Hlavní navigace

Kdy bude elektronický podpis

Jiří Peterka

1. října tohoto roku vstoupil v platnost nový zákon č. 227/2000 Sb. o elektronickém podpisu. Znamená to snad, že od tohoto dne se již můžeme všichni a všude podepisovat rovněž elektronicky? Odpověď by mohla znít: ano i ne. Něco je skutečně možné již dnes, zatímco na jiné možnosti si budeme muset ještě počkat.

Používání elektronických podpisů místo klasických podpisů vlastnoručních je záležitostí, která má významné aspekty technologické i právní. Vychází z určitého stavu rozvoje technologií (nejen kryptografie jako takové, ale i informačních technologií obecně), které již delší dobu umožňují používat elektronické podpisy jako určité „technologické řešení“ – tedy podepisovat digitálně cokoli, co má podobu digitálních dat (například nejrůznější dokumenty, zprávy, ale třeba i WWW stránky, zvukové a obrazové záznamy apod.).

Technologické řešení je skutečně již delší dobu k dispozici, se všemi věcnými důsledky, které elektronické podpisy přináší – mj. spolehlivé zjištění autora (tzv. identifikace a autentikace), rozpoznání toho, zda podepsaný objekt nebyl od podpisu změněn (integrita) atd. Ten, kdo těmto přínosům důvěřuje a chce je využívat, k tomu nepotřebuje žádný zákon (samozřejmě pokud stejný přístup má i druhá strana, se kterou komunikuje).

Proto již dnes, přesněji již delší dobu, je možné používat elektronické podpisy v praxi, například ve vzájemném styku komerčních subjektů. Dokonce již existují, a to i u nás, tzv. certifikační autority (podle nového zákona poskytovatelé certifikačních služeb), které zájemcům vydávají tzv. certifikáty – což jsou nutné „ingredience“ potřebné nejen k tomu, aby se někdo mohl elektronicky podepisovat, ale také k tomu, aby si kdokoli jiný mohl podpis sám ověřit (podrobnější vysvětlení by bohužel vydalo na celý článek). Jeden malý příklad za všechny: na používání elektronických podpisů je založeno již delší dobu úspěšně fungující internetové bankovnictví (bývalé) IPB a Živnobanky.

Proč je nutný zákon o elektronickém podpisu?

Jiná situace však nastane, pokud není statut elektronického podpisu explicitně přijat všemi zúčastněnými subjekty (u citovaného příkladu s internetovým bankovnictvím IPB a ŽB je příslušný úkon realizován skrze uzavřenou smlouvu mezi bankou a jejím klientem). Jedním z důvodů může být to, že některá ze stran nedokáže sama věcně posoudit vlastnosti elektronických podpisů i všechny související aspekty, a tak potřebuje „něco“, o co by se mohla „opřít“. Jiné subjekty zase mohou odmítat elektronické podpisy ne proto, že jim dostatečně nerozumí či nevěří, ale proto, že jim nikdo nenařídil je akceptovat, či jim to pravidla jejich vlastního fungování neumožňují. Dále, mnoho praktických úkonů má náležitosti stanovené a tvrdě vyžadované zákony, které pohříchu dosud neměly nejmenší potuchy o technologické možnosti elektronického podepisování a o důsledcích, které to má či může mít.

Tyto i četné další důvody¨, které by jistě bylo možné nalézt, vedou k potřebě dát elektronickým podpisům a možnosti jejich používání vhodný právní rámec, neboli zakotvit jejich existenci, významné vlastnosti a zásady fungování přímo v zákoně. Pak je možné stanovit určitou minimální „laťku“, kterou musí elektronické podpisy splňovat, aby bylo možné se na ně dostatečně spolehnout. Stejně tak je díky zakotvení el. podpisů v zákoně možné vytvořit mechanismy zajišťující, že této „laťky“ bude skutečně dosaženo – což zahrnuje požadavky kladené nejen na používané postupy a nástroje, ale i na činnost subjektů, které chtějí podle tohoto zákona fungovat a nějakou měrou se na možnosti používání elektronických podpisů podílet (zde jde zejména o již zmiňované certifikační autority a o certifikáty, které vydávají). Dále je možné, díky zakotvení elektronických podpisů v zákoně, jim přidělit potřebný právní statut (stejný jako u podpisu vlastnoručního), a také se postarat o praktické naplnění tohoto statutu, včetně ošetření situací, kdy jiné konkrétní zákony vyžadují podpis vlastnoruční (papírový).

Co zákon řeší a co neřeší

Zákon č. 227/2000 Sb., který právě včera vstoupil v platnost, je zákonem, který elektronickým podpisům dává tolik potřebný „právní rámec“. Po prvotních pokusech koncipovat tento právní rámec zcela nezávisle na technologické realitě a odlišně od způsobu, jakým je vše řešeno v zemích EU, nakonec zvítězil zdravý rozum – náš zákon je kompatibilní s direktivou EU, s reálnou praxí i s celkovým duchem řešení problematiky elektronických podpisů v rámci EU. To je samozřejmě velmi důležité nejen proto, že do EU směřujeme, ale také proto, že chceme, aby „naše“ elektronické podpisy byly kompatibilní s podpisy používanými v zahraničí a mohly být tudíž i recipročně uznávány.

Náš zákon o elektronickém podpisu je ale nutné chápat jen jako „rámcovou úpravu“, která specifikuje vše v hlavních a zásadních rysech, zatímco konkrétní detailní rozpracování některých aspektů ponechává na podzákonných normách. Když už jsem použil příměr s „laťkou“, pak si lze představit, že zákon stanovuje výši této laťky, ale ponechává na podzákonných normách specifikaci konkrétního způsobu, jakým předepsané výšky dosáhnout (i jak ověřit, že byla skutečně dosažena). Takový přístup přitom není žádnou naší specialitou, obdobně se vše řeší i jinde (hlavně v EU, které nás musí zajímat nejvíce).

Zákonodárci pověřili příslušnými kompetencemi v oblasti elektronických podpisů nedávno vzniklý Úřad pro ochranu osobních údajů, ustanovený z titulu zákona č. 101/2000 Sb. o ochraně osobních údajů – nejspíše v domnění, že obě problematiky si jsou velmi blízké a kladou stejné požadavky na svůj „dozorčí orgán“. V praxi tomu tak úplně není, ale již se stalo a tak přejme ÚOOÚ, aby se úspěšně zhostil svých úkolů v obou oblastech současně.

Pokud jde o elektronické podpisy, zde je ÚOOÚ zákonem konkrétně zmocněn k vydání dvou prováděcích vyhlášek, vztahujících se k paragrafům 6 a 17 zákona. Konkrétně jde o stanovení požadavků kladených na tzv. poskytovatele certifikačních služeb (certifikační autority) a dále požadavků na prostředky, které budou v souvislosti s elektronickými prostředky používány.

Kdy bude možné začít?

Nový zákon o el. podpisech stanovuje, že poskytovatel certifikačních služeb, který chce začít fungovat a vydávat tzv. kvalifikované certifikáty (neboli certifikáty splňující požadavky zákona, tj. dosahující zákonem stanovené „laťky“) , tak může začít činit 30 dnů poté, co tento svůj záměr nahlásil Úřadu pro ochranu osobních údajů. Podle toho by první takoví poskytovatelé mohli začít fungovat k 1. listopadu (pokud svůj záměr ohlásí hned k začátku října), aniž by museli čekat na to, až Úřad vydá příslušné prováděcí vyhlášky. To je ale proti logice věci, zejména proti tomu, že by nemusela být přesně dodržena „laťka“ stanovená zákonem (v konkrétních věcných aspektech, ne v celkovém pojetí které je již zakotveno v zákoně).

Startu bez čekání na prováděcí vyhlášky ovšem brání klauzule par. 6 písm. j zákona, který říká, že zájemce o poskytování certifikačních služeb musí používat pouze systémy a nástroje vyhovující podmínkám stanoveným v prováděcích vyhláškách, a toto je Úřadem ověřeno. Tomu je vhodné rozumět tak, že nejprve musí být na světě příslušné vyhlášky (a také mechanismy ověřování shody se stanovenými požadavky), následně musí příslušné systémy a nástroje projít příslušným ověřením, a teprve pak mohou být používány.

Na druhou stranu je vhodné si zdůraznit, že ti poskytovatelé certifikačních služeb, jejichž produkty (certifikáty) neaspirují na statut kvalifikovaných certifikátů (zakotvených v zákoně) mohou fungovat nezávisle na celém zákonu o elektronickém podpisu, a tudíž nemusí čekat ani na prováděcí vyhlášky (a v praxi takovéto služby fungují již dnes, viz zmiňované příklady s internetovým bankovnictvím). Uvědomme si dobře, co takováto možnost znamená – vůbec to nemusí znamenat, že příslušné certifikáty, bez statutu tzv. kvalifikovaných certifikátů, dosahují jen nějaké nižší „laťky“ či míry bezpečnosti. Znamená to právě a pouze to, že tyto certifikáty a s jejich pomocí následně vytvořené elektronické podpisy odvozují svůj statut odjinud, než ze zákona o el. podpisu (v citovaných příkladech internetového bankovnictví ze smlouvy mezi klientem a bankou). V praxi tedy nemusí být jejich „spolehlivost“ a „důvěryhodnost“ (pomyslná laťka) o nic menší, než u certifikátů kvalifikovaných opírajících se o zákon.

Kdy budou prováděcí vyhlášky?

Velmi zajímavou otázkou jistě je, kdy budou připraveny prováděcí vyhlášky, k jejichž vydání je zmocněn Úřad pro ochranu osobních údajů (a také kdy budou fungovat akreditační mechanismy, které budou ověřovat shodu s tím co vyhlášky budou požadovat). Teprve pak se totiž bude moci „rozjet“ používání elektronických podpisů opírajících se o zákon (a to zřejmě budou muset být všechny podpisy používané občany ve vztahu ke státní správě).

Odpověď samozřejmě přísluší Úřadu pro ochranu osobních údajů, do jeho vyjádření lze o celé záležitosti jen spekulovat a uvádět různě kvalifikované odhady. Můj odhad vychází z toho, že náročnost příslušných vyhlášek, mají-li být vypracovány odpovědně a v potřebné kvalitě, je opravdu velká (v řádu mnoha člověkoměsíců). Snížit tuto náročnost lze inspirováním se existujícími zahraničními vzory, ale i zde jsou zásadní úskalí:

  • zatímco rámcová úprava el. podpisů v ČR a v zemích EU je stejná, přeci jen zapracování prováděcích předpisů do našeho právního řádu je do značné míry specifické a tudíž vyžadující vysokou míru přizpůsobení
  • i v zemích EU příslušné prováděcí předpisy teprve vznikají, a s nimi se teprve konkretizují mnohé významné detaily – s tím že vše by mělo být dokončeno do 19. července 2001. Pokud bychom nesledovali tyto procesy a nereagovali na ně, mohlo by se nám stát, že naše podpisy a celé „zázemí“ elektronických podpisů nebudou kompatibilní se svými protějšky v EU, a naše podpisy by pak nemusely v EU platit, resp. být akceptovány.

Vydávat co nejrychleji nějaké uspěchané nedodělky by mohlo mít velmi neblahé následky a mohlo by se brzy šeredně vymstít. Proto určitě není na místě závodit s EU a usilovat za každou cenu o prvenství – vhodný je spíše uvážlivý postup vpřed, plně koordinovaný s postupem prací v zahraničí. I za cenu toho, že představy a sliby některých politiků a dalších lidí se ukáží jako nereálné.

Podle názoru odborníků, se kterými jsem měl možnost se seznámit, není reálné čekat první verze prováděcích vyhlášek, navíc určené zatím jen k odborné oponentuře, dříve než na přelomu tohoto a příštího roku.

Našli jste v článku chybu?

5. 10. 2000 11:13

Ivan Dolezal (neregistrovaný)
Ocekaval jsem podobnou reakci. Ovsemze bezpecnost je v tomto pripade na prvnim miste.

Jenom se tesim, jake polosmysluplne veci budou uzivatele psat do svych pozadavku na certifikat.



4. 10. 2000 18:46

Dan Lukes (neregistrovaný)
No, kdyz se do diskuse neprida nikdo jiny, je zapotrebi polemizovat sam se sebou ... ;-)

Pripoustim, ze se mi podarilo prijit (byl jsem prijden) na pripady, kdy to asi nepujde jinak nez aby privatni klic vznikal mimo ruce budouciho opravneneho vlastnika - vesmes jde o pripady, kdy je klic soucasti nejakeho hardwaroveho zarizeni a je technicky nebo ekonomicky nemozne aby kazdy budouci drzitel vlastnil potrebnou technologii pro vyrobu nebo i jen inicializaci takoveho zarizeni. Tzn. plamenna rec, kt…

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

DigiZone.cz: Test Philips 24PFS5231 s Bluetooth repro

Test Philips 24PFS5231 s Bluetooth repro

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life