Kdy bude elektronický podpis?

Ke dni 1. října vstoupil v platnost zákon č. 227/2000 Sb., o elektronickém podpisu, jehož hlavní "sdělení" je možné interpretovat tak, že elektronický podpis staví na roveň podpisu vlastnoručnímu. V prvním přiblížení by se proto mohlo zdát, že tímto dnem padají veškeré bariéry a elektronický podpis je nyní možné používat všude tam, kde dosud bylo nutné použít podpis vlastnoruční. Ve skutečnosti je ale situace komplikovanější. Uveďme si, kde jsou ještě problémy či překážky a co je zapotřebí udělat pro jejich odstranění.

Podepisovat se elektronicky můžete již dnes

Předně je nutné odlišit "mechanismus" elektronického podepisování od právního statutu elektronického podpisu. Samotný "mechanismus" je technologickou záležitostí, existuje již dnes (spíše již delší dobu), je již standardně implementován v běžně dostupných a běžně používaných programech (ve WWW browserech, např. Internet Explorer, či poštovních klientech jako je MS Outlook či Outlook Express apod.), a ke svému fungování nepotřebuje žádný zákon. Z pohledu uživatelů je pak technika podepisování dovedena do maximální možné jednoduchosti - uživateli stačí kliknout na příslušnou ikonku znázorňující povel k elektronickému podepsání odesílané zprávy (nebo si dokonce může nastavit, že se tak děje automaticky u všech odesílaných zpráv).

Je zapotřebí zákon?

Jinou otázkou je ale to, jaký význam přisuzují využití tohoto mechanismu strany, zúčastněné v komunikaci (zejména odesilatel a příjemce elektronicky podepsané zprávy). Pokud odesilatel i příjemce dokáží sami posoudit "kvalitu", "důvěryhodnost" a další aspekty tohoto mechanismu a rozhodnou se mu věřit, mohou sami udělit elektronickému podpisu ve vzájemné komunikaci určitý konkrétní statut, a opět k tomu nepotřebují specifický zákon o el. podpisu. Praktickým příkladem mohou být již delší dobu existující a spolehlivě fungující služby internetového bankovnictví nabízené Živnobankou a IPB (které jsou postaveny na využití elektronických podpisů a jejich statut se opírá o smlouvu banky s klientem). Podobně dva komerční subjekty, například dvě vzájemně obchodující firmy, mohou mezi sebou používat elektronické podpisy a opět k tomu nepotřebují žádný zákon. Samozřejmě i dvě soukromé osoby mohou ve vzájemném elektronickém poštovním styku využívat elektronických podpisů bez jakéhokoli omezení atd..

Jiná situace ovšem nastává v případě, kdy některá z komunikujících stran nedokáže dostatečně posoudit vlastnosti a další aspekty elektronických podpisů, a potřebuje tudíž existenci "něčeho dostatečně důvěryhodného", o co by se mohla opřít a na základě čeho by mohla důvěřovat el. podpisům - tedy zákon, který (spolu s navazujícími podzákonnými normami) bude definovat určitou úroveň (co do požadovaných vlastností a dalších aspektů el. podpisů, včetně souvisejících náležitostí, mezi které patří například certifikační autority vydávající certifikáty), a bude také implementovat určité kontrolní mechanismy garantující že zmíněné úrovně je skutečně dosahováno.

Dalším významným důvodem pro existenci zákona o el. podpisu je skutečnost, že různé úkony a právní akty mají ze zákona definované náležitosti, bez kterých nejsou platné (např. většina smluv musí být opatřena vlastnoručním podpisem). Formou zákona je proto třeba tyto náležitosti redefinovat tak, aby elektronický podpis mohl být použit místo podpisu vlastnoručního.

Zákon je na světě - ale prováděcí vyhlášky nikoli

Zákon o elektronickém podpisu (zákon č. 227/2000 Sb.) již existuje a je platný (nabyl platnosti 1. října 2000). Je ale nutné jej chápat jako základní právní úpravu celé problematiky el. podpisů, která ale musí být dopracována do konkrétních podrobností formou prováděcích vyhlášek

Zákon především definuje statut elektronického podpisu (dává mu potřebné "postavení"), a kromě toho se zabývá i otázkou praktického fungování elektronických podpisů. Při určitém zjednodušení lze říci, že zákon definuje určitou "laťku", kterou musí vše kolem elektronických podpisů splňovat, ale konkrétní způsob dosažení této laťky musí být definová právě v podzákonných normách (vyhláškách). Zákon proto uděluje konkrétní pravomoci v oblasti el. podpisů nově vzniklému Úřadu pro ochranu osobních údajů (dále jen Úřadu), který zmocňuje k vydání potřebných prováděcích vyhlášek - formálně k 1.10.2000, kdy zákon vstoupil v platnost (fakticky o něco málo dříve, kdy již vykrystalizovala definitivní podoba zákona a bylo zřejmé kdo dostane příslušné kompetence i povinnosti). Samotný Úřad ale začal fungovat teprve v letních měsících roku 2000, neboť byl zřízen na základě zákona o ochraně osobních údajů č. 101/2000 Sb., který vstoupil v platnost 1. června 2000.

Představa, že Úřad vznikne (doslova na zelené louce) a odněkud ze svého šuplíku vytáhne hotové prováděcí vyhlášky, je samozřejmě nereálná - především kvůli tomu, že vypracování prováděcích vyhlášek k elektronickému podpisu je záležitostí navýsost odbornou, vyžadující spolupráci právníků a odborníků na oblast bezpečnosti a kryptografie, a její náročnost se pohybuje v mnoha člověkoměsících (tj. je to práce pro celé týmy odborníků na celé měsíce). Mechanicky převzít zahraniční vzory v daném případě nejde jednak proto, že je nutné je nejprve pečlivě zapracovat do naší legislativy, ale hlavně proto že ani v EU tyto podzákonné normy dosud nejsou a teprve vznikají (s termínem stanoveným ze strany EU na červenec 2001).

Snad nejdůležitějším aspektem je ale to, že konkrétní technické aspekty fungování elektronických podpisů a všeho co je s nimi spojeno - tedy například fungování tzv. certifikačních autorit vydávajících certifikáty - se i v rámci EU teprve formují, a není dost dobře možné tento vývoj předběhnout (zejména kvůli tomu, že by se nám mohlo stát že se rozhodneme pro jiné řešení než jaké zvolí členské země v EU, a naše podpisy pak nebudou kompatibilní a tudíž ani uznatelné v EU a naopak).

Jen pro ilustraci toho, o jak složité a zásadní problémy ve fázi přípravy vyhlášek jde: zákon říká, že poskytovatelé certifikačních služeb smí používat pouze prostředky a systémy vyhovující požadavkům stanoveným v zákoně (a upřesněným v prováděcích vyhláškách), a jejich shoda s těmito požadavky musí být ověřena. To vyžaduje tzv. validaci, která se týká nejen toho s čím budou pracovat poskytovatelé certifikačních služeb, ale bude se týkat i toho, s čím budou pracovat i koncoví uživatelé kteří elektronicky podepisují své dokumenty či zprávy (či je přijímají atd.). Má ale náš Úřad pro ochranu osobních údajů takovouto validaci provádět sám, nebo tím má pověřit jiné tuzemské subjekty (analogické státním zkušebnám), nebo bude akceptovat výsledky obdobných zkušeben ze zemí EU? V prvním případě by Úřad musel nejprve "naakumulovat" potřebné (velmi drahé) knowhow a získat potřebné zkušenosti, které v ČR zatím vůbec nejsou. Ve druhém případě by takovéto zkušebny s potřebným zázemím, vybavením a knowhow musely v ČR již existovat. V zahraničí sice již existují, ale jejich postupy i výstupy nemusí vyhovovat tomu, co bude požadováno pro validaci u nás. Není to samozřejmě neřešitelná situace, podobně jako mnoho dalších aspektů, ale jsou to velmi důležité a složité otázky, které je třeba uspokojivě vyřešit i s ohledem na to, aby bylo dosaženo potřebného efektu (dostatečné důvěryhodnosti celého systému práce s el. podpisy, resp. více citované "laťky"), aby to nebylo za cenu neúnosně vysokých nákladů, aby vše začalo fungovat co nejrychleji atd.

Při přípravě vyhlášek se Úřad musí potýkat i nejrůznějšími dalšími problémy - například s tím, že zákon č. 227/2000 Sb. mu sice dává zmocnění vydat příslušné prováděcí vyhlášky (resp. mu to fakticky ukládá), ale když legislativci svěřili problematiku el. podpisů právě Úřadu na ochranu osobních údajů, neuvědomili si že tento úřad není oprávněn vyhlášky vydávat (právní předpisy, alias vyhlášky smí vydávat pouze ministerstva, jiné ústřední správní orgány a ČNB, nikoli však nezávislý úřad s takovým statutem, jaký Úřad pro ochranu osobních údajů má). Tento "drobný zádrhel" samozřejmě nic nemění na skutečnosti, že vypracování příslušných vyhlášek se očekává od Úřadu - je spíše formální komplikací, kterou je nutné nějak překonat. Současně ale může posloužit i jako ukázka toho, s jakými druhy problémů se nově vzniklý Úřad a lidé, kteří na přípravě vyhlášek pracují, musí také vyrovnávat.