Hlavní navigace

Elektronický podpis: co dál?

Jiří Peterka

Senát minulý týden schválil návrh zákona o elektronickém podpisu. Vlastnoruční (nikoli elektronický) podpis tohoto zákona prezidentem je zřejmě již jen formalitou, a tak je na místě se začít ptát: co bude následovat? Jaké budou další kroky? Kdy se elektronický podpis dostane skutečně do praxe? Píše Jiří Peterka.

Senát minulý týden schválil návrh zákona o elektronickém podpisu. Vlastnoruční (nikoli elektronický) podpis tohoto zákona prezidentem je zřejmě již jen formalitou, a tak je na místě se začít ptát: co bude následovat? Jaké budou další kroky? Kdy se elektronický podpis dostane skutečně do praxe?

Samotné schválení zákona je sice základním krokem na cestě ke skutečnému zavedení elektronických podpisů do běžné praxe, ale není zdaleka krokem jediným. To, co je zapotřebí udělat, si v prvním přiblížení dovolím shrnout následovně:

  • musí být prakticky naplněny předpoklady zákona, který svěřuje určité konkrétní kompetence Úřadu pro ochranu osobních údajů, a také od něj očekává určité konkrétní výstupy a aktivity.
  • zrovnoprávnění elektronických podpisů s vlastnoručními podpisy, které zákon přináší, není úplně dokonalé (někde stále ještě existují výjimky, kdy jiné zákony explicitně požadují papírovou formu a vlastnoruční podpis, a tyto případy bude nutné ještě řešit). Především ale nový zákon vytváří předpoklady, resp. otevírá možnosti, a teoreticky by měl zaručovat, že elektronický podpis nebude v konkrétním případě svého použití odmítnut – ale pro běžnou praxi bude zřejmě nutné určité „nalinkování“, resp. konkrétní návod na to, jak má být s elektronickými podpisy nakládáno. Týká se to především veřejného sektoru, který asi bude vyžadovat určité „popostrčení“ formou vhodného nařízení či prováděcí vyhlášky.
  • největší úkol ale vidím v oblasti osvěty – v tom, aby si konkrétní lidé vůbec uvědomili, co jsou vlastně elektronické podpisy zač, jak se s nimi pracuje, co přinášejí atd. Třeba aby si nemysleli, že si svůj elektronický podpis někde koupí nebo nechají zřídit apod. Z vlastní zkušenosti mohu říci, že ponětí o skutečné podstatě elektronických podpisů je na velmi nízké úrovni, a to i mezi lidmi, kteří jinak se zvládáním informačních technologií nemají žádné problémy. Snad se přes prázdniny dostanu (třeba zde na Lupě) k nějakým osvětovým článkům.
  • v neposlední řadě bude nutné vybudovat celé „zázemí“, o které se bude moci věrohodnost elektronických podpisů opírat. Jde o tzv. PKI (Public Key Infrastructure), součástí jsou zejména poskytovatelé certifikačních služeb (tzv. certifikační autority, které budou konkrétním lidem vydávat jejich certifikáty).

Co vyžaduje zákon

Pojďme se ale v tomto článku seznámit nejprve s formálními předpoklady, které vyplývají ze samotného zákona. Součástí již citovaného „zázemí“ (Public Key Infrastructure) jsou tzv. certifikační autority, nad kterými bdí „dohledový orgán“. Podle dřívějších verzí zákona to měl být samostatný Úřad pro elektronické podpisy, ale poslanci nakonec svěřili příslušné kompetence i povinnosti Úřadu pro ochranu osobních údajů (zkratkou ÚOOÚ, což vypadá spíše jako nový smajlík). Existenci tohoto úřadu požaduje nedávno přijatý zákon o ochraně osobních údajů (č. 101/2000 Sb.), a již existuje i usnesení vlády č. 642 z 21.6.2000 kte­ré specifikuje potřebné kroky k zahájení činnosti tohoto úřadu. Problematika ochrany osobních údajů, jakkoli blízká problematice osobních podpisů, je ale po věcné stránce přeci jen dosti odlišná, a tak bude jistě zajímavé sledovat, jak dobře a také jak rychle se jeden úřad vyrovná se dvěma dosti odlišnými úkoly.

Co se po Úřadu na ochranu osobních údajů konkrétně požaduje (zákonem o el. podpisech), je to, aby vydal prováděcí vyhlášku, podle které se bude posuzovat shoda prostředků a systémů pro práci s elektronickými podpisy. Úřad tedy muset nejprve velmi pečlivě promyslet, jaké konkrétní požadavky vznést, pak je kodifikovat do podoby vyhlášky, a tu vydat. Zákon mu dokonce ukládá povinnost shodu s touto vyhláškou i ověřovat, což znamená že si Úřad bude muset také vybudovat patřičně kvalifikované „ověřovací“ pracoviště, s nezbytným zázemím atd.

Teprve tehdy, až všechno toto bude na místě, budou moci začít fungovat skuteční poskytovatelé certifikačních služeb. Ti sice mohou i bez „požehnání“ Úřadu vydávat „obyčejné“ (ve smyslu: nikoli kvalifikované) certifikáty, ale jejich použitelnost je výrazně omezená (v zásadě jen na situaci, kdy se obě strany dobrovolně dohodnou, že budou takovýmto certifikátům důvěřovat). Pro praktické použití připadají v úvahu především tzv. kvalifikované certifikáty, které jsou zákonem definovány jako

certifikáty, které mají náležitosti stanovené tímto zákonem a byly vydány poskytovatelem certifikačních služeb, splňujícím podmínky, stanovené tímto zákonem pro poskytovatele certifikačních služeb vydávající kvalifikované certifikáty.

Ovšem jednou z podmínek pro toho, kdo by chtěl takovéto kvalifikované certifikáty vydávat, je „posvěcení“ jeho nástrojů a systémů od Úřadu. Zákon o el. podpisu ve svém paragrafu č. 6, bod 1, písmeno j říká, že poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, je povinen:

používat bezpečné systémy a nástroje elektronického podpisu a zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují. Nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou. Toto musí být ověřeno Úřadem pro ochranu osobních údajů (dále jen „Úřad“)

Akreditovaní a neakreditovaní poskytovatelé

Veškerá důvěryhodnost, spojovaná s elektronickými podpisy, je založena jen na použití kvalifikovaných certifikátů, a nikoli jejich (nekvalifikovaných) protějšků, které prakticky nic negarantují. Proto o skutečném používání elektronických podpisů má smysl hovořit až v případě použití kvalifikovaných certifikátů, a ty bude možné používat až teprve poté, co ÚOOÚ vypracuje metodiku, kterou kodifikuje v podobě prováděcí vyhlášky (a tato vstoupí v platnost), a dále ÚOOÚ vybuduje potřebné zázemí pro praktickou validaci systémů a nástrojů (neboli pro ověřování shody s vyhláškou). Teprve pak bude moci začít fungovat „poskytovatel certifikačních služeb vydávající kvalifikované certifikáty“. Uvidíme, jak dlouho vše potrvá, protože jde o velmi závažné a důležité věci.

Zákon ovšem zavádí dva druhy takovýchto poskytovatelů: akreditované a neakreditované. Podstatu „akreditace“ lze chápat jako určité apriorní povolení či schválení, konkrétní definice zní následovně:

akreditací [se rozumí] osvědčení, že poskytovatel certifikačních služeb splňuje podmínky stanovené tímto zákonem pro výkon činnosti akreditovaného poskytovatele certifikačních služeb.

O akreditaci poskytovatelé žádají Úřad, který ji uděluje. Konkrétní požadavky na akreditaci přitom nijak výrazněji nepřesahují požadavky na (neakreditované) poskytovatele, snad kromě zaplacení správního poplatku, takže skutečný rozdíl mezi akreditovaným a neakreditovaným poskytovatelem lze chápat spíše jako rozdíl mezi tím, že neakreditovaný může začít fungovat okamžitě (poté, co jeho systémy a nástroje byly ověřeny Úřadem, viz výše), zatímco akreditovaný až teprve poté, co formálně zažádá o akreditaci a pak ji dostane.

S principem akreditace přitom počítá i direktiva EU o elektronických podpisech, ze které náš zákon ve své nynější podobě vychází. Ovšem direktiva EU předpokládá dobrovolnou akreditací a explicitně říká:

Členské státy nesmí přijmout předpisy stanovující, že provádění certifikačních služeb bude předmětem schvalovacího řízení.
Aniž by tím bylo dotčeno ustanovení odstavce 1, mohou členské státy zavést nebo ponechat v platnosti dobrovolná akreditační schémata, jejichž cílem je zvýšit úroveň poskytování certifikačních služeb. Veškeré podmínky spojené s těmito schématy musí být objektivní, transparentní, úměrné a prosty diskriminace. Členské státy nesmí omezovat počet akreditovaných poskytovatelů certifikačních služeb z důvodů, které jsou mimo rámec této směrnice.

Pravdou je, že direktiva počítá s možností jistého omezení ve veřejnoprávním sektoru:

Členské státy mohou stanovit, že používání elektronických podpisů ve veřejnoprávním sektoru bude vázáno na splnění doplňujících podmínek. Tyto podmínky musí být objektivní, transparentní, úměrné a prosty diskriminace a budou se vztahovat výlučně na specifické charakteristiky daného použití. Tyto podmínky nesmějí vytvářet pro občany překážky při využívání služeb, které překračují státní hranice.

Ovšem náš zákon na to jde poměrně radikálně, když ve svém paragrafu 11 říká:

V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty, vydávané akreditovanými poskytovateli certifikačních služeb.

Nechť si každý zváží sám, zda je tento požadavek na povinnou akreditaci v souladu či v rozporu s požadavky direktivy EU, konkrétně s požadavkem na absenci schvalovacího řízení a na absenci diskriminace. A co si z tohoto pohledu myslet i o následujícím ustanovení našeho zákona o elektronických podpisech (par. 10, bod 6):

Kromě činností uvedených v tomto zákoně může akreditovaný poskytovatel certifikačních služeb bez souhlasu Úřadu působit jen jako advokát, notář nebo znalec.

Snad jen pro úplnost si dovolím zdůraznit, že ani jeden z těchto dvou požadavků se nevyskytoval ve verzi připravené odbornou skupinou, která přepracovávala návrh zákona po jeho původních autorech mezi prvním a druhým čtením v Poslanecké sněmovně (a uváděla jej do souladu s direktivou EU, se kterou se předchozí verze významně rozcházely, podrobněji viz zde). Oba tyto požadavky se do návrhu dostaly až později a byly jedním z důvodů, které odbornou skupinu vedly k vyjádření jejího protestu.

Jak se hlasovalo v Senátu?

Zatímco Poslanecká sněmovna schválila ve třetím čtení návrh zákona o el. podpisu 24. května poměrně přesvědčivou většinou 169 hlasů (ze 186 přítomných), Senát minulý týden již tak přesvědčivý nebyl – z celkového počtu 80 senátorů jich bylo hlasování přítomno pouhých 52, a z těch pak ruku pro zákon zvedlo 33 poslanců (což odpovídá 63 procentům přítomných, zatímco ve sněmovně to bylo 91 procent). Většinou ale se jednalo o zdržení se hlasování, proti byli jen tři senátoři (viz zde): Egon Lánský (ČSSD), Karel Barták (ODA) a Jaroslav Doubrava (nezařazený).

Pan senátor Barták posléze vydal tiskovou zprávu, ve které vysvětlil své důvody pro záporný hlas (plné znění tiskové zprávy si můžete přečíst např. zde): šlo o to, že soudci nejvyššího soudu upozorňovali na některé „formulační nepřesnosti v návrhu zákona obsažené. Ty by údajně mohly při jeho každodenní aplikaci přinášet problémy“. Senát ale nechtěl o této věci vůbec diskutovat (nechtěl otevřít tzv. podrobnou rozpravu), a to byl důvod, proč pan senátor Barták hlasoval tak, jak hlasoval.

Jiří Peterka

Našli jste v článku chybu?

11. 7. 2000 16:17

Pavel Vondruska (neregistrovaný)
a) dovolim si podporit nazory pana Peterky
b) Male připomenuti paragrafu 11
... v oblasti organu verejne moci je mozne pouzivat pouze ...vydavane akreditovanymi poskytovateli certifikacnich sluzeb
No - bojim se, ze v praxi bude trvat velice dlouho, nez se urad zformuje do podoby, kdy bude schopen "kvalifikovane" dohlizet na CA vydavajici kvalifikovane certifikaty (predevsim objektivne validovat prostredky CA).
Co se tyka akreditace - je mozne, ze budeme cekat dlouho, velmi dlouh…



11. 7. 2000 1:18

Jiri Peterka (neregistrovaný)
Rozpor spatruji v tom, ze pozadavek EU na DOBROVOLNOU akreditaci je u nas nahrazen pozadavkem na POVINNOU akreditaci (a tyka se kazdeho poskytovatele certifikacnich sluzeb, ktery chce aby jim vydavane certifikaty mohly byt pouzivany v ramci verejne spravy). Dodatecnymi podminkami, ktere direktiva EU pripousti pro pouziti ve verejne sprave, mohou byt napr. pozadavky na pouziti systemu splnujicich vyssi bezpecnostni tridy, ale IMHO by to nemely byt povinne akreditace. Jestlize se u nas pozadavky n…
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Vitalia.cz: Zeleninové jogurty prý budou hit

Zeleninové jogurty prý budou hit

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání