Používání elektronických podpisů místo klasických podpisů vlastnoručních je záležitostí, která má významné aspekty technologické i právní. Vychází z určitého stavu rozvoje technologií (nejen kryptografie jako takové, ale i informačních technologií obecně), které již delší dobu umožňují používat elektronické podpisy jako určité „technologické řešení“ – tedy podepisovat digitálně cokoli, co má podobu digitálních dat (například nejrůznější dokumenty, zprávy, ale třeba i WWW stránky, zvukové a obrazové záznamy apod.).
Technologické řešení je skutečně již delší dobu k dispozici, se všemi věcnými důsledky, které elektronické podpisy přináší – mj. spolehlivé zjištění autora (tzv. identifikace a autentikace), rozpoznání toho, zda podepsaný objekt nebyl od podpisu změněn (integrita) atd. Ten, kdo těmto přínosům důvěřuje a chce je využívat, k tomu nepotřebuje žádný zákon (samozřejmě pokud stejný přístup má i druhá strana, se kterou komunikuje).
Proto již dnes, přesněji již delší dobu, je možné používat elektronické podpisy v praxi, například ve vzájemném styku komerčních subjektů. Dokonce již existují, a to i u nás, tzv. certifikační autority (podle nového zákona poskytovatelé certifikačních služeb), které zájemcům vydávají tzv. certifikáty – což jsou nutné „ingredience“ potřebné nejen k tomu, aby se někdo mohl elektronicky podepisovat, ale také k tomu, aby si kdokoli jiný mohl podpis sám ověřit (podrobnější vysvětlení by bohužel vydalo na celý článek). Jeden malý příklad za všechny: na používání elektronických podpisů je založeno již delší dobu úspěšně fungující internetové bankovnictví (bývalé) IPB a Živnobanky.
Proč je nutný zákon o elektronickém podpisu?
Jiná situace však nastane, pokud není statut elektronického podpisu explicitně přijat všemi zúčastněnými subjekty (u citovaného příkladu s internetovým bankovnictvím IPB a ŽB je příslušný úkon realizován skrze uzavřenou smlouvu mezi bankou a jejím klientem). Jedním z důvodů může být to, že některá ze stran nedokáže sama věcně posoudit vlastnosti elektronických podpisů i všechny související aspekty, a tak potřebuje „něco“, o co by se mohla „opřít“. Jiné subjekty zase mohou odmítat elektronické podpisy ne proto, že jim dostatečně nerozumí či nevěří, ale proto, že jim nikdo nenařídil je akceptovat, či jim to pravidla jejich vlastního fungování neumožňují. Dále, mnoho praktických úkonů má náležitosti stanovené a tvrdě vyžadované zákony, které pohříchu dosud neměly nejmenší potuchy o technologické možnosti elektronického podepisování a o důsledcích, které to má či může mít.
Tyto i četné další důvody¨, které by jistě bylo možné nalézt, vedou k potřebě dát elektronickým podpisům a možnosti jejich používání vhodný právní rámec, neboli zakotvit jejich existenci, významné vlastnosti a zásady fungování přímo v zákoně. Pak je možné stanovit určitou minimální „laťku“, kterou musí elektronické podpisy splňovat, aby bylo možné se na ně dostatečně spolehnout. Stejně tak je díky zakotvení el. podpisů v zákoně možné vytvořit mechanismy zajišťující, že této „laťky“ bude skutečně dosaženo – což zahrnuje požadavky kladené nejen na používané postupy a nástroje, ale i na činnost subjektů, které chtějí podle tohoto zákona fungovat a nějakou měrou se na možnosti používání elektronických podpisů podílet (zde jde zejména o již zmiňované certifikační autority a o certifikáty, které vydávají). Dále je možné, díky zakotvení elektronických podpisů v zákoně, jim přidělit potřebný právní statut (stejný jako u podpisu vlastnoručního), a také se postarat o praktické naplnění tohoto statutu, včetně ošetření situací, kdy jiné konkrétní zákony vyžadují podpis vlastnoruční (papírový).
Co zákon řeší a co neřeší
Zákon č. 227/2000 Sb., který právě včera vstoupil v platnost, je zákonem, který elektronickým podpisům dává tolik potřebný „právní rámec“. Po prvotních pokusech koncipovat tento právní rámec zcela nezávisle na technologické realitě a odlišně od způsobu, jakým je vše řešeno v zemích EU, nakonec zvítězil zdravý rozum – náš zákon je kompatibilní s direktivou EU, s reálnou praxí i s celkovým duchem řešení problematiky elektronických podpisů v rámci EU. To je samozřejmě velmi důležité nejen proto, že do EU směřujeme, ale také proto, že chceme, aby „naše“ elektronické podpisy byly kompatibilní s podpisy používanými v zahraničí a mohly být tudíž i recipročně uznávány.
Náš zákon o elektronickém podpisu je ale nutné chápat jen jako „rámcovou úpravu“, která specifikuje vše v hlavních a zásadních rysech, zatímco konkrétní detailní rozpracování některých aspektů ponechává na podzákonných normách. Když už jsem použil příměr s „laťkou“, pak si lze představit, že zákon stanovuje výši této laťky, ale ponechává na podzákonných normách specifikaci konkrétního způsobu, jakým předepsané výšky dosáhnout (i jak ověřit, že byla skutečně dosažena). Takový přístup přitom není žádnou naší specialitou, obdobně se vše řeší i jinde (hlavně v EU, které nás musí zajímat nejvíce).
Zákonodárci pověřili příslušnými kompetencemi v oblasti elektronických podpisů nedávno vzniklý Úřad pro ochranu osobních údajů, ustanovený z titulu zákona č. 101/2000 Sb. o ochraně osobních údajů – nejspíše v domnění, že obě problematiky si jsou velmi blízké a kladou stejné požadavky na svůj „dozorčí orgán“. V praxi tomu tak úplně není, ale již se stalo a tak přejme ÚOOÚ, aby se úspěšně zhostil svých úkolů v obou oblastech současně.
Pokud jde o elektronické podpisy, zde je ÚOOÚ zákonem konkrétně zmocněn k vydání dvou prováděcích vyhlášek, vztahujících se k paragrafům 6 a 17 zákona. Konkrétně jde o stanovení požadavků kladených na tzv. poskytovatele certifikačních služeb (certifikační autority) a dále požadavků na prostředky, které budou v souvislosti s elektronickými prostředky používány.
Kdy bude možné začít?
Nový zákon o el. podpisech stanovuje, že poskytovatel certifikačních služeb, který chce začít fungovat a vydávat tzv. kvalifikované certifikáty (neboli certifikáty splňující požadavky zákona, tj. dosahující zákonem stanovené „laťky“) , tak může začít činit 30 dnů poté, co tento svůj záměr nahlásil Úřadu pro ochranu osobních údajů. Podle toho by první takoví poskytovatelé mohli začít fungovat k 1. listopadu (pokud svůj záměr ohlásí hned k začátku října), aniž by museli čekat na to, až Úřad vydá příslušné prováděcí vyhlášky. To je ale proti logice věci, zejména proti tomu, že by nemusela být přesně dodržena „laťka“ stanovená zákonem (v konkrétních věcných aspektech, ne v celkovém pojetí které je již zakotveno v zákoně).
Startu bez čekání na prováděcí vyhlášky ovšem brání klauzule par. 6 písm. j zákona, který říká, že zájemce o poskytování certifikačních služeb musí používat pouze systémy a nástroje vyhovující podmínkám stanoveným v prováděcích vyhláškách, a toto je Úřadem ověřeno. Tomu je vhodné rozumět tak, že nejprve musí být na světě příslušné vyhlášky (a také mechanismy ověřování shody se stanovenými požadavky), následně musí příslušné systémy a nástroje projít příslušným ověřením, a teprve pak mohou být používány.
Na druhou stranu je vhodné si zdůraznit, že ti poskytovatelé certifikačních služeb, jejichž produkty (certifikáty) neaspirují na statut kvalifikovaných certifikátů (zakotvených v zákoně) mohou fungovat nezávisle na celém zákonu o elektronickém podpisu, a tudíž nemusí čekat ani na prováděcí vyhlášky (a v praxi takovéto služby fungují již dnes, viz zmiňované příklady s internetovým bankovnictvím). Uvědomme si dobře, co takováto možnost znamená – vůbec to nemusí znamenat, že příslušné certifikáty, bez statutu tzv. kvalifikovaných certifikátů, dosahují jen nějaké nižší „laťky“ či míry bezpečnosti. Znamená to právě a pouze to, že tyto certifikáty a s jejich pomocí následně vytvořené elektronické podpisy odvozují svůj statut odjinud, než ze zákona o el. podpisu (v citovaných příkladech internetového bankovnictví ze smlouvy mezi klientem a bankou). V praxi tedy nemusí být jejich „spolehlivost“ a „důvěryhodnost“ (pomyslná laťka) o nic menší, než u certifikátů kvalifikovaných opírajících se o zákon.
Kdy budou prováděcí vyhlášky?
Velmi zajímavou otázkou jistě je, kdy budou připraveny prováděcí vyhlášky, k jejichž vydání je zmocněn Úřad pro ochranu osobních údajů (a také kdy budou fungovat akreditační mechanismy, které budou ověřovat shodu s tím co vyhlášky budou požadovat). Teprve pak se totiž bude moci „rozjet“ používání elektronických podpisů opírajících se o zákon (a to zřejmě budou muset být všechny podpisy používané občany ve vztahu ke státní správě).
Odpověď samozřejmě přísluší Úřadu pro ochranu osobních údajů, do jeho vyjádření lze o celé záležitosti jen spekulovat a uvádět různě kvalifikované odhady. Můj odhad vychází z toho, že náročnost příslušných vyhlášek, mají-li být vypracovány odpovědně a v potřebné kvalitě, je opravdu velká (v řádu mnoha člověkoměsíců). Snížit tuto náročnost lze inspirováním se existujícími zahraničními vzory, ale i zde jsou zásadní úskalí:
- zatímco rámcová úprava el. podpisů v ČR a v zemích EU je stejná, přeci jen zapracování prováděcích předpisů do našeho právního řádu je do značné míry specifické a tudíž vyžadující vysokou míru přizpůsobení
- i v zemích EU příslušné prováděcí předpisy teprve vznikají, a s nimi se teprve konkretizují mnohé významné detaily – s tím že vše by mělo být dokončeno do 19. července 2001. Pokud bychom nesledovali tyto procesy a nereagovali na ně, mohlo by se nám stát, že naše podpisy a celé „zázemí“ elektronických podpisů nebudou kompatibilní se svými protějšky v EU, a naše podpisy by pak nemusely v EU platit, resp. být akceptovány.
Vydávat co nejrychleji nějaké uspěchané nedodělky by mohlo mít velmi neblahé následky a mohlo by se brzy šeredně vymstít. Proto určitě není na místě závodit s EU a usilovat za každou cenu o prvenství – vhodný je spíše uvážlivý postup vpřed, plně koordinovaný s postupem prací v zahraničí. I za cenu toho, že představy a sliby některých politiků a dalších lidí se ukáží jako nereálné.
Podle názoru odborníků, se kterými jsem měl možnost se seznámit, není reálné čekat první verze prováděcích vyhlášek, navíc určené zatím jen k odborné oponentuře, dříve než na přelomu tohoto a příštího roku.