Doporučení o bezpečnosti elektronických poštovních hlasovacích systémů, zejména prostřednictvím internetu

Český neoficiální překlad francouzského doporučení CNIL.

Národní komise pro výpočetní techniku ​​a svobody,
s ohledem na Úmluvu č. 108 Rady Evropy o ochraně fyzických osob v souvislosti s automatickým zpracováním osobních údajů;
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46 /EC;
s ohledem na volební řád ;
s ohledem na zákon č. 78-17 ze dne 6. ledna 1978 pozměněný týkající se zpracování údajů, souborů a svobod, zejména jeho článek 11-I-2°-a bis);
S ohledem na vyhlášku č. 2005-1309 ze dne 20. října 2005 upravenou pro použití zákona č. 78-17 ze dne 6. ledna 1978 o zpracování údajů, souborech a svobodách;

poté, co si vyslechl paní Dominique CASTEROVOU, komisařku, v její zprávě a paní Nacimu BELKACEM, vládní komisařku, v jejích připomínkách;

Předkládá následující připomínky:
Výbor předběžně poznamenává, že připomínka učiněná během přijímání jeho doporučení z roku 2010 týkající se rozvoje a rozšíření systémů elektronického hlasování, zejména prostřednictvím internetu, na počet rostoucích hlasovacích operací a typů hlasování, zůstává relevantní.
Komise zdůrazňuje, že používání takových systémů musí být v souladu se základními zásadami, jimiž se řídí volební operace: tajnost hlasování s výjimkou veřejného hlasování, osobní a svobodná povaha hlasování, upřímnost volebních operací, účinné sledování hlasování a kontrola a posteriori soudcem voleb. Tyto elektronické poštovní volební systémy, zejména prostřednictvím internetu, musí také splňovat požadavky platných ústavních, legislativních a regulačních textů.
Vzhledem k pokračujícímu rozšiřování internetového hlasování na všechny druhy voleb by výbor rád upozornil, že hlasování elektronickou korespondencí, zejména prostřednictvím internetu, představuje pro osoby odpovědné za organizování výše uvedených zásad zvýšené potíže s ohledem na výše uvedené zásady. Hlasování a osoby odpovědné za ověřování jeho průběhu, a to především z důvodu neprůhlednosti a vysoké technické náročnosti implementovaných řešení, jakož i velmi velkých obtíží zajistit totožnost a svobodu volby osoby provádějící operace dálkového hlasování.
Během práce, kterou komise prováděla od roku 2003, a vzhledem k hrozbám vznášejícím se nad těmito zařízeními, mohla ve skutečnosti pozorovat, že stávající hlasovací systémy ještě neposkytují všechny záruky požadované právními texty. Proto, a zejména s ohledem na výše uvedené prvky, zůstává výbor vyhrazen, pokud jde o používání elektronických hlasovacích zařízení, zejména prostřednictvím internetu, pro politické volby.
Účelem tohoto jednání je přezkoumat doporučení z roku 2010 ve světle volebních operací, které od té doby proběhly, vývoje řešení hlasování nabízených poskytovateli služeb v tomto odvětví, zpětné vazby poskytnuté různými zúčastněnými stranami, provedených kontrol CNIL, jakož i vývoj právního rámce týkajícího se ochrany údajů.
Nové doporučení se týká elektronických poštovních hlasovacích zařízení, zejména prostřednictvím internetu. Netýká se hlasovacích zařízení s čárovým kódem, hlasovacích zařízení na pevném nebo mobilním telefonu ani počítačových systémů zpřístupněných voličům ve formě volebních boxů nebo volebních kabin (známých jako „hlasovací přístroje“). Účelem je pragmaticky stanovit bezpečnostní cíle, kterých musí být dosaženo jakýmkoli zařízením pro hlasování elektronickou poštou, zejména prostřednictvím internetu, podle rizik spojených s prováděním hlasování. Reakce systémů na tyto bezpečnostní cíle proto musí brát v úvahu kontext a hrozby pro hlasování.
Jeho cílem je rovněž aplikace na budoucí vývoj elektronických poštovních volebních systémů, zejména prostřednictvím internetu, s cílem lépe dodržovat zásady ochrany osobních údajů a informovat správce údajů o volbě hlasování prostřednictvím elektronické korespondence, která má být zachováno.
Ruší jednání č. 2010-371 ze dne 21. října 2010, kterým bylo přijato doporučení týkající se bezpečnosti elektronických hlasovacích systémů.
S ohledem na tato předběžná zjištění předkládá výbor následující doporučení.

Míra rizika hlasování
Míra rizika, které hlasování představuje, se liší podle typu hlasování, obávaných událostí a ohrožení zpracování. Výbor proto doporučuje, aby řešení použité pro hlasování zohledňovalo důležitost míry rizika voleb i možné přínosy pro zainteresované strany používání elektronického poštovního volebního systému a aby zvolené řešení splňovalo veškeré bezpečnostní cíle stanovené s ohledem na tuto úroveň rizika.
Komise identifikuje tři úrovně rizika:
Úroveň 1: Zdroje ohrožení, mezi voliči, organizátory anket nebo outsidery, mají málo zdrojů a málo motivací. Správce (resp. správci) informačního systému není volič ani kandidát. Všechny strany ho považují za neutrálního. Tato úroveň se vztahuje na hlasování s malým počtem voličů, která probíhají v nekonfliktním rámci, na jehož konci budou mít zvolení málo pravomocí, jako je například volba zástupce třídy. Hlasování nepředstavuje výrazná rizika.
Úroveň 2: Zdroje ohrožení z řad voličů, organizátorů průzkumu, externích lidí, poskytovatele služeb nebo interních zaměstnanců mohou představovat průměrné zdroje nebo průměrné motivace. Tato úroveň se vztahuje na průzkumy veřejného mínění, které zahrnují velký počet voličů a představují pro lidi vysokou sázku, ale v kontextu bez jakékoli konkrétní konfliktnosti. Patří mezi ně například volba zástupců zaměstnanců v rámci organizací nebo i v rámci profesního řádu. Volební lístek představuje mírné riziko.
Úroveň 3: Zdroje ohrožení mezi voliči, organizátory průzkumu, externími lidmi, poskytovateli služeb nebo interními zaměstnanci mohou představovat významné zdroje nebo silné motivace. Tato úroveň se týká voleb, kterých se účastní velký počet voličů a které představují velmi vysokou sázku v potenciálně konfliktním klimatu. Patří mezi ně například volby zástupců zaměstnanců ve velkých organizacích ve velkém měřítku a v kontextu konfliktu. Volební lístek představuje značné riziko.

Výbor nedoporučuje používat elektronické hlasovací zařízení, zejména prostřednictvím internetu, v případě, že zdroje ohrožení mohou mít jak značné zdroje, tak silnou motivaci.
Správce údajů identifikuje úroveň odpovídající jeho situaci podle rizik vyvolaných jeho hlasováním. Za tímto účelem komise volitelně a jako příklad navrhuje zjednodušenou analytickou tabulku založenou na uzavřených otázkách, jejímž účelem je vést a pomoci správcům údajů, kteří si to přejí udělat, aby se umístili na tomto žebříčku. Tato analytická mřížka je umístěna v praktickém listu.
V případě pochybností mezi dvěma úrovněmi by měla být upřednostněna vyšší úroveň. Správce údajů, který ovládá rozsah, otázky a kontext svého hlasování, si může svobodně zvolit úroveň rizika, kterou považuje za vhodnou, pokud může svou analýzu odůvodnit komisi a odborníkovi.
Jakmile je identifikována úroveň rizika, může správce údajů určit bezpečnostní cíle, kterých musí řešení hlasování dosáhnout.
Volba úrovně rizika správcem údajů, kterou posuzuje nezávislý odborník jmenovaný (viz níže), aby byl zaručen soulad hlasovacích operací s tímto doporučením, by mu měl správce údajů poskytnout prvky, které vzal v úvahu při stanovení této úrovně .
Výbor obecně připomíná, že zpracování osobních údajů, včetně hlasovacích zařízení, které splňuje alespoň dvě z následujících kritérií, musí být v zásadě předmětem posouzení vlivu na ochranu osobních údajů (DPIA):

  • hodnocení/bodování (včetně profilování);
  • automatické rozhodnutí s právním nebo obdobným účinkem;
  • systematické sledování;
  • shromažďování citlivých údajů (zejména politických názorů a členství v odborech);
  • shromažďování osobních údajů ve velkém měřítku;
  • křížové odkazy na údaje;
  • zranitelné osoby (pacienti, starší lidé, děti atd.);
  • inovativní využití (použití nové technologie);
  • vyloučení z výhody práva/smlouvy.

S ohledem na kritéria týkající se citlivých údajů a shromažďování údajů ve velkém měřítku a případně s přihlédnutím ke kontextu hlasování může být nezbytné, aby správce údajů provedl DPIA.


Bezpečnostní cíle, kterých má být dosaženo podle úrovně rizika
Každá úroveň rizika je spojena s bezpečnostními cíli, které umožňují definovat očekávanou úroveň zabezpečení. Tyto cíle jsou kumulativní, úroveň 2 se skládá ze specifických bezpečnostních cílů a bezpečnostních cílů úrovně 1, úroveň 3 se skládá ze specifických bezpečnostních cílů a bezpečnostních cílů dvou předchozích úrovní.
Komise na svých webových stránkách nebo na jakémkoli jiném užitečném médiu nabídne praktický list s příklady umožňujícími dosáhnout výše uvedených bezpečnostních cílů. Výrobci mohou, pokud si to přejí, navrhnout komisi příklady prostředků k dosažení cílů, aby tento list mohl být doplněn o tyto informace. O relevanci navrhovaných prostředků bude rozhodovat pouze komise.
Tento list podrobně popisuje, co se očekává za každým bezpečnostním cílem.

Hlasovací řešení, jejichž hlasování představuje riziko úrovně 1, musí splňovat alespoň všechny následující bezpečnostní cíle:

  • Bezpečnostní cíl č. 1-01: Implementovat kvalitní technické a organizační řešení, které nevykazuje žádné zásadní nedostatky (chyby zveřejněné vydavatelem a/nebo zveřejněné třetími stranami).
  • Bezpečnostní cíl č. 1-02: Definovat hlas voliče jako atomovou operaci, to znamená, že zahrnuje nedělitelným způsobem volbu, potvrzení, registraci hlasovacího lístku do volební urny, podpis a vydání předpis.
  • Bezpečnostní cíl č. 1-03: Ověřit voliče zajištěním výrazného snížení hlavních rizik spojených s krádeží identity.
  • Bezpečnostní cíl č. 1-04: Zajistit přísnou důvěrnost hlasovacího lístku od jeho vytvoření na počítači voliče.
  • Bezpečnostní cíl č. 1-05: Zajistit přísnou důvěrnost a integritu hlasovacího lístku během jeho přepravy.
  • Bezpečnostní cíl č. 1-06: Organizačně a/nebo technicky zajistit přísnou důvěrnost a neporušenost hlasovacího lístku při jeho zpracování a uložení ve volební schránce až do sečtení.
  • Bezpečnostní cíl č. 1-07: Zajistit úplné utěsnění mezi identitou voliče a vyjádřením jeho hlasu po celou dobu zpracování.
  • Bezpečnostní cíl č. 1-08: Posílit důvěrnost a integritu údajů distribucí utajení umožňující sčítání výhradně v rámci volebního úřadu a zaručením možnosti sčítání od stanoveného prahu utajení.
  • Bezpečnostní cíl č. 1-09: Definujte počítání jako atomickou funkci použitelnou pouze po uzavření hlasování.
  • Bezpečnostní cíl č. 1-10: Zajistit integritu systému, volební urny a prezenční listiny.
  • Bezpečnostní cíl č. 1-11: Zajistit, aby sčítání hlasovacích uren bylo možné ověřit a posteriori.

Hlasovací řešení, jejichž hlasování představuje riziko úrovně 2, musí splňovat alespoň všechny bezpečnostní cíle úrovně 1 a také následující:

  • Bezpečnostní cíl č. 2-01: Zajistit vysokou dostupnost řešení.
  • Bezpečnostní cíl č. 2-02: Zajistit automatickou kontrolu integrity systému, volební urny a prezenční listiny.
  • Bezpečnostní cíl č. 2-03: Umožnit volebnímu úřadu automatickou kontrolu integrity volební platformy během hlasování.
  • Bezpečnostní cíl č. 2-04: Ověřit voliče tím, že zajistíte, aby se významně snížila hlavní a menší rizika spojená s krádeží identity.
  • Bezpečnostní cíl č. 2-05: Zajistit logické rozdělení mezi každou hlasovací službou tak, aby bylo možné zcela zastavit hlasování, aniž by to mělo sebemenší dopad na ostatní probíhající hlasování.
  • Bezpečnostní cíl č. 2-06: Využít informační systém implementující fyzická a logická bezpečnostní opatření doporučená vydavateli a ANSSI.
  • Bezpečnostní cíl č. 2-07: Zajistit transparentnost volebních uren pro všechny voliče.

Hlasovací řešení, jejichž hlasování představuje riziko úrovně 3, musí splňovat alespoň všechny bezpečnostní cíle úrovní 1 a 2 a také následující:

  • Bezpečnostní cíl č. 3-01: Studovat rizika podle osvědčené metody s cílem definovat nejvhodnější opatření v kontextu implementace.
  • Bezpečnostní cíl č. 3-02: Umožnit transparentnost volební urny pro všechny voliče pomocí nástrojů třetích stran.
  • Bezpečnostní cíl č. 3-03: Zajistit velmi vysokou dostupnost hlasovacího řešení zohledněním rizik velkých škod.
  • Bezpečnostní cíl č. 3-04: Umožnit automatickou a manuální kontrolu integrity platformy během hlasování volebním úřadem.
  • Bezpečnostní cíl č. 3-05: Zajistit fyzické rozdělení mezi každou hlasovací službou tak, aby bylo možné zcela zastavit hlasování, aniž by to mělo sebemenší dopad na ostatní probíhající hlasování.

Správce údajů nebo jeho poskytovatel služeb mohou svobodně použít jakékoli řešení, které jim umožní dosáhnout stanovených bezpečnostních cílů.
Ať už je určena jakákoli úroveň, voličům by měla být včas poskytnuta vysvětlující informace, která jasně popisuje průběh hlasování a obecný provoz elektronického poštovního volebního systému, zejména prostřednictvím internetu. Toto vysvětlující upozornění nenahrazuje informační povinnost uloženou v článcích 13 a 14 evropského nařízení o ochraně údajů (GDPR), pokud jde o zpracování údajů.
Zároveň chce výbor zdůraznit, že platformy pro hlasování elektronické pošty, zejména prostřednictvím internetu, musí být ze své podstaty a citlivosti přístupné všem lidem, zejména osobám se zdravotním postižením a zejména zrakově postiženým. Pro organizace veřejného sektoru nebo delegáty poslání veřejné služby, kteří chtějí nabízet tuto službu svým voličům, je tedy nutné, aby hlasovací systém respektoval obecný odkaz na přístupnost pro správní orgány (RGAA). Organizacím, které nepodléhají tomuto referenčnímu systému, se důrazně doporučuje řídit se jeho pokyny, aby všichni voliči mohli tímto způsobem odevzdat svůj hlas.

Odborné znalosti elektronického poštovního volebního systému, zejména přes internet
Každý správce údajů, který zavádí elektronický poštovní volební systém, zejména přes internet, musí nechat své řešení posoudit nezávislým odborníkem, ať už je hlasovací řešení spravováno interně nebo zajišťováno poskytovatelem služeb.
Odbornost musí pokrývat celý systém instalovaný před hlasováním (software, server atd.), sestavení seznamů voličů a jejich zápis a používání hlasovacího systému během hlasování a fáze po hlasování, archivace atd.).


Odbornost se musí týkat všech prvků popsaných v této poradě a zejména se zaměřovat na:

  • zdrojový kód odpovídající verzi skutečně implementovaného softwaru;
  • pečetící mechanismy používané v různých fázích hlasování;
  • počítačový systém, na kterém bude hlasování probíhat;
  • síťové ústředny;
  • používané šifrovací mechanismy, zejména pro šifrování hlasovacího lístku;
  • mechanismy ověřování voličů a předávání tajemství voličům;
  • posouzení míry rizika hlasování;
  • relevance a efektivita řešení, která poskytuje řešení pro bezpečnostní cíle.

Odbornost se musí týkat všech prvků tvořících řešení hlasování.
Při hlasováních představujících stupeň rizika 2 nebo 3 provádí expert na platformě audity, aby byla zajištěna konzistence a účinnost poskytovaných řešení, zejména pomocí testů narušení. Všechny operace provedené v této souvislosti jsou přílohou znaleckého posudku.
Expertizu musí provést nezávislý odborník, to znamená, že musí splňovat tato kritéria:

  • být počítačovým specialistou se specializací na bezpečnost;
  • nemít žádný zájem o společnost, která vytvořila hlasovací řešení, které má být hodnoceno, ani o organizaci odpovědnou za zpracování, která se rozhodla použít hlasovací řešení;
  • pokud je to možné, mít zkušenosti s analýzou hlasovacích systémů po posouzení systémů pro hlasování prostřednictvím elektronické korespondence, zejména prostřednictvím internetu, alespoň dvou různých poskytovatelů služeb.


Znalecký posudek a jeho přílohy musí být předloženy správci údajů a poskytovatelům řešení elektronického poštovního hlasování, zejména prostřednictvím internetu.
Pokud odborné znalosti mohou pokrýt širší oblast, než je oblast tohoto doporučení, musí expertní zpráva poskytnutá správci údajů obsahovat konkrétní část představující hodnocení systému s ohledem na různé body doporučení.
Znalec musí poskytnout technické prostředky, které umožní a posteriori ověřit, že různé softwarové komponenty, na které se odbornost vztahovala, nebyly v systému použitém během hlasování upraveny. Způsob a prostředky k provedení tohoto ověření musí být popsány ve znaleckém posudku. K tomu může odborník využít například digitální otisky prstů.
Expertíza týkající se řešení realizovaného pro volby, jejichž rizikovost je hodnocena na úrovni 1, může obsahovat prvky předchozího znaleckého posudku, pokud tato expertíza provedená k danému prvku není starší než 24 měsíců, že je možné prokázat, že prvek, na který se vztahuje toto předchozí odborné posouzení, nebyl od té doby změněn a že mezitím nebyla odhalena žádná zranitelnost tohoto prvku.
Expertíza týkající se řešení realizovaného pro volby, jejichž rizikovost je hodnocena stupněm 2, může obsahovat prvky předchozího znaleckého posudku, pokud tato expertíza provedená k danému prvku není starší než 12 měsíců, že je možné prokázat že prvek, kterého se týkal předchozí znalecký posudek, nebyl od té doby upraven a že mezitím nebyla odhalena žádná zranitelnost tohoto prvku.
Znalosti týkající se řešení implementovaného pro volby s mírou rizika hodnocené na úrovni 3 musí být provedeny znovu, pro každý prvek, pro každé volby.
Vzhledem k tomu, že odborník má přístup k citlivým informacím týkajícím se řešení, u nichž je odpovědný za posuzování shody, zejména ke zdrojovému kódu aplikací, je povinen přijmout veškerá opatření a preventivní opatření používaná k ochraně prvků, které jsou mu předávány, a to zejména maximálním omezením reprodukcí zdrojového kódu v rámci zprávy, uchováváním jejích zpráv ve vyhrazených zabezpečených prostorech a neuchováváním prvků, na které byla upozorněna, po nezbytnou dobu.

Hlasování
Členové volební komise a osoby určené nebo pověřené k zajištění kontroly průběhu voleb musí mít možnost kontrolovat dobu zahájení a ukončení elektronického hlasovacího lístku.
Jmenné spisy voličů sestavené pro účely sestavení seznamu voličů, zasílání hlasovacích materiálů a provádění podpisů lze použít pouze pro výše uvedené účely a nelze je zpřístupnit pod trestem trestních sankcí stanovených zákoníkem.
Důvěrnost údajů je závazná i pro techniky pověřené správou nebo údržbou počítačového systému.
Aby se volič mohl na dálku nebo na místě připojit k hlasovacímu systému, musí se autentizovat v souladu s tímto doporučením a za použití prostředků, které splňují bezpečnostní cíl odpovídající míře rizika určenému pro hlasovací lístek. Během této procedury hlasovací server ověří totožnost voliče a to, že je skutečně oprávněn hlasovat. V tomto případě přistupuje k seznamům nebo kandidátům oficiálně vybraným a v úředním pořadí.
Volič musí mít možnost zvolit seznam, kandidáta nebo prázdný hlas tak, aby se tato volba na obrazovce jasně objevila, nezávisle na jakýchkoliv jiných informacích. Musí být schopen tuto volbu přehodnotit. Poté potvrdí svou volbu a tato operace spustí odeslání dematerializovaného hlasovacího lístku na hlasovací server. Volič poté obdrží potvrzení o svém hlasu a má možnost si toto potvrzení uchovat. Řešení pro hlasování elektronickou korespondencí, zejména prostřednictvím internetu, musí nabízet všechny možnosti, které nabízejí texty, na nichž je hlasování založeno, případně nulový nebo prázdný hlas.
V případě, že je hlasovací lístek smíšený, sestávající z hlasování prostřednictvím elektronické korespondence spojeného s hlasováním prostřednictvím papírové korespondence, by například elektronické hlasování mělo voličům umožňovat stejné možnosti, jaké nabízí hlasování v listinné podobě, jako je například možnost neplatnosti hlasování. nebo prázdné hlasování, když je plánováno pro hlasování, aby nedošlo ke zkreslení v závislosti na použitých prostředcích. V případě, že se voliči nabízejí tyto různé možnosti, je vhodné dát si pozor na to, že člověk nemůže volit dvakrát, zejména pomocí systému papírovou korespondencí a systému prostřednictvím internetu. Přijaté řešení tedy musí umožnit vyřazení hlasů prostřednictvím papírové korespondence osoby, která již hlasovala přes internet.
Minimální záruky pro následnou kontrolu
Pro účely externího auditu, zejména v případě volebních sporů, musí být elektronický poštovní volební systém, zejména prostřednictvím internetu, schopen poskytnout technické prvky umožňující alespoň nezvratně prokázat, že:
– proces pečetění zůstal během hlasování nedotčen;
– šifrovací/dešifrovací klíče znají pouze jejich držitelé;
– hlasování je anonymní, pokud to vyžaduje zákon;
– prezenční listina obsahuje pouze seznam voličů, kteří hlasovali;
– odříznutá volební urna je ta, která obsahuje hlasy voličů a že obsahuje pouze tyto hlasy;
– během hlasování nebylo možné provést částečné sčítání;
– sčítání volební urny lze ověřit a posteriori a že proběhlo správně.
Uchovávání údajů týkajících se volební operace
Všechny podpůrné soubory (kopie zdrojových a spustitelných kódů programů a základního systému, materiály pro hlasování, soubory docházky, výsledky, zálohy) musí být uchovávány pod pečetí, dokud nebudou prostředky a lhůty pro soudní odvolání. Tato konzervace musí být zajištěna pod kontrolou volební komise za podmínek zaručujících tajnost hlasování. Poskytovateli služeb musí být uložena povinnost, bude-li to nutné, převést všechna tato média jmenované osobě nebo třetí straně, aby byla zajištěna ochrana těchto médií. Pokud do vyčerpání lhůt pro odvolání nebylo zahájeno žádné sporné řízení, musí být tyto dokumenty zničeny pod kontrolou volební komise.


Přechodná a závěrečná ustanovení
Toto projednání je zveřejněno v Úředním věstníku Francouzské republiky. Musí být zohledněn správci údajů po uplynutí přechodného období dvanácti měsíců od jeho zveřejnění.