Datové schránky: co dnes s elektronickými cáry papíru?
První generace elektronických dokumentů, které prošly datovými schránkami, dnes už nejde autorizovaně konvertovat. Co s nimi, pokud je potřebujete někde použít?
K napsání tohoto článku mne inspiroval dotaz ohledně konverze dokumentů, na který jsem nedávno odpovídal. Jeho první část se týkala toho, proč na žádném z navštívených CzechPointů na České poště nedokázali přečíst CDčko s dokumentem, určeným ke konverzi. Mají to snad nějak zablokované či dokonce zakázané?
Zde jsem ještě dokázal pomoci: „poštovní“ počítače totiž běží na operačním systému, který neumí pracovat s „neuzavřenými“ vypalovacími médii. Takže pokud přijdete s nějakým médiem (CD či DVD), které není při vypalování tzv. uzavřeno, pracoviště CzechPointu ho nedokáže přečíst. A tak odejdete s nepořízenou.
Nejde přitom o žádnou novinku. Zde na Lupě jsem to již jednou popisoval, v únoru loňského roku. Co mi ale přijde na pováženou (diplomaticky řečeno), je to, že o tomto problému nevěděli na žádném navštíveném pracovišti České pošty (v Praze, šlo spíše o „velké pošty“), a jen bezradně krčeli rameny.
No, uzavřené CD již přečíst šlo, a teprve pak mohl vyvstat hlavní problém. Ten se týkal autorizované konverze: tazatel potřeboval zkonvertovat do listinné podoby dokument, který obdržel v elektronické formě skrze datovou schránku. Příslušný PDF dokument byl podepsán, ale nebyl opatřen časovým razítkem. Ovšem certifikátu, na kterém je podpis založen, v mezidobí již skončila jeho řádná platnost (tzv. expiroval). Kvůli tomu byla žádost o konverzi odmítnuta.
První generace dokumentů z datových schránek
Expirace certifikátu, na kterém je podpis založen, samozřejmě neznamená, že by samotnému podpisu na PDF dokumentu skončila jeho platnost. Už jen proto, že náš právní řád vůbec nepočítá s tím, že by podpisy (ať již klasické vlastnoruční či elektronické) měly nějak omezenou platnost v čase. Co ale skončilo, a to okamžikem expirace podpisového certifikátu (a při absenci časového razítka), je naše schopnost ověřit a prokázat tuto platnost. Právě proto onen problém s konverzí.
Alespoň podle mého názoru je toto případ drtivé většiny elektronických dokumentů, které prošly skrze datové schránky v období od června či listopadu 2009 (kdy byly datové schránky spuštěny) zhruba do konce roku 2010. Dovolím si je označit jako „první generaci“ elektronických dokumentů.
Jejich společnou charakteristikou je to, že jejich podpis je založen na (kvalifikovaném) certifikátu, který byl vydán nejpozději v listopadu 2009 (kdy datové schránky odstartovaly „naostro“). A jelikož u nás se osobní kvalifikované certifikáty vydávají standardně s platností na 1 rok, platnost těchto certifikátů skončila ještě v roce 2010.
Ti, kteří tyto certifikáty používali, dnes používají novější (nově vydané, tzv. následné) certifikáty, které také platí 1 rok od svého vydání. Ale to nic nemění na problému s dokumenty „první generace“, jejichž podpis je založen ještě na původních certifikátech, které dnes již „nejsou platné“.
Druhou společnou charakteristikou těchto elektronických dokumentů „první generace“ je to, že nejsou opatřeny časovým razítkem. Jak se říká: „čest výjimkám“, neboli těm dokumentům, které časovým razítkem opatřeny jsou. Těch se zde popisovaný problém bude týkat o něco později (viz dále).
To, že elektronické dokumenty „první generace“ nejsou opatřeny časovým razítkem, je také důsledkem toho, co autoři datových schránek dlouhou dobu tvrdili: že časová razítka nejsou nutná. Teprve v dubnu 2010 ministerstvo vnitra přeci jen změnilo názor a skoro šeptem (minimálně propagovaným stanoviskem svého odboru archivní správy a spisové služby) připustilo, že by elektronické dokumenty měly být opatřovány také časovými razítky.
Praxe je ovšem složitá: úřady, které produkují rozhodující objemy elektronických dokumentů, s přidáváním časových razítek příliš nespěchají. A tak za nimi zůstává ona „první generace“ elektronických dokumentů, které časové razítko nemají.
Dokumenty první generace dnes nejdou konvertovat
Vraťme se ale k výše popisovanému konkrétnímu příkladu. Problém nebyl v tom, že CzechPoint odmítnul autorizovaně konvertovat PDF dokument, který nebyl opatřen časovým razítkem a kterému již expiroval podpisový certifikát. V tomto ohledu postupoval CzechPoint správně – protože ze samotného PDF dokumentu nemohl spolehlivě určit okamžik vzniku jeho podpisu, a v důsledku toho nemohl ověřit podpis na dokumentu jako platný. Ze stejného důvodu může (a měl by) dokument odmítnout každý, komu by takovýto elektronický dokument byl předložen.
Tazatel ale přišel na CzechPoint i s celou datovou zprávu, skrze kterou mu byl doručen ten PDF dokument, který potřeboval zkonvertovat. A tato datová zpráva je opatřena časovým razítkem, jehož platnost lze stále ještě ověřit.
Vzato čistě technicky, časové razítko na datové zprávě „pokrývá“ i PDF dokument, vložený do datové zprávy, který měl být konvertován. Toto časové razítko tak prokazuje, že PDF dokument (i se svým podpisem) existoval již k datu, uvedenému na časovém razítku na datové zprávě. Tento časový okamžik přitom předcházel skončení řádné platnosti certifikátu, na kterém je založen podpis na PDF dokumentu. Jinými slovy: časové razítko (na datové zprávě) prokazovalo, že podpis na PDF dokumentu vznikl ještě v době řádné platnosti podpisového certifikátu.
Vzhledem k tomu všemu bylo stále ještě možné ověřit platnost elektronického podpisu na PDF dokumentu – a díky tomu by měla být možná jeho konverze. Tedy: principiálně, z logiky věci.
Po právní stránce je to komplikovanější: konkrétní postupy pro ověřování elektronických podpisů (vyhodnocování jejich platnosti) nejsou v relevantních prováděcích předpisech příliš definovány. Není zde explicitní opora pro možnost, aby chybějící časové razítko na samotném dokumentu mohlo být nahrazeno časovým razítkem na některé z vnějších obálek (zde: na datové zprávě). I když nějakým šikovným legislativním výkladem by se asi dalo i toto překonat.
Jenže to není podstata problému: tím je skutečnost, že CzechPointy toto dnes nepodporují. Takže i když za nimi přijdete s datovou zprávou, která má stále ještě platné časové razítko, jsou schopny z této zprávy vyextrahovat samotný PDF soubor, který chcete konvertovat. Ale pak, při vyhodnocování platnosti podpisu na PDF dokumentu, CzechPoint nebere v úvahu časové razítko na samotné datové zprávě (ze které si PDF dokument sám „vyndal“), a platnost tohoto podpisu tak vyhodnocuje nezávisle na tomto časovém razítku.
Jinými slovy to znamená, že platnost podpisu na samotném PDF dokumentu vyhodnocuje CzechPoint k aktuálnímu časovému okamžiku (ke kterému je žádáno o konverzi), a nikoli k okamžiku, uvedenému na časovém razítku na datové zprávě. Tedy stejně, jako kdybyste přišli se samotným PDF dokumentem (bez časového razítka) a nikoli s dokumentem v obálce, na které časové razítko je.
Jenže: pokud je takovýto podpis vyhodnocován k aktuálnímu časovému okamžiku, jeho platnosti již nelze ověřit a prokázat. To proto, že řádná platnost podpisového certifikátu v mezidobí již skončila. Kvůli tomu pak CzechPoint konverzi odmítne provést.
Jen pro úplnost si dodejme, co by se dělo, pokud by CzechPoint bral v úvahu i časové razítko na samotné datové zprávě: v tom případě by platnost podpisu na PDF dokumentu ověřoval k okamžiku, uvedeném na tomto razítku. Tedy k okamžiku, kdy byla datová zpráva (obsahující dokument) dodána do datové schránky příjemce. A pokud v tomto okamžiku byl podpisový certifikát stále ještě platný a nerevokovaný (což v daném případě skutečně byl), mohl být celý podpis ověřen jako platný a konverze měla být provedena.
Problém doutná pod pokličkou
Praxe je tedy bohužel taková, že i ti, kteří dbají na všechna oficiální doporučení a pečlivě si archivují celé datové zprávy, mají smůlu: na CzechPointech jim to není nic platné. Stejně jako rady, že vlastně nemusí nic konvertovat, a místo požadovaného dokumentu mohou předložit celou datovou zprávu. Podle této rady se především nechová sám stát a jím provozované CzechPointy, viz právě popisovaný problém: i když za nimi přijdete s celou datovou zprávou, odejdete s nepořízenou.
Vzhledem k tomu, kolik je v oběhu elektronických dokumentů „první generace“, už musí (podle mého názoru) jít o poměrně zásadní problém. Jeho existence je už známa i Ministerstvu vnitra, které na dotazy postižených odpovídá lakonicky:
o stávající situaci víme a vyplývá bohužel z platné legislativy, nicméně v tuto chvíli připravuje technologické řešení na straně Czech POINT, které by celou situaci řešilo.
Nevyřešená digitální kontinuita
I pokud se ale vnitro časem rozhoupe a zajistí, aby CzechPointy dokázaly brát v úvahu časové razítko na samotné datové zprávě, stále to nevyřeší hlavní problém: nedořešenou „digitální kontinuitu“ elektronických dokumentů.
Tedy to, jak elektronické dokumenty archivovat a jak udržovat jejich „použitelnost“, hlavně pokud jde o možnost prokázání jejich autenticity a spolehlivého ověření platnosti jejich elektronických podpisů. Se zvoleným řešením pak musí počítat i všechny navazující služby, včetně samotných CzechPointů. A musí jej akceptovat i ten, kdo si vlastně vše vymyslel a kdo si používání elektronických dokumentů vynucuje. Tedy stát a celá veřejná správa: i orgány veřejné moci a jimi provozované služby musí rutinně akceptovat „starší“ elektronické dokumenty, jsou-li náležitě „udržovány“.
Také veřejnost musí vědět, co a jak má dělat, aby se důležité elektronické dokumenty v jejím držení neměnily v bezcenné cáry papíru, ale byly nadále použitelné. A to třeba i za několik desítek let.
Když už stát nařídil celou „elektronizaci“ a nutí jak sám sebe, tak i celou privátní sféru používat elektronické dokumenty, měl by přinejmenším jednoznačně říci, jak si představuje, že s nimi má být nakládáno v dlouhodobějším časovém horizontu. Chtít po něm, aby k tomu vytvořil dokonce i podmínky, by už asi bylo příliš. A o tom, že se tak mělo stát ještě před nařízenou elektronizací, už raději ani nemluvě.
Bude to ještě horší
Situace skutečně vyžaduje řešení, a to opravdu velmi rychle. Celý zde popisovaný problém se totiž týká i těch dokumentů, které jsou opatřeny časovým razítkem, ať již přímo na samotném dokumentu, nebo na obálce v podobě datové zprávy. I časová razítka jsou totiž založena na certifikátech, které mají jen omezenou dobu řádné platnosti. Například všechny datové zprávy, které prochází datovými schránkami, jsou opatřovány časovým razítkem od CA PostSignum. To je založené na systémovém certifikátu, jehož řádná platnost skončí v červnu 2012, viz obrázek.
Na to, co bude dál, panují i mezi odborníky odlišné názory. Podle jednoho možného výkladu lze důvěřovat časovým razítkům i po skončení řádné doby platnosti (po expiraci) certifikátu, na kterém je razítko založeno. V případě časových razítek na datových zprávách tedy i po červnu 2012.
Druhý názor říká, že to možné není.
Dva názorové proudy
Dva názorové proudy dnes existují i na to, jak vlastně řešit základní problém s dlouhodobou životností (digitální kontinuitou) elektronických dokumentů.
První z nich říká, že je třeba pravidelně obnovovat časová razítka, neboli „přerazítkovávat“. Tedy přidat nové časové razítko ještě dříve, než skončí možnost ověření toho předchozího (tj. než skončí platnost certifikátu, na kterém je založeno předchozí časové razítko). Takže třeba všechny dokumenty (či datové zprávy), které jsou opatřeny časovým razítkem od CA PostSignum, bude podle tohoto názoru nutné nejpozději do června 2012 „přerazítkovat“ – protože jinak už nebude možné (později) prokázat platnost jejich podpisů.
Druhý názorový proud říká, že vlastně není třeba dělat nic, a že přerazítkovávání je zbytečné. Zastánci tohoto názoru obvykle argumentují naší národní specialitou, kterou je existence tzv. vyvratitelné domněnky pravosti, obsažená v zákoně č. 499/2004 Sb. (o archivnictví a spisové službě), v jeho paragrafu 69a, odstavec 8. Ta v zásadě říká, že pokud byl dokument opatřen platným uznávaným podpisem či značkou, a také časovým razítkem, pak má být považován za pravý – a to do té doby, než se prokáže opak.
Rozbor této domněnky by dal na samostatný článek, ale aspoň v kostce: pokud jsme stále schopni spolehlivě prokázat, že dokument byl opatřen platným uznávaným podpisem (a že jde stále o ten samý dokument, včetně neporušené integrity atd.), pak už nepotřebujeme žádnou domněnku, která by říkala, že dokument lze stále ještě považovat za pravý. A pokud platnost podpisu nejsme schopni prokázat, pak domněnku stejně aplikovat nemůžeme, protože nevíme, zda jsou splněny její výchozí předpoklady.
Možná ale, že uvedená domněnka řeší zastarávání hašovacích funkcí, neboli to, že časem někdo bude schopen reálně najít kolizní dokument – se stejným podpisem, který se pak bude jevit jako platný i když půjde o úplně jiný dokument. Mimochodem, právě kvůli tomuto je časová platnost certifikátů, a to všude na světě, omezována v čase, tak aby se při aplikaci nových podpisů či razítek daly použít již silnější hašovací funkce a nebezpečí nalezení kolizních dokumentů se tak účinně kontrovalo. A že bychom jen u nás v ČR, skrze uvedenou domněnku konstatovali, že tento problém budeme ignorovat – a budeme brát jako pravý i každý kolizní dokument (dokud se přeci jen někomu nepodaří prokázat, že jde o podvrh)?
I když ale necháme stranou všechny věcné argumenty proti tomuto druhému názorovému proudu, stále nám zůstane jeden významný netechnický argument: jelikož jde o naši národní specialitu, kterou jinde nemají, jak bychom se skrze ni domáhali pravosti našich dokumentů v zahraničí?
Potenciální vs. aktuální použitelnost
Vraťme se ale zpět k původnímu problému: stát by měl urychleně říci, jaký způsob udržování „digitální kontinuity“ považuje za správný. A to velmi rychle, než se stejný problém jako u „první generace“ dokumentů objeví i u těch, které již jsou opatřeny časovým razítkem (ale které je založeno na certifikátu, který v brzké době bude také expirovat). Tedy u jakési „druhé generace“ elektronických dokumentů, mohu-li to tak nazvat.
V úvahu přitom připadají i další možnosti, jako třeba obdoba notářské úschovy či elektronického notáře: někdo bude mít oprávnění k tomu, aby přijímal do dlouhodobé úschovy elektronické dokumenty, a při jejich vyzvedávání z této úschovy mohl vystavovat jakési potvrzení o tom, že jde o původní (autentický) dokument. I to by ale muselo být nejprve „ukotveno“ v zákoně.
Právě na tomto příkladu je ale vidět další, nesmírně důležitý aspekt: zvolené řešení „digitální kontinuity“ musí být zapracováno nejen do legislativy a všech prováděcích předpisů, ale také implementováno do všech navazujících služeb atd. Aby se nestávalo, že držitel dokumentu dodrží očekávaný či přímo předepsaný postup pro zachování digitální kontinuity, ať již vlastními prostředky či skrze službu od někoho jiného – ale stejně mu to nebude nic platné, protože druhá strana nebude ochotna jeho elektronický dokument akceptovat.
Tedy aby nepřetrvávala dnešní situace, kdy stát radí něco (uchovávejte si celé datové zprávy), ale na CzechPointech jsou žádosti o „použití“ dokumentu v datové zprávě (o jeho konverzi) odmítány.
Ono je totiž třeba pamatovat nejen na „potenciální“, ale i na „aktuální“ použitelnost starších elektronických dokumentů.
Již dnes, když půjdete k soudu a předložíte mu datovou zprávu s dokumentem „první generace“ (jako výše), soud stále může vyhodnotit tento podpis jako platný (díky časovému razítku na datové zprávě). Tedy: povolá si na to soudního znalce, a pokud ten to takto zhodnotí a pokud se soud přikloní k jeho názoru. To je ona „potenciální“ použitelnost, kterou lze zajistit již dnes. Jenže: choďte s každou maličkostí k soudu, vyvolávejte soudní spor, plaťte soudní poplatky a čekejte x měsíců či dokonce let, jak soud rozhodne.
Proto je vedle takovéto „potenciální“ použitelnosti zapotřebí i použitelnost „aktuální“. Aby vám příslušný dokument akceptovali třeba na CzechPointu či kdekoli jinde, aniž abyste se s nimi museli soudit.
Institucionální archiv a O2 Důvěryhodný archiv
Problém s potenciální a aktuální použitelností je dobře vidět i na již existujících možnostech pro dlouhodobější uchovávání dokumentů v elektronické podobě.
Třeba celý slavný institucionální archiv, který si informační systém datových schránek (ISDS) pořídil vloni v polovině roku (podrobněji). Ten nabízí možnost zpětně ověřit, že konkrétní datová zpráva prošla skrze ISDS. Ale k čemu to je dobré, když to nemá žádné „legislativní ukotvení“?
Na možnost konverze na CzechPointu takovéto ověření nemá vliv. Stejně tak to nepomůže ani v situaci, kdy potřebujete někomu předložit dokument v elektronické podobě, a on ho nechce přijmout vůbec, nebo trvá na prokázání jeho pravosti podle zákona a prováděcích předpisů (kde tento mechanismus není nijak zohledněn). Naopak u soudu to pomoci může, protože soud může podle svého uvážení akceptovat jakýkoli důkaz. Takže opět je to jen „potenciální“, ale nikoli „aktuální“ řešení.
Stejně tak jsou pouze „potenciální“ i další řešení, která již dnes jsou k dispozici a fungují na principu přerazítkovávání (přidávání časových razítek). U soudu s nimi můžete uspět – ale třeba na CzechPointech, kde žádáte o konverzi, vám nebudou nic platné.
Řada větších společností si dnes již sama zajištuje archivaci elektronických dokumentů, a řeší to právě na principu přerazítkovávání. Pokud si to nedělají sami, mohou využít i první komerční služby, které na tomto principu vznikají – jako třeba nedávno představený O2 Důvěryhodný archiv od Telefóniky O2 CR, resp. její O2 Business Solutions.
I tento archiv ale dokáže zajistit jen „potenciální“ použitelnost elektronických dokumentů po delším čase, ale nikoli jejich „aktuální“ použitelnost ve výše naznačeném smyslu. K dokumentům, které jsou do něj vloženy, sice přidává (externí) časová razítka, a shromažďuje také potřebné revokační a další informace, nutné pro pozdější ověření podpisů (tj. příslušné certifikáty, CRL seznamy atd.). Když je pak nějaký dokument z takovéhoto archivu zase vyjímán, dokáže k němu archiv poskytnout potřebný „důkazní materiál“ – postačující k tomu, aby u soudu určený znalec mohl ještě po letech vyhodnotit platnost původního podpisu na dokumentu.
Ale zkuste s takovým dokumentem, včetně veškerého „důkazního materiálu“ jít třeba na dnešní CzechPoint a chtít jeho autorizovanou konverzi. Neuspějete. Stejně jako když budete svůj dokument, včetně „důkazních materiálů“, předkládat komukoli jinému, než soudu. Pokud jej odmítne, třeba kvůli expiraci podpisového certifikátu, na základě čeho ho přesvědčíte k použití předložených „důkazních materiál“ – když pro ně a pro způsob jejich využití není dosud opora v zákoně a prováděcích předpisech?
Co říci závěrem?
Náš stát před necelými dvěma lety rozjel velmi ambiciózní kroky, spočívající v nařízené elektronizaci nejen v rámci veřejné správy, ale i směrem do sféry privátní (viz povinné doručování právnickým osobám v elektronické formě, skrze datové schránky). S tím, že přitom mnoho věcí nedocenil a nepamatoval na ně, dnes již nic nenaděláme. Stalo se.
Jedna časovaná bomba, v podobě dnes již nekonvertovatelných dokumentů „první generace“, mezitím už vybuchla. Na obzoru je teď druhá časovaná bomba, v podobě dokumentů druhé generace – již s časovými razítky, ale u kterých se kvapem blíží expirace certifikátů, na kterých jsou založeny.
Dočkáme se od státu nějakého rozhodného slova, jak si představuje další budoucnost elektronických dokumentů? Nebo bude stávající chaos jen dále eskalovat a vybuchne i druhá časovaná bomba?