Další (v pořadí již třetí!) novela zákona o elektronickém podpisu

Dne 24. června 2004 schválila Poslanecká sněmovna zatím jednoznačně nejrozsáhlejší novelu zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů. Poslanci tuto novelu (naštěstí) přijali se všemi pozměňovacími návrhy Senátu. Vyjma oprav některých předchozích chyb zákon řeší problematiku poměrně různorodou.

Není jistě jen zajímavou náhodou, že zákon o elektronickém podpisu byl, resp. bude od konce roku 2000 (kdy nabyl účinnosti) změněn přesně tolikrát, kolik let existoval. Zákon o elektronickém podpisu bohužel již od svého vzniku reprezentoval spíše tu skupinu právních předpisů, která byla přijímaná s heslem „Podstatné není, jak kvalitní je přijatý právní předpis, ale v jak krátké době a s kolika posbíranými politickými body je přijímán“. Zákonodárce si totiž není vždy vědom toho, že právní norma je dále studována, vykládána a ve svém důsledku pak zejména aplikována v každodenní praxi (ať již úřední, soudní, advokátní či jiné). V zásadě jakýkoliv, byť sebemenší, formulační nedostatek právní normy pak má za následek, že se jím tato praxe zatěžuje, vyvolává četné spory o výklad, zbytečné polemiky a porady o skutečném obsahu právního předpisu či jeho jednotlivých právních norem. Nejinak tomu bylo i v případě zákona o elektronickém podpisu.

V případě, že je právní předpis nekvalitní, začne se obvykle připravovat jeho novela, což obyčejně (v případě vládních návrhů) zabere téměř celý rok. Adresáti takových předpisů (což jsme obvykle my všichni) pak mají možnost zaznamenat stav, který jeden z mých kolegů často nazývá „sebedestrukcí právního řádu“, čímž poměrně trefně vystihuje situaci, kdy zákonodárce krátce po té, co právní předpis přijal, tento předpis ruší či mění (přičemž někdy tak činí dokonce ještě dříve, než tento přijatý předpis vůbec vyjde ve sbírce, a tedy i dříve, než vůbec může nabýt platnosti a účinnosti).

Stručně k původním nedostatkům zákona

Schůzek, konferencí a různých porad, které se zabývaly mírou (ne)kvality tohoto zákona, bylo nepočítaně, a publikovaných názorů, vzhledem k pozornosti, které elektronický podpis v odborné literatuře získal, pak také. Sporné výklady a názory nakonec vyústily v nemalou reakci v podobě počinu Ministerstva práce a sociálních věcí ČR (MPSV), které právě z důvodů nejasnosti některých ustanovení tohoto zákona zastavilo zásadní projekt zavádění elektronického podpisu do státní správy. Poměrně rychle byla tedy opuštěna do té doby dosti rozšířená představa, že zavedení elektronických podpisů do běžné praxe je jakousi jednorázovou záležitostí, kterou lze zajistit přijetím jednoho konkrétního zákona, navíc ještě takto nekvalitního. Stále markantněji se totiž ukazuje, že půjde o proces podstatně složitější a o poznání dlouhodobější. Této nepříliš jasné situace si zjevně povšimla také Vláda České republiky, která dne 9. ledna 2002 přijala usnesení č. 20 k Zelené knize o elektronickém obchodu, jehož obsahem byl mimo jiné i její závazek novelizací konkretizovat vybraná ustanovení zákona o elektronickém podpisu. K podobným závazkům se pak vláda přihlásila i v dalším významném dokumentu – Bílé knize elektronického obchodu, která zmiňovala čtyři problémové oblasti:
  • absenci kompatibility zákona s právem ES,
  • absenci tzv. časových razítek v zákoně,
  • možnost používání zahraničních certifikátů v režimu našeho zákona (stávající zákon obsahuje totiž stále požadavek, aby byl kvalifikovaný certifikát vydán v ČR),
  • problematiku elektronického „podepisování“ zpráv, tj. bez přímé účasti člověka.

S ohledem na výše uvedené, jakož i na nově vzniklou agendu Ministerstva informatiky, začal právě na půdě Ministerstva informatiky vznikat návrh novely zákona o elektronickém podpisu (dále jen návrh). O nedostatcích původního verze zákona jsem na Lupu již jednou psal (a to zde), a pokusím se tedy neopakovat. Pouze podotýkám, že předmětná novela skutečně některé z původních problémů poměrně obstojně řeší.

Co novela zákona tedy vlastně obsahuje

Předmět úpravy samotného návrhu lze rozdělit do několika oblastí. První z nich je již výše zmíněná snaha o dosažení plné kompatibility s právem ES, resp. se Směrnicí 1999/93/ES Evropského parlamentu a Rady o zásadách Společenství pro elektronické podpisy (směrnice 1999/93/ES). Tuto směrnici, ačkoli v době přijímání tohoto zákona již existovala, se dosud nepodařilo do našeho právního řádu implementovat (byť již původní text zákona tvrdil, že je s touto směrnici kompatibilní). Další oblastí je zejména zavedení nového institutu časových razítek, resp. kvalifikovaných časových razítek. Právě neexistence časových razítek byla poměrně často této právní úpravě vytýkána, a to zejména z řad odborníků z praxe. Význam časových razítek totiž spočívá ve skutečnosti, že při elektronické komunikaci lze považovat za nezbytné přesné určení existence zprávy v čase. Právě v souvislosti s elektronickým podpisem může být totiž velmi významný údaj, že podepsaná datová zpráva existovala v době platnosti certifikátu, na kterém je elektronický podpis založen, resp. zda byla podepsána dříve, než byl certifikát zneplatněn.

Elektronické značky

V návrhu se dále objevuje rovněž poměrně zajímavé zakotvení možnosti používat tzv. elektronické značky, což je jakési označení datové zprávy označující osobu bez předchozí kontroly vlastního obsahu, pokud tato osoba iniciovala funkci prostředku pro jejich vytváření a vymezila pravidla pro výběr zpráv, které mají být označeny. Přínos zakotvení možnosti jejich používání spočívá patrně ve skutečnosti, že na rozdíl od zaručeného elektronického podpisu, který vytváří fyzická osoba vždy pro jednu určitou datovou zprávu, mohou být elektronickými značkami datové zprávy označovány tak, že je iniciována funkce prostředku, který je vytváří, a označování datových zpráv může probíhat bez další přímé součinnosti označující osoby. V tomto ohledu se tedy předpokládá, že elektronické značky budou využívány v agendách týkajících se například celních řízení, při vydávání elektronických výpisů z úředních databází, při potvrzování přijetí elektronických zpráv apod.

Časová razítka

Jedním z dalších takových pilířů tohoto návrhu je rozšíření okruhu služeb, které poskytovatelé certifikačních služeb zajišťují a na jejichž poskytování se stanovují požadavky. V tomto případě stojí za zmínku zejména již výše zmíněné vydávání časových razítek, různých systémových certifikátů nebo prostředků pro bezpečné vytváření elektronických podpisů. V souvislosti s tím je vhodné zmínit i nově stanovené povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných časových razítek, kde je nezbytné zdůraznit povinnost poskytovatele zajistit, aby časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka, a dále přijmout odpovídající opatření proti padělání kvalifikovaných časových razítek. Ministerstvo informatiky v budoucnu vydá (a již i připravuje) prováděcí vyhlášku, kterou budou upřesněny podrobnosti vydávání časových razítek.

Elektronické podatelny

Jednou z dalších, vzhledem k celému obsahu pak poměrně průřezových, oblastí tohoto návrhu, je oprava předchozích legislativně-technických či věcných chyb dosud platné právní úpravy. V tomto ohledu je zde rovněž o poznání lépe než v předchozím případě vhodně upřesněna povinnost orgánů veřejné moci přijímat a odesílat zprávy (§11), které jsou podepsány uznávaným elektronickým podpisem prostřednictvím definice zvláštních pracovišť – elektronických podatelen. V původním znění byl tedy §11 tohoto zákona formulován značně nejednoznačně a neostře, což bylo vzhledem ke klíčové povinnosti, kterou tento paragraf zaváděl vskutku na pováženou. Ustanovení (§ 11), byť obsahovalo pouze jedinou větu, původně stanovilo, že „v oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb“. Byl zde tedy použit velmi neostrý pojem „oblast“ orgánů veřejné moci a v některých případech tedy bylo sporné, zda bylo nutno používat tuto (jistě důvěryhodnou, avšak také nákladnou) formu podpisu i tam, kde s takovým orgánem pouze komunikuje soukromý subjekt – fyzická osoba (např. v souvislosti s podáváním daňového přiznání). V tomto smyslu se rovněž počítá s vydáním prováděcí vyhlášky pro elektronické podatelny, a tím tedy vytvořením možnosti jednotného postupu pro dosažení potřebné (požadované) bezpečnosti. Zákon tak stanoví, že „orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1 prostřednictvím elektronické podatelny“. V § 20 odst. 4 je určeno, že Ministerstvo informatiky stanoví vyhláškou strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, a postupy orgánů veřejné moci uplatňované při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny. Doufejme, že vyhláška bude technologicky dostatečně neutrální a tím umožní i širší škálu různých způsobů řešení.

CIF16

Závěrem

Parlamentem schválený návrh novely tohoto zákona byl v současné době postoupen k podpisu prezidentovi republiky, kde se očekává jeho brzký podpis. Platnosti a účinnosti by měl nabýt okamžikem vyhlášení ve Sbírce zákonů.

Návrh (resp. téměř již zákon) však rozhodně nejen že směřuje k odstranění některých dřívějších legislativních a věcných nedostatků předmětné právní úpravy, ale bezesporu se také snaží nabídnout částečně i nový rámec (koncepci) elektronického podepisování v ČR, a to i se světem. Zároveň jen doufám, že výše uvedený počin Ministerstva informatiky (který, jak jsem již zmínil, považuji za poměrně zdařilý), povede ke změnám celé řady dalších zákonů, které ať přímo (výslovně) či nepřímo (ani výkladem) elektronické podepisování neumožňují, respektive je nutno minimálně stejně vést paralelně listinnou (rozuměj papírovou) dokumentaci. Stávající stav je stále velmi vzdálený tomu, v co jsem před více jak třemi lety v souvislosti s mediální kampaní kolem el. podpisu doufal. Teď jen doufám, že jsme alespoň na dobré cestě. Moc jistý si tím ale nejsem.

Anketa

Myslíte, že nový zákon spustí hromadné užívání elektronického podpisu?

13 názorů Vstoupit do diskuse
poslední názor přidán 12. 7. 2004 13:25

Školení: Práce s leady v digitálním prostředí

  •  
    Jaké online kanály používat pro získání leadu
  • Jakým způsobem pracovat s leady
  • Jak vyhodnocovat a optimalizovat efektivitu

Detailní informace o školení Práce s leady v digitálním prostředí »