Vyšlo na Lupě, 8.10.2001
Vytištěno z adresy: http://www.earchiv.cz/b01/b1008001.php3

Vyhláška k epodpisům je hotova!

Středa 3. října se stala dalším významným mezníkem na cestě k prosazení elektronických podpisů do běžné praxe - v ten den předseda ÚOOÚ podepsal definitivní podobu prováděcí vyhlášky k zákonu o elektronických podpisech. Účinnosti nabude hned, jakmile bude zveřejněna ve Sbírce zákonů. Na co se tedy můžeme těšit? Jaké důsledky to přinese?

Ještě před rokem byla u nás dosti rozšířena představa, že zavedení elektronických podpisů do běžné praxe je jakousi jednorázovou záležitostí, kterou lze zajistit přijetím jednoho konkrétního zákona. Dnes, více jak rok po nabytí účinnosti zákona o elektronických podpisech (zákona č. 227/2001 Sb., s účinností od 1. října 2000), již dávno vzala za své. Stále markantněji se totiž ukazuje, že jde o dlouhodobější proces, který samozřejmě má své milníky, ale rozhodně jej není možné redukovat na nějaké jednorázové mávnutí kouzelným proutkem.

Zrekapitulujme si proto hlavní milníky:

  • Zákon o elektronickém podpisu je schválen (24.5.2000 Poslaneckou sněmovnou, 29.6.2000 Senátem), podepsán prezidentem (10.7.2000), a zveřejněn ve Sbírce zákonů (jako zákon č. 227/2000 v částce 68/2000 Sbírky zákonů)
  • 1.10.2000 zákon č. 227/2000 Sb. (o elektronickém podpisu) nabývá účinnosti
  • 31.5.2001 nabývá účinnosti novela zákona č. 101/2001 Sb., která mění statut Úřadu pro ochranu osobních údajů tak, aby mohl publikovat vyhlášky ve Sbírce zákonů (jde o zákon č. 177/2001)
  • 1.10.2001 nabývá účinnosti nařízení vlády č. 304/2001 o použití elektronických podpisů v oblasti orgánů veřejné moci
  • 1.10.2001 vznikají první elektronické podatelny (v souladu s nařízením vlády)
  • 3.10.2001 předseda ÚOOÚ podepisuje definitivní verzi prováděcí vyhlášky k zákonu č. 227/2000 Sb., určenou k publikování ve Sbírce.

Do budoucnosti se rýsují nejméně tři další milníky:

  • prováděcí vyhláška nabývá účinnosti (k tomu by mělo dojít v nejbližším možném termínu, jejím publikováním ve Sbírce zákonů)
  • první poskytovatel certifikačních služeb začíná vydávat tzv. kvalifikované certifikáty (nejdříve 30 dnů po nabytí účinnosti vyhlášky)
  • první poskytovatel certifikačních služeb úspěšně absolvuje proces akreditace a stává se akreditovaným poskytovatelem certifikačních služeb - což mu umožňuje vydávat takové certifikáty, jaké jsou zákonem požadovány pro komunikaci "v oblasti orgánů veřejné moci".

Proč je nutná prováděcí vyhláška?

Nutnost existence prováděcí vyhlášky nemusí být na první pohled zcela zřejmá, a proto si dovolím malé vysvětlení: vydání zákona představuje určité zásadní rozhodnutí koncepčního, strategického (i politického) charakteru, které by mělo (musí) respektovat mnoho souvislostí - v konkrétním případě elektronického podpisu i realit technologických, kryptografických atd. Na druhou stranu by zákon neměl v sobě zakotvovat konkrétní technická řešení a měl by být na nich nezávislý - již jen proto, že "doba obrátky" při věcné aktualizaci zákonů je podstatně delší než tempo vývoje v oblasti technologií.

Zákon tedy specifikuje jen základní obrysy určitého řešení - např. to, čeho má být dosaženo, jakým principiálním způsobem se tak má stát, kdo a jakým způsobem se na tom má podílet atd. - ale nezabývá se již konkrétními detaily, které naopak přenechává prováděcí vyhlášce. Ta již může mít podstatně kratší "dobu obrátky" a může se snáze přizpůsobovat důsledkům technologického vývoje. Na druhé straně ani prováděcí vyhláška nemůže měnit zákon, ale může jej pouze konkretizovat (upřesňovat). V tomto ohledu je možné si představit, že zákon specifikuje určité mantinely či interval, v rámci kterého se prováděcí vyhláška může (resp. musí) se pohybovat.

Co vyhláška upřesňuje?

V konkrétním případě zákona o el. podpisu prováděcí vyhláška upřesňuje následující hlavní oblasti:

  • jaké konkrétní podmínky mají splňovat poskytovatelé certifikačních služeb (par. 6 zákona), kteří chtějí vydávat tzv. kvalifikované certifikáty, včetně způsobu dokládání splnění tchto podmínek
  • jaké požadavky splňovat musí nástroje elektronického podpisu, včetně postupu a způsobu vyhodnocování shody s těmito požadavky ("nástrojem" je to, co používá poskytovatel služeb)
  • jaké konkrétní podmínky musí splňovat prostředky pro bezpečné vytváření a ověřování zaručeného elektronického podpisu (par. 17 zákona), včetně způsobu dokládání jejich splnění ("prostředkem" se rozumí to, co používá uživatel/zákazník)

Jde tedy o oblasti, které se snaží zajistit určitou konkrétní úroveň "kvality" (ve smyslu bezpečnosti, důvěryhodnosti, provozní spolehlivosti atd.) na straně těch subjektů, které chtějí vystupovat jako poskytovatelé certifikačních služeb. Bez zabíhání do přílišných detailů si dovolím konstatovat, že prováděcí vyhláška klade velmi přísné podmínky na fungování těchto subjektů - což by ale, vzhledem k povaze celé problematiky, nemělo vůbec překvapovat.

Příprava této vyhlášky byla ryze odbornou (technickou) záležitostí, a musela být pečlivě sladěna i s přípravou obdobných prováděcích předpisů v evropské unii. Proto také trvalo nezanedbatelnou dobu, než se vyhlášku podařilo dokončit. Mezitím bylo nutné odstranit i jeden legislativní problém - to, že Úřad pro ochranu osobních údajů neměl právo publikovat vyhlášky ve Sbírce zákonů. To se podařilo až s novelou zákona o samotné ochraně os. údajů (k 31.5.2001).

Akreditovaní a neakreditovaní poskytovatelé

Podmínky, které prováděcí vyhláška specifikuje, musí splnit všichni poskytovatelé certifikačních služeb - přesněji ti, kteří chtějí vydávat tzv. kvalifikované certifikáty, neboli certifikáty splňující požadavky zákona. Podle litery zákona musí svůj záměr vydávat kvalifikované certifikáty oznámit Úřadu s předstihem 30 dnů (takže prvních kvalifikovaných certifikátů se nedočkáme dříve než měsíc po účinnosti vyhlášky).

Splnění podmínek, kladených na poskytovatele certifikačních služeb, může Úřad pro ochranu osobních údajů kontrolovat kdykoli "ex-post" (poté, co příslušný poskytovatel zahájil svou činnost). Zákon však pamatuje i na možnost, že poskytovatel sám explicitně požádá o ověření toho, že příslušné podmínky splňuje. Pokud příslušným ověřovacím procesem projde úspěšně, stává se akreditovaným poskytovatelem certifikačních služeb.

Ačkoli věcné podmínky, které musí akreditovaní poskytovatelé splnit, nejsou nijak přísnější oproti podmínkám kladeným na ne-akreditované poskytovatele, přeci jen zákon dává akreditovaným poskytovatelům poněkud odlišný statut než jaký přisuzuje ne-akreditovaným. Konkrétní rozdíl je v tom, že zákon explicitně požaduje aby "v oblasti orgánů veřejné moci" byly používány pouze kvalifikované certifikáty vydané akreditovanými poskytovateli (tj. nestačí zde tedy pouze ty, které vydali neakreditovaní poskytovatelé).

Jaké jsou konkrétní důsledky?

Úplná shoda o tom, co přesně znamená "v oblasti orgánů veřejné moci" přitom nepanuje. Jak jsem se snažil ukázat již v tomto článku, nařízení vlády č. 304 jej fakticky interpretuje tak, že jde o přímý výkon veřejné moci, kterým je komunikace směrem od orgánu veřejné moci, ale nikoli již komunikace opačným směrem, tedy od občana směrem k orgánu veřejné moci. Proto také příslušné nařízení považuje za postačující takový elektronický podpis občana, který je vytvořen s použitím kvalifikovaného certifikátu (ale nikoli nutně vydaného akreditovaným poskytovatelem). Takovéto certifikáty by mohly být vydávány již za 1 měsíc po nabytí účinnosti vyhlášky.

Naproti tomu pro pracovníky orgánů veřejné moci, kteří budou elektronická podání přijímat a ověřovat pravost el. podpisů, nařízení č. 304/2001 požaduje kvalifikované certifikáty od akreditovaných poskytovatelů - tyto budou moci být vydávány až teprve poté, co vyhláška nabude platnosti, na jejím základě bude zahájen proces akreditace a první poskytovatel tímto procesem úspěšně projde a akreditaci získá. To samozřejmě bude ještě nějakou dobu trvat.