Hlavní navigace

Elektronický podpis: první akreditace

4. 4. 2002
Doba čtení: 7 minut

Sdílet

Úřad na ochranu osobních údajů udělil první akreditaci poskytovateli certifikačních služeb (společnosti 1.CA). Ta nyní může vydávat kvalifikované certifikáty, nutné pro komunikaci s orgány veřejné moci. Co to v praxi přinese? A co na tom změní novela zákona o e-podpisu, která právě prošla sněmovnou?

Ačkoli zákon o elektronickém podpisu (zákon č. 227/2000 Sb.) platí již delší dobu, praktické používání e-podpisů se zatím prosazuje jen v poměrně specifických oblastech (například v rámci internetového bankovnictví či v obchodním styku mezi firmami). Hodně se očekávalo od nasazení elektronických podpisů do vzájemné komunikace mezi občanem a státem (resp. veřejnou sférou), ale zde je nástup elektronických podpisů velmi pomalý. Důvodem je skutečnost, že zákon v jednom ze svých paragrafů požaduje, aby „v oblasti veřejné moci“ byly pro tvorbu elektronických podpisů používány pouze takové certifikáty, které jsou tzv. kvalifikované (tj. vyhovující požadavkům zákona), ale především vydané tzv. akreditovaným poskytovatelem certifikačních služeb. Tedy takovým poskytovatelem, který nejenže splní všechny požadavky, které na něj klade zákon (to ostatně musí každý poskytovatel), ale toto splnění si nechá dopředu zkontrolovat formou tzv. akreditace. No a první kandidát prošel celým procesem akreditace teprve v nedávných dnech.

První je 1. CA

Prvním akreditovaným poskytovatelem certifikačních služeb (lidověji: certifikační autoritou) je společnost s příznačným názvem 1. CA (neboli: 1. certifikační autorita). Jde o plně vlastněnou dceřinnou společnost PVT (Podniku výpočetní techniky), který má s vydáváním digitálních certifikátů již poměrně dlouhou zkušenost – vydává je prý již 5 let, a do včerejšího dopoledne jich stihnul vydat přesně 248 528. Dceřinná společnost s názvem 1.CA však byla ustavena jako samostatný subjekt až teprve nedávno (konkrétně 12.3.2001), protože to tak požaduje zákon o epodpisu. V zásadě je tedy 1.CA rok starou společností s pětiletou tradicí.

O akreditaci zažádala 1.CA k prvnímu říjnu loňského roku, prakticky ihned, jakmile to umožnilo vydání prováděcí vyhlášky k zákonu o el. podpisech (tato vyhláška formulovala konkrétní věcné požadavky na akreditaci). Jak zaznělo na včerejší tiskové konferenci, samotný proces akreditace nebyl ani jednoduchý ani laciný, protože požadavky jsou přísné a jejich splnění něco stojí. V souvislosti s finanční náročností včera zazněl odhad cca 70 milionů korun celkových nákladů na vybudování a akreditaci certifikační autority, což vcelku dobře odpovídá odhadům, které se již dříve objevovaly v tisku – a především to dokládá, že nejde o žádný druh byznysu, který by šlo dělat doma v garáži.

Procesem akreditace prošla 1. CA úspěšně a svou akreditaci získala s platností od 18.3.2002. Své první kvalifikované certifikáty začala 1.CA vydávat jako akreditovaná od 25.3.2002.

Jaké certifikáty 1.CA nabízí?

V současné době, díky své akreditaci, může 1.CA nabízet tři druhy certifikátů:

  • testovací certifikáty, které jsou poskytovány zdarma, platí 14 dní a jsou určeny „na hraní“ (k seznámení a vyzkoušení celé technologie)
  • tzv. komerční certifikáty, které lze plnohodnotně používat například při styku mezi firemními subjekty, pro potřeby internetového bankovnictví apod. K vydávání těchto certifikátů přitom není potřeba akreditace, takže obdobné certifikáty mohou vydávat i jiní poskytovatelé certifikačních služeb.
  • tzv. kvalifikované certifikáty, které jsou použitelné i pro „komunikaci v oblasti orgánů veřejné moci“. K jejich vydávání již je nutná akreditace.

Oba typy certifikátů (pomineme-li testovací) vydává 1.CA jak v „dematerializované“ podobě (v provedení STANDARD), tak i nahrané do čipové karty (v provedení COMFORT). V prvním případě si uživatel svůj certifikát nainstaluje do svého počítače a pak se může podepisovat jen na tomto počítači (byť existuje jistá možnost přenesení certifikátu na jiný počítač). Naproti tomu ve druhém případě může uživatel používat svou čipovou kartu ke tvorbě svého elektronického podpisu kdekoli (kde je k dispozici potřebná čtečka čipových karet) – tedy například i z veřejných terminálů, pokud jsou na e-podpisy připraveny.

Pokud vás zajímají cenové relace, pak komerční certifikát v provedení STANDARD a splatností na 1 rok přijde na 540,– Kč, zatímco kvalifikovaný na 700,– Kč, obojí v „dematerializo­vaném“ provedení (tj. jako data, nahraná na disketu nebo stažená z Internetu). V případě umístění certifikátu na čipovou kartu (provedení COMFORT) přijde jeden komerční certifikát na 1450,– Kč, a kvalifikovaný na 1610,– Kč (již včetně samotné čipové karty). Vedle toho je třeba pamatovat na náklady na samotnou čtečku, které se pohybují kolem 1000,– Kč.

Důležité je, že v současné době má 1.CA fakticky monopol na kvalifikované certifikáty vydané akreditovaným poskytovatelem, protože je skutečně prvním a doposud jediným poskytovatelem, který prošel procesem akreditace. Podle dostupných informací z ÚOOÚ se žádný jiný zájemce do procesu akreditace dosud nepřihlásil. Zákon však rozhodně nepočítá s žádným monopolem ani v oblasti akreditovaných, ani v oblasti neakreditovaných poskytovatelů. V současné době však existuje reálná konkurence jen mezi neakreditovanými poskytovateli.

K čemu to bude?

Připomeňme si znovu, že kvalifikovaný certifikát od akreditovaného poskytovatele je ze zákona potřebný ke komunikaci „v oblasti orgánů veřejné moci“. Ačkoli výklady tohoto požadavku se mohou různit, týká se to zřejmě i komunikace občanů s orgány veřejné správy. Chyběl-li dosud akreditovaný poskytovatel certifikačních služeb, nebylo možné tento požadavek zákona naplnit.

Nyní to již možné je, ale bohužel to neznamená žádné mávnutí kouzelným proutkem, které by rázem nastolilo faktickou možnost elektronické komunikace občana se všemi orgány veřejné správy v rámci všech možných agend. Řečeno jinými slovy, jde o podmínku nutnou, nikoli však postačující. To, co je dále třeba, je jednak schopnost a ochota na straně veřejné moci (příslušných úředníků), a také opora v zákoně, která by konkrétní druhy elektronické komunikace explicitně podporovala. Samotný zákon o elektronickém podpisu sice v obecné rovině deklaruje, že elektronické podpisy jsou ekvivalentní klasickým podpisům vlastnoručním, ale konkrétní agendy často mají své vlastní vymezení v zákoně, které mnohdy explicitně trvá na papírové formě. Takovéto právní úpravy je proto třeba novelizovat – což v jisté míře činí již samotný zákon o elektronickém podpisu, a dále v tomto procesu pokračuje i novela téhož zákona, kterou minulý týden schválila poslanecká sněmovna (a nyní je na projednávání v Senátu).

Jak zaznělo na včerejší tiskovce k akreditaci 1.CA, proces zavádění elektronických podpisů do života je teprve někde v polovině (a za námi je spíše ta jednodušší půlka). Nejvíce připraveny na použití e-podpisů se zdají být agendy silniční daně a daně z nemovitostí, a dále agendy Celní správy. Na tolik propagovaná daňová přiznání v elektronické formě si zřejmě ještě nějakou chvíli počkáme (ze zemí EU je prý možnost podávat daňové přiznání elektronicky zatím jen v Portugalsku).

Nejednoznačný certifikát?

Zmiňovaná novela, která již prošla poslaneckou sněmovnou, mění i jeden konkrétní aspekt týkající se samotných elektronických podpisů. Doslova říká, že:

Pokud je zaručený elektronický podpis založený na kvalifikovaném certifikátu užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatel­ná.".

Tento požadavek reaguje na možnost – sice dosti singulární, ale přesto připadající v úvahu – kdy údaje obsažené v certifikátu skutečně připouští určitou nejednoznačnost (například když by šlo o otce a syna stejného jména, s bydlištěm na stejné adrese atd.). Znamená to, že by v současném zákoně byla tak velká „díra“, že by umožňovala vydat certifikát a nebylo by zcela jasné komu patří? Naštěstí nikoli, podstata problému je někde jinde.

Při samotném vydávání certifikátu k nejednoznačnosti nemůže dojít, protože zde se identita žadatele prokazuje dosti striktně a detailně (lze to přirovnat k vystavování občanského průkazu). Subjekt, který vydává certifikát, neboli certifikační autorita, má přesnou informaci o tom, o jakou konkrétní osobu se jedná a dokáže ji bezpečně identifikovat (mj. rozlišit otce a syna stejného jména). Problém je v tom, že stejnou možnost již nemusí mít ten, kdo má k dispozici pouze výsledný certifikát.

Každý vydaný certifikát je samozřejmě jednoznačný a má v sobě obsažen jednoznačný identifikátor, podle kterého je možné bezpečně identifikovat osobu, které byl certifikát vydán. S trochou zjednodušení si lze představit, že certifikát má v sobě cosi jako své výrobní číslo, podle kterého vydavatel (certifikační autorita, která jej vydala) dokáže ve své databázi najít všechny údaje určující vlastníka certifikátu. Ale pokud například přijdete na úřad XY, který samozřejmě nemá k dispozici databázi všech „sériových čísel“ certifikátů vydaných konkrétním poskytovatelem, pak tento úřad nemusí být schopen rozlišit zda jde o certifikát pana Josefa Nováka mladšího či staršího (například). Právě tento praktický problém se novela snaží řešit – ale podle mého osobního názoru dost nešťastným způsobem.

BRAND24

Neříká totiž, jaký další konkrétní údaj identifikující příslušnou osobu, má být v certifikátu obsažen. Budu-li jako občan komunikovat např. s ministerstvem práce a sociálních věcí, bude tato instituce nejspíše požadovat, aby v certifikátu bylo obsaženo mé číslo sociálního pojištění. Jiný orgán, například ministerstvo financí, by zase mohlo požadovat po soukromě podnikající osobě, aby její certifikát obsahoval její IČO či DIČ. Tím, že neříká, o jaký údaj se má jednat, zákon všem těmto možnostem dává zelenou. Co může stačit pro jednoznačnou identifikaci jednomu orgánu veřejné moci, již nemusí stačit jinému orgánu.

Obávám se proto, že by mohlo dojít i k situaci, že jako občan sice budu mít kvalifikovaný certifikát od akreditovaného poskytovatele, splňující všechny požadavky zákona, ale při komunikaci s úřadem XY bude můj podpis na základě tohoto certifikátu odmítnut, protože příslušný úřad mne nebude schopen jednoznačně identifikovat a bude trvat na použití jiného certifikátu.

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).