Vyšlo na serveru Právní prostor, 22.11.2023
Vytištěno z adresy: http://www.earchiv.cz/b23/b1123001.php3

Elektronické podpisy: když dva říkají totéž, není to totéž – I.

Když technické obory, stejně jako běžná praxe, mluví o různých druzích elektronických podpisů, chápou je jako disjunktní pojmové kategorie. Například když říkají „kvalifikovaný elektronický podpis“, míní tím takový, který není současně ani uznávaným elektronickým podpisem, ani zaručeným elektronickým podpisem. Právní úprava ale pojímá jednotlivé druhy elektronických podpisů odlišně. Jako do sebe vnořené kategorie: kvalifikovaný elektronický podpis je pro právo současně i uznávaným elektronickým podpisem, a současně i zaručeným elektronickým podpisem. Důsledkem je nepříjemné terminologické zmatení. To má ale i další příčiny a další podoby.

Příkladem oněch dalších příčin zmatení může být přívlastek „zaručený“, který naše právní úprava používá k označení takového druhu elektronického podpisu, který obecně nezaručuje to, komu podpis patří (identitu podepsané osoby). Či přívlastek „uznávaný“, kterým naše právní úprava označuje specifický druh elektronických podpisů, které jsme si u nás přidali navíc k těm, které zavedla unijní právní úprava. V zahraničí je ale neznají, a tudíž ani nemohou uznávat.

Disjunktní, nebo do sebe vnořené kategorie?

Možná ještě větším problémem je ale samotná konstrukce pojmových kategorií, která je v právní úpravě odlišná od té, kterou předpokládá a se kterou pracuje běžná praxe. Rozdíl se snaží ilustrovat následující obrázek: vlevo je pohled běžné praxe, vpravo pak pohled práva.

 
 

Zatímco technické obory a běžná praxe vnímají jednotlivé druhy elektronických podpisů jako samostatné kategorie a staví je jakoby „vedle sebe“, právní úprava je „vkládá do sebe“. Postupuje totiž tak, že je postupně „zužuje“: když zavádí nějakou „užší“ (specifičtější, konkrétnější, méně obecnou) kategorii, vymezuje ji jako takovou část nějaké „širší“ (obecnější) kategorie, která splňuje určité další (dodatečné) podmínky.

Konkrétně unijní právní úprava (nařízení eIDAS) vymezuje dva různé druhy elektronických podpisů, a to takto:

  • zaručeným elektronickým podpisem“ [se rozumí] elektronický podpis, který splňuje požadavky stanovené v článku 26;
  • kvalifikovaným elektronickým podpisem“ [se rozumí] zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy;

Zjednodušeně a s trochou nadsázky: „užší“ kategorie je jako menší matrjoška, schovaná ve větší matrjošce („širší“ kategorii). Takže třeba kvalifikovaný elektronický podpis (coby „užší“ kategorie) je současně i zaručeným elektronickým podpisem, protože je v této „širší“ kategorii zahrnut (obsažen). Jinými slovy: kvalifikovaný elektronický podpis je z pohledu práva zvláštním případem zaručených elektronických podpisů.

Naopak to pochopitelně neplatí: existují takové zaručené elektronické podpisy, které nejsou současně kvalifikovanými elektronickými podpisy.

 
 

U nás jsme si to celé zkomplikovali ještě tím, že jsme mezi dva „unijní“ druhy elektronických podpisů potřebovali nějak vměstnat ještě jeden. A to naše uznávané elektronické podpisy, které jsme si zavedli ještě za předchozí právní úpravy (v rámci zákona č. 227/2000 Sb. o elektronickém podpisu) místo kvalifikovaných elektronických podpisů.

Kde se vzaly naše uznávané elektronické podpisy?

Naše uznávané elektronické podpisy jsme si zavedli ještě v době, kdy na unijní úrovní byla právní úprava elektronických podpisů tvořena směrnicí (1999/93/ES), ale Česká republika ještě nebyla členem Evropské Unie. Díky tomu jsme si v našem národním zákoně (č. 227/2000 Sb. o elektronickém podpisu) mohli dovolit více „uhnout“ od toho, jak to dělají jinde: úplně se vyhnout kvalifikovaným elektronickým podpisům, a místo nich si zavést ony „uznávané elektronické podpisy“.

 
 

Co měly „unijní“ kvalifikované elektronické podpisy a „české“ uznávané elektronické podpisy společného, byl požadavek na kvalifikovaný certifikát. Ostatně, proto jsme také naše uznávané elektronické podpisy definovali tak, že jde o „zaručené elektronické podpisy, založené na kvalifikovaném certifikátu …..“.

Rozdíl byl naopak v tom, že pro uložení soukromého klíče jsme nepožadovali bezpečnější řešení, v podobě jeho uzavření v certifikované čipové kartě či USB tokenu, bez možnosti exportu (bez možnosti „dostat jej ven“). Nepožadovali jsme tedy splnění podmínky, kterou právo dodnes formuluje ne zrovna správně jako: „[podpis]je vytvořen kvalifikovaným prostředkem ….“.

Nechtěli jsme totiž nutit naše uživatele, aby si pro spolehlivější ochranu svého soukromého klíče museli pořizovat certifikované čipové karty či tokeny, dnes označované jako kvalifikované prostředky pro vytváření elektronických podpisů, zkratkou QSCD, z anglického Qualified Signature Creation Device (a dříve, podle směrnice, ještě jako bezpečné prostředky: SSCD, od Secure Signature Creation Device). Místo toho jsme zřejmě spoléhali na to, že naši uživatelé jsou dostatečně odborně kvalifikovaní, aby dokázali sami správně posoudit, jaký způsob uložení soukromého klíče je pro ně dostatečně bezpečný.

Jinými slovy: zatímco unijní kvalifikované elektronické podpisy si vynucovaly bezpečnější řešení v podobě kvalifikovaných prostředků, naše uznávané elektronické podpisy je nevynucovaly. Ale ani nezakazovaly. Takže unijní kvalifikované elektronické podpisy fakticky byly zahrnuty v našich uznávaných elektronických podpisech.

Jak by to bývalo šlo

Takto, jen s uznávanými elektronickými podpisy místo těch kvalifikovaných, nám to vydrželo do roku 2016. Pak ale přišlo nařízení č. 910/2014, známé jako nařízení eIDAS, coby přímo účinný právní předpis, a skrze něj se kvalifikované elektronické podpisy dostaly i do našeho právního řádu. Takže už jsme je nemohli dále ignorovat.

Našeho národního stříbra, v podobě uznávaných elektronických podpisů, jsme si však cenili natolik, že jsme se rozhodli si je ponechat. To ale vyžadovalo je nějak začlenit do národní právní úpravy, adaptující náš právní řád na unijní nařízení eIDAS, které počítalo jen se zaručenými a kvalifikovanými elektronickými podpisy. Konkrétně jsme je potřebovali začlenit do zákona č. 297/2016 Sb. o službách vytvářejících důvěru, který je takovýmto adaptačním zákonem pro oblast služeb vytvářejících důvěru, kam spadají i elektronické podpisy.

Vzhledem k tomu, jak právo zachází s pojmovými kategoriemi elektronických podpisů (na principu matrjošek, resp. „do sebe vnořených“ pojmových kategorií) by bývalo nejjednodušším řešením zůstat u původní definice uznávaného elektronického podpisu z předchozí právní úpravy (v zákoně č. 227/2000 Sb. o elektronickém podpisu). Tedy v tom smyslu, že uznávaný elektronický podpis je takový zaručený elektronický podpis, který je založen na kvalifikovaném certifikátu.

Tím by naše uznávané elektronické podpisy přesně zapadly do hierarchie, vytvořené unijním nařízením eIDAS a jeho definicemi zaručených a kvalifikovaných elektronických podpisů:

  • [nařízení eIDAS:] „zaručeným elektronickým podpisem“ [se rozumí] elektronický podpis, který splňuje požadavky stanovené v článku 26;
  • [adaptační zákon:] „uznávaným elektronickým podpisem“ [se rozumí] zaručený elektronický podpis, který je založen na kvalifikovaném certifikátu pro elektronické podpisy;
  • [nařízení eIDAS:] „kvalifikovaným elektronickým podpisem“ [se rozumí] zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy;

Dodržen by byl i charakter „do sebe vnořených“ pojmových kategorií: kvalifikovaný elektronický podpis by byl zvláštním případem (podmnožinou) uznávaných elektronických podpisů, a ty by byly zvláštním případem (podmnožinou) zaručených elektronických podpisů. Nebo, z opačného pohledu: zaručené elektronické podpisy by již zahrnovaly i uznávané elektronické podpisy, a ty by již zahrnovaly i kvalifikované elektronické podpisy.

 
 

No a pokud by právo potřebovalo popsat zaručené a uznávané elektronické podpisy tak, jak s nimi pracuje běžná praxe, tedy jako disjunktní kategorie, dalo by se i to řešit opisem, s využitím „právních“ definic:

  • „zaručeným elektronickým podpisem“ [v běžné praxi] je takový zaručený elektronický podpis [v terminologii práva], který není současně uznávaným elektronickým podpisem [v terminologii práva], a
  • „uznávaným elektronickým podpisem“ [v běžné praxi] je takový uznávaný elektronický podpis [v terminologii práva], který není současně kvalifikovaným elektronickým podpisem.

Představu ukazuje i následující obrázek.

 
 

Jak to nakonec dopadlo?

Naše právní úprava, konkrétně v zákoně č. 297/2016 Sb., však při adaptaci nařízení eIDAS do našeho právního řádu zvolila jiný přístup k vymezení uznávaných elektronických podpisů. A to takový, že k nim jakoby přičetla (přidala) i kvalifikované elektronické podpisy.

Jinými slovy: převzali jsme původní definici uznávaných elektronických podpisů z předchozí právní úpravy (ze zákona č. 227/2000 Sb. o elektronickém podpisu), který je vymezuje jako zaručené podpisy, založené na kvalifikovaném certifikátu – a přidali k nim ještě kvalifikované elektronické podpisy. Bez ohledu na to, že kvalifikované elektronické podpisy již jsou v původní definici uznávaných podpisů fakticky zahrnuty. Představu ukazuje i následující obrázek.

 
 

Z pojmu „uznávaný elektronický podpis“, tak jak je dnes v zákoně vymezen, je tak vlastně jakási legislativní zkratka, resp. společné označení pro dva druhy elektronických podpisů.

Explicitní zahrnutí něčeho, co už je zahrnuto, by možná nemuselo být až tak velkým problémem – pokud by se všeobecně respektovalo, že nejde o dvě vzájemně se vylučující varianty, resp. o dva různé druhy elektronických podpisů, ale že ten druhý je již obsažen v tom prvním.

Bohužel tomu tak není, a i v právních textech jsou oba druhy elektronických podpisů, zahrnuté pod legislativní zkratku (společné označení) „uznávaný elektronický podpis“, vnímány jako různé, resp. resp. disjunktní. Jinými slovy: pojem „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“ je vykládán jako „zaručený elektronický podpis, který není současně kvalifikovaným elektronickým podpisem“. Fakticky jako takový, při jehož vytváření nebyl využit kvalifikovaný prostředek.

Příkladem může být vyhláška č. 259/2012 Sb. o podrobnostech výkonu spisové služby, která ve svém § 4 odst. 7 písm. e) požaduje po příjemci dokumentu ověření platnosti elektronického podpisu a zaznamenání údaje o tom, „zda se jedná o kvalifikovaný elektronický podpis nebo zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis ….

A mimochodem, úplně stejný problém, způsobující mnohá zmatení a nedorozumění, se týká i elektronických pečetí: těch kvalifikovaných i uznávaných, resp. založených na kvalifikovaném certifikátu.

další část