Vyšlo na Lupě,, 24.7.2009
Vytištěno z adresy: http://www.earchiv.cz/b09/b0724001.php3

Datové schránky: bez razítka to nepůjde!

Dokument, který vám přijde v datové zprávě od orgánu veřejné moci do vaší datové schránky, musí být opatřen uznávaným elektronickým podpisem. Ale už nemusí být opatřen časovým razítkem. Po čase, nejpozději však do roka, elektronický podpis na dokumentu ztratí svou aktuální platnost – a bez časového razítka už jeho platnost neověříte ani zpětně. Tím se elektronický dokument dostává na úroveň nepodepsaného cáru papíru.

Napsání tohoto článku jsem dlouho odkládal. Hlavně kvůli tomu, že jsem si sám ještě ujasňoval jeho věcnou stránku, a teprve postupně si připouštěl myšlenku, že celý systém datových schránek byl spuštěn bez toho, že by byl dostatečně vyřešen celý „životní ekosystém“ dokumentů v elektronické podobě.

Také jsem doufal, že se tématu ujme někdo jiný, fundovanější. Případně že se vyjádří ten, kdo to všechno vymyslel, uvedl v život a zákonem přikázal používat nemalému okruhu subjektů. Leč nestalo se. A tak si dovoluji přijít se svým pohledem na celou problematiku.

Než ale budete číst dále, neodpustím si velký disclaimer: berte tento článek jako názor autora, a optimálně také jako podklad k širší diskusi. Rozhodně si nedělám žádný patent na rozum či nepřisvojuji právo vykládat zákon. Jen nastoluji určité otázky, a jelikož jsem na ně dosud neslyšel ani nenašel uspokojivou odpověď, nabízím určité vlastní odpovědi. Budu jen rád, pokud mne někdo vyvede z omylu a ukáže, že zbytečně straším a hledám problém tam, kde ve skutečnosti vůbec není.

A ještě jedna důležitá věc: jelikož jde o poměrně složitou tématiku, dovolím si tento článek obrátit, tak aby byl srozumitelnější: nejprve popíšu jeho pointu a praktické důsledky, a teprve pak se dostanu k detailům. A přes ně i k dalšímu problému, který se pro změnu týká autorizované konverze na žádost.

V čem je pointa?

Pointu vidím v tom, že legislativa v určitém okamžiku „změnila názor“ a již  netrvá na tom, aby elektronické dokumenty od orgánů veřejné moci, doručované příjemcům do jejich datových schránek, byly opatřeny nejen uznávaným elektronickým podpisem, ale také časovým razítkem. Původně s tím zákon počítal, ale nyní (po 1.7.2009) už nikoli.

Důvod byl asi praktický: původní požadavek vyžadoval, aby i ten nejmenší orgán veřejné moci byl napojen na akreditovanou certifikační autoritu, vydávající kvalifikovaná časová razítka, a v reálném čase využíval její služby.  To by bylo nejen dosti drahé, ale také komplikované a náročné na zavedení. A tak se od toho upustilo. Jenže asi už nikdo nedomyslel, jaký dopad to bude mít na statut dokumentů, produkovaných orgány veřejné moci a doručovaných firmám a soukromým osobám.  

Ten dopad spočívá v tom, že nejpozději do jednoho roku po připojení elektronického podpisu k dokumentu přestane platit podpisový certifikát, který byl k podpisu využit. A kvůli tomu pak již nejde ověřit platnost tohoto podpisu.

Platnost elektronického podpisu se totiž běžně ověřuje k aktuálnímu datu (tj. k datu a času, ke kterému je platnost zkoumána). Pak není důležité, kdy samotný podpis přesně vznikl – protože v době ověřování již existuje. Podstatné je, aby ještě platil podpisový certifikát, použitý při vzniku elektronického podpisu.

Pokud již podpisový certifikát není platný, dá se ještě zkoumat platnost elektronického podpisu v době před ukončením jeho platnosti. K tomu ale potřebujeme mít jistotu, že samotný elektronický podpis vznikl ještě dříve (ještě před ukončením platnosti podpisového certifikátu). A právě tuto jistotu bez časového razítka nemáme: nevíme, kdy podpis vzniknul.

Důvod je ten, že sám elektronický podpis údaj o čase svého vzniku obsahuje, ale nemůžeme se na něj spolehnout - protože autor podpisu si tento údaj  mohl nastavit podle libosti (skrze nastavení hodin na svém počítači).

Jistotu nám může poskytnout pouze časové razítko, což je technicky vzato pouze další elektronický podpis - ale od někoho, kdo je za zákona povinen mít správně seřízené hodinky (tj. akreditovaná certifikační autorita, vydávající časová razítka). Jenže když časové razítko na dokumentu chybí, celá tato varianta ověřování platnosti podpisu  „zpětně v čase“ nepřipadá v úvahu.

Jen pro dokreslení: v době, kdy podpisový certifikát ještě platí, nám absence časového razítka nevadí a nebrání ověření platnosti podpisu. Stejně tak nám nevadí, že údaj o vzniku podpisu (na podpisu samotném) nemusí být správný: můžeme se totiž spolehnout na to, že v době ověřování podpis již existuje, a tudíž musel vzniknout někdy dříve.

Pojďme ale od technických aspektů k těm právním: alespoň podle mého názoru je celkový důsledek ten, že dokument v elektronické podobě (ale bez časového razítka) s postupem času mění svůj právní statut: v době, kdy ještě neskončila platnost použitého podpisového certifikátu, je tento elektronický dokument na úrovni dokumentu v listinné podobě s vlastnoručním podpisem. Ale po expiraci (skončení platnosti) podpisového certifikátu, kdy (bez časového razítka) již nelze ověřit platnost elektronického podpisu ani zpětně, k době jeho vzniku, se elektronický dokument dostává na úroveň dokumentu v listinné podobě bez vlastnoručního podpisu. Tedy na úroveň nepodepsaného „cáru papíru“. Což značně omezuje jeho praktickou využitelnost.

A to je problém.

Kdy může dojít k expiraci certifikátu?

K expiraci podpisového certifikátu přitom může dojít – z pohledu příjemce dokumentu – prakticky kdykoli. Třeba ještě dříve, než uplyne 90-denní lhůta, po kterou je dokument (obsažený v datové zprávě) ještě uchováván v datové schránce. Nebo dokonce ještě během 10-denní fikce jeho doručení.  Rozhodující je, kdy byl vystaven podpisový certifikát tomu úředníkovi, který podpis na dokumentu vytvořil: podpisové certifikáty se standardně vydávají na 1 rok, a po tuto dobu jsou použitelné pro vytváření podpisů. Pak už nikoli (a je třeba získat certifikát nový).


Příklad roční platnosti certifikátu, který byl použit pro autorizovanou konverzi, popisovanou v tomto článku zde na Lupě.

Pokud tedy úředník, podepisující se za orgán veřejné moci, opatří nějaký „odcházející“ dokument svých uznávaným podpisem třeba jen 5 dnů před řádnou expirací svého podpisového certifikátu, nastane popisovaný problém do zmíněných 5 dnů. Pokud úředník použije „nejčerstvější možný“ certifikát, který právě obdržel, nastane popisovaný problém až za celý dlouhý rok.

A to ještě existuje možnost předčasného ukončení platnosti certifikátu, jeho tzv. revokací. Například kvůli kompromitaci privátního klíče, či kvůli ukončení pracovního poměru úředníka u příslušného orgánu veřejné moci apod.

Dokument vs. datová zpráva

Pro správné docenění celého problému si ještě musíme zdůraznit, že jednotlivé dokumenty v elektronické podobě jsou přenášeny mezi datovými schránkami uvnitř datových zpráv. A datové zprávy jako takové (jako celek) jsou opatřovány časovým razítkem. Přidává jej tam informační systém datových schránek (ISDS), kterému to explicitně přikazuje zákon (č. 300/2008 Sb., před i po své novele).

V čem je tedy problém? Proč nevztáhnout údaj o čase, určený časovým razítkem na datové zprávě jako celku, i na každý jednotlivý dokument, obsažený (resp. doručený) v dané zprávě? To by následně umožnilo zkoumat platnost elektronického podpisu na dokumentu alespoň zpětně, k datu z časového razítka na celé zprávě.

Úvaha je to správná: technicky to možné je. Navíc je zde  ještě jedna zajímavá okolnost, o které se málo ví: i když oficiální zdroje říkají, že datové zprávy jsou ve schránkách po 90 dnech mazány, týká se to jen jejich obsahu, neboli pouze samotných dokumentů, obsažených v datových zprávách. Naopak obálky zpráv, které obsahují i časové razítko, v systému ISDS zůstávají neomezeně dlouho. Vyplývá to mj. z následujícího ustanovení Provozního řádu, které se týká rušení datové schránky:

Zrušení datové schránky
Datovou schránku zruší Správce 3 roky po zániku subjektu, pro který byla zřízena, viz §13. Záznamy o přenesených zprávách (obálky těchto zpráv bez příloh) uchovává ISDS trvale.

Nicméně není nutné se spoléhat na to, že alespoň obálka zůstane v ISDS trvale: můžete si ji sami nahrát na nějaké vlastní úložiště (CD/DVD, flash apod.).

Dokazování u soudu?

Jenže tady už se dostáváme zpět k pointě: to, s čím potřebujete v praxi operovat a nakládat, je dokument v elektronické podobě („podepsané PDF-ko“), a nikoli původní datová zpráva (v XML, navíc třeba ještě zabalená do nějakého .zfo).

Pokud například v roce X dostanete nějaké rozhodnutí orgánu veřejné moci, a v roce Y (Y > X) se jím budete potřebovat prokázat (ať už z jakéhokoli důvodu), jak to uděláte? Budete předkládat onen (PDF) dokument s rozhodnutím, nebo datovou zprávu (v XML/zfo), ve které vám toto rozhodnutí v roce X přišlo?

Pokud by šlo o jednání před soudem, pak (alespoň teoreticky) by to mělo projít: soudu by se předložil jako důkaz dokument i celá datová zpráva, nebo alespoň její obálka. Soud by extrahoval obálku, podle hashe zkontroloval, že dokument byl skutečně obsažen v této datové zprávě, a podle časového razítka v obálce zprávy by si mohl sám dovodit, k jakému datu posuzovat platnost podpisu na předmětném dokumentu. Vše samozřejmě za předpokladu, že soud bude náležitě zběhlý v problematice elektronického podpisu, hashování, formátování datových zpráv v XML atd.

Teď si ale představme jiný případ: stejné rozhodnutí z roku X potřebujete použít v roce Y jako součást nějakého běžného podání v elektronické podobě (ve smyslu: přiložte platné povolení/rozhodnutí apod.). Jak to uděláte zde? Pokud přiložíte jen samotný elektronický dokument, příjemce podání nebude schopen ověřit platnost podpisu, kterým je dokument opatřen (důvody viz výše), a měl by jej tudíž odmítnout. Tedy alespoň v případě, kdy příjemce požaduje podepsaný dokument, a nestačí mu dokument nepodepsaný.

Eventuelně byste mohli příjemci poslat, místo požadovaného dokumentu, rovnou celou původní datovou zprávu z roku X (obsahující časové razítko), a říct něco ve smyslu: „najdete to uvnitř této datové zprávy“. I zde se obávám, že by to příjemce musel odmítnout. A to nejen proto, že by mu jeho vlastní předpisy musely „extrakci dokumentu ze zprávy“ nejprve umožnit.

Problém je zde jiný, a je lépe viditelný na jiné situaci: představte si, že byste příjemci poslali samotný elektronický dokument bez časového razítka a obálku původní datové zprávy (s časovým razítkem zprávy jako celku), a požádali ho o laskavost: aby údaj o čase, obsažený na obálce zprávy, vztáhl i na samotný dokument a podle toho posuzoval platnost podpisu na něm. I kdyby to příjemce možná rád udělal, nemá k tomu oporu v zákoně. Co může udělat soud při posuzování důkazů (viz výše) nemůže „jen tak“, bez adekvátní opory v zákoně, udělat nikdo jiný.

Teoreticky možným řešením by bylo dotáhnout výše popsaný příklad (kdy příjemce nemůže ověřit elektronický podpis na předloženém dokumentu) až do stádia soudního sporu a nechat rozhodnout soud. Ale to by nás asi justice právem hnala, pokud bychom ji zatěžovali takovýmto způsobem s každým elektronickým dokumentem.

Autorizované konverzi to nevadí?

Než pokaždé vyvolávat soudní spor, je určitě schůdnější každý elektronický dokument ihned autorizovaně konvertovat do listinné podoby. To přijde na 30 Kč za stránku, takže protestovat bude zase vaše peněženka. Ale je to přeci jen řešením.

Nicméně je zde jedna zajímavá otázka, skrze kterou se dostáváme k dalšímu problému: co když budeme chtít konvertovat do listinné podoby právě takový elektronický dokument, u kterého již expiroval podpisový certifikát (tj. vypršela jeho platnost v čase)? Jak jsme si již uvedli výše, k tomu může dojít třeba ještě během 10 denní doby fikce doručení, stejně jako během 90 denní doby, kdy se zpráva nachází v datové schránce. A bez časového razítka není možné posoudit platnost podpisu na elektronickém dokumentu ani zpětně, k datu jeho podpisu – když ze samotného podpisu nelze spolehlivě určit, kdy vlastně vznikl.

Logika věci by v takovém případě měla autorizovanou konverzi zakazovat. A původní verze zákona č. 300/2008 Sb. to také dělala, když ve svém paragrafu 24, článku 5 v bodě g explicitně říkala, že tzv. konverze na žádost se neprovede:

nebylo-li k dokumentu obsaženém v datové zprávě připojeno kvalifikované časové razítko

Jenže novela tohoto zákona, realizovaná skrze zákon č. 199/2009 Sb. (novelu zákona o archivnictví) tento požadavek na časové razítko zcela zrušila. Tomu rozumím tak, že absence časového razítka již není (a nemůže být důvodem) pro odmítnutí konverze na žádost. A u konverze z moci úřední to vlastně platilo od začátku.

Platný elektronický podpis není podmínkou?

Popisovaná novela přitom dále „zahlazovala stopy“ po požadavku na časové razítko. Například hned u prvního  kroku předepsaného postupu konverze, který původně začínal tím, že

(subjekt provádějící konverzi) ověří platnost kvalifikovaného časového razítka vstupu

doplnila novela dovětek:

 …. je-li jím vstup opatřen.

Kupodivu ale novela nechala beze změny hned následující krok při konverzi, který požaduje ověřit, zda použitý certifikát nebyl zneplatněn ještě před datem, uvedeným na časovém razítku.

Alespoň podle mého názoru by už nemožnost provedení tohoto zákonem předepsaného druhého kroku měla stačit k tomu, aby autorizovaná konverze na žádost (u dokumentu bez časového razítka) nebyla možná. Ale byl jsem poučen, že se tomu dá rozumět i tak, že se tento krok pouze neprovede, ale celá konverze pokračuje dále. Asi proto, že absence razítka už není (explicitně uvedeným) důvodem k odmítnutí konverze, viz výše.

Z toho mi vyplývá, že autorizovaně konvertovat (z elektronické do listinné podoby) by  mělo být možné i takový dokument, který nemá platný  elektronický podpis, resp. jehož platnost se  nepodařilo ověřit. Svým způsobem to vyplývá i z logiky věci (konverze by neměla měnit statut dokumentu) a z konstatování v zákoně, že „konverzí se nepotvrzuje správnost a pravdivost údajů obsažených ve vstupu a jejich soulad s právními předpisy“.

O to více bych pak ale očekával to, že konverzní doložka „červeně a hodně velkým písmem“ připíše k výstupu to, že platnost elektronického podpisu na výchozím elektronickém dokumentu (vstupu do konverze) nemohla být ověřena. A hlavně že výstup konverze bude v tomto případě mít jiný statut, než v případě kdy se platnost podpisu ověřit podařilo.

To se ale neděje, protože zákon dává výstupu konverze „stejné právní účinky jako ověřená kopie dokumentu, jehož převedením výstup vznikl“, a tudíž nerozlišuje, zda se podpis podařilo ověřit, či nikoli.

Jediným místem, kde by se úspěch  či neúspěch při ověřování elektronického podpisu na vstupním (konvertovaném) dokumentu měla nějak projevit a odrazit, je konverzní doložka. Po té zákon požaduje, aby obsahovala:

f) údaj o tom, zda byl vstup podepsán platným uznávaným elektronickým podpisem nebo označen platnou uznávanou elektronickou značkou ….

Už i tento požadavek mi potvrzuje předpoklad, že autorizovaně konvertován (na žádost) může být i dokument, který sice je opatřen uznávaným elektronickým podpisem (či značkou toho, kdo jej vytvořil, což  zákon požaduje) - ale tento podpis nemusí nutně  být platný.

Hlavně ale: pokud se podíváte na konkrétní příklad ověřovací doložky, z článku o konverzích kolegy Kmenta zde na Lupě, zmínku o úspěchu či neúspěchu při ověřování platnosti podpisu zde nenajdete.

Lze autorizovaně konvertovat i pozměněný dokument?

Na možnosti konvertovat i takový elektronický dokument, u kterého není ověřena platnost jeho podpisu, vidím ještě jeden velký problém. Tím je skutečnost, že důvodů pro neplatnost může být více, nikoli pouze neplatný podpisový certifikát.

Připomeňme si, že elektronický podpis ze své podstaty zajišťuje i integritu dokumentu v elektronické podobě: že pokud by dokument někdo pozměnil, projevilo by se to neplatností elektronického podpisu na tomto dokumentu. Při ověřování platnosti elektronického podpisu je pak případné porušení integrity dat spolehlivě odlišitelné od ostatních možných příčin neplatnosti celého podpisu jako takového.

Jenže zákon toto nebere v úvahu a nevyužívá. Příčiny neplatnosti nerozlišuje a všechny je hází na jednu hromadu (viz výše uvedený bod f z požadavků na konverzí doložku) – a hlavně je nechápe jako překážku pro provedení autorizované konverze. Zvláště u možnosti detekovat pozměnění elektronického dokumentu (skrze porušení integrity dat) mi to přijde jako dosti závažná chyba. I kvůli tomu, že u opačné konverze, z listinné do elektronické podoby, je zákon už mnohem opatrnější a říká, že konverze se nesmí provést, pokud je na listinném dokumentu něco, co zeslabuje jeho věrohodnost (např. změny, doplňky, vsuvky nebo škrty).

Takto je možné, že když do autorizované konverze z elektronické do listinné podoby vstoupí dva dokumenty - jeden úmyslně pozměněný a druhý  nepozměněný, ale s již expirovaným podpisovým certifikátem – konverze se řádně a dle zákona provede. A i když bude konverzní doložka správně vyplněna (tj. bude konstatovat, že vstup nebyl podepsán platným elektronickým podpisem), důvod odlišnosti dokumentů se ztratí (když doložka ze zákona nespecifikuje, proč nebyl podpis shledán platným). Možné důsledky raději ani nedomýšlím.

Je nějaká opora v zákoně?

Zpět ale k původní pointě článku: že když expiruje podpisový certifikát, bez časového razítka přímo na dokumentu není možné ověřovat platnost podpisu ani zpětně, protože není dostatečně spolehlivě známo, kdy podpis vlastně vznikl.

Když jsem se o tomto problému bavil s lidmi kolem datových schránek, opakovaně jsem dostával odpověď, že vše je vyřešeno, a to skrze fikci, zavedenou popisovanou novelou (zákonem 199/2009 Sb.) přímo do archivního zákona. Ten skutečně od 1.7.2009 obsahuje novou klauzuli (paragraf 69a a v něm nový odstavec 8), která říká:

Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán platným uznávaným elektronickým podpisem nebo označen platnou elektronickou značkou osoby, která k tomu byla v okamžiku podepsání nebo označení oprávněna, osoby odpovědné za převedení z dokumentu v analogové podobě nebo změnu formátu dokumentu v digitální podobě nebo osoby odpovědné za provedení autorizované konverze dokumentů a opatřen kvalifikovaným časovým razítkem.

Nechme stranou takové detaily, jakými jsou terminologické rozdíly: zatímco u datových schránek se hovoří o „dokumentech obsažených v datové zprávě“, a v praxi o „dokumentech v elektronické podobě“, zde se hovoří o „dokumentech v digitální podobě“. Předpokládejme, že tím všichni myslí to samé. Podstatné je spíše to, co tato nová fikce chce říkat, kdy a na co ji lze aplikovat, a hlavně zda řeší náš problém.

Moje interpretace této fikce je taková, že transponuje určité předpoklady jednak v čase, a jednak z jednoho typu objektu na jiný: z „platnosti“ elektronického podpisu někdy v minulosti (v době jeho vzniku) odvozuje „pravost“ dokumentu (v digitální, resp. elektronické podobě) v současnosti. Přijde mi to jako hodně nebezpečná fikce, která usnadňuje následné pozměňování elektronicky podepsaných dokumentů: když vytvořím nějaký dokument a řádně podepíši (opatřím či nechám opatřit elektronickým podpisem, platným v době jeho vzniku), ale následně tento dokument pozměním a budu ho někde předkládat – už nebudu muset já prokazovat „pravost“ pozměněné verze, ale naopak příjemce by mi musel prokázat jeho „nepravost“.  Opět raději nebudu rozvádět možné důsledky.

Zde mi jde spíše o to, zda uvedená fikce může pomoci s problémem při absenci časového razítka. Obávám se, že nikoli – už jen kvůli tomu, že sama tato fikce trvá na existenci časového razítka. Sice už ani nepožaduje potřebnou časovou souslednost (aby nejprve vznikl podpis, pak bylo připojeno razítko, a pak eventuelně expiroval certifikát), ale podstatné je stále něco jiného: že bez časového razítka nejde celou tuto fikci vůbec použít.

Takže jsme zase zpátky tam, kde jsme byli - a máme problém. Vlastně ne jenom jeden. Přitom řešení problému s absencí časového razítka je celkem nasnadě: vrátit se k původní logice zákona č. 300/2008 Sb., ještě před jeho novelizací k 1.7.2009, a požadovat aby každý orgán veřejné moci každý vyprodukovaný dokument v elektronické podobě nejen podepsal, ale také opatřil časovým razítkem. I když to bude něco stát.