče obdrženy dva poštovní hlasy. V souvislosti s elektronickým hlasováním je třeba přijmout vhodná opatření. Bezpečná identifikace je důležitá. Jedním z přijatých opatření může být zachování vazby mezi identifikačními kódy voliče a jeho zapečetěným hlasovacím lístkem po stanovenou dobu.
Zavedení dálkového elektronického hlasování s sebou přináší otázku, jak souvisí časové úseky pro hlasování ve volební místnosti a dálkové elektronické hlasování. Na první pohled by se zdálo logické, že pro oba způsoby hlasování by měly platit stejné časové úseky, aby se předešlo komplikacím a rozdílům. Důvody, které by mohly vést k tomu, že se hlasování bude konat v různých časech, však zahrnují:
· když je odevzdání hlasu ve volební místnosti náhradní možností pro voliče, kteří se nacházejí na území státu, v případě, že dojde k poruše elektronického hlasovacího kanálu, musí být čas uzavření elektronického hlasovacího kanálu nastaven před zavírací dobou volební místnosti;
· když je systém navržen a provozován tak, že voliči si mohou vybrat mezi volebními kanály, ale použité kanály nemají přístup ke společnému rejstříku, kde lze vidět jména voličů, kteří hlasovali, časové úseky, kdy dostupné kanály by se obecně neměly překrývat.
Ve všech případech by sčítání mělo začít až po uzavření všech hlasovacích kanálů.
d. Volič by měl být ve všech případech jasně informován o nabízených možnostech hlasování a o pravidlech pro sčítání hlasů.
Je zvláště důležité informovat voliče o jeho možnostech hlasování, včetně možnosti vydat více než jeden elektronický hlas nebo hlasovat více než jednou postupně prostřednictvím různých hlasovacích kanálů, kde je povoleno vícenásobné hlasování.
Ve všech případech by měl být volič informován o platných pravidlech sčítání hlasů, zejména o tom, který hlas bude nakonec započítán.
III. Směrnice pro implementaci doporučení pro bezplatné volební právo
10. Úmysl voliče nesmí být ovlivněn systémem hlasování ani žádným nepatřičným vlivem.
a. V případě elektronického hlasování na dálku by měl být volič informován o prostředcích, jak ověřit, že bylo navázáno spojení s oficiálním serverem a že byl předložen pravý hlasovací lístek.
V kontextu vzdáleného elektronického hlasování je možné zvážit možné scénáře, že mohou být zavedeny podvodné servery, například napodobování oficiálního serveru manipulací se systémem názvů domén (DNS) s použitím podobného názvu domény, jako má oficiální server. nebo poškození kódu serveru (například prostřednictvím malwaru), mimo jiné. Voliči obdrží informace o tom, jak zkontrolovat certifikát oficiální stránky elektronického hlasování. Elektronický podpis použitý na hlasovacím lístku volebním orgánem umožňuje ověření hlasovacího lístku. Tím však není porušena důvěrnost hlasování.
b. Systém elektronického hlasování by neměl při hlasování umožňovat jakýkoli manipulativní vliv na voliče. Zejména elektronický hlasovací lístek, kterým se provádí elektronické hlasování, by neměl obsahovat žádné neoficiální informace.
Obdobně jako ustanovení 5a i tento pokyn požaduje, aby voliči byly předloženy pouze oficiální informace o hlasování a aby byl vyloučen jakýkoli manipulativní vliv neoprávněných osob.
c. Systém elektronického hlasování by měl zavést všechna možná opatření, aby se zabránilo jakémukoli manipulativnímu ovlivňování hlasování po jeho odevzdání, a bude zahrnovat opatření, která umožní ověřit, že žádný takový vliv nebyl uplatněn.
Koncept svobodného volebního práva také chrání hlas před jakýmkoli manipulativním vlivem poté, co byl vhozen. Je třeba se vyvarovat jakéhokoli manipulativního ovlivňování nebo neoprávněného zásahu do hlasování. Samozřejmě, je-li k tomu oprávněn, vícenásobné hlasování není tímto ustanovením dotčeno a volič by měl mít možnost hlasovat vícekrát.
Cílem tohoto ustanovení je zabránit jakýmkoli neoprávněným změnám hlasování po jeho odevzdání. Chrání před útoky přicházejícími z vnějšku systému a před vnitřními hrozbami. Individuální a univerzální ověřitelnost (viz standardy 15 a 17) jsou kontroly, jejichž cílem je odhalit jakýkoli takový neoprávněný zásah.
d. Je-li to považováno za nutné, měl by systém elektronického hlasování nabízet mechanismy (například vícenásobné hlasování), které voliče ochrání před nátlakem, aby hlasovali určitým způsobem.
Vícenásobné hlasování je považováno za mechanismus, který chrání voliče před nátlakem tím, že mu umožňuje znovu hlasovat.
12. Způsob, jakým jsou voliči vedeni procesem elektronického hlasování, je nesmí vést k tomu, aby hlasovali ukvapeně nebo bez potvrzení.
a. Voliči by měli mít možnost změnit svou volbu v kterémkoli bodě procesu elektronického hlasování na dálku před odevzdáním svého hlasu nebo postup přerušit.
Toto ustanovení předpokládá možnost přerušit postup před odevzdáním hlasování, tedy před vstupem do elektronické volební schránky. Jakmile bude hlas zaregistrován, již to nebude možné. Rozhraní proto musí být naprogramováno tak, aby přitáhlo pozornost voličů k tomuto bodu, například tím, že je požádá, aby před vydáním hlasování potvrdili své záměry. Bylo by také užitečné připomenout voličům, že tato operace potvrdí a dokončí hlasování v případech, kdy není povoleno vícenásobné hlasování.
15. Volič musí mít možnost ověřit si, že jeho úmysl je při hlasování přesně zastoupen a že zapečetěný hlas vstoupil do elektronické volební schránky beze změny. Jakýkoli nepatřičný vliv, který změnil hlasování, musí být zjistitelný.
a. Při používání zařízení pro elektronické hlasování ve volebních místnostech by členské státy měly zvážit použití papírových hlasovacích lístků jako druhého média pro uložení hlasu pro účely ověření.
Tato metoda, známá také jako voličsky ověřený papírový audit trail (VVPAT), má za cíl zajistit bezplatné volební právo tam, kde se hlasování odehrává na elektronických hlasovacích zařízeních v kontrolovaném prostředí. Pokud je elektronickým řešením používaným ve volebních místnostech skener hlasovacích lístků, není druhé médium nutné, protože hlasovacím lístkem je v tomto případě z definice papír.
Jiná řešení pro poskytnutí druhého média zahrnují například části hlasovacího lístku, které lze odtrhnout (například Chaumův model scantegrity) pro individuální ověřitelnost. Mohou být velmi podobné VVPAT nebo mít jinou formu. Měly by být vyrobeny z papíru, který je jak neměnný, tak čitelný/ověřitelný člověkem.
Platnost tohoto druhého média musí být posouzena národními předpisy, které rovněž rozhodnou, co dělat v případě nesrovnalostí mezi elektronickými výsledky a výsledky vytvořenými druhým médiem.
b. Povinné sčítání hlasů ve druhém médiu ve statisticky významném počtu náhodně vybraných volebních místností by mělo být provedeno zejména u elektronických hlasovacích zařízení a optických skenerů.
Kritéria, jako je procento hlasů nebo počet volebních místností, kde se sčítání koná, jejich označení atd., by se mělo rozhodovat na vnitrostátní úrovni. Měli by zajistit, aby bylo dosaženo celkového cíle zajistit svobodné volby.
IV. Směrnice pro implementaci doporučení ohledně tajnosti hlasování
19. Elektronické hlasování je organizováno tak, aby bylo zajištěno zachování tajnosti hlasování ve všech fázích postupu hlasování.
a. Údaje v registru voličů by měly být jasně odděleny od složek hlasování.
Toto ustanovení platí konkrétněji, když se ve volebních místnostech kromě používání zařízení pro elektronické hlasování nebo skenerů pro hlasování používají biometrické techniky k identifikaci voliče. Oddělení obou složek zajišťuje tajnost hlasování.
Pokud jsou hlasy a anonymizované informace o voličích uchovávány pohromadě, musí tyto informace chránit šifrování typu end-to-end.
21. Systém elektronického hlasování a jakákoliv oprávněná strana chrání autentizační údaje tak, aby neoprávněné osoby nemohly tyto údaje zneužít, zachytit, upravit nebo jinak získat znalosti.
a. Autentizace by měla používat kryptografické mechanismy.
Toto ustanovení vyžaduje nejmodernější technická řešení pro ochranu autentizačních údajů.
23. Systém elektronického hlasování neposkytne voliči důkaz o obsahu odevzdaného hlasu pro použití třetími stranami.
a. Pokud je voliči poskytnut papírový doklad o elektronickém hlasování v kontrolovaném prostředí, nemělo by být voliči dovoleno jej ukazovat jiné osobě nebo tento doklad odnášet mimo volební místnost.
Elektronické hlasování by nemělo poskytnout voliči důkaz o obsahu hlasování. Tam, kde je to naprogramováno v určitém bodě postupu hlasování, jako tomu může být při hlasování na elektronických hlasovacích zařízeních ve volebních místnostech, by měla být zavedena organizační opatření, která zabrání jakémukoli použití tohoto důkazu k porušení tajnosti hlasování. Cílem je chránit tajnost hlasování a zabránit praktikám prodeje hlasů. To samozřejmě nebrání voliči v absolutním vyjádření zveřejnit obsah svého hlasu, například jeho vyfotografováním. Je na vnitrostátních trestních nebo správních zákonech, které se rovněž vztahují na elektronické hlasování, aby takové porušení tajnosti hlasování postihly.
b. Po odevzdání hlasu by se neměly zobrazovat žádné zbytkové informace související s rozhodnutím voliče.
Termín „zbytkové informace“ označuje informace, které zůstávají dostupné na různých místech (v paměti osobního počítače, mezipaměti prohlížeče, videopaměti, odkládacích souborech, dočasných souborech atd.) po odevzdání hlasování a které mohou odhalit rozhodnutí voliče.
Ustanovení doporučuje vývojářům systému nebo poskytovatelům služeb, aby navrhli systém elektronického hlasování tak, aby byly zbývající informace po odevzdání hlasování vymazány. Technicky mohou existovat omezené prostředky, jak to zajistit v prostředí vzdáleného hlasování. Nicméně by měla být přijata veškerá možná opatření k odstranění těchto zbytkových informací po odevzdání hlasování. Individuální ověřitelnost však může být zavedena za předpokladu, že existují přiměřené záruky, které zabrání nátlaku nebo kupčení s hlasy.
c. V případě elektronického hlasování na dálku by měl být volič před hlasováním informován o možných rizicích pro tajnost hlasování a doporučených prostředcích, jak je omezit.
d. V případě elektronického hlasování na dálku by měl být volič informován o tom, jak odstranit, pokud je to možné, stopy hlasu ze zařízení použitého k odevzdání hlasu.
Směrnice 23c a 23d: V případě elektronického hlasování na dálku by voliči měli být jasně informováni o riziku porušení tajného hlasování a o opatřeních a osvědčených postupech, které je třeba přijmout, aby se tomuto riziku čelilo, například používáním firewallů, čištěním stop. , atd. Systém sám by měl automaticky smazat co nejvíce takových stop.
Elektronické hlasování ze vzdáleného, nekontrolovaného prostředí znamená sdílenou odpovědnost mezi voličem a systémem elektronického hlasování/volebním správním orgánem. Přijmout doporučená opatření (uvedená v tomto ustanovení) je součástí odpovědnosti voliče. Povinností volebního orgánu je jasně informovat voliče alespoň o třech bodech: princip sdílené odpovědnosti; různá opatření, která musí volič přijmout ke snížení rizika (provozování antivirového softwaru, firewallu, mazání stop hlasování atd.); a zbývající rizika a techniky ověřitelnosti.
Tyto informace by se měly voličům dostat s dostatečným předstihem před volebním obdobím. Na základě toho se volič může rozhodnout, zda využije či nepoužije elektronické hlasování na dálku.
Na začátku procesu elektronického hlasování se mohou objevit varovné zprávy; může být nutné předat voliči na konci postupu elektronického hlasování zprávu o doporučených krocích, které by měl volič po hlasování provést (například vymazání stop). Takové zprávy jsou však pouze upomínkové a nenahrazují původní kompletní informace, které by volič měl obdržet před obdobím elektronického hlasování.
26. Proces elektronického hlasování, zejména fáze počítání, musí být organizován tak, aby nebylo možné rekonstruovat spojení mezi nezapečetěným hlasem a voličem. Hlasy jsou a zůstávají anonymní.
a. Informace o voličích by měly být odděleny od rozhodnutí voliče v předem definované fázi procesu sčítání.
b. Jakékoli dekódování požadované pro sčítání hlasů by mělo být provedeno co nejdříve po skončení volebního období.
Termín „informace o voliči“ odkazuje na anonymizované informace o voliči, jako jsou identifikační kódy používané při dálkovém elektronickém hlasování. Vzhledem k tomu, že spojení mezi těmito informacemi a zapečetěným hlasem musí být po určitou dobu zachováno pod náležitou ochranou, aby byla umožněna zejména možnost vícenásobného hlasování při respektování zásady „jedna osoba, jeden hlas“, toto spojení by mělo být zničeno před zahájením sčítání.
Pro zajištění anonymity hlasování bude obecně nutné šifrování hlasů. V mnoha případech je hlasování před zahájením přenosu přes počítačové sítě zašifrováno. Je zašifrovaný ve volební urně a před počítáním je dekódován. Sčítání se provádí s dekódovanými hlasy, které nelze vztáhnout k žádnému voliči.
Existují však šifrovací metody, které před sčítáním hlasů nevyžadují dekódování (homomorfní šifrování). Počítání pak může být provedeno bez prozrazení obsahu zašifrovaných hlasů. V některých případech může být dokonce nutné provést počítání, když jsou hlasy v zašifrovaném stavu, aby byla zajištěna anonymita.
c. Členské státy by měly přijmout nezbytná opatření, aby zajistily, že bude zaručena důvěrnost veškerých informací získaných jakoukoli osobou při výkonu auditorských funkcí.
Kromě ochrany informací shromážděných systémem auditu před neoprávněným přístupem by měla být přijata právní a organizační opatření ke kontrole osob, které mají oprávněný přístup do systému auditu. Taková opatření by mohla být zahrnuta například do akreditačního procesu.
V. Směrnice pro implementaci regulačních a organizačních doporučení
27. Členské státy, které zavedou elektronické hlasování, tak učiní postupně a progresivně.
a. Před výběrem a zavedením jakékoli technologie elektronického hlasování by měla být vypracována a zveřejněna formální studie proveditelnosti. Měla by obsahovat důvody pro přijetí tohoto systému, analýzu rizik, posouzení právního rámce, plánování pilotních projektů a jejich hodnocení, jakož i analýzu nákladů a přínosů.
b. Jakákoli implementace pilotních projektů elektronického hlasování by měla začít s dostatečným předstihem před volbami a zahrnovat základní přípravy, jako je v případě potřeby přijetí podrobných předpisů pro pilotní projekty a testování systému.
c. Finální verze systému elektronického hlasování by měla být otestována před jeho použitím v řádných, závazných volbách.
d. Pilotní projekty by měly být prováděny na základě jasných a komplexních kritérií pro hodnocení účinnosti a integrity systému elektronického hlasování, včetně předávání výsledků.
28. Před zavedením elektronického hlasování členské státy zavedou požadované změny do příslušných právních předpisů.
a. Právní rámec by měl zahrnovat postupy pro provádění elektronického hlasování od zřízení a provozu až po sčítání.
Podrobná ustanovení se s největší pravděpodobností objeví v předpisech a pokynech nižší úrovně. To by mělo být stanoveno v zákonech vyšší úrovně, které by rovněž měly vyjasnit odpovědnost za přijímání takových podrobných předpisů.
b. Právní rámec by měl obsahovat pravidla pro stanovení platnosti elektronického hlasování.
c. Právní rámec by měl zahrnovat pravidla zabývající se problémy, selháními a nesrovnalostmi vyplývajícími z používání ověřovacích nástrojů.
Když členské státy použijí k uložení hlasu druhé médium a provede se povinné sčítání, mohou vzniknout rozpory mezi výsledky odevzdaných hlasů. V takových případech by pravidla měla jasně stanovit, který typ hlasování (elektronické nebo alternativní médium) má přednost. Argumentem pro elektronické hlasování je, že voliči odevzdali svůj hlas tímto způsobem. Případem druhého média by bylo, že toto hlasování mohl ověřit samotný volič, zejména pokud uvažované médium obsahuje papírovou stopu.
V případě jakékoli nesrovnalosti by proto měl být případ důkladně prošetřen a jakékoli rozhodnutí o výsledku sčítání hlasů by mělo záviset na výsledku vyšetřování. Od členských států se žádá, aby stanovily pravidla, která by měla řešit, který hlas se použije při oficiálním sčítání, zda a kdy je přepočítání považováno za nutné, kdy a jak se povinné sčítání uskuteční, za jakých okolností se počítají všechny druhé hlasy a kdy by se měly konat volby.
d. Právní rámec by měl zahrnovat postupy pro proces likvidace údajů, zejména za účelem sladění zpracování, uchovávání a likvidace údajů (a vybavení) technologie hlasování s právními předpisy o ochraně osobních údajů.
Paměťové médium obsahující hlasy (pevný disk, paměťové karty atd.) by mělo být zničeno.
e. Právní rámec by měl zahrnovat ustanovení pro domácí a mezinárodní pozorovatele.
Členské státy by měly do procesu elektronického hlasování zahrnout roli domácích a mezinárodních pozorovatelů a měly by to regulovat v souladu s mezinárodními závazky a osvědčenými postupy. Typ přístupu k elektronickému hlasování, který budou mít pozorovatelé, bude záviset na vnitrostátních předpisech. Ty by měly odrážet mezinárodní závazky, jako jsou závazky Úřadu pro demokratické instituce a lidská práva Organizace pro bezpečnost a spolupráci v Evropě (OBSE/ODIHR). Mezi pozorovateli by měli být zástupci politických stran a široká veřejnost.
f. Legislativa by měla stanovit jasné harmonogramy všech fází e-voleb.
Elektronická volba se od voleb nebo referenda může lišit postupy, které musí voliči dodržovat. Příklady potenciálních rozdílů jsou časové období, během kterého lze hlasovat, kroky, které musí volič učinit, aby se mohl elektronické volby zúčastnit, a způsob, jakým skutečně elektronické hlasování probíhá. Tyto rozdíly by měly být voliči jasně sděleny, aby se předešlo jakémukoli nedorozumění v postupech a aby měl volič všechny informace nezbytné k tomu, aby se mohl fundovaně rozhodnout, jaký volební kanál použít. Je třeba pečlivě zvážit, kolik času na toto rozhodnutí volič potřebuje.
g. Lhůta, ve které lze odevzdat elektronické hlasování, by neměla začít před oznámením voleb nebo referenda.
Sdělení časového období pro hlasování je zvláště důležité, když se časové období elektronického hlasování liší od ostatních volebních kanálů. Tento rozdíl vzniká zejména v případě elektronického hlasování na dálku, ve kterém může být kvůli specifické povaze těchto kanálů nutná jiná doba pro hlasování pomocí elektronických hlasovacích kanálů.
h. Dálkové elektronické hlasování může začít a/nebo skončit dříve, než je otevření jakékoli volební místnosti.
i. Období, ve kterém lze odevzdat elektronický hlas, by po skončení období hlasování nemělo pokračovat.
Směrnice 28h a 28i: Z různých důvodů může být doba elektronického hlasování na dálku delší než doba, po kterou jsou otevřeny volební místnosti. Mezi tyto důvody patří poskytování lepších služeb občanům a zlepšení dostupnosti.
Dálkové elektronické hlasování by však nemělo pokračovat po skončení období hlasování ve volebních místnostech. V případě nedostupnosti systému elektronického hlasování (například pokud voličův osobní počítač nefunguje kvůli výpadku napájení), volič, který žije nebo se zdržuje v zemi, kde se volby nebo referendum konají, by měl moci jít do volební místnosti odevzdat svůj hlas. Pokud by elektronické hlasování pokračovalo i po uzavření volebních místností, volič by tuto možnost neměl.
j. Vkládání elektronických hlasů do elektronické volební schránky by mělo být umožněno po dostatečně dlouhou dobu po skončení období elektronického hlasování, aby se umožnilo jakékoli zpoždění při předávání zpráv dálkovým kanálem elektronického hlasování.
k. Po skončení období elektronického hlasování by žádnému voliči neměl být umožněn přístup do systému elektronického hlasování.
Pokyny 28j a 28k: Tato ustanovení se týkají relací internetového hlasování, které začínají krátce před uzavřením kanálu elektronického hlasování. Volební urna by měla zůstat otevřená, aby bylo možné tyto hlasy sbírat. Doba trvání bude ekvivalentní normální době trvání relace elektronického hlasování, aby voliči, kteří do systému vstoupí několik sekund před jeho uzavřením, mohli proces elektronického hlasování normálně dokončit.
Další případ, opět ve scénářích internetového hlasování, souvisí s vyšší poptávkou po službách, která může nastat v krátkém období těsně před uzavřením ankety. To může vést k prodlevám, než hlasování vstoupí do elektronické volební schránky. Hlasy, které byly zaslány včas, by neměly být v důsledku těchto zpoždění vyřazeny. Zpracování hlasů nesmí být ukončeno bezprostředně po uzavření služby elektronického hlasování. Zahájení relace elektronického hlasování po uzavření systému by však nemělo být možné.
29. Příslušné právní předpisy upraví odpovědnost za fungování systémů elektronického hlasování a zajistí, aby nad nimi měl kontrolu řídící volební orgán.
a. Procesy zadávání zakázek pro elektronické hlasování by měly být prováděny transparentním způsobem.
b. Měla by být přijata opatření, která zabrání možným střetům zájmů soukromých zúčastněných stran zapojených do procesu.
c. Musí být zachováno a zdokumentováno přísné oddělení povinností.
d. Členské státy by měly přijmout vhodná opatření, aby se vyhnuly okolnostem, kdy jsou volby nepřiměřeně závislé na prodejcích.
30. Každý pozorovatel může sledovat sčítání hlasů. Za proces sčítání odpovídá volební řídící orgán.
a. O průběhu sčítání elektronických hlasů by měl být veden záznam, včetně informací o začátku a konci sčítání a osobách, které se sčítání účastní.
b. Sčítání hlasů by mělo být reprodukovatelné. Měla by existovat možnost získat spolehlivý důkaz, že postup počítání byl proveden uspokojivě, včetně nezávislého přepočtu.
Cílem je, aby existovala možnost získat spolehlivý důkaz, že postup počítání byl proveden správně. Nezávislé přepočítání je jedním ze způsobů, jak toho dosáhnout, pokud se provádí s jiným systémem z jiného zdroje. Toho však lze dosáhnout i jinými prostředky, například pomocí kryptografického důkazu (univerzální verifikovatelnost).
c. Ostatní funkce, které mohou ovlivnit přesnost výsledků systému elektronického hlasování, by měly být ověřitelné.
V závislosti na použitém systému mohou existovat jiné prvky než přepočet, které přispívají k přesnosti výsledku. Příkladem je potvrzení, že všechny odevzdané hlasy byly sečteny.
Kromě ověřovacích nástrojů se za účelem stanovení věrohodnosti výsledků elektronického hlasování a ověření jejich věrohodnosti zváží procento hlasů odevzdaných elektronickým hlasováním a porovnání výsledků elektronického hlasování s výsledky hlasování jinými kanály.
d. Systém elektronického hlasování by měl zachovat dostupnost a integritu elektronické volební urny a výstup z procesu sčítání tak dlouho, jak je potřeba.
Informace uchovávané v elektronické volební schránce musí být chráněny tak dlouho, jak je to nezbytné pro případné přepočítání nebo právní námitky nebo jiné právní požadavky v daném členském státě.
VI. Směrnice pro implementaci transparentnosti a doporučení ohledně pozorování
31. Členské státy musí být transparentní ve všech aspektech elektronického hlasování.
a. Příslušné volební orgány by měly zveřejnit oficiální seznam softwaru použitého při e-volbách. Přinejmenším by měly uvádět použitý software, verzi, datum instalace a stručný popis.
Neustálý vývoj informačních a komunikačních technologií vyžaduje časté aktualizace hardwaru a softwaru a pravidelné přizpůsobování centrálním systémům a hlasovacím zařízením používaným v kontrolovaném prostředí (například hlasovací automaty). Aby elektronické hlasování zůstalo transparentní, měly by být zveřejněny přesné, úplné a aktuální popisy hardwarových a softwarových komponent, což by zainteresovaným skupinám umožnilo samostatně ověřit, že používané systémy odpovídají systémům certifikovaným příslušnými orgány. Výsledky certifikace by měly být zpřístupněny úřadům, politickým stranám a v závislosti na platných právních předpisech i občanům.
b. Veřejný přístup ke složkám systému elektronického hlasování a informacím o nich, zejména dokumentaci, zdrojovému kódu a dohodám o mlčenlivosti, by měly být zpřístupněny zainteresovaným stranám a široké veřejnosti v dostatečném předstihu před volebním obdobím.
Když elektronické zařízení/systém přináší závazné výsledky, mohou se technické detaily, které určují, co a jak vypočítat, snadno stát stejně důležitými jako volební zákon, který definuje pravidla sčítání volebních místností. Pro zajištění důvěry veřejnosti prostřednictvím transparentnosti by měl být zdrojový kód hlasovacího softwaru, konfigurace a také seznam všech hardwarových a softwarových součástí systému elektronického hlasování součástí auditní stopy. Součástí auditní stopy by měly být také protokoly auditovaných procesů, jako je postup instalace a nastavení, ověření, že certifikovaný zdrojový kód je ten, který byl použit při volbách, a proces sčítání elektronických hlasovacích lístků. To by mělo pomoci členským státům poskytovat relevantní dokumentaci voličům a třetím stranám, včetně národních a mezinárodních pozorovatelů a médií.
Výraz „v dostatečném předstihu“ znamená, že ve vnitrostátních předpisech jsou pro takové zveřejnění stanoveny jasné časové rámce a že plánované lhůty umožňují zúčastněným stranám uplatnit svá práva, reagovat na taková sdělení a požadovat změny. Volební řídící orgán by měl mít čas a možnost na takovou zpětnou vazbu reagovat, včetně aktualizace systému. Zveřejnění takových informací dvanáct měsíců před hlasováním může respektovat kritéria „v dostatečném předstihu“. Pro změny na poslední chvíli mohou být nutné kratší časové rámce. Hlavní prvky by však měly být zveřejněny v dostatečném předstihu, a ne jen krátce před volbami.
c. Zavedení technologií elektronického hlasování by mělo zahrnovat vypracování komplexních, podrobných pokynů krok za krokem včetně procedurální příručky.
32. Veřejnost, zejména voliči, musí být v dostatečném předstihu před začátkem hlasování jasným a jednoduchým jazykem informována o:
– jakýkoliv krocích, které může volič učinit, aby se mohl zúčastnit a hlasovat;
– správném používání a fungování systému elektronického hlasování;
– harmonogramu elektronického hlasování, včetně všech fází.
a. Voličům by měl být zpřístupněn podpůrný a poradenský materiál o postupech hlasování.
Bez ohledu na konkrétní použitý kanál by měly být k dispozici podpůrné a poradenské materiály k postupům hlasování. Pro každý použitý elektronický hlasovací kanál by tyto informace měly být dostupné alespoň na stejném elektronickém hlasovacím kanálu. Jinými slovy, webová stránka s informacemi nápovědy a e-mailovými zařízeními by měla existovat minimálně, když je kanálem elektronického hlasování internet, a pokud je možné hlasovat po telefonu, měla by být zavedena telefonická horká linka.
b. V případě elektronického hlasování na dálku by měl být informační materiál pro voliče dostupný také prostřednictvím jiného, široce dostupného komunikačního kanálu.
Informace o elektronickém hlasování na dálku by měly být dostupné také na záložním, odlišném, široce dostupném komunikačním kanálu pro situace, kdy je vzdálený kanál elektronického hlasování mimo provoz. Takovým alternativním komunikačním kanálem pro internetové hlasování může být například telefonní horká linka.
c. Voličům by měla být poskytnuta příležitost procvičit se před a odděleně od okamžiku odevzdání elektronického hlasování. V takovém případě by měli být účastníci výslovně upozorněni na to, že se neúčastní skutečných voleb nebo referenda.
Tradiční metody hlasování jsou v členských státech dobře vyzkoušeny a voliči znají obecná pravidla, která je řídí. Zavedení elektronického hlasování je výzvou pro voliče. Takové systémy a způsob, jakým fungují, jsou méně snadno pochopitelné. Pro zachování porozumění a důvěry voličů by měly být podniknuty kroky k představení systému voličům. V tomto úsilí může být třeba časem pokračovat.
Aby se podpořilo porozumění a důvěra v jakýkoli (nový) systém elektronického hlasování, měly by být před a odděleně od okamžiku odevzdání elektronického hlasování poskytnuty příležitosti k praktickému používání tohoto systému (například prostřednictvím demo systémů nebo zkušebních voleb). Zvláštní pozornost by měla být věnována kategoriím voličů, kteří mohou mít větší potíže (např. starším lidem) a jejich specifickým potřebám.
33. Součásti systému elektronického hlasování se zveřejní pro účely ověření a certifikace.
a. Systémy elektronického hlasování by měly vytvářet spolehlivé a dostatečně podrobné údaje z pozorování, aby bylo možné provádět pozorování voleb. Mělo by být možné spolehlivě určit čas, kdy událost vygenerovala pozorovací data. Měla by být zachována pravost, dostupnost a integrita údajů.
b. Domácí a mezinárodní pozorovatelé by měli mít přístup k veškeré relevantní dokumentaci o procesech elektronického hlasování.
Přístup k dokumentaci, včetně zápisů, certifikací, testovacích a auditních zpráv a podrobné dokumentaci vysvětlující fungování systému, je nezbytný pro domácí i mezinárodní pozorovatele. Mezi tyto pozorovatele patří zástupci politických stran a široká veřejnost. Měli by být zváni na příslušná jednání. Pokud je to možné, měly by členské státy, prodejce nebo certifikační orgán poskytovat informace všem zúčastněným stranám, například zveřejněním příslušných dokumentů na internetu v dostatečném předstihu před volebním obdobím.
Členské státy by měly vyvinout postupy pro definování toho, kdo a kdy má k čemu přístup. Takové postupy by měly být vypracovány také pro domácí a mezinárodní pozorovatele i pro média. Rovněž je třeba stanovit postupy pro další zúčastněné strany, jako jsou občané, politické strany a nevládní organizace. Ústředním tématem těchto postupů by měl být otevřený přístup.
Členské státy by měly tyto požadavky objasnit potenciálním prodejcům, kteří by také měli chápat, že zúčastněné strany, a zejména domácí a mezinárodní pozorovatelé, vyžadují přístup k určité dokumentaci během výběrového řízení. Dohody o mlčenlivosti, které pozorovatelům brání ve zveřejňování hodnocení a faktů, na nichž jsou hodnocení založena, by připravily všechny zainteresované strany – především pozorovatele – o důležité informace.
c. Členské státy by měly pozorovatelům zpřístupnit příslušnou dokumentaci, pokud je to možné, v jazyce běžně používaném v mezinárodních vztazích.
Relevantní informace požadované domácími a mezinárodními pozorovateli k uspokojivému provádění jejich práce by měly být dostupné v úředním jazyce nebo jazycích příslušné země. Tyto informace by měly být pokud možno zpřístupněny také v jednom z úředních jazyků Rady Evropy (angličtina a francouzština). Zejména mezinárodní pozorovatelé vyžadují přístup k dokumentaci v jednom z těchto jazyků.
d. Členské státy by měly poskytovat školicí programy pro domácí a mezinárodní skupiny pozorovatelů.
Systémy elektronického hlasování nejsou snadno srozumitelné pro odborníky, kteří nejsou odborníky na elektronické hlasování. Pro lepší pochopení používaného systému zúčastněnými stranami je nezbytné školení, zejména pro domácí, ale také pro mezinárodní pozorovatele. Měl by poskytovat základní a snadné nástroje pro použití při pozorování, včetně způsobů kontroly pečetí, čtení výtisku hlasovacího zařízení a čtení souboru auditu.
e. Domácí a mezinárodní pozorovatelé a média by měli mít možnost sledovat testování softwaru a hardwaru.
Zúčastněné strany, včetně akreditovaných pozorovatelských skupin, by měly mít nejen přístup k dokumentům, ale měly by mít také možnost sledovat ověřování zařízení a systému elektronického hlasování. Pozorování takových testů a/nebo auditů by nemělo zasahovat do volebního procesu. Proto by takové monitorování mělo probíhat pouze pod vedením osob odpovědných za organizaci voleb. Jak již bylo zmíněno, mezi těmito pozorovateli by měli být zástupci politických stran a široká veřejnost. Kromě toho by se lidé, kteří sledují testy a/nebo audity, měli předem zúčastnit školení. Proces by měl být dostatečně otevřený, aby umožnil pozorovatelům plně nahlédnout do fungování systému.
f. Volební pozorovatelé by měli mít přístup ke všem krokům procesu hodnocení a certifikace.
V posledních dvaceti letech se pozorování voleb ukázalo jako úspěšná metoda k zajištění transparentnosti a přístupu k volbám. Se vznikem elektronického hlasování je třeba aktualizovat zavedené metodiky pro pozorování voleb. Aby pozorovatelé mohli sledovat certifikaci elektronických volebních systémů, musí být prodlouženo trvání volební pozorovatelské mise. Je zásadní, aby žádný z postupů nezbytných pro certifikaci elektronického hlasování neprobíhal za zavřenými dveřmi, protože by to vyvolalo podezření.
Pozorovatelé, včetně zástupců politických stran a široké veřejnosti, by měli mít přístup ke všem relevantním informacím po celou dobu trvání certifikačního procesu, aby mohli plnit své povinnosti. Pozorovatelé ze své strany musí zveřejnit metodiku, kterou budou používat.
VII. Směrnice pro implementaci doporučení týkajících se odpovědnosti
36. Členské státy vypracují technické požadavky, požadavky na hodnocení a certifikaci a zajistí, aby plně odrážely příslušné právní a demokratické zásady. Členské státy budou požadavky aktualizovat.
a. Členské státy by měly stanovit cíle certifikace a metody certifikace.
Při zvažování certifikace systémů elektronického hlasování na místě nebo na dálku je prvním krokem jasně definovat cíle a požadavky na certifikační postup. Při navrhování těchto požadavků je důležité ověřit, zda jsou v souladu s domácí legislativou a mezinárodními standardy, včetně případných odvolání nebo stížností týkajících se průběhu voleb. Přestože se podrobný seznam požadavků může zpočátku zdát jako dobrý způsob, jak zaručit řádnou certifikační analýzu, přísný právní rámec může mít paradoxní účinky. Například auditoři by podléhali vysoké úrovni dohledu, ale prodejci by mohli své produkty přizpůsobit omezenému cíli, kterým je pouhé splnění předepsaných požadavků dané volební správy. Za těchto okolností by prodejci nemuseli optimalizovat produkt a volební správa by byla podle svých vlastních právních předpisů povinna přijmout suboptimální produkt. Použití zakázky, kde je kritériem pro zadání zakázky kvalita a nikoli cena, by mělo pomoci této pasti předejít.
Definování cílů, požadavků z hlediska softwaru, operačního systému, hardwaru a procesu elektronického hlasování a rozsahu a metod přispěje k efektivitě certifikačního procesu, použitelnosti certifikačního režimu a celkové transparentnosti systémů elektronického hlasování .
Certifikace systémů elektronického hlasování není omezena na počáteční certifikaci; zahrnuje také postupy pro decertifikaci a recertifikaci softwaru, operačních systémů, hardwaru a procesů.
Sociopolitické faktory mohou podmiňovat důvěru občanů a představovat velkou výzvu. Jako takové faktory mohou mít také vliv na certifikační procesy; členské státy by měly podporovat vědecký výzkum v této oblasti, včetně mezinárodní výměny příslušných informací.
Měl by být vytvořen rámec, který zajistí, že všechny strany jsou si vědomy systému a dobře mu rozumí. Práce by měla být prováděna v souladu se zavedenými metodikami, jako je potvrzovací testování, testování komponent, testování výkonu a funkční testování.
37. Před zavedením systému elektronického hlasování a poté ve vhodných intervalech, a zejména po jakýchkoli významných změnách v systému, nezávislý a kompetentní orgán vyhodnotí soulad systému elektronického hlasování a veškerých informací a komunikačních prostředků komponentu technologie (ICT) s technickými požadavky. To může mít formu formální certifikace nebo jiné vhodné kontroly.
a. Členské státy by měly určit rozdělení nákladů spojených s procesem certifikace. Měli by definovat odpovědnost, včetně finanční, certifikačního orgánu za kvalitu jejich práce.
Každý, kdo je oprávněn podílet se na certifikaci systému elektronického hlasování, včetně certifikátorů, hodnotitelů a auditorů, musí být nezávislý a kvalifikovaný. Kritéria, způsoby a kompetence instituce zapojené do výběru certifikačních orgánů by proto měly být výslovně stanoveny ve vnitrostátních právních předpisech. Členské státy jsou odpovědné za vypracování pravidel a pokynů pro výběrové řízení.
Tyto postupy musí být známy a zveřejněny v dostatečném předstihu před dnem voleb. To usnadní úkol prodejců a posílí důvěru voličů v postupy. Počet certifikačních orgánů by neměl být omezen; každý, kdo je nezávislý a kvalifikovaný, by měl být způsobilý provádět certifikaci. Pro určení kvalifikovaných certifikačních pracovníků by mělo být upřednostněno použití evropského veřejného výběrového řízení nebo konzultace se souborem potenciálních certifikačních orgánů.
Členské státy by měly zvážit možnost nechat výběrové řízení provádět mezinárodně certifikovanými profesionálními auditory. Například CISA (Certified Information System Auditors) je standardem pro ty, kteří auditují, kontrolují, monitorují a hodnotí informační technologie a obchodní systémy organizace. Je třeba věnovat pozornost nákladům na takové postupy. Dalším důležitým faktorem je, že používání mezinárodních certifikátů by se nemělo stát překážkou proto, aby členské státy používaly specifický systém elektronického hlasování nebo dokonce znemožnily zemím používat konkrétní platný systém elektronického hlasování.
Členské státy by měly od počátku jasně stanovit, které orgány jsou odpovědné za náklady na certifikační postup. Mohou se rozhodnout, že veškeré náklady, včetně formální certifikace, ponesou prodejci, což by mohlo vést k většímu zapojení prodejců. Za náklady by také mohl odpovídat příslušný členský stát a třetí možností je sdílet náklady. Náklady na certifikaci by za žádných okolností neměly ohrozit nezávislost, integritu a kvalitu certifikačního procesu. Bez ohledu na zvolenou možnost by měl mít členský stát k dispozici dostatečné finanční prostředky a rozhodnutí by mělo být zveřejněno.
b. Hodnotící a certifikační orgány by měly mít plný přístup ke všem relevantním informacím a měly by mít dostatek času na provedení certifikačního procesu před volbami.
Certifikační orgány by měly mít přístup k informacím a údajům, které jsou nezbytné a dostatečné k plnění jejich povinností, jmenovitě k dosažení závěru ohledně hlasovacího systému, který je předmětem kontroly; měli by mít dostatek času na přezkoumání všech informací a údajů. Občané mají právo vědět, jaký druh informací nebyl považován za nezbytný a dostatečný pro provedení certifikace. Kromě toho by měla být zveřejněna pravidla týkající se vztahu mezi prodejcem a certifikačním orgánem, jako jsou dohody o mlčenlivosti (NDA) nebo jiné podobné dokumenty.
V některých případech, jako jsou předčasné volby nebo zavedení nového volebního systému, mohou certifikační procesy proběhnout jen krátce před zahájením voleb. To s sebou nese riziko, že nebudeme mít dostatek času na provedení důkladného certifikačního postupu, což by zase mohlo ohrozit důvěryhodnost voleb. Certifikační proceduru je proto třeba dokončit před volbami a poskytnout dostatek času na přezkoumání závěrů.
Jedním z řešení, jak ušetřit čas a peníze, je certifikovat pouze upravené moduly a pořadí modulů pro budoucí certifikaci poté, co byl proveden počáteční certifikační proces a byla certifikována komponenta elektronického hlasování. To lze provést pouze v případě, že dojde k rozdílu mezi velkými změnami (úpravami) a menšími změnami v systému elektronického hlasování.
c. Mandát hodnotících a certifikačních orgánů by měl být pravidelně znovu potvrzován v předepsaných intervalech.
Členské státy by měly vyvinout postupy nejen pro počáteční výběrové řízení, ale také pro následné postupy, jako je opětovné přezkoumání nebo opětovné potvrzení mandátu a odebrání mandátu. Mandát udělený certifikačnímu orgánu k certifikaci systému elektronického hlasování by měl být platný pouze po omezenou dobu. Výběrová řízení je třeba provádět v pravidelných intervalech a tato výběrová řízení musí být veřejná. Musí být jasné, zda rozhodnutí svěřit certifikaci systému konkrétnímu vybranému certifikačnímu orgánu může učinit prodejce, nebo zda toto rozhodnutí leží na příslušném volebním orgánu.
d. Závěry dosažené v certifikační zprávě by měly být samozřejmé s informacemi obsaženými v této zprávě.
Certifikační zpráva by měla být samozřejmá, a to, že její závěry by měly být založeny pouze na informacích, které obsahuje, což umožňuje třetí straně replikovat stejný výzkum a tím potvrdit, že závěry certifikační zprávy jsou platné.
e. Členské státy by měly stanovit a zveřejnit jasná pravidla, pokud jde o zveřejňování závěrečné certifikační zprávy a všech příslušných dokumentů, s ohledem na důležitost transparentnosti.
Členské státy by měly navrhnout a zveřejnit postupy, ve kterých bude definováno, kdo a kdy má přístup k jakým informacím. Zvláštní pozornost musí být věnována potřebám domácích a mezinárodních pozorovatelů a potřebám médií. Rovněž je třeba zavést postupy pro další zúčastněné strany, jako jsou občané, politické strany, nevládní organizace a v neposlední řadě volební úředníci. Taková procesní pravidla jsou nezbytná pro posílení důvěry občanů v bezpečnost a spolehlivost systémů elektronického hlasování a v kontrolní úlohu volebních orgánů. Nezveřejnění celé nebo části certifikační zprávy nebo všech příslušných dokumentů by mělo být zvažováno pouze za výjimečných okolností.
Zvláštní pozornost je třeba věnovat těm komponentám softwaru, které jsou relevantní pro bezpečnost systému. Toho lze dosáhnout zahrnutím testování zabezpečení do testovacích plánů, aby čtenář pochopil, jak bylo zabezpečení testováno. Rovněž lze zvážit označování všech dokumentů členskými státy a prodejci.
Prodejci a dokonce i samotní certifikátoři nemusí souhlasit se zveřejněním části nebo většiny dokumentace systému elektronického hlasování, protože chtějí chránit práva duševního vlastnictví. Aby se předešlo nadměrnému utajení během certifikačních procesů, měli by být potenciální prodejci a certifikační pracovníci během výběrového řízení upozorněni na to, že zúčastněným stranám musí být udělen přístup ke konkrétní dokumentaci. NDA, které brání pozorovatelům zveřejňovat hodnocení a fakta, na nichž jsou hodnocení založena, velmi ztěžují provedení smysluplného pozorování.
Konečně, za účelem dohledu nad certifikačním procesem nebo kompenzace jakéhokoli částečného a neúplného zveřejnění informací mohou členské státy zřídit zvláštní výbory s odborníky, akademiky a/nebo politiky. Například v Belgii je kolegium odborníků odpovědné za dohled nad celým volebním procesem do příslušného zákonodárného shromáždění.
39. Systém elektronického hlasování musí být kontrolovatelný. Auditní systém musí být otevřený a komplexní a aktivně informovat o potenciálních problémech a hrozbách.
a. Auditní systém by měl zaznamenávat časy, události a akce, včetně:
– veškeré informace související s hlasováním, včetně počtu oprávněných voličů, počtu odevzdaných hlasů, počtu platných a neplatných hlasů, sčítání a přepočítávání atd.;
– jakékoli útoky na provoz systému elektronického hlasování a jeho komunikační infrastruktury;
– systémové poruchy, chyby a další ohrožení systému.
Automatizované nástroje a systémové postupy by měly umožňovat rychlou a přesnou analýzu dat a podávání zpráv, a tím umožnit rychlou nápravnou akci. Auditní systém by měl poskytovat ověřitelné zprávy o:
– křížové kontroly údajů;
– systémové nebo síťové útoky;
– detekce a hlášení narušení;
– manipulace s daty;
– podvody a pokusy o podvod.
Systém auditu by měl uchovávat záznamy o všech útocích na provoz systému voleb nebo referend nebo jeho komunikační infrastruktury. Systém musí obsahovat funkci, která detekuje a hlásí pokusy o hacking, průnik nebo manipulaci. Detekce útoků na hlasovací systém musí být zaprotokolována, nahlášena a musí být okamžitě řešena.
Auditní systém by měl zaznamenávat všechna sčítání a přepočítávání, včetně všech přijatých rozhodnutí, přijatých akcí nebo výjimek učiněných během procesu počítání.
b. Systém elektronického hlasování by měl udržovat spolehlivé synchronizované zdroje času. Přesnost zdroje času by měla být dostatečná pro zachování časových značek pro auditní záznamy a pozorovací údaje, jakož i pro zachování časových limitů pro registraci, nominaci, hlasování nebo sčítání.
Pro různé uživatele zdroje času mohou existovat různé požadavky na přesnost, jako jsou různé tolerance pro událost registrace a odevzdání hlasování. To může vést k více zdrojům času nebo k jedinému zdroji času, který poskytuje nejvyšší přesnost. Termín „časová značka“ se používá jako označení pro označení dat. V závislosti na situaci je k dispozici několik prostředků: pro kritické události mohou být potřebná bezpečná časová razítka, zatímco pro záznamy v protokolu může stačit souvislá pořadová čísla nebo zachování pořadí. Upozorňujeme, že časová razítka na hlasech mohou ohrozit důvěrnost hlasování. Je proto třeba pečlivě zvážit, jak a zda by měly být použity ve vztahu k hlasovacím lístkům nebo hlasováním.
c. Závěry vyvozené z procesu auditu by měly být zohledněny v budoucích e-volbách.
VIII. Směrnice pro implementaci doporučení spolehlivosti a bezpečnosti systému
40. Za respektování a dodržování všech požadavků i v případě selhání a útoků odpovídá volební řídící orgán. Řídící volební orgán odpovídá za dostupnost, spolehlivost, použitelnost a bezpečnost systému elektronického hlasování.
a. Dostupnost služeb elektronického hlasování pro všechny voliče během celého procesu elektronického hlasování musí být zachována.
Systém elektronického hlasování by měl být chráněn proti selhání a poruchám. Nikdy však nelze zcela vyloučit možnost poruchy. Měly by být stanoveny postupy a alternativní řešení pro nouzové případy.
b. Voliči by měli být neprodleně informováni vhodnými prostředky v případě přerušení, pozastavení nebo restartu elektronického hlasovacího systému.
c. Hlasovací systém nevylučuje oprávněné voliče z odevzdání svého hlasu.
d. Systém elektronického hlasování by měl zachovat dostupnost a integritu hlasů.
Od okamžiku odevzdání hlasu by jej nikdo neměl mít možnost přečíst nebo změnit ani vztahovat hlas k voliči, který jej odevzdal. Toho je dosaženo procesem zapečetění volební schránky a tam, kde je volební schránka vzdálená od voliče, zapečetěním hlasu po celou dobu jeho přenosu od voliče k volební schránce. Za určitých okolností musí být utěsnění provedeno šifrováním.
K zapečetění jakékoli volební urny jsou nutná fyzická a organizační opatření. Ty mohou zahrnovat fyzické uzamčení boxu a zajištění hlídání více než jednou osobou. V případě elektronické volební urny jsou nezbytná další opatření, jako jsou kontroly přístupu, autorizační struktury a firewally.
Hlas je zapečetěn, pokud jeho obsah podléhá opatřením, která zajišťují, že jej nelze číst, měnit nebo vztahovat k voliči, který jej odevzdal.
Dohody o úrovni služeb (SLA) obvykle stanoví dostupnost a míru selhání. Určitá úroveň degradace služby může být přijatelná během období selhání, například když se server v clusteru rozbije. V registračních procesech mohou být tolerována i krátká období přerušení služeb nebo období údržby.
Vývojáři systému však berou v úvahu možnost útoků typu Denial of Service a měli by zdokumentovat rezervu pro nepředvídané události ve výkonu systému, který byl určen. Nezávislé penetrační testy mohou snížit pravděpodobnost úspěšného záměrného narušení služby.
Služby, které mají být zachovány v dostupnosti, závisí na fázi – před hlasováním, hlasováním, po hlasování. Ve fázi před hlasováním mají být k dispozici nominace, registrační procesy a služby; ve fázi hlasování, hlasovací procesy a služby; a ve fázi po hlasování procesy a služby počítání a vykazování. Procesy auditu musí být dostupné ve všech fázích předdefinované limity pro SLA, tolerovatelnou poruchovost nebo degradaci služby se však mohou pro různé fáze nebo služby lišit.
e. Měla by být přijata technická a organizační opatření, která zajistí, že v případě poruchy nebo závady ovlivňující systém elektronického hlasování nebudou trvale ztracena žádná data.
f. Členské státy by měly zvážit použitelnost během vývoje bezpečnostních mechanismů.
Směrnice 40e a 40f: To neznamená, že musí být použity všechny možné dostupné metody ochrany. V každém případě bude nutné zvolit povahu a rozsah ochranných opatření, která mají být použita. Je třeba nalézt správnou rovnováhu mezi různými, stejně důležitými faktory, například mezi nanejvýš důležitou potřebou bezpečnosti a vhodností mít systémy, které budou voliči snadno používat. V takovém případě nesmí použitelnost převážit nad potřebou vysoké úrovně zabezpečení, ale může být faktorem při určování, která bezpečnostní opatření by měla být přijata. Podobné úvahy by mohly platit, pokud je velmi malá dodatečná bezpečnostní výhoda dosažitelná pouze za příliš vysokých nákladů na použitelnost.
g. Měly by být prováděny pravidelné kontroly, aby bylo zajištěno, že součásti systému elektronického hlasování fungují v souladu s technickými specifikacemi systému a že jeho služby jsou dostupné.
h. Klíčové zařízení pro elektronické hlasování by mělo být umístěno v zabezpečené oblasti a tato oblast musí být po dobu voleb nebo referenda chráněna proti jakémukoli neoprávněnému zásahu nebo přístupu.
i. Během volebního období nebo období referenda by měl být zaveden plán obnovy po havárii.
Směrnice 40h a 40i: Pro jejich bezpečnost musí být centrální systémy instalovány na bezpečných, kontrolovaných místech. Fyzický přístup by měl být kontrolován a omezen. Mělo by být také naplánováno alternativní umístění, aby bylo možné reagovat po fyzické katastrofě, s příslušným vybavením předem rezervovaným (plánování obnovy po havárii).
Před spuštěním systému musí volební orgány definovat konkrétní úroveň služeb. Na základě požadované úrovně služeb by měla být provedena analýza rizik a vytvořeny scénáře. To bude zahrnovat postupy, zálohovací opatření, rezervaci zdrojů a tak dále.
j. Stav ochrany hlasovacího zařízení by mělo být možné kdykoli zkontrolovat. Osoby odpovědné za zařízení by měly používat speciální monitorovací postupy, aby se zajistilo, že během období hlasování bude hlasovací zařízení a jeho použití splňovat požadavky.
k. Měla by existovat dostatečná záložní opatření, která by měla být trvale k dispozici, aby bylo zajištěno, že hlasování bude probíhat hladce. Jakýkoli záložní systém by měl odpovídat stejným standardům a požadavkům jako původní systém.
l. Dotčení zaměstnanci by měli být připraveni rychle zasáhnout v souladu s postupem vypracovaným příslušnými volebními orgány.
i. Osoby odpovědné za provoz zařízení by měly vypracovat postup pro nepředvídané události.
ii. Všechny technické operace by měly podléhat formálnímu kontrolnímu postupu. Jakékoli podstatné změny klíčového vybavení by měly být oznámeny.
Směrnice 40j, 40k a 40l: Elektronický hlasovací systém potřebuje formalizované postupy pro monitorování jeho bezpečnosti a spolehlivosti a řešení problémů a přiměřené zdroje pro odstraňování problémů s infrastrukturou.
Volební orgány by měly být informovány o všech kritických změnách provedených v systému, aby bylo možné předvídat jakékoli důsledky a zvolit vhodnou politiku pro sdělení takových změn.
m Veškeré údaje uchovávané po volbách nebo referendu by měly být bezpečně uloženy.
Všechny údaje o volbách nebo referendech, které musí být uloženy, by měly být uloženy bezpečným způsobem. To znamená, že bude potřeba několik kopií dat na několika typech informační podpory (pevný disk, pásky, optická média jako DVD nebo mikrofiše, paměťový klíč USB a tisk) a měly by být uloženy na různých místech.
41. K centrální infrastruktuře, serverům a volebním datům mají přístup pouze osoby pověřené volebním řídícím orgánem. Jmenování osob oprávněných k elektronickému hlasování bude jasně upraveno.
a. Jmenované osoby mají omezený přístup ke službám elektronického hlasování v závislosti na jejich uživatelské identitě nebo uživatelské roli. Autentizace uživatele by měla být účinná před provedením jakékoli akce. Oddělení povinností by mělo být jasné a přísně vynucované prostřednictvím technických opatření.
b. V době, kdy je otevřena elektronická volební urna, by jakékoli oprávněné zásahy ovlivňující systém měly být provedeny týmy nejméně dvou lidí, měly by být předmětem zprávy, být sledovány zástupci řídícího volebního orgánu a případnými volebními pozorovateli.
c. Jakákoli jiná kritická technická činnost by měla být prováděna týmy nejméně dvou lidí. Složení týmů by se mělo pravidelně obměňovat. Tyto aktivity by měly být pokud možno prováděny mimo volební období. Měly by být předmětem zprávy.
42. Před konáním elektronických voleb se řídící volební orgán přesvědčí, že systém elektronického hlasování je pravý a správně funguje.
a. Před každými volbami by mělo být vybavení zkontrolováno a schváleno v souladu s protokolem vypracovaným příslušnými volebními orgány. Zařízení by mělo být zkontrolováno, aby bylo zajištěno, že odpovídá technickým specifikacím. Zjištění by měla být předložena příslušným volebním orgánům.
Mělo by se jasně rozlišovat mezi kontrolou prováděnou pravidelně po každých volbách nebo referendu a kontrolou prováděnou vždy, když je systém v jakémkoli ohledu upraven. V prvním případě mohou kontrolu provádět zaměstnanci subjektu provozujícího volební nebo referendový systém. Ve druhém případě by však měl kontrolu provádět externí orgán, protože kontrola se blíží certifikačnímu postupu.
43. Stanoví se postup pro pravidelnou instalaci aktualizovaných verzí a oprav veškerého příslušného softwaru.
a. Měly by být vyvinuty formální postupy pro nasazení softwaru a konfigurací technologie hlasování. Měly by být stanoveny termíny pro aktualizace. Aktualizace, které jsou distribuovány, by měly být ověřeny (podepsány).
46. Řídící volební orgán nakládá s veškerým kryptografickým materiálem bezpečně.
a. Soukromé kryptografické klíče by měly být vygenerovány na veřejné schůzce a měly by být rozděleny na samostatné části a sdíleny alespoň dvěma lidmi, u kterých je nepravděpodobné, že by se domluvili.
47. Pokud dojde k incidentům, které by mohly ohrozit integritu systému, osoby odpovědné za provoz zařízení neprodleně informují volební řídící orgán.
a. Druhy incidentů jsou předem specifikovány volebními orgány.
b. V případě incidentu by příslušné volební orgány měly přijmout nezbytná opatření ke zmírnění dopadů incidentu.
48. Autenticita, dostupnost a integrita seznamů voličů a seznamů kandidátů bude zachována. Zdroj údajů musí být ověřen. Je třeba dodržovat ustanovení o ochraně údajů.
a. Tisk identifikačních údajů voličů, jako jsou volební karty, by měl být přezkoumán, aby byla zajištěna bezpečnost citlivých údajů.
49. Systém elektronického hlasování identifikuje hlasy, které jsou ovlivněny nesrovnalostí.
a. Skutečnost, že se hlasovalo v předepsaných lhůtách, by měla být zjistitelná.
V kontextu internetového hlasování se výraz „v předepsaných lhůtách“ vztahuje k časovému limitu, kdy se internetový hlasovací kanál uzavře. To lze realizovat pomocí časových značek nebo potvrzením důvěryhodného systému. Časová značka připojená k hlasování by však neměla být použita k odhalení hlasování.
Definice pojmů
V těchto pokynech jsou následující termíny používány s následujícím významem:
– kontrola přístupu: prevence neoprávněného použití zdroje;
– hodnocení: hodnocení osob, hardwaru, softwaru a postupů k ověření, zda jsou vhodné pro plnění určitých úkolů;
– audit: nezávislé předvolební nebo povolební hodnocení osoby, organizace, systému, procesu, subjektu, projektu nebo produktu, které zahrnuje kvantitativní a kvalitativní analýzu;
– autentizace: poskytnutí ujištění o tvrzené totožnosti osoby nebo údajů;
– dostupnost: stav dostupnosti a použitelnosti na vyžádání;
– hlasovací lístek: právně uznaný prostředek, kterým může volič vyjádřit svůj hlas;
– kandidát: možnost hlasování skládající se z osoby, skupiny osob a/nebo politické strany;
– odevzdání hlasu: vložení hlasu do urny;
– osvědčení: dokument, který je výsledkem formálního osvědčení, přičemž skutečnost je ověřena nebo doložena;
– certifikace: proces potvrzení, že systém elektronického hlasování je ve shodě s předepsanými požadavky a standardy a že obsahuje minimálně opatření pro ověření správného fungování systému. Toho lze dosáhnout prostřednictvím opatření od testování a auditu až po formální certifikaci. Konečným výsledkem je zpráva a/nebo certifikát;
– certifikační orgán (nebo certifikátor): organizace oprávněná provádět certifikační proces a po dokončení procesu vydávat certifikát;
– certifikační zpráva: dokument, který vysvětluje, co certifikát certifikoval a jak je certifikován;
– řetězec důvěry: proces v počítačové bezpečnosti, který je založen na ověřování každé součásti hardwaru a softwaru zdola nahoru. Jeho cílem je zajistit, aby bylo možné používat pouze důvěryhodný software a hardware, a přitom zůstat flexibilní;
– testování komponent: metoda, kterou se testují jednotlivé jednotky systémového kódu, aby se zjistilo, zda jsou vhodné k použití;
– důvěrnost: stav charakterizující informace, které by neměly být zpřístupněny nebo zpřístupněny neoprávněným osobám, subjektům nebo procesům;
– kontrolované prostředí: prostory pod dohledem volebních úředníků, např. volební místnosti, velvyslanectví nebo konzuláty;
– e-volby: politické volby nebo referendum, kde se používá elektronické hlasování;
– volební řídící orgán (EMB): instituce pověřená řízením voleb v dané zemi na národní nebo nižší úrovni;
– elektronická volební schránka: elektronické prostředky, kterými se ukládají hlasy do doby, než budou sečteny;
– elektronické hlasování: elektronicky odevzdaný hlas;
– elektronické hlasování: použití elektronických prostředků k odevzdání a/nebo počítání hlasů;
– systém elektronického hlasování: hardware, software a procesy, které umožňují voličům hlasovat ve volbách nebo referendu elektronickými prostředky;
– formální certifikace: certifikace prováděná oficiálními orgány pouze před dnem voleb a vedoucí k vydání certifikátu;
– pokyny: jakýkoli dokument, jehož cílem je zefektivnit určité procesy podle stanovené rutiny. Podle definice nejsou pokyny právně závazné;
– dohoda o mlčenlivosti (NDA): právní smlouva mezi alespoň dvěma stranami, která popisuje důvěrný materiál, znalosti nebo informace, které si strany přejí vzájemně sdílet pro určité účely, ale chtějí k nim omezit přístup třetích stran;
– otevřený přístup: online přístup k materiálům, které si všichni mohou zdarma přečíst a případně je v rámci určitých limitů použít (nebo znovu použít);
– ochranný profil: soubor bezpečnostních požadavků nezávislý na implementaci pro kategorii produktů, které splňují specifické bezpečnostní potřeby spotřebitelů;
– požadavek: ojedinělá zdokumentovaná potřeba toho, jaký by měl být konkrétní produkt nebo služba nebo jaké by měly být;
– elektronické hlasování na dálku: použití elektronických prostředků k odevzdání hlasování mimo prostory, kde se obecně volí;
– zapečetění: ochrana informací tak, aby nemohly být použity nebo interpretovány bez pomoci jiných informací nebo prostředků dostupných pouze konkrétním osobám nebo orgánům, včetně šifrování;
– stakeholder: osoba, skupina, organizace nebo systém, který ovlivňuje nebo může být ovlivněn jednáním vlády nebo organizace. Patří mezi ně občané, volební funkcionáři, politické strany, vlády, domácí a mezinárodní pozorovatelé, média, akademici, (I)NGOs, organizace proti elektronickému hlasování a specifické certifikační orgány pro elektronické hlasování;
– standardní (právní): odkazuje na ustanovení obsažená v příloze I k doporučení CM/Rec(2017)5 ;
– norma (technická): zavedená norma obvykle ve formě formálního dokumentu, který stanoví jednotná inženýrská nebo technická kritéria, metody, procesy a praktiky;
– testování: proces ověření, že systém funguje podle očekávání;
– hlasování: vyjádření volby možnosti hlasování;
– volič: osoba, která je oprávněna hlasovat v určitých volbách nebo referendu;
– hlasovací kanál: způsob, jakým může volič hlasovat;
– možnosti hlasování: rozsah možností, z nichž lze vybírat prostřednictvím odevzdání hlasu ve volbách nebo referendu;
– seznam voličů: seznam osob oprávněných volit (voličů).