Vyšlo na Lupě, 1.9.2005
Vytištěno z adresy: http://www.earchiv.cz/b05/b0901001.php3

Elektronické značky nastupují

Česká pošta získala akreditaci pro svou certifikační autoritu PostSignum, a právě dnes začíná vydávat kvalifikované certifikáty jak pro elektronické podpisy, tak i pro elektronické značky. Novela zákona o DPH, která umožní využití elektronických značek pro daňové doklady, je hotova a čeká jen na podpis prezidenta.

Elektronické podpisy nejsou v současné době zdaleka mrtvé, ale na druhé straně také neprožívají žádný explozivní růst. Zažívají spíše takový "umírněný" růst, čas od času přiživovaný zaváděním nových agend, které je možné vyřizovat elektronicky.

Nyní jsou ale na obzoru další dva impulsy, které by mohly opravdu významně urychlit nástup elektronických podpisů do každodenní praxe. Jde konkrétně o:

  • start druhé akreditované certifikační autority v ČR
  • novelu zákona o DPH, která explicitně řeší využití elektronických značek pro daňové doklady

Česká pošta získává akreditaci
Již počátkem srpna jste se mohli zde na Lupě dočíst o tom, že České poště se podařilo získat tolik potřebnou akreditaci od Ministerstva informatiky ČR pro svou certifikační autoritu. To jí umožní vydávat takové kvalifikované certifikáty, které budou použitelné i pro komunikaci občanů s veřejnou správou (resp. "v oblasti s orgány veřejné moci"). Na něco takového totiž podle zákona o elektronickém podpisu nestačí jakýkoli kvalifikovaný certifikát - musí to být kvalifikovaný certifikát, vydaný takovým subjektem, který na to má potřebnou akreditaci (tedy: akreditovanou certifikační autoritou).

Až dosud u nás existoval jen jeden subjekt s takovouto akreditací: společnost I.CA, která získala akreditaci v roce 2002. Nyní tedy akreditaci získala další certifikační autorita, čímž padl dosavadní monopol I.CA a otevřel se prostor ke vzájemné konkurenci. A hned se to projevilo: Česká pošta přišla s cenou 190 Kč (včetně DPH), za vydání jednoho kvalifikovaného certifikátu pro elektronický podpis - s tím, že to nemá být žádná zaváděcí cena, ale cena řádná (trvalá, viz ceník). Pro srovnání: I.CA si za jeden kvalifikovaný certifikát účtuje 752 Kč (včetně DPH, viz ceník).

Startuje Postsignum QCA
Vydávání certifikátů a činnost certifikační autority nejsou pro Českou poštu žádnou novinkou. Již v roce 1999 si vytvořila svou interní certifikační autoritu, sloužící jejím interním potřebám. V roce 2003 pak Česká pošta spouští další certifikační autoritu, tentokráte již veřejnou, s názvem PostSignum, vydávající tzv. komerční certifikáty zájemcům z řad nejširší veřejnosti.

Nyní, v souvislosti s udělením akreditace, spouští Česká pošta další certifikační autoritu, kterou pro odlišení označuje přívlastkem "kvalifikovaná". Bude tedy provozovat souběžně dvě certifikační autority:

  1. Veřejnou certifikační autoritu - PostSignum VCA
  2. Kvalifikovanou certifikační autoritu - PostSignum QCA

Projevilo se to ostatně i rozcestníkem na adrese http://www.postsignum.cz, viz obrázek:

Naopak původní interní certifikační autorita České pošty by měla být zrušena, a její roli převezme Veřejná CA (PostSignum VCA).

Etapy QCA
Pro zájemce o vystavení kvalifikovaného certifikátu je důležité, kam se musí dostavit k ověření své totožnosti, s patřičnými doklady. Kvalifikovaný certifikát nelze vystavit na dálku (tak, jako to jde třeba u testovacích či emailových certifikátů), ale až po dostatečně věrohodném ověření identity žadatele, za jeho fyzické přítomnosti.

Nemusí to nutně znamenat, že žadatel přijde za certifikační autoritou. Možný je i opačný případ, s mobilní registrační autoritou (Česká pošta jí poněkud nezvykle říká "mobilní operátor"), která přijde za žadatelem. Tuto možnost, která byla využita například při nedávné kampani "elektronický podpis obcím", však Česká pošta plánuje až někdy na rok 2006 (a nejspíše jen pro případ více žadatelů ve stejné lokalitě).

Takže dnes ještě musí zájemce přijít za Českou poštou. Ale kam konkrétně, když ČP má velké množství poboček po celé republice? Zde je dobré vědět, že "kontaktní místa" obou certifikačních autorit se budou rozšiřovat postupně, po etapách:

  • 1. etapa (od 1.9.2005): k dispozici jsou regionální kontaktní místa v Praze, Českých Budějovicích, Plzni, Ústí nad Labem, Pardubicích, Brně a Ostravě. Jejich konkrétní adresy, včetně údajů o otevírací době, najdete zde.
  • 2. etapa (od 1.12.2005): k dispozici bude 70 kontaktních míst, víceméně odpovídajících bývalým okresním městům
  • 3. etapa (2006/2007): rozšíření na 400 kontaktních míst, vybraných na základě monitoringu potřeb a požadavků uživatelů

Generování žádostí a vystavování certifikátů
Další podstatnou informací, kterou potřebuje znát každý zájemce o kvalifikovaný certifikát od České pošty, je způsob generování žádosti o jeho vydání. Jde o proces, který má určité podmínky a náležitosti. Specialisté na el. podpis si nejspíše dokáží vygenerovat takovou žádost i vlastními prostředky, ale typický zájemce použije aplikaci, kterou za tímto účelem poskytuje Česká pošta (ostatně, u I.CA je tomu obdobně).

Česká pošta a její QCA nabízí dvě varianty vygenerování žádosti:

  • on-line, skrze browser. Zde je podmínkou použití platformy MS Windows a browseru IE 6.0 (event. vyšší, až nějaký bude).
  • off-line, pomocí samostatně běžící aplikace s názvem PostSignum Tool. Je to aplikace běžící v Javě, a vyžaduje prostředí Sun Java. Česká pošta ji nyní nabízí pouze ve formě instalačního balíčku včetně tohoto prostředí, do budoucna by měla být dostupná i verze bez něj.

S vygenerovanou žádostí (na disketě), a se dvěma doklady totožnosti (občanský průkaz + cestovní pas, řidičský průkaz, průkaz ZTP nebo rodný list) je pak třeba zajít na některé z kontaktních míst.

Vystavený certifikát je žadateli nahrán také na disketu. S ní pak musí jít na ten počítač, kde byla žádost vygenerována, a zde svůj nový certifikát nainstalovat. Nemůže to být jiný počítač, kvůli tomu, že při generování žádosti na něm zůstal příslušný privátní (soukromý) klíč. Následně je ovšem možné vyexportovat soukromý klíč (pokud byl při žádosti povolen jeho budoucí export) například na čipovou kartu, USB token či obdobné zařízení schopné fungovat jako úložiště klíčů, a s jeho využitím se pak podpisovat i na jiných počítačích. Ale to už je o používání elektronických podpisů, a to by bylo spíše na sérii samostatných článků.

Bariéra, nebo motivace?
Nová (kvalifikovaná) certifikační autorita České pošty tedy konečně zavede tolik potřebnou konkurenci, a její cenová politika (190 Kč za kvalifikovaný certifikát, včetně DPH) slibuje učinit jej dostupným více zájemcům, navíc skrze větší počet kontaktních míst než dosavadní monopol I.CA. Je to určitě velký přínos a podnět pro rozvoj elektronických podpisů.

Osobně bych ale otázku ceny a počtu kontaktních míst tolik nepřeceňoval, resp. nepovažoval je za tak zásadní překážku rozvoje elektronických podpisů. Pokud někdo nemá pro elektronický podpis dostatečné využití, nebo ani netuší, k čemu by mu byl dobrý, pak si nepůjde pořídit kvalifikovaný certifikát, ani když zlevní na 190 korun a bude dostupný na každém rohu. Naopak ten, komu se elektronický podpis hodí a má pro něj smysluplné využití, klidně dá za certifikát i dosavadních 752 korun a zajde si pro něj tam, kam je třeba.

Pravdou ale je, že nynější pokles cen a zvýšení kontaktních míst snižuje pomyslnou laťku, od které se lidem vyplatí si jej pořídit. Jde tedy cestou snižování zábran a bariér, nikoli cestou zvyšování motivace, resp. užitné hodnoty elektronického podpisu.

Elektronické značky
Poslední novela zákona o elektronickém podpisu (zákon č. 440/2004 Sb.) zavedla do našeho právního řádu vedle elektronického podpisu ještě jeden obdobný mechanismus: tzv. elektronické značky.

Po technické stránce to je přesně to samé, co elektronický podpis, odlišná je ale právní stránka: zatímco elektronický podpis může vytvářet pouze konkrétní fyzická osoba, jako aktivní projev své svobodné vůle, elektronickou značku mohou vytvářet i stroje (resp. programy). Takže různé výstupy informačních systémů, třeba z katastru nemovitostí, různých objednávkových systémů apod., které vůbec neprochází lidskýma rukama, nemohly být dosud opatřovány elektronickým podpisem a mít právní relevanci. Jedině že by je ještě vzal do svých rukou konkrétní člověk, a opatřil je svým elektronickým podpisem.

Elektronické značky popsaný problém řeší - bohužel ale dosud jen na papíře. Stále totiž chyběly dvě podstatné ingredience:

  • někdo, kdo by vydával kvalifikované systémové certifikáty, určené pro vytváření elektronických značek
  • zákon, který by definoval použití elektronických značek (a přisuzoval jim potřebnou právní relevanci)

I to se ale nyní mění. Nová kvalifikovaná certifikační autorita České pošty (na rozdíl od I.CA) nabízí i kvalifikované certifikáty nejen pro elektronické podpisy, ale i kvalifikované systémové certifikáty pro vytváření elektronických značek, a to jak soukromým osobám, tak i organizacím. Cena za ně už není zdaleka tak lidová, jako v případě certifikátů pro elektronický podpis: místo 190 Kč přijdou na 2856 Kč. Ale to nejspíše souvisí i s očekávaným odbytem - například jedna velká instituce si může pořídit jen jeden certifikát, a s ním pak elektronicky "značkovat" (opatřovat elektronickými značkami) všechny výstupy svých automatizovaných agend.

Druhým nezbytným kaménkem do celkové mozaiky je opora pro elektronické značky v zákoně: bylo nutné novelizovat další právní předpisy tak, aby s institutem elektronických značek pracovaly a explicitně jim přisuzovaly konkrétní relevanci. A i to nyní přichází, konkrétně skrze novelu zákona č. 235/2004 Sb. o dani z přidané hodnoty. Nikoli ale přímo, nýbrž vsuvkou do jiného zákona ("o finančních konglomerátech", který již prošel Parlamentem a čeká jen na podpis prezidenta).

Přitom právě zákon o DPH je i ve svém dosud platném tvaru poměrně pokrokový a explicitně připouští použití elektronického podpisu pro daňové doklady v elektronické formě. Mj. je umožňuje uchovávat a také vystavovat v čistě elektronické formě (za souhlasu příjemce), pokud jsou opatřeny "náležitým" elektronickým podpisem. To ale v praxi stále neumožňuje čistě strojové zpracování. Takováto možnost se otevře až zmiňovanou novelou, která jednak zpřesní požadavek na elektronický podpis (musí jít o zaručený podpis, založený na kvalifikovaném certifikátu), ale hlavně připustí také možnost označení pomocí elektronické značky. To by mohlo zásadním způsobem pomocí zejména firmám, k tomu aby si doklady o svých vzájemných transakcích mohly uchovávat (jako daňové doklady) v čistě elektronické formě, a nemusely je předtím ještě ručně zpracovávat (opatřovat elektronickým podpisem konkrétní fyzické osoby).

Zde je pro ilustraci chystaných změn dosavadní a budoucí tvar jednoho z relevantních paragrafů zákona o DPH, který se týká právě uchovávání daňových dokladů. Změněné části jsou vyvedeny tučně:

[nyní] )Daňový doklad v písemné formě lze převést do elektronické podoby a uchovávat pouze v této podobě, pokud metoda použitá pro převod a uchování zaručuje věrohodnost původu a neporušitelnost obsahu daňového dokladu a jeho čitelnost elektronickou výměnou informací (EDI) nebo je opatřen elektronickým podpisem podle zvláštního právního předpisu.
[po novele] Daňový doklad v písemné formě lze převést do elektronické podoby a uchovávat pouze v této podobě, pokud metoda použitá pro převod a uchování zaručuje věrohodnost původu a neporušitelnost obsahu daňového dokladu a jeho čitelnost a pokud je daňový doklad převedený do elektronické podoby opatřen zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu nebo označen elektronickou značkou založenou na kvalifikovaném systémovém certifikátu osoby odpovědné za jeho převod.