Přijdeme o svou e-suverenitu?

28. 5. 2012
Doba čtení: 11 minut

Sdílet

Elektronický podpis, bezpečnost
Elektronický podpis, bezpečnost
Brusel chystá závazné a bezprostředně použitelné nařízení, které by vytvořilo zcela novou a v celé Unii jednotnou právní úpravu elektronického podpisu, elektronické identifikace a autentizace, elektronického doručování, ale třeba i autentizace webových serverů.

Přesně před týdnem jsem zde na Lupě začal popisovat změny v oblasti elektronického podpisu, které nás čekají k 1.7.2012 v důs­ledku novely stávajícího zákona č. 227/2000 Sb. (o elektronickém podpisu). Dnes už je známo, že tato novela, která současně mění i řadu dalších zákonů, bude „očíslována“ jako zákon č. 167/2012 Sb., a bude zveřejněna v částce č. 60 Sbírky zákonů.

K prvnímu červenci pak má nabýt účinnosti i prováděcí vyhláška, týkající se postupů ověřování elektronických podpisů, a také způsobu jednoznačné identifikace držitele certifikátu (návrh najdete v eKlepu).

Možná ale, že všechno dopadne úplně jinak. V průběhu minulého týdne totiž začaly přicházet z Bruselu zprávy o tom, že Unie hodlá ve velmi brzké době „pořádně šlápnout“ jak do elektronických podpisů, tak i do elektronické identifikace a autentizace, včetně elektronických občanských průkazů a jejich používání, i do dalších oblastí elektronizace, jako je práce s elektronickými dokumenty a jejich doručování v elektronické formě. A to způsobem, který fakticky znamená, že se tato problematika vyjme z působnosti jednotlivých členských zemí a bude řešit centrálně, z Bruselu.

Nařízení místo směrnice

Dnes je legislativa kolem elektronických podpisů založena na Směrnici č. 1999/93/ES, kterou si jednotlivé členské země musely samy transponovat („přenést“) do své národní legislativy. U nás právě do zákona č. 227/2000 Sb., o elektronickém podpisu. A pravdou je, že každá členská země tak učinila trochu jinak, takže vzájemná kompatibilita je dnes docela problematická. Podobně v dalších oblastech.

Nová úprava, kterou Komise již nějakou dobu připravuje, zřejmě navazuje na výsledky veřejné konzultace, zahájené vloni v únoru. Podstatná je ale navrhovaná forma nové právní úpravy: nejednalo by se o novou, resp. aktualizovanou směrnici, která by se musela znovu transponovat do národních legislativ. Jednalo by se již o tzv. Nařízení Evropského parlamentu a Rady. A to je „závazné a bezprostředně použitelné v každém  z členských států bez toho, že by muselo být do právního řádu kteréhokoliv z členských státu transponováno“ (zdroj). Navíc fakticky „přebíjí“ již existující národní právní úpravu:

V případě, že vnitrostátní právo není v souladu s  nařízením, má před ním nařízení aplikační přednost.

Samotný obsah navrhovaného nařízení dosud nebyl zveřejněn, a podle dostupných signálů by se tak mohlo stát již tento týden, konkrétně 30. května. Teprve pak bude možné začít zkoumat, na kolik se dosavadní úprava elektronických podpisů (ale také el. občanských průkazů a jejich používání, včetně online identifikace a autentizace, elektronického doručování  atd.) změní. Zda to budou nějaké kosmetické úpravy, nebo zda nezůstane kámen na kameni. Podle zatím neoficiálních zdrojů to vypadá spíše na to druhé.

Důležité ale bude i to, zda se na úrovni Unie vůbec najde konsensus k přijetí takovéhoto nařízení, které musí přijmout jak europarlament, tak i Rada EU. I podle již citovaného zdroje lze očekávat odpor řady zemí z titulu povinného zavedení (elektronických) identifikačních průkazů, resp. občanek – které třeba ve Velké Británii vůbec nemají.

Dalším významným faktorem může být to, v jaké podobě a míře bude Unie chtít používat jednotnou online identifikaci a autentizaci. Zda si dovolím připomenout svůj článek s názvem „EU chce vědět, kolik je vám let“, vydaný zde na Lupě před 14 dny, který popisuje právě snahy zavést prokazování identity a věku při přístupu k Internetu. Detaily by měly být oznámeny „v jednom balíku“ (jedním nařízením) jak pro elektronické podpisy a dokumenty, tak i pro identifikaci a autentizaci osob, používání elektronických občanských průkazů atd., již avizovaného 30. Května.

V mezidobí se dokonce objevily i spekulace o tom, že za snahami o povinné zavedení a používání „internetové identity“ stojí vlivná skupina Bilderberg. Nejprve je prý chce prosadit v Evropě, pak v Severní Americe, a nakonec i ve zbývajících částech světa.

Kdy?

Kromě otázky „zda vůbec“ a v jaké podobě bude nová unijní právní úprava, ve formě nařízení, nakonec přijata, bude velmi zajímavé i její načasování. Opět podle velmi neoficiálních signálů Komise na vše velmi spěchá. Znamená to ale, že nařízení bude přijato během několika příštích týdnů? Nebo měsíců? Nebo do něj bude zabudován nějaký odklad, například v řádu celých let, aby se členské země mohly připravit na praktickou implementaci – která skutečně může být velmi netriviální?

Naši novelu, již připravenou pro publikaci ve Sbírce (jako zákon č. 167/2012 Sb.) a s plánovanou účinností k 1.7.2012, to asi už nepředběhne. Ale její „život“ (ve smyslu praktických dopadů) nejspíše notně zkrátí. Zajímavé to ale může být s prováděcí vyhláškou, která ještě není hotova a teprve se na ní pracuje – a sešla se k ní řada pozměňujících návrhů, včetně poměrně zásadních. Nezafunguje zde vize brzkého nařízení jako určitá záminka pro resort vnitra, aby přípravu nové vyhlášky mohl hodit za hlavu a vůbec ji nepřipravoval a nevydával? I když formálně k 1.7.2012 musí?

Co se mění k 1.7.2012?

I když to tedy zřejmě „nebude na dlouho“, pojďme si přesto dokončit popis změn, které přináší již  připravená novela (zákon č. 167/2012 Sb.).

Minule, v předchozím článku, jsme si popisovali věci kolem referenčních formátů a dopadů tzv. vyvratitelné domněnky pravosti. Dnes si  popíšeme to, jak se změnila definice uznávaného podpisu, a jak se promítla do celé řady dalších právních předpisů, které dosud místo uznávaného elektronického podpisu nesprávně požadují pouze podpis zaručený.

Začněme ale zmínkou o jedné věci, ve které jsme si sami sobě zkomplikovali život odklonem od požadavků původní evropské směrnice z roku 1999. Ta totiž nijak podrobněji neřeší, co vlastně je podepisováno, resp. opatřováno elektronickým podpisem. Říká jen, že se takto podepisují „elektronická data“. Pak nemá potřebu upřesňovat, jakou podobu takováto data mají, zda se musí nacházet na takovém či onakém nosiči, zda se musí odněkud někam přenášet atd.

To my jsme si zadělali na problémy již tím, že jsme řekli, že podepisována nemohou být jakákoli elektronická data, ale pouze datové zprávy. Což jednak vzbuzuje určitá neformální očekávání (že jde o něco krátkodobého, co má svého odesilatele a příjemce atd.), ale hlavně to vyžaduje, aby datová zpráva byla v zákonech nějak definována, a také interpretována. Čímž se otevírají dveře k tomu, aby příslušné definice byly nekonzistentní, chybné či pouze překonané, a musely se měnit. Což je mimochodem příklad popisované novely, která mění definici datové zprávy v zákoně č. 227/2000 Sb., o elektronickém podpisu.

Dosavadní definice vypadá takto:

datovou zprávou [se rozumí] elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou­ formou

a nově se skrze novelu mění takto:

datovou zprávou [se rozumí] elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických nosičích ve formě datového souboru

Bohužel i tato nová definice se liší od toho, jak pojem „datová zpráva“ chápe a používá zákon č. 300/2008 Sb., o elektronických úkonech, který do našeho právního řádu zanesl datové schránky. Tento zákon dokonce fakticky (a možná i nechtěně, alespoň co do záměru a vnímání svých autorů) rozlišuje hned dvě varianty datových zpráv:

  • datovou zprávu „v užším slova smyslu“, kterou ztotožňuje s dokumentem – když ve svém §19/1 hovoří o tom, že „dokumenty orgánů veřejné moci mají formu datové zprávy“
  • datovou zprávu „v širším slova smyslu“, kterou chápe jako obálku resp. kontejner, do kterého se dokumenty pouze vkládají – když hlavně v souvislosti s konverzemi hovoří o „dokumentu obsaženém v datové zprávě“, a takovéto označení chápe prakticky jako synonymum pro elektronickou formu dokumentů

To pak vnáší nejasnosti do toho, co vlastně má být podepisováno – zda samotný dokument, nebo datová zpráva jako jeho obálka, nebo případně obojí.

Jakpak to ale bude poté, co nabude účinnosti ono Nařízení evropského parlamentu a Rady EU, a určitým způsobem zasáhne i do mechanismů elektronického doručování (jakými jsou u nás zejména datové schránky)? Kde velmi pravděpodobně nebude výrazná česká specialita v podobě tzv. fikce podpisu? A přitom bude platit výše citovaný princip:

V případě, že vnitrostátní právo není v souladu s  nařízením, má před ním nařízení aplikační přednost.

Uznávaný podpis místo pouze zaručeného

Další významnou změnou, kterou naše tuzemská novela přinese k 1.7.2012, je nová definice toho, co je tzv. uznávaný podpis. A v souvislosti s tím opravuje i četné chyby v dalších zákonech, které nesprávně požadují pouze zaručený elektronický podpis tam, kde by správně měly trvat na podpisu uznávaném.

Přitom v obou případech, tedy jak u zaručeného, tak i u uznávaného elektronického podpisu, se naše právní úprava také poněkud rozchází s tou dosavadní unijní, vycházející ještě ze směrnice 1999/93/ES. Například samotný „zaručený“ elektronický podpis je nesprávným překladem z anglického „advanced“ electronic signature, neboli „pokročilejší“ či „o něco lepší“ elektronický podpis, než je ten úplně nejhorší.

Náš zaručený podpis totiž zaručuje pouze jednu věc, a to integritu podepsaného dokumentu. Dokáže tedy rozpoznat, zda od okamžiku podepsání došlo, či nedošlo k nějaké změně podepsaného dokumentu. To nám ale moc nepomůže, když nevíme, kdo dokument podepsal.

Zaručený elektronický podpis totiž vůbec nezaručuje, kdo podpis vytvořil, neboli kdo je tzv. podepsanou osobou. Ta ani nemusí reálně existovat. Mnou často uváděný příklad elektronického podpisu literární postavy Josefa Švejka je toho hezkým příkladem: vytvořil jsem ho sám, pomocí testovacího certifikátu, který jsem si sám vystavil na identitu literární postavy Josefa Švejka. A jelikož definice zaručeného elektronického podpisu neklade žádné požadavky na důvěryhodnost podpisového certifikátu, jde skutečně o zaručený elektronický podpis.

To tzv. uznávaný elektronický podpis literární postavy Josefa Švejka již existovat nemůže – protože musí být založen na kvalifikovaném certifikátu, navíc od akreditované certifikační autority. A takový certifikát může být vystaven pouze příslušné fyzické osobě, která musí reálně existovat.

Jinými slovy kdokoli se může snadno podepsat formou zaručeného elektronického podpisu „jménem kohokoli jiného“, ale formou uznávaného podpisu už nikoli. Proto také zaručený podpis není a nemůže být právně závazný a postavený na roveň vlastnoručnímu elektronickému podpisu. To je až podpis uznávaný.

Přesto v mnoha významných zákonech byl až dosud požadován pouze zaručený elektronický podpis i tam, kde se jednalo o poměrně významné právní úkony. To nyní novela opraví, nastolením explicitního požadavku na uznávaný podpis.

Bezpečný prostředek stále chybí

Ovšem i náš „uznávaný“ elektronický podpis má své „máslo na hlavě“, když ani pro jeho vytváření (ani ověřování) není požadován tzv. bezpečný prostředek. Místo toho je „vyšší míra zabezpečení“ kladena na toho, kdo vydává kvalifikovaný certifikát: musí jít o kvalifikovanou certifikační autoritu, která úspěšně prošla procesem akreditace.

Ovšem jeden z důležitých přínosů elektronického podpisu, kterým je tzv. nepopiratelnost (nemožnost popřít vytvoření podpisu), je vázán právě na použití bezpečného prostředku. Znamená to, že i autor uznávaného podpisu by mohl úspěšně popřít, že je podepsanou osobou, resp. že vytvořit nějaký konkrétní podpis, a to pouhým poukazem na to, že nepoužil bezpečný prostředek? To je zatím „otevřená“ otázka, se kterou nic nedělá ani popisovaná novela: ta nic nemění ani na definici zaručeného podpisu, ani na vazbě nepopiratelnosti na použití bezpečného prostředku – a ani na tom, že pro uznávaný podpis není použití bezpečného prostředku zapotřebí.

Přesto novela určitým způsobem mění definici uznávaného podpisu. Věcně to sice vychází nastejno, ale použity jsou jiné formulace. Ty v zásadě říkají, že uznávané podpisy mohou být založeny jak kvalifikovaných certifikátech od tuzemských (akreditovaných) autorit, tak i od zahraničních autorit. V prvním případě přitom musí certifikát obsahovat takové údaje, které umožní  jednoznačnou identifikaci podepsané osoby. Přitom to, jaké údaje to mají být, má stanovit připravovaná vyhláška ministerstva vnitra.

Ve druhém případě, u uznávaných podpisů založených na zahraničních certifikátech, obdobný požadavek na jednoznačnou identifikaci podepsané osoby chybí. Aplikován je alespoň požadavek na to, aby příslušný certifikát byl „dostatečně kvalitní“:

byl-li kvalifikovaný certifikát vydán v rámci služby vedené v seznamu důvěryhodných certifikačních služeb jako služba, pro jejíž poskytování je poskytovatel certifikačních služeb akreditován, nebo jako služba, nad jejímž poskytováním je vykonáván dohled podle předpisu Evropské unie

Uznávaná elektronická značka

Nově se díky novele objevuje v zákoně č. 227/2000 Sb., o elektronickém podpisu také pojem „uznávaná elektronická značka“. Dosud zde byl pouze pojem „elektronická značka“, který už v sobě zahrnoval použití kvalifikovaného certifikátu, a to tzv. systémového (aby se jednalo o značku). Nemuselo se ale jednat o kvalifikovaný systémový certifikát od akreditované autority.

Pojem „uznávaná elektronická značka“, zahrnující požadavek na akreditovanou autoritu, se ale v mezidobí objevil v zákoně č. 300/2008 Sb., o elektronických úkonech (a fakticky o datových schránkách), v souvislosti s označování datových zpráv, které prochází skrze ISDS  – a nyní se stejně koncipovaná definice přenáší i do samotného zákona o elektronickém podpisu (zákona č. 227/2000 Sb.).

Zajímavé je, že na úrovni Unie žádné elektronické značky nemají. Budoucí Nařízení evropského parlamentu a Rady je pravděpodobně zavede, ale ne zcela po našem vzoru: jen jako alternativu elektronického podpisu pro právnické osoby a orgány státu, ale ne pro fyzické osoby. Naše elektronické značky však mohou vytvářet i fyzické osoby.

Použití uznávaných podpisů a značek

Konečně poslední věcí, kterou popisovaná novela od 1.7.2012 upravuje, či spíše „napravuje“, je specifikace toho, kde a jak má být používán uznávaný podpis či uznávaná značka. Dosud to bylo řešeno poněkud neurčitě, skrze formulaci „v oblasti orgánů veřejné moci“, což se následně muselo ještě upřesňovat formulacemi jako „to platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám“. Nově  je to rozvedeno mnohem detailněji a přesněji.

Jenže opět: co s tím udělá chystané Nařízení, které hodlá zasahovat nejenom do samotných elektronických podpisů (a značek), ale třeba i do oblasti elektronického doručování, které u nás intenzivně praktikujeme skrze datové schránky? Dopady toho, co a jak za nás rozhodnou v Bruselu, mohou být opravdu významné a dalekosáhlé.

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).