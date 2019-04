Podstata tehdejšího návrhu byla taková, že zájemce by nejprve sám podepsal svůj elektronický dokument, formou uznávaného elektronického podpisu (což vyžadovalo kvalifikovaný certifikát) – načež by se musel osobně odebrat za „někým“ (navrhováni byli notáři a dále krajské úřady, městské úřady a úřady městských částí), před kým žadatel uznal svůj uznávaný elektronický podpis za svůj – a onen „někdo“ mu to osvědčil (nejspíše formou nějakého svého dobrozdání).

To u nás jsme se již v roce 2006 chtěli vydat jinou cestou – jakéhosi „překlopení“ postupů, používaných při úředním ověřování podpisů (legalizaci) v tradičním listinném světě, do světa digitálního. Poprvé s myšlenkou legalizace elektronických podpisů přišlo sdružení eStát, když v roce 2006 připravilo Návrh zákona o elektronizaci některých procesních úkonů v oblasti orgánů veřejné moci (jednalo se o jakýsi předobraz dnešního zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi).

V praxi se to dnes řeší (nebo spíše obchází) dvěma způsoby: jedním je ten, že příslušné právní jednání se nejprve provede v listinné podobě (tj. podepisující osoba podepíše „papírový“ dokument a svůj podpis si nechá úředně ověřit, neboli tzv. legalizovat ). Následně se „papírový“ dokument převede do elektronické podoby skrze autorizovanou konverzi. Pak už lze využít aktuálního znění § 22 odst. 2 zákona č. 300/2008 Sb., podle kterého má výstup z konverze stejné účinky jako originál (vstup do konverze).

Tehdejší ministerstvo informatiky (které v uvedené době mělo problematiku elektronických podpisů na starosti) návrh eStátu na legalizaci elektronických podpisů notně zkritizovalo – jako řešení „zcela bez respektu k právní úpravě uznávaného elektronického podpisu“. A to kvůli tomu, že při použití kvalifikovaného certifikátu (který je i dnes podmínkou pro uznávaný elektronický podpis) je identita držitele (a následně tedy i podepisující/podepsané osoby) zkoumána a ověřována stejně důkladně, ne-li ještě důkladněji než při úředním ověřování. Je ověřována certifikační autoritou, která tehdy musela být akreditovaná (od státu) a dnes musí být tzv. kvalifikovaná (stále se stejnou povinností dodržovat požadavky zákonů a nařízení a pod dohledem státu). Tak proč identitu dotyčné osoby zkoumat ještě jednou?

Jak je to navrhováno nyní?

Návrh řešení, se kterým nyní přichází nový zákon o právu na digitální službu, vychází ze stejného principu jako návrh eStátu z roku 2006: nehledá takový druh elektronického podpisu, kterému by přisoudil účinky úředně ověřeného podpisu. Místo toho chce „překlopit“ do elektronické formy procesy používané v listinném světě pro legalizaci vlastnoručních podpisů. Stále tedy budete muset „jít za někým“, kdo potvrdí, že váš podpis je skutečně váš.

Přesto jsou zde tři zajímavé změny oproti návrhu eStátu z roku 2006:

ono „jít za někým“ dnes už nemusí mít jen „fyzickou“ podobu ve smyslu dostavení se osobně (dle písmene a) navrhovaného § 6). Může to probíhat i elektronicky a na dálku (dle písmene b)): onomu „někomu“ pošlete svůj již podepsaný dokument (uploadujete ho do jeho systému) a současně se mu prokážete svou novou elektronickou občankou (s aktivovanými identifikačními funkcemi)

už se nepočítá pouze s možností, že si k ověření přinesete již podepsaný elektronický dokument a podpis před ověřující osobou uznáte za vlastní. Nyní se umožňuje – a vlastně dokonce předpokládá, jako „standardní“ varianta – že dokument elektronicky podepíšete přímo před ověřující osobou

zatímco původní návrh eStátu z roku 2006 požadoval, aby ověřovaný elektronický podpis měl určitou „kvalitu“ (mohl to být jen uznávaný elektronický podpis, a tedy vyžadující kvalifikovaný certifikát), nyní už se žádná kvalita u ověřovaného elektronického podpisu nepožaduje. Připouští se jakýkoli elektronický podpis, včetně prostého elektronického podpisu, kterým může být úplně cokoli, nemusí vypovídat o ničem a nemusí zaručovat vůbec nic.

Jak by to asi reálně fungovalo?

Zkusme si nyní představit, jak by to asi reálně v praxi fungovalo. Začněme první variantou (dle písmene a) navrhovaného § 6), tedy že za někým půjdete osobně. Ale za kým vlastně?

Všimněte si, že návrh u této první varianty explicitně neřeší, kdo má být „osobou oprávněnou provádět ověření podpisu“. Pouze jí ukládá, aby při samotném ověřování postupovala „postupem podle zákona o ověřování“ (kterým má být, podle poznámky pod čarou, zákon č. 21/2006 Sb.).

Snad je to tedy myšleno tak, že zdroj pravidel pro postup (zákon o ověřování) má být vztažen i na určení osoby, oprávněné k ověřování (legalizaci) elektronických podpisů – a tedy že okruh osob, oprávněných k ověřování dle písmene a), bude stejný pro ověřování vlastnoručních i elektronických podpisů. Osobně bych si ale představoval nějaké konkrétnější a určitější určení toho, kdo smí tento druh ověřování provádět.

Další předpokládaný postup naznačuje následující úryvek z důvodové zprávy:

Pro ilustraci lze uvést i modelový případ životní situace. Uživatel služby se fyzicky dostaví před osobu oprávněnou provádět ověřování (např. notáře). Taková osoba po ztotožnění uživatele služby a poté, co od uživatele služby obdrží předmětný elektronický dokument (např. na paměťovém médiu, odkazem na cloudové úložiště atd.), na němž má být elektronický podpis ověřen, zajistí ve vlastním IT prostředí samotné elektronické podepsání uživatele služby (ať již prostřednictvím signpadu, SMS kódu či jakkoliv jinak v souladu s příslušnou právní úpravou), případně poté, co uživatel služby již připojený elektronický podpis uzná za vlastní, připojí svůj vlastní kvalifikovaný elektronický podpis a kvalifikované elektronické časové razítko. Výsledkem pak bude originální a autentický elektronický dokument ekvivalentní elektronickému dokumentu, který by vznikl autorizovanou konverzí listiny s úředně ověřeným podpisem.

Bude ověřovací doložka?

Povšimněte si, že ani tento úryvek, ani samotné znění navrhovaného § 6 nezmiňují žádnou ověřovací doložku – která je u ověřování vlastnoručních podpisů na listinných dokumentů povinná a velmi důležitá. Navíc musí mít zákonem předepsané náležitosti (viz § 12 zákona č. 21/2006 Sb., o ověřování): musí v ní být uvedeno (mimo jiné) jméno a příjmení osoby, která ověřovaný podpis vytvořila či uznala za vlastní, dále datum a místo jejího narození, adresa trvalého pobytu a druh a číslo osobního dokladu, podle kterého byla totožnost osoby zjišťována.

Samotný § 6 navrhovaného zákona, ale i citovaný úryvek z důvodové zprávy navíc (alespoň podle mého názoru) vyznívají tak, že ověřující osoba by měla (při)podepsat rovnou samotný dokument s ověřovaným podpisem, a nikoli ověřovací doložku.

Opět tedy: snad je to míněno tak, že odkaz na „postup podle zákona o ověřování“ znamená i existenci (a povinnost připojit) ověřovací doložku se všemi náležitostmi. A také povinnost podepsat ověřovací doložku (viz § 12 písm. h) zákona č. 21/2006 Sb.), a nikoli samotný dokument s ověřovaným podpisem.

Problém je ale také v tom, že proces připojení ověřovací doložky dost dobře nejde „překlopit“ z listinné do elektronické podoby. U listinných dokumentů může mít doložka podobu samostatného listu, který se vhodně „sešije“ s listy ověřovaného dokumentu. Nebo je doložka vytištěna na kusu samolepicího papíru, který se vhodně nalepí na dokument s ověřovaným podpisem.

Toto ale u elektronických dokumentů nemusí být možné – pokud by zákazník přišel například s již podepsaným PDF dokumentem, jakákoli jeho změna (zásah do obsahu, připojení dalšího listu apod.) by znamenala porušení integrity již podepsaného dokumentu a neplatnost ověřovaného podpisu.

Řešením by mohla být ověřovací doložka v podobě samostatného dokumentu (třeba PDF), který by elektronicky podepsala ověřující osoba a který by jako svou přílohu (což formát PDF podporuje) obsahoval původní dokument s ověřovaným podpisem (aby vše bylo „nedílně spojeno“). Nebo řešení v podobě vhodného ASiC kontejneru, který by podepsala či zapečetila ověřující osoba a ve kterém by kromě původního dokumentu s ověřovaným podpisem byla vložena i samotná ověřovací doložka.

Jen se ale obávám, zda formulace navrhovaného § 6 písmene a) takovéto řešení vůbec připouští.

Místo ověřovací doložky záznam o provedení elektronické identifikace?

U druhé varianty ověřování (dle písmene b)) je okruh osob oprávněných provádět ověřování (elektronických) podpisů přeci jen vymezen: návrh se zde odkazuje na „kvalifikovaného poskytovatele“. A pouze formou poznámky pod čarou dává najevo, že tím nemyslí kvalifikovaného poskytovatele služeb vytvářejících důvěru (tak, jak je vymezuje nařízení eIDAS a jak s nimi pracuje zákon č. 297/2016 Sb., o službách vytvářejících důvěru) – ale že má na mysli „kvalifikovaného poskytovatele“ ve smyslu § 18 našeho zákona č. 250/2017 Sb., o elektronické identifikaci. Tedy někoho, kdo „umožňuje prokázání totožnosti, které vyžaduje právní předpis nebo výkon působnosti, s využitím elektronické identifikace“. Přitom je požadováno, aby ono prokázání totožnosti bylo na úrovni záruky „vysoká“ – což dnes znamená jen skrze novou eOP (s aktivovanými identifikačními funkcemi). V praxi, jak ostatně uvádí i důvodová zpráva, budou takovýmito kvalifikovanými poskytovateli moci být jen orgány veřejné moci.

Opět si ale všimněme, že ani písmeno b) navrhovaného § 6 nezmiňuje žádnou ověřovací doložku s předepsanými náležitostmi. Místo toho naopak zmiňuje jakýsi „záznam o provedení elektronické identifikace“, který ale nijak blíže nespecifikuje. Má to být něco, co má ověřovací doložku nahradit? Nebo ji má doplnit (a doložka se nějak „nedílně připojí“ k dokumentu i záznamu)? A co konkrétně by měl takovýto „záznam“ obsahovat?

Ověřený elektronický podpis pro digitálně negramotné?

Ověřovací doložka, či alespoň nějaká její obdoba, je u navrhovaného postupu legalizace (ověřování) elektronických podpisů nutná i kvůli tomu, že nynější návrh počítá s možností ověření jakéhokoli elektronického podpisu. Tedy i takového, který o identitě podepsané osoby vůbec nic nevypovídá.

Jde přitom o zajímavý a příznačný posun oproti předchozímu návrhu (z roku 2006), který ještě počítal s tím, že zájemci o ověření svého elektronického podpisu se budou podepisovat formou uznávaného elektronického podpisu. Tedy takového, který vyžaduje kvalifikovaný certifikát a díky tomu nejenže vypovídá o identitě podepsané osoby, ale také ji dokáže zaručit. Protože ověřovat (legalizovat) se podle návrhu z roku 2006 mohl pouze uznávaný elektronický podpis.

U nás jsme ještě relativně nedávno počítali s tím, že nově vydávané (elektronické) občanské průkazy budou vybaveny kvalifikovaným certifikátem, pro vytváření uznávaných elektronických podpisů.

K čemu to mělo sloužit, je snad zřejmé – aby se držitelé nových eOP mohli snadno elektronicky podepisovat, a to „dostatečně kvalitním“ druhem elektronického podpisu, který dokáže zaručit identitu podepsané osoby. Tedy uznávaným elektronickým podpisem (který v sobě zahrnuje i podpis kvalifikovaný).

S postupem času ale byl tento záměr opuštěn a dnešní (nově vydávané) eOP neobsahují ani podpisový (kvalifikovaný), ale ani identifikační (správně: autentizační) certifikát držitele průkazu. Místo toho obsahují (z výroby) jen identifikační certifikát samotného průkazu – podle kterého se v základních registrech a v agendovém IS o občanských průkazech dohledává, kdo je držitelem příslušného průkazu. Důvody určitě souvisí s tím, že stát si uvědomil, že nemá svou (státní) certifikační autoritu a těm komerčním by za kvalifikované certifikáty musel platit.

Je zde ale ještě jedna důležitá souvislost: v poslední době jsme svědkem nástupu tzv. dynamických biometrických podpisů, používaných pro uzavírání dvoustranných smluvních vztahů (hlavně se zákazníky bank, utilit, operátorů, přepravců atd.).

Fungují na principu odběru vzorku, charakteristického pro konkrétní fyzickou osobu – který tato osoba poskytne jako vyjádření svého souhlasu s nějakým smluvním ujednáním. Není to ale ani otisk prstu, vzorek slin či kapka krve, protože při jejich odběru by asi hodně lidí zpozornělo a začalo nad vším přemýšlet. Nehledě již na aspekty hygienické a společenské.

Proto je odebíraným vzorkem vzorek vlastnoručního podpisu, odebíraný skrze destičku citlivou na dotyk. To totiž věrně navozuje dojem skutečného podepisování – a jen málokdo si uvědomí, že ve skutečnosti jde stále o odběr vzorku (který má navíc charakter velmi citlivého osobního údaje), který jeho původce předává do dispozice druhé straně a spoléhá se na korektnost její i jejího vybavení. Tedy že s jeho vzorkem bude naloženo právě a pouze dojednaným způsobem.

Velkou a rozhodující předností těchto dynamických biometrických podpisů je to, že od podepisující osoby (resp. poskytovatele vzorku) nevyžadují žádnou „digitální výbavu“ (jako například soukromý klíč a k němu vystavený certifikát) ani žádné „digitální znalosti a dovednosti“ – zvládne to úplně každý, i ten, kdo přijde „jen tak z ulice“ a je schopen se vlastní rukou podepsat.

Písmoznalci pak v případě sporu mohou zkoumáním takto odebraných vzorků zjišťovat, komu patří, resp. komu byly odebrány (a to asi s ještě větší spolehlivostí než u vlastnoručních podpisů). Úplně jinak je tomu ale s prokázáním toho, proč (v souvislosti s čím) byl vzorek odebrán, protože to už písmoznalci posoudit nedokáží. Lze tedy relativně snadno prokázat, kdo projevil souhlas – ale velmi obtížně se prokazuje, s čím měla příslušná osoba souhlasit.

Využití takovýchto dynamických biometrických podpisů dlouho nemělo explicitní oporu v právní úpravě elektronických podpisů – dokud nepřišel nešťastný § 7 adaptačního zákona č. 297/2016 Sb., který tomuto druhu prostých elektronických podpisů otevřel cestu do oblasti soukromoprávních vztahů (když tento paragraf říká, že v soukromoprávních vztazích lze podepisovat úplně jakýmkoli druhem elektronického podpisu).

No a nynější návrh § 6 zákona o právu na digitální služby by dynamickým biometrickým podpisům otevřel cestu i do veřejné správy. Připomeňme si znovu, že možnost legalizace (ověření) se má týkat jakéhokoli elektronického podpisu, a tedy i toho prostého (kterým je i dynamický biometrický podpis). Ostatně, důvodová zpráva se záměrem legalizovat jakýkoli druh elektronického podpisu netají:

Dle návrhu zákona lze ověřit jakýkoliv typ elektronického podpisu, tj. včetně jeho prosté formy. Takový přístup je zcela v souladu s nařízením eIDAS.

No a již jednou citovaný úryvek z důvodové zprávy, naznačující očekávaný způsob fungování, nenechává na pochybách: na prvním místě (skrze zmínku o „signpadu“) uvádí právě příklad dynamického biometrického podpisu. Připomeňme si to ještě jednou:

Pro ilustraci lze uvést i modelový případ životní situace. Uživatel služby se fyzicky dostaví před osobu oprávněnou provádět ověřování (např. notáře). Taková osoba po ztotožnění uživatele služby a poté, co od uživatele služby obdrží předmětný elektronický dokument (např. na paměťovém médiu, odkazem na cloudové úložiště atd.), na němž má být elektronický podpis ověřen, zajistí ve vlastním IT prostředí samotné elektronické podepsání uživatele služby (ať již prostřednictvím signpadu, SMS kódu či jakkoliv jinak v souladu s příslušnou právní úpravou) ….

Problém jednoznačné identifikace

S hledáním možností, jak digitalizovat úkony vyžadující úředně ověřený podpis, souvisí i jeden důležitý a dosud nezmíněný aspekt. Jde o problém jednoznačné identifikace podepsané osoby.

Ukažme si podstatu tohoto problému na příkladu vlastnoručního podpisu: je zcela běžné, že něčí vlastnoruční podpis je nečitelným klikyhákem, ze kterého ani při nejlepší vůli nic nepřečteme. A tak jen věříme tomu, že je to pravý podpis (tedy že jej skutečně vytvořil ten, o kom si myslíme, že jej vytvořil), a podle toho také jednáme. Případné zkoumání pravosti podpisu řešíme až následně a jen tehdy, když dojde k nějakému problému či sporu, obvykle až u soudu (který si na to zavolá písmoznalce).

Právě proto, že je to drahé, pomalé a komplikované, se to řeší až takto dodatečně. A jen opravdu vzácně se vlastnoruční podpisy přeci jen ověřují dopředu, cestou podpisových vzorů a laického porovnávání podpisu s podpisovým vzorem (např. v bance, pokud snad ještě někdo chodí na přepážku, místo aby využíval internetbanking).

Úřední ověřování podpisů ale vše obrací: nejprve dochází k ověření a teprve pak se podle již ověřeného podpisu jedná. Ostatně, právě proto je úředně ověřený podpis vyžadován tam, kde „jde o něco významnějšího“ a je třeba mít větší důvěru v pravost podpisu jednající osoby.

Ale nejenom to: i když je vlastnoruční podpis krásně čitelný, stejně z něj nepřečteme víc než jen příjmení, případně i křestní jméno. Takže se dozvíme jen to, že se jedná (například) o nějakého Jana Nováka – ale už ne o kterého konkrétního držitele tohoto častého jména.

Teprve při úředním ověřování dochází k jednoznačné identifikaci: ověřující osoba podle předložených osobních dokladů zjistí, o kterého konkrétního Jana Nováka jde, a údaje o něm (včetně data narození a bydliště) zapíše do ověřovací doložky.

A jak je tomu v elektronickém světě? Od prostých elektronických podpisů není žádná identifikace podepsané osoby požadována, a tak tyto podpisy vůbec nemusí jakkoli vypovídat o tom, komu patří (o identitě podepsané osoby). To dynamické biometrické podpisy o identitě vypovídají, ale zase mají jiný problém, na který jsme již narazili a který je charakteristický pro všechny prosté elektronické podpisy: není po nich požadována žádná jednoznačná vazba mezi podpisem a tím, co je podepsáno, bránící změně (či úplné záměně) podepsaného obsahu.

Jinými slovy: prosté podpisy mohou „pasovat“ k různým dokumentům. Což je zásadní problém pro dokazování toho, co bylo prostým podpisem vlastně podepsáno.

To zaručené elektronické podpisy problém s vazbou mezi podpisem a podepsaným obsahem nemají: základním požadavkem na ně je, aby každou změnu podepsaného obsahu (porušení integrity) bylo možné spolehlivě rozpoznat. Co u nich ale přetrvává, je to, že nedokáží zaručit identitu podepsané osoby: jelikož nekladou žádný požadavek na kvalitu certifikátu, může být zaručený elektronický podpis založen na úplně jakémkoli certifikátu. Tedy i na takovém, jehož obsah se nezakládá na pravdě a jako podepsanou osobu prezentuje někoho jiného, než kdo podpis skutečně vytvořil.

Na druhou stranu: při navrhovaném postupu legalizace elektronických podpisů by nic z toho nemuselo vadit – pokud se o zjištění a vhodně zaznamenání identity podepsané osoby, stejně o vhodné „zafixování“ vazby mezi podpisem a podepsaným dokumentem, postará ověřující osoba při ověřování. Ale to už jsme opět u problému s ověřovací doložkou a u podoby toho, co má být výstupem z konverze (zda nějaký kontejner obsahující jak podepsaný dokument, tak i doložku, nebo doložka obsahující podepsaný dokument, či něco ještě jiného). To jsou věci, které – alespoň podle mého názoru – návrh dostatečně neřeší.

Zajímavé je to i v případě uznávaných elektronických podpisů, které zahrnují i ty kvalifikované: zde již došlo k jednoznačné identifikaci podepisující osoby, a to při vydávání kvalifikovaného certifikátu. Tak proč vyžadovat opakování téhož úkonu (důkladné a jednoznačné identifikace) v rámci ověřování?

Problém je ale v tom, že v kvalifikovaném certifikátu obvykle nejsou obsaženy takové údaje, které držitele jednoznačně identifikují. I podle nařízení eIDAS je povinné jen jméno a příjmení, přičemž další údaje mohou být uvedeny, ale nesmí být vyžadovány. Jinými slovy kvalifikovaný certifikát pouze se jménem Jan Novák musí stačit.

To, který konkrétní Jan Novák je držitelem takovéhoto kvalifikovaného certifikátu, a tedy také podepsanou osobou, se sice stále dá spolehlivě zjistit, ale tato možnost není dostupná pro každého. Dá se zeptat příslušné certifikační autority, kterému konkrétnímu Janu Novákovi vydala kvalifikovaný certifikát s konkrétním sériovým číslem (které je v certifikátu vždy uvedeno). Ona to samozřejmě ví. Ale sdělit to smí jen soudům a orgánům činným v trestním řízení, zatímco ostatní mají smůlu.

Takže se to musí řešit jinak. Jednou z možností je vložit do certifikátu vhodný jednoznačný identifikátor, přes který se dá zjistit přesná identita držitele. U nás se za tímto účelem používá identifikátor klienta MPSV, ale to také není úplně ideální řešení. Například proto, že ne každý má přístup k databázi těchto identifikátorů (k možnosti dozvědět se, kdo konkrétně má přidělenu konkrétní hodnotu identifikátoru).

Dalším možným řešením mohou být atributové certifikáty. Můžeme si je představit jako jakési osvědčení o tom, že držitel certifikátu sériového čísla XY od vydavatele Z se narodil tehdy a tehdy, bydlí tam a tam atd. A takovéto osvědčení pak podepisující osoba může sama přikládat ke svému podpisu tam, kde se chce jednoznačně identifikovat (resp. tam, kde by její uznávaný elektronický podpis měl mít účinky úředně ověřeného podpisu). Ale určitě by se daly vymyslet i různé další možnosti.

Na Slovensku problém jednoznačné identifikace svého času řešili tak, že do kvalifikovaných certifikátů vkládali rodná čísla jejich držitelů. To ale nebylo moc šikovné, protože rodné číslo je citlivý osobní údaj, zatímco certifikáty by měly být veřejné (obvykle se přikládají přímo k elektronickým podpisům).

Zkrátka a dobře, určitá řešení existují, i když nejsou úplně jednoduchá a přímočará. Ale vlastně je to jedno – když my se očividně chceme vydat úplně jinou cestou. Cestou legalizace elektronických podpisů. Takže třeba i tomu, kdo se sám podepíše formou kvalifikovaného elektronického podpisu, nebude jeho podpis stačit a bude muset „jít za někým“, kdo mu jeho kvalifikovaný elektronický podpis „posílí“ přidáním dalšího kvalifikovaného elektronického podpisu.

Zajímavé je, že na něco podobného pamatuje jedno z ustanovení samotného nařízení eIDAS (v článku 27 odst. 3.), které se týká poskytování online služeb veřejnoprávními subjekty:

Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

Ale ono ustanovení se týká jen přeshraničního využívání služeb, a nikoli využívání „vnitrostátního“.