Elektronický podpis v ČR - legislativní pohled
Problematika elektronického podpisu z pohledu legislativy, jak ji definuje zákoník České republiky. Odpovědi na otázky motivace ke vzniku zákonů o elektronickém podpisu, historie vzniku zákonů o elektronickém podpisu, praktické následky těchto zákonů.
Úvod
Vzniká-li potřeba stvrdit smlouvu či jiné vyjádření napsané na papíru, používá se podpis. Vlastnoruční podpis byl vždy alespoň částečnou zárukou o pravosti listiny a pokud bylo potřeba záruky úplné, zvali se k události podpisu také svědci, přičemž případné problémy s falšováním podpisů, které jsou jistě možné, řeší soud a grafologové a falšování je trestný čin s vyměřenými tresty. Tak to fungovalo a funguje od nepaměti, avšak s příchodem nových zejména informačních a komunikačních technologií se objevily nové způsoby, jak uzavírat smlouvy nebo stvrzovat svá prohlášení. Velký přínos a jednoduchost používání těchto technologií se stal základem jejich oblíbenosti a rozšířenosti, ale začal také klást nemálo otázek o zárukách nezneužitelnosti a bezpečnosti. Samozřejmě jako se dá zfalšovat vlastnoruční podpis, existují způsoby, jak falšovat podpisy elektronické. Bohužel zákony o podpisech v době svého vzniku elektronické podpisy neznaly, takže jistou dobu bylo zfalšování elektronického podpisy beztrestné, což vedlo k tomu, že se elektronické podpisy nepoužívaly. Teprve vzniknuvší legislativa umožnila uvedení elektronických podpisů do běžného užívání, které ovšem ani dosud není tak běžné, jak by mohlo být.
O tom, jaký byl průběh vzniku současného stavu a o důsledcích, které tento průběh měl na schvalované zákony a na smýšlení lidí o elektronickém podpisu, pojednává tento článek.
Minulost a schvalovací proces zákonů o elektronickém podpisu
Jak již bylo řečeno v úvodu, elektronický podpis nebyl uzákoněn odpradávna. Do většího povědomí zákonodárců se dostává asi v druhé polovině devadesátých let 20. století, což přichází samozřejmě v přímé souvislosti s velkým rozvojem internetu v té době. Obchodníci, kteří, jak to tak bývá, vidí obchodní příležitosti dříve než ostatní, začínají volat po zákonech, jenž by jim bezpečně umožnili využívat internet nejen jako prostředek vzájemné komunikace se svými obchodními partnery, ale i jako novou tržní oblast – místo, kde se dají vydělávat peníze. Je zřejmé, že legislativní posvěcení těchto obchodních činností by bylo prospěšné nejen pro ně, nýbrž pro celou společnost a že jediné, co k používání již existujících technických prostředků chybí, jsou zákony.
O krok napřed před českými zákonodárci je v této době Evropská unie a je to pochopitelné, neboť se tehdy jednalo o bohatší a kapitalisticky vyspělejší země, kde i internet byl jako médium již více rozšířen. Pro větší přehled v časových souslednostech přísluší říct, že již 16. dubna 1997 předkládá komise (výkonný orgán Evropské unie) Evropskému parlamentu, Evropské radě, Hospodářskému a sociálnímu výboru a Výboru regionů návrh zásad o Společenství pro elektronické podpisy, který se na půdě Evropského parlamentu projednává a upravuje až do své definitivní podoby Směrnice 1999/ 93/EC Evropského parlamentu a Rady schválené dne 13. prosince 1999. Tak Evropská unie získává závaznou normu pojednávající o problematice elektronického podpisu. To je potřeba vědět pro pochopení problematiky uvedené dále.
Počátky procesu schvalování zákona o elektronickém podpisu v České republice se dají vysledovat až na podzim roku 1999, tedy o malou chvíli dříve, než byla schválena výše uvedená direktiva Evropské unie. Přípravou zákona se jala příslušná instituce, Úřad pro státní informační systém, avšak ti s přípravou zákona nijak nespěchali, přestože na ně tlačil soukromý sektor, pro který byl zákon určen a který se ho již nemohl dočkat. Proces vytváření zákona pomohlo urychlit až Sdružení pro informační společnost (SPIS), jenž první návrh zákona nakonec i vytvořilo a tento návrh byl představen na tiskové konferenci pořádané SPISem dne 23. září 1999. Návrh se díky připomínkám zainteresovaných lidí dále vyvíjel až do podoby předložené parlamentu České republiky 26. ledna 2000. Předložená verze prošla prvním čtením a parlament navrhl vytvoření odborné skupiny, která by návrh uvedla do souladu se směrnicí 1999/ 93/EC, která mezitím nabyla účinnosti na území Evropské unie (Česká republika tehdy ještě nebyla členem Evropské unie). Výsledkem snah vytvořené odborné skupiny byl další, v pořadí již třetí návrh.
Mezi návrhy je mnoho rozdílů, někdy jen malé – víceméně terminologické – někdy však velké, snad až stěžejní. Z rozdílů terminologických jsou nejlepším příkladem za všechny používání termínů jako oprávněná osoba, osvědčení, ověřovatel informací v prvních dvou návrzích oproti termínům podepisující osoba, certifikát, certifikační autorita používaných ve třetí, podle směrnice Evropské unie upravené, verzi návrhu zákona. Viděno z pohledu „deset let poté“ je jasné, které názvosloví zvítězilo, a to přestože v té době byla ještě poměrně velká pravděpodobnost, že používány budou termíny prvně zmíněné. Další a více závažné rozdíly vyplynuly z ne úplně dokonalého pochopení technologií používaných k zajištění elektronického podpisu. V každé verzi se tak liší pochopení způsobu práce s podpisy. Zatímco první verze uvažuje používání elektronického podpisu podobně jako používání běžných razítek, tedy ukládá povinnost nakládat s podpisem (na nějž je posléze podobně jako na razítko vystaveno osvědčení) opatrně a jen oprávněným osobám, druhá upravená verze bere za zaručený elektronický podpis jen takový, který je unikátní pro každý podepisovaný dokument a vzniká jednorázově (opět na ověřovatelem osvědčeném programu). Konečně třetí verze rozlišuje mezi prostředky tvorby podpisu a jeho jednotlivými náležitostmi, což znamená, že podpis není osvědčen až po vytvoření, nýbrž existuje certifikační autorita s ustanoveným programem, která vydává již osvědčené podpisy, respektive certifikáty, jejichž pomocí si každý může podepisovat libovolná data libovolným způsobem (rozuměj programem). Opět není těžké poznat, která verze se dnes používá.
Důležitým atributem elektronického podpisu je také vlastnictví. I zde nacházíme odlišné přístupy jednotlivých verzí, zvláště pak mezi prvníma dvěma a třetí, upravenou podle směrnice Evropské unie. Ta považuje za autora (či vlastníka) podpisu osobu, jejíž jméno je uvedeno v příslušném certifikátu, takže nezáleží na tom, kdo podpis vystaví, ale jen na tom, čí certifikát byl pro podpis použit. Naopak u prvních dvou verzí vytvořených z myšlenek a podmětů sdružení SPIS je vlastníkem ten, kdo podpis vystaví, tedy například i sekretářka, která spravuje korespondenci svého šéfa.
Z uvedených rozdílů a dnešních znalostí je zřejmé, který návrh se nakonec ujal a že to byla právě třetí verze, která se terminologicky i koncepčně řídí směrnicí Evropské unie. Tento návrh přišel na své první čtení 7. března 2000 a postupně s malými úpravami prošel přes i přes finální třetí čtení (24. května 2000, schválen 169 z 186 hlasy), senát i prezidenta. Dala se tak přednost společnému evropskému konceptu před neosvědčeným českým pokusem.
Zákon č. 227/2000 Sb., o elektronickém podpisu platí dodnes. V roce 2006 nabyla účinnosti také vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb.
Malá odbočka k sousloví elektronický podpis
Jiří Peterka ([1]), upozorňuje na termín elektronický podpis a zdánlivou nelogičnost jeho používání v porovnání s termínem digitální podpis, který se více ustálil na americkém kontinentu. Podobnost obou termínů je zřejmá a velké množství lidí tyto termíny zaměňuje, což sice není chyba z pohledu významového či dorozumívacího, avšak z pohledu legislativního se o chybu jedná, protože zákoník České republiky mluví pouze o podpisu elektronickém. Abychom problém názvosloví pochopili, je třeba se blíže podívat na význam obou přívlastků podpisu, tedy na význam slov elektronický a digitální. Třebaže v sousloví se slovem podpis platí určitá míra jejich ekvivalence, bez něj již tomu tak není. Pokud je něco elektronické, je to závislé na technologii používající elektřinu reprezentovanou veličinami jako proud nebo napětí. Peterka to upřesňuje ještě více a říká, že informace (což podpis ve své elementární podobě jistě je) je elektronicky vyjádřitelná pomocí různých hodnot napětí, které reprezentují binární (digitální) číslice 0 a 1. Pojem digitální sice také vyjadřuje reprezentaci informace binárními číslicemi, avšak nejen to, že jsou tyto číslice zaznamenány elektronicky. Binární číslice totiž mohou být zaznamenány i například opticky nebo analogicky na magnetické pásce. Řekneme-li tedy digitální, zabíráme více pojmového prostoru, jinými slovy slovo digitální má širší význam.
Proč tedy ne digitální podpis, ale elektronický podpis, když se jedná o pojem konkrétnější a vztahující se jen na jednu použitelnou technologii, která je schopna hodnotu informace podpisu uchovat? I Peterka se nad tím zamýšlí a dochází k názoru, že při vzniku zákona, či spíše směrnice 1999/ 93/EC Evropského parlamentu, tvůrci špatně pochopili smysl významu digitální, který se uváděl v odborné literatuře týkající se digitálního podepisování a domnívali se (či se ještě domnívají?), že pojem digitální se vztahuje jen k technologii založené na asymetrickém šifrování a chtěli, aby vytvářené nařízení bylo co nejobecnější. Po přečtení předchozího odstavce je už však všem jasné, že udělali přesně to, čemu se chtěli vyhnout.
Mezidobí bez vyhlášky v letech 2000 až 2006
V letech 2000 až 2006, kdy již platil zákon č. 227/2000 Sb., o elektronickém podpisu, sice bylo definováno, jak se bude s elektronickým podpisem pracovat, ale až na výjimky s ním nikdo pracovat nechtěl či dokonce nemohl. Výjimkami jsou myšleny smluvně ujednaná použití technologií digitálního podpisu, tedy taková, kde se dvě strany dohodli na určitém způsobu vzájemné komunikace zabezpečené digitálním či elektronickým podpisem. Je nabíledni, že taková komunikace vlastně žádný zákon nepotřebovala, ani dosud nepotřebuje a záleží jen na domluvených podmínkách uvedených ve smlouvě. Příkladem jsou jisté banky, například Živnostenská, které svým klientům umožnily komunikaci podpořenou digitálním podpisem. V pojmosloví zákona o elektronickém podpisu jsou takové banky certifikační autoritou a zároveň podepisující osobou. Často ovšem takový vztah vytvořit nelze, protože stojí nemalé úsilí, zajistit důvěrnost elektronických podpisů a mnoho institucí nemá prostředky, aby k tomu ono úsilí vynaložilo. Vzniká situace, kdy jsou sice stanoveny legislativní podmínky pro používání elektronického podpisu, ale ty nejsou kontrolovatelné, přičemž neexistuje ani norma na vydávání osvědčených certifikátů. Jinými slovy neexistují záruky, že používaný elektronický podpis má všechny požadované náležitosti, a proto panují obavy před jeho používáním.
Je potřeba určit, co smí a nesmí certifikační autorita vykonávat a jak musí při vytváření certifikátů postupovat. Dále je potřeba definovat, jak správnost elektronického podpisu kontrolovat a kdo tuto kontrolu má provádět.
Samozřejmě nic z toho není jednoduché jednoznačně definovat, ani není možné převzít tyto definice od jiného státu, protože i jinde se odpovědi na podobné otázky teprve hledají. Navíc se vše musí navrhnout tak, aby to vyhovovalo potřebám České republiky a zároveň odpovídalo požadavkům, které na členské státy kladla Evropská unie, protože Česká republika se v té době o členství v Evropské unii ucházela. Zhotovením vyhlášky, která nalezne odpovědi na nastolené otázky a určí závazná pravidla pro práci s elektronickým podpisem, byl pověřen Úřad pro ochranu osobních údajů (UOOU) a vzniká komise odborníků na jednotlivá dílčí témata, jejíž práce bude základním kamenem vznikající vyhlášky.
Vyhláška však automaticky nezavede používání elektronického podpisu na úřady a neseznámí sama o sobě úředníky a úřednice jeho s používáním. Je také potřeba vybudovat infrastrukturu zajišťující akreditaci certifikačních autorit, vydávání certifikátů, formuláře a další služby umožňující bezproblémové fungování elektronického podepisování. Zkrátka uvedení elektronických podpisů do všeobecného používání institucemi a úřady je věc nelehká.
Úřad pro ochranu osobních údajů postupuje v celé věci pomalu a opatrně, tak aby neudělal žádnou chybu, protože i sebemenší pochybení se může neblaze projevit na celé infrastruktuře elektronického podpisu. Vyhláška č. 366/2001 Sb. k e-podpisu tak spatřuje světlo světa v říjnu roku 2001 a snaží se určovat kvalitu poskytovatelů certifikačních služeb, na něž klade poměrně přísné podmínky. Je i dále rozvíjena, například stanovením požadavků na kryptografické funkce nástrojů elektronického podpisu.
V dalších letech se postupně vytváří doprovodné zákony a normy, které umožňují uvedení elektronického podpisu na úřední orgány, z nichž za zmínku stojí hlavně nařízení vlády č. 495/2004 Sb. k e-podatelnám, které se vztahuje k zákonu 227/2000 Sb., o elektronickém podpisu. Proces legitimace elektronických podpisů ukončuje vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, která se však zabývá i požadavky na nástroje elektronického podpisu a požadavky na ochranu dat při vytváření elektronických značek. Tato vyhláška mimo jiné ruší platnost vyhlášky 366/2001 Sb. k e-podpisu, neboť ta se ukázala po celých pěti letech platnosti jako nedostačující a nová vyhláška ji plně nahrazuje.
Současný stav a veřejné mínění
V současnosti jsou tedy podle ministerstva vnitra stěžejní tyto právní normy (seřazeno podle data vzniku):
- Zákon č. 227/2000 Sb., o elektronickém podpisu
- Nařízení vlády č. 495/2004 Sb, kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů
- Vyhláška č. 496/2004 Sb. k elektronickým podatelnám
- Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb
O zákonu č. 227/2000 Sb., o elektronickém podpisu bylo mnoho řečeno již v předchozí kapitole, přesto se hodí zopakovat, že zákon upravuje používání elektronického podpisu jako hodnotného ekvivalentu podpisu vlastnoručního. Pozdější novelizace zákona jej upravují dle měnících se požadavků a technologickému pokroku. Například novela č. 440/2004 Sb. zavádí do zákona nový pojem, kvalifikované časové razítko, což je zákonné opatření, díky kterému je dnes nutno prokazovat platnost elektronického podpisu při podepisování dokumentu. Dále jsou zavedeny tzv. elektronické značky, pro potřeby právnických osob a státních orgánů. Nejnověji pak 15. dubna 2010 nabyla účinnosti novela č. 101/2010 Sb., přidávající Ministerstvu vnitra povinnost zveřejňovat seznam akreditovaných certifikačních služeb a všem státním orgánům povinnost uznávat certifikáty vydané ve zbylých státech Evropské unie.
Nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů, stanovuje povinnost státních orgánů zřizovat e-podatelny a vybavit kompetentní zaměstnance ověřenými elektronickými podpisy, přičemž bude zajištěna i ochrana zpracovávaných osobních údajů.
Vyhláška č. 496/2004 Sb. k elektronickým podatelnám navazuje na nařízení vlády č. 495/2004 Sb. a má sloužit jako návod pro splnění všech podmínek daných zmíněným nařízením vlády.
Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb upravuje postupy při vydávání certifikátů a časových razítek. Dále obsahuje požadavky na ochranu údajů, zejména soukromých klíčů.
Praxe
Elektronický podpis přináší svému majiteli řadu výhod, především pak při komunikaci se státními orgány, avšak je dostupný jen fyzickým osobám. Pro právnické osoby existují elektronické značky, které jsou ovšem dražší. Elektronický podpis je však cenově dostupný, ale cena se u jednotlivých certifikačních autorit liší a nejlepší je se o cenách informovat u nich. V České republice existují dosud tři akreditované certifikační autority. Jsou jimi
- Česká pošta s.p. / Postsignum (http://qca.postsignum.cz/)
- První cetifikační autorita a.s. (http://www.ica.cz/)
- Eidentity a.s. (http://www.ie.cz/)
Zákon č. 227/2000 Sb., o elektronickém podpisu však dovoluje při komunikaci se výkonnými orgány České republiky používat certifikáty vydané akreditovanou certifikační autoritou jakéhokoliv členského státu Evropské unie.
Získání elektronického podpisu u jedné z certifikačních autorit by měla být záležitost vyplnění nejvýše několika formulářů a ověření identity občanským průkazem. Doba mezi žádostí a možností prvního využití podpisu nebude ani v nejhorších případech delší než několik dní, spíše však se bude jednat o řádově hodiny.
S platným elektronickým podpisem od akreditované certifikační autority se pak dá bezproblémově elektronicky komunikovat s celou řadou orgánů státní moci. Příklady využití budiž nejrůznější daňová přiznání třeba přiznání k dani z nemovitosti, k dani z příjmů fyzických nebo právnických osob nebo k silniční dani. Také lze elektronicky komunikovat s celou Českou správou sociálního zabezpečení, všemi či téměř všemi ministerstvy a s pracovišti, která se k nim vztahují (ku příkladu s Finančním úřadem apod.).
Výhoda elektronického podpisu spočívá také v tom, že je z principu umožněno jeho vícenásobné použití, což je velká výhoda oproti vlastnoručnímu podpisu, který se musí notářsky ověřovat jako unikát.
Také pro nově uzákoněné a do provozu uvedené datové schránky je elektronický podpis nutnou náležitostí. Pokud se tak obě technologie používají a používají se správně, nemusí už vlastník podpisu chodit na žádné úřady, neboť se vše dá vyřídit elektronicky.
Druhá malá odbočka tentokrát k elektronickým značkám
Všímavý čtenář si jistě všiml, že zde několikrát bez vysvětlení zazněl pojem elektronická značka. Elektronické značky zavádí novela č. 440/2004 Sb., která mění zákon č. 227/2000 Sb., o elektronickém podpisu. Jedná se o mechanismus technologicky naprosto stejný jako elektronické podpisy, avšak s rozdílem v právním ustanovení. Protože elektronický podpis mohou používat jen fyzické osoby, byla potřeba stejné principy poskytnout i osobám právnickým, respektive institucím, které potřebují automaticky rozesílat autorizované zprávy. To bylo do uzákonění elektronických značek možné jen ručně tak, že zprávu někdo označil svým elektronickým podpisem.
Jak již bylo řečeno, platí pro elektronické značky z technologického hlediska všechno, co platí i pro elektronické podpisy. Z pohledu finančního jsou sice elektronické značky mnohem dražší, ale opět je jejich cena jednorázová pro celou škálu podepisovaných zpráv a jedna organizace může jednu elektronickou značku používat pro veškerou svou korespondenci.
Veřejné mínění o elektronickém podpisu
Přestože je elektronický podpis již poměrně stará technologie a také zákon o elektronickém podpisu je v zákoníku již přes deset let, není elektronický podpis v České republice příliš rozšířen. Přitom internet už se rozšířit podařilo a používá jej velká část české populace. Příčinou je pravděpodobně nedůvěra v elektronicky uskutečněný přenos nebo zakotvená představa především starších generací občanů, že osobní jednání, přestože řádně vystáté přímo na úřadě, je nejlepší cestou, jak úřední náležitosti vyřizovat.
Informovanost veřejnosti totiž není nijak závratná, a to přestože bylo v minulosti uskutečněno několik mediálních kampaní s cílem informovat o elektronickém podpisu. Podle průzkumu se 114 respondenty, který učinila Ivana Lukasikova [3] na začátku dubna roku 2010, jen pouhá čtvrtina respondentů uvedla, že ví přesně, co elektronický podpis znamená, z čehož lze usuzovat, že ví i jak jej používat. Dále se z průzkumu dozvíme, že polovina lidí tuší, co to elektronický podpis je a může se to zdát optimistické, ale není, když uvážíme, že pouhá představa o elektronickém podpisu může být značně zkreslující. Lidé si obecně představují, že elektronický podpis znamená, že se pomocí klávesnice počítače podepíší (podobně jako vlastnoručně) a nějakým způsobem přes počítač jejich podpis potvrdí. Pojmy jako certifikát, certifikační autorita nebo asymetrické šifrování nejsou ještě ustáleny ve všeobecném podvědomí a pokud jsou, většinou zkresleně a nevystihujíc skutečný význam těchto pojmů. Ovšem jsou to právě tyto pojmy, které stojí v pozadí celého elektronického podpisu a jejichž pochopení predikuje právě pak pozdější jednoduché použití elektronického podpisu, kdy opravdu stačí jen stisknout tlačítko ovládající počítač, čímž se dokument podepíše. Stojí tu tak proti sobě dva extrémy – obtížné pochopení a příprava proti velmi jednoduchému používání. Pokud to vztáhneme zpět k průzkumu, potom lze říct, že polovina respondentů o této záležitosti neví a připočteme-li i poslední čtvrtinu respondentů, kteří o elektronickém podpisu jen něco zaslechli nebo o něm neví vůbec nic, vyjde nám, že Česká veřejnost je o elektronickém podpisu zásadně neinformovaná.
Ze zmíněného průzkumu také vyplynulo, že přes 80% lidí si myslí, že je státní správa dostatečně neinformuje, což by i odpovídalo obecné neinformovanosti, avšak může to vypovídat i o neochotě aktivně informace přijímat. Podobné procento z lidí, kteří se zúčastnili průzkumu a nepoužívají elektronický podpis, odpovědělo, že elektronický podpis nepotřebují. To je samozřejmě pravdivé tvrzení, protože mají možnost papírové komunikace, ovšem opět to může vypovídat o malé informovanosti veřejnosti, jež neví, jaké výhody elektronický podpis poskytuje, a proto si myslí, že jej nepotřebují.
V oblasti všeobecné informovanosti mají tedy orgány výkonné moci v České republice co dohánět. Je ale také pravdou, že všechny informace o elektronickém podpisu k dispozici jsou a kdo chce, vždy najde dostatek informací k tomu, aby elektronický podpis začal úspěšně používat.
Závěr
Článek popisuje Českou legislativní cestu k uzákonění elektronického podpisu, která začala roku 1999 a přes několik mezníků úspěšně zavedla elektronický podpis do sbírky zákonů České republiky. Také mezitím poodkrývá závadu v názvosloví zákona, která je převzata z názvosloví směrnice Evropské unie. Dále popisuje platné zákony a jejich praktické použití, jmenuje akreditované certifikační autority a rozjasňuje pojem elektronická značka. Důležitým dílem článku je i zmínka o stavu veřejného vnímání elektronického podpisu.
Cílem článku bylo krátce a v lehkosti informovat o minulosti i současnosti elektronického podpisu. Budoucnost, která v článku chybí, však víceméně vyplývá právě z minulosti a současnosti. Elektronický podpis se pravděpodobně bude nadále používat a jeho oblíbenost poroste, sic růst oblíbenosti nebude pravděpodobně nijak strmý. I to by se však mohlo změnit, pokud by byla pozornost zaměřena na co největší informovanost veřejnosti o tom, co to elektronický podpis je, jak funguje a jak se používá.
Zájemci o informace, které v článku nebyly nalezeny, nechť prostudují především informační díla autora Jiřího Peterky, který se tímto tématem dlouhodobě zabývá.