Když v roce 2009 startovaly datové schránky a stát nařídil doručování dokumentů v elektronické podobě, objevil se nepříjemný problém: co s takovými dokumenty po nějakém čase, kdy už nejde ověřit platnost jejich elektronických podpisů? Což nastává nejpozději do roka, není-li dokument opatřen časovým razítkem.
Zvoleným řešením bylo zametení celého problému pod koberec: pokud se o něj někdo zajímal, bylo mu doporučováno uchovávat si místo samotných dokumentů rovnou celé datové zprávy. Protože ty prý zaručují možnost ověřit platnost podpisů na vložených dokumentech po libovolně dlouhou dobu – díky tomu, že jsou opatřeny elektronickou značkou a časovým razítkem.
Pokud to někdo vzal za bernou minci, šel na CzechPoint s celou datovou zprávou a chtěl konvertovat nějaký „starší“ dokument uvnitř své datové zprávy, narazil. Zjistil, že ani stát a jeho CzechPointy se nechovají podle svých vlastních rad. Konkrétně že při autorizované konverzi neberou ohled na „obálku“ v podobě datové zprávy a každý dokument, vložený do datové zprávy, hodnotí zcela samostatně, jako kdyby do žádné datové zprávy vložen nebyl.
Takže pokud byl uvnitř datové zprávy nějaký dokument sice elektronicky podepsaný, ale bez časového razítka, a příslušný podpisový certifikát mezitím již expiroval, zájemce o konverzi odešel s nepořízenou.
Proč „starší“ dokumenty nejdou konvertovat?
Pravidla autorizované konverze, prováděné na žádost, požadují, aby dokument byl opatřen uznávaným elektronickým podpisem, případně uznávanou elektronickou značkou toho, kdo dokument vytvořil nebo vydal (viz ustanovení paragrafu 24/5f zákona č. 300/2008 Sb.). Rozumí se „platným“ – a tak je třeba jeho platnost pozitivně ověřit.
Logika ověřování platnosti elektronických podpisů ale vyžaduje, aby tato platnost byla hodnocena k nejstaršímu časovému okamžiku, ke kterému je jisté, že podpis již existoval. Pokud takovou jistotu nemáme, musíme platnost podpisu hodnotit k aktuálnímu časovému okamžiku. Podrobněji.
To je ale problémem právě u „starších“ dokumentů, pokud jejich podpisům v mezidobí již expiroval příslušný podpisový certifikát. Přesněji: pokud už skončila řádná doba platnosti toho certifikátu, na kterém je podpis založen. Pak se už nemůžeme nadále spoléhat na to, co je v certifikátu uvedeno. Jenže k tomu, abychom podpis mohli ověřit jako platný, se na to spoléhat potřebujeme – a pokud nemůžeme, nejsme schopni platnost podpisu ověřit.
Neznamená to ale, že samotný podpis již není platný. Znamená to pouze to, že k aktuálnímu časovému okamžiku již nejsme schopni jeho platnost pozitivně ověřit (podrobněji).
Řešením je získat „odněkud“ dostatečnou jistotu o tom, že podpis existoval již někdy dříve, v době kdy certifikátu ještě neskončila řádná doba jeho platnosti (kdy ještě neexpiroval) – protože pak můžeme platnost popisu vyhodnocovat k této době, a v ní se na obsah certifikátu můžeme ještě spoléhat.
Jak pomáhá časové razítko?
Potřebnou jistotu o tom, že konkrétní elektronický podpis existoval již v nějaké dřívější době, lze nejsnáze získat pomocí (kvalifikovaného) časového razítka. Pokud bylo k podpisu přidáno dříve, než skončila platnost podpisovému certifikátu, je možné podpis ověřit jako platný (a to: k okamžiku přidání časového razítka) a autorizovanou konverzi na žádost provést.
S konverzemi dokumentů, jejichž elektronické podpisy jsou opatřeny (kvalifikovanými) časovými razítky, zatím zásadnější problémy nebyly.
Jinak je tomu ale s dokumenty, jejichž podpisy časovým razítkem opatřeny nejsou. A těch je v oběhu opravdu hodně, protože většina orgánů veřejné moci zpočátku s časovými razítky nepracovala vůbec. Mnozí tak nečiní dodnes, když nadále produkují dokumenty s podpisy bez časových razítek. Ty ale po určité době – jakmile expiruje příslušný podpisový certifikát – již nejdou konvertovat. Podrobněji viz tento můj rok starý článek zde na Lupě o problematice „elektronických cárů papíru“.
Pomoci mohou i datové zprávy
Jistotu o tom, že konkrétní podpis existoval už v nějaké dřívější době, lze získat i dalšími způsoby, než jenom pomocí (kvalifikovaného) časového razítka.
Další možností skutečně jsou datové zprávy, které prošly skrze informační systém datových schránek: jsou to vlastně obálky, ve kterých mohou být přenášeny jednotlivé elektronické dokumenty. A jelikož každá datová zpráva je automaticky opatřována časovým razítkem (dokonce hned dvěma), je možné z jistoty o době přenosu datové zprávy (dané časovým razítkem na zprávě) získat jistotu o tom, že konkrétní dokument v této době již existoval (pokud byl v této zprávě vložen a s ní i přenesen).
Věcně je tato úvaha v pořádku. A nechme raději stranou otázku toho, zda je v pořádku i právně – zda je v souladu s pravidly správného vyhodnocování (ověřování) platnosti elektronického podpisu. Tato pravidla totiž moc jasně definovaná nejsou.
Větším problémem bylo to, že v praxi to tak nefungovalo, a to navzdory veškeré oficiální propagandě kolem datových schránek. CzechPointům bylo úplně jedno, zda jste dokument ke konverzi přinesli jako samostatný, nebo „zabalený“ do nějaké datové zprávy. Posuzovaly jej samostatně a na časové razítko na zprávě nebraly ohled.
Uvedení CzechPointů do souladu s legislativou?
Od minulého týdne je ale všechno jinak: CzechPointy nově už umí brát ohled na to, že je nějaký dokument obsažen v datové zprávě, a podle toho patřičně „posunout“ v čase okamžik, ke kterému posuzují platnost elektronického podpisu na vloženém dokumentu. Díky tomu dokáží ověřit platnost podpisu i na „starším“ dokumentu a ten pak autorizovaně konvertovat.
Stalo se tak díky realizaci zakázky na Zajištění funkcionality „Zajištění souladu s legislativou“, kterou MV ČR zadalo v září loňského roku, a kterou získala a realizovala společnost Software602. Pokud se začteme do příslušné smlouvy, najdeme zde například toto:
Předmětem plnění této smlouvy je dodání technického zhodnocení systému Czech POINT tak, aby aplikační vrstva byla uvedena do souladu s legislativou a jejím výkladem následovně:
· vyhodnocování vícenásobně podepsaných elektronických dokumentů a textace ověřovacích doložek;
· rozšíření autorizované konverze dokumentů o konverzi celých datových zpráv
Druhý bod ale nemůže být myšlen vážně: tak, že by vnitro skutečně chtělo konvertovat celé datové zprávy, jako XML obálky nad přenášenými daty ve všech přípustných formátech. Zákon č. 300/2008 Sb. zůstává nadále v platnosti a jeho paragraf 22 nadále umožňuje konvertovat pouze tzv. „dokumenty, obsažené v datové zprávě“ (jak legislativci nesprávně říkají dokumentům v elektronické formě, a to i tehdy, když v žádné datové zprávě obsaženy nejsou). Vzhledem k vyhlášce č. 139/2009 Sb. je stále možné autorizovaně konvertovat pouze takové „dokumenty, obsažené v datové zprávě“, které jsou ve formátu PDF.
Ve skutečnosti je to spíše tak, že stát ani není schopen vyprodukovat podrobnější zadání toho, co vlastně požaduje, a tak napíše „alespoň něco“ – a rozpracování toho, co vlastně chce a jak by vše mělo fungovat, nechá na řešiteli zakázky. Což zřejmě platí i pro první bod, kterému se chci věnovat v samostatném článku.
Jak to nově funguje?
U autorizovaných konverzí to dopadlo tak, že CzechPointy již berou ohled na to, že nějaký konkrétní PDF dokument byl přenesen skrze datové schránky: pokud tomu tak je, dokáží převzít údaj o tom, kdy se tak stalo (kdy příslušná datová zpráva vstoupila do ISDS, podle „vstupního“ časového razítka), a následně ověřovat platnost podpisu k tomuto datu.
Ukažme si to na konkrétním příkladu testovacího dokumentu, který byl odeslán do mé datové schránky dne 18.12.2009, viz následující obrázek.
Jde o PDF dokument s uznávaným elektronickým podpisem, který není opatřen časovým razítkem a je založen na (kvalifikovaném) certifikátu s řádnou dobou platnosti od 1.9.2009 do 1.9.2010. K dnešnímu dni je tedy tento certifikát již dávno expirovaný (tj. již skončila řádná doba jeho platnosti).
Pokud bych šel na CzechPoint pouze s tímto dokumentem, se žádostí o jeho konverzi bych nepochodil: kvůli absenci časového razítka by CzechPoint musel posuzovat platnost jeho podpisu k aktuálnímu časovému okamžiku – a kvůli již expirovanému certifikátu by musel konstatovat, že platnost podpisu nedokáže ověřit. Proto by konverzi odmítl.
Nově jsem se ale mohl vydat na CzechPoint s celou datovou zprávou, a se žádostí o konverzi jsem uspěl. Protože nyní si CzechPoint zkontroloval datovou zprávu jako takovou a zjistil, že do ISDS vstoupila 18.12.2009. Tím získal jistotu o tom, že elektronický podpis na vloženém PDF dokumentu již existoval, a mohl posuzovat (ověřovat) jeho platnost k uvedenému datu. A jelikož datum 18.12.2009 spadá do řádné doby platnosti podpisového certifikátu (1.9.2009 až 1.9.2010), mohl CzechPoint platnost podpisu ověřit a konverzi provést.
O úspěšném výsledku svědčí i konverzní doložka, kterou vidíte na následujícím obrázku, nebo si ji můžete prohlédnout i „naživo“ v centrálním úložišti konverzních doložek (zde).
Nenechte se zmást nepříliš správným zněním konverzní doložky, která například navozuje dojem, že platnost podpisu se vyhodnocovala (ověřovala) k aktuálnímu okamžiku (23.3.2012), a ne k datu 18.12.2009. Nebo že nemluví o uznávaném podpisu, který požaduje zákon, a už vůbec neřeší otázku toho, zda dokument podepsal skutečně ten, „kdo dokument vydal nebo vytvořil“ – což zákon klade jako další podmínku autorizované konverze. S jistým nadhledem je nutné brát i tvrzení, že „Zaručený elektronický podpis byl shledán platným (dokument nebyl změněn) a kvalifikovaný certifikát byl v době ověření expirován“, viz obrázek.
Stejně tak se nenechte zmást tím, že konverzní doložka vůbec nezmiňuje kontrolu toho, zda podpisový certifikát nebyl k posuzovanému časovému okamžiku (k 18.12.2009) revokován. Bez kontroly revokace by CzechPoint nemohl konstatovat, že podpis je platný a provést konverzi. Ve skutečnosti revokaci kontroluje, i když o tom nemluví – ověřoval jsem si to následně na jiném dokumentu, kde jsem se žádostí o konverzi neuspěl právě kvůli již revokovanému certifikátu.
Pokud si tedy odmyslíme tyto „drobnosti“ i některé další nedomyšlenosti – jako třeba tu poměrně zásadní věc, že z konverzní doložky nepoznáte, ke kterému souboru se vztahuje – pak je toto chování Czechpointu v zásadě v pořádku. A lidem, kteří jsou nuceni pracovat s elektronickými dokumenty, otevírá cestu k možnosti jejich autorizované konverze i „po delší době“ (i po expiraci podpisového certifikátu u podpisu bez razítka).
Důležité je také to, že CzechPoint si neověřuje autenticitu datové zprávy pouze podle její značky a časového razítka, ale také podle „záznamů Informačního systému datových schránek“. Tedy podle otisků, které si ISDS o datové zprávě pamatuje. To by zřejmě mělo znamenat, že dokáže ověřit datovou zprávu i poté, co již nebude možné ověřit platnost časového razítka na samotné zprávě.
To se přitom týká „prvních“ datových zpráv, které prošly skrze ISDS v roce a částečně i v roce 2010, a jejich časové razítko je založeno na kvalifikovaném systémovém certifikátu od CA PostSignum, s řádnou dobou platnosti do června letošního roku. Což je mimochodem případ i zde prezentované datové zprávy z prosince 2009.
Je možná konverze nepodepsaného dokumentu?
Teď si ale představme jiný příklad: co kdybych šel na CzechPoint s následujícím PDF dokumentem, který je zcela bez jakéhokoli elektronického podpisu?
Jistě, odešel bych s nepořízenou, protože autorizovaná konverze nepodepsaného dokumentu (na žádost) není možná. Zakazuje ji ustanovení §24/5f zákona č. 300/2008 Sb., které říká, že takováto konverze se neprovede:
nebyl-li dokument obsažený v datové zprávě podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou toho, kdo dokument vydal nebo vytvořil
Nechme stranou to, zda CzechPointy kontrolují, kdo dokument podepsal a zda to skutečně byl ten, „kdo dokument vydal nebo vytvořil“. Na to dávno rezignovali i sami autoři a propagátoři datových schránek. Připomeňme si to na následujícím tvrzení, které pochází z tohoto zdroje:
Autorizovaná konverze dokumentů je obdobou tzv. vidimace, to jest ověřování shody kopie s listinou, jen v režimu papírová listina – počítačový soubor či naopak. Je třeba zdůraznit, že ani při jedné z uvedených úředních činností se nezkoumá pravost originálu. Ověřující úředník není soudní znalec a nedokáže poznat, jestli kulaté razítko na listině je pravé nebo falzifikát. Nezjistí ani, jestli úředník, podepsaný pod originálem skutečně existuje, nebo zda byl oprávněn dokument podepsat. Úplně stejně je tomu i s autorizovanou konverzí dokumentů, opět je procesem pravdivého a věrného převedení dat na papír či naopak. Toto je třeba mít na paměti, protože v případě pochybností o pravosti originálu existuje řada způsobů, jak si jeho pravost ověřit.
Petr Stiegler
konzultant MV ČR pro datové schránky,
bývalý ředitel sekce e-governmentu České pošty a jeden ze spolutvůrců systému datových schránek
Jenže teď už autorizované konverze na CzechPointech rezignovaly i na požadavek toho, aby konvertovaný dokument vůbec byl podepsán. A to přesto, že příslušný zákon (citace viz výše) nebyl v tomto ohledu nijak novelizován a požadavek na podpis či značku je v něm stále uveden černě na bílém. Přesto dnes, přesněji od minulého týdne, konvertují CzechPointy i nepodepsané dokumenty – a v konverzních doložkách to bezelstně říkají zcela na rovinu:
Jak asi už tušíte z této konverzní doložky, má CzechPoint jedinou podmínku, aby byl ochoten autorizovaně konvertovat i zcela nepodepsaný dokument: musíte jej „protáhnout“ skrze nějakou datovou zprávu. Tedy domluvit se s někým, aby vám předmětný dokument poslal z jedné datové schránky do druhé. Je úplně jedno jaké schránky to budou, a stejně tak je jedno, zda půjde o „veřejnoprávní“ datovou zprávu či o poštovní datovou zprávu, například mezi dvěma právnickými osobami, dvěma fyzickými osobami apod. Ostatně, i výše uvedený „elektronický cár papíru“ (zcela nepodepsaný PDF dokument) mi přišel od České pošty v rámci poštovní datové zprávy.
Jak jsem si následně ověřil, ve stejném duchu CzechPointy nyní postupují i v případě, že na dokumentu je nějaký jiný elektronický podpis, než platný uznávaný podpis či elektronická značka: dokument zkonvertují, a v konverzní doložce uvedou jen o málo odlišné konstatování - že dokument nebyl opatřen ani uznávaným elektronickým podpisem, ani elektronickou značkou. Opět viz obrázek.
Byly CzechPointy uvedeny do rozporu s legislativou?
Když jsem se snažil dopátrat nějaké logiky v tomto počínání, které osobně shledávám v jasném rozporu se zákonem (č. 300/2008 Sb.) a jeho explicitním požadavkem na podpis či značku na konvertovaném dokumentu, narazil jsem na argumentaci tím, že podepsána (opatřena značkou) je přeci datová zpráva jako taková – a díky tomu jsou prý platně podepsané i všechny dokumenty, obsažené v datové zprávě. A tak má být splněn požadavek zákona a dokumenty je možné konvertovat.
Jenže podpis (značka) na datové zprávě vyjadřuje něco úplně jiného, než „podpis toho, kdo dokument vydal nebo vytvořil“. Podpis na datové zprávě (coby „obálce“) je podpisem toho, kdo dokument převzal k přepravě. Tento podpis stvrzuje, že přepravce převzal dokument od osoby A, a že jej po cestě k osobě B nijak nezměnil ani neztratil. Ale rozhodně nevypovídá nic o tom, co se s dokumentem dělo předtím, než jej přepravce dostal od osoby A k přepravě. Nejde z něj odvodit ani to, zda původcem dokumentu je osoba A (zda jej vydala či vytvořila tato osoba), nebo zda je autorem dokumentu někdo jiný, kdo jej nejprve předal osobě A, a ta jej nechala vložit do své datové schránky a odeslat osobě B.
Stejně tak z podpisu (značky) na datové zprávě nelze poznat, co se s dokumentem dělo předtím, než byl předán osobě A k vložení do její datové schránky. Zda dokument nebyl přepsán či jakkoli jinak pozměněn. Protože podpis (značka) na datové zprávě „fixuje“ vložené dokumenty a chrání jejich integritu až od okamžiku sestavení samotné zprávy a jejího předání do ISDS.
Ještě další argument, se kterým jsem se setkal při hledání nějaké logiky za novým chováním CzechPointů, je tvrzení, že jistota o odesilateli (osobě A) dává jistotu i o dokumentu, který tato osoba odesílá ze své datové schránky. Že tato osoba už jen tím, že dokument odesílá, vyjadřuje svůj souhlas s tímto dokumentem, nebo přímo jeho autorství. A že i konverzní doložka přeci uvádí, z jaké datové schránky byl dokument odeslán. Takže spolehlivě víme, o koho jde.
Nechme nyní stranou problém toho, že nemusí být jasné, kdo konkrétně nějaký dokument z datové schránky odeslal (protože oprávněných i pověřených osob vůči jedné schránce může být více, čehož si nedávno všiml i Nejvyšší správní soud v kauze žaloby Pirátů). Podstatnější je totiž něco jiného: pokud by tento argument byl pravdivý, pak by odeslání jakéhokoli dokumentu skrze datovou schránku znamenalo automaticky souhlas s obsahem každého odesílaného dokumentu. Fakticky by to odpovídalo jeho podepsání odesilatelem. To by šlo dokonce ještě dále než i tak značně problematická fikce podpisu (viz §18/2 zákona č. 300/2008 Sb.), protože ta se týká pouze podání činěných vůči orgánům veřejné moci, a ne jakékoli datové zprávy (i poštovní), odesílané z jakékoli datové schránky.
Důsledkem by bylo to, že skrze datové schránky byste už nemohli posílat žádné cizí dokumenty, s jejichž obsahem se neztotožňujete a nemůžete či nechcete ručit za jejich obsah a nést případné následky.
Nahradíme elektronické podpisy univerzální fikcí podpisu?
Pravdou je, že určité snahy o zavedení univerzální a všeobjímající fikce podpisu se již objevily i v legislativním procesu. Konkrétně se jednalo o záměr vložit do zákona o elektronickém podpisu ustanovení, které by definovalo “věrohodný dokument“ jako takový, který je podepsán (na úrovni uznávaného elektronického podpisu), a současně zavádělo právní fikci, konstatující že „byl-li dokument doručen prostřednictvím informačního systému datových schránek (…) je věrohodný…“.
Zkusme se nad tím znovu zamyslet v trochu obecnější rovině: jakou informaci o věrohodnosti můžeme odvodit z toho, že nějaký dokument byl přenesen z bodu X do bodu Y? Nebo z datové schránky osoby A do datové schránky osoby B? Můžeme z uskutečnění tohoto přenosu odvodit, že předmětný dokument je nějak důvěryhodný? Nebo to o jeho důvěryhodnosti (či případné nedůvěryhodnosti) nic nevypovídá?
Jsou datové schránky důvěryhodné v tom smyslu, že žádné dokumenty neztrácí ani nemění a že ručí za to, kdo je odeslal a kdo je přijal? Tedy alespoň s přesností na celé datové schránky, a ne nutně na konkrétní osoby, které s nimi mohou nakládat? Nebo jsou datové schránky důvěryhodné i v tom smyslu, že vypovídají něco také o obsahu a povaze dokumentů, které skrz ně prochází? Že nějak zvyšují jejich důvěryhodnost, věrohodnost, autenticitu či jak jinak je chceme vnímat?
Dokáží datové schránky s elektronickými dokumenty to, co nedokáže ani pošta či třeba soudní doručovatel s listinnými dokumenty – že když nějaký dokument sám o sobě není hoden autorizované konverze, kvůli tomu že není podepsán, tak ho stačí „protáhnout“ skrze datové schránky (přenést mezi kterýmikoli dvěma datovými schránkami) – a už je autorizované konverze hoden? Nyní, od minulého týdne, to ale právě takto funguje.
Nebo to všechno směřuje k úplně jinému cíli? K tomu, že elektronické podpisy připadají lidem příliš složité – a tak na ně úplně rezignujeme a nahradíme je transportem skrze datové schránky? Že využijeme oné „univerzální“ fikce, která by řekla, že dokument je stejně věrohodný, jako kdyby byl podepsaný, pokud byl přenesen skrze datové schránky? Přestanou soudy podepisovat své rozsudky, finanční úřady své výměry, úředníci svá rozhodnutí atd. – a budou všichni pracovat už jen s nepodepsanými dokumenty, jejichž věrohodnost budou posuzovat podle toho, jakým způsobem jim byly předány (zda přes datové schránky)? A co v případě přeposílání dokumentů, kdy už o původním odesílateli nepodepsaného dokumentu nevíme nic?
Nebo si z nás už někdo dělá příliš velkou legraci?