Jak rozumět dynamickým biometrickým podpisům?
Lze dynamickým biometrickým podpisem něco skutečně podepsat? Nebo je to jen pouhý vzorek, sloužící k autentizaci, stejně jako vzorek řeči, otisk prstu či třeba vzorek DNA?Je to již nějaký ten pátek, co se o dynamických biometrických podpisech (zkratkou DBP) diskutuje i píše. A stejně tak se už nějakou dobu technologie dynamického biometrického podpisu skutečně používají. Tedy alespoň v komerční sféře, u subjektů typu bank, operátorů, utilit, různých přepravců apod. Existují ovšem i snahy zavést dynamické biometrické podpisy také do veřejné správy, a hlavně prosadit je jako jakousi náhradu za „klasické“ technologie elektronického podpisu, založené na principu asymetrické kryptografie.
Minulý týden se problematikou dynamických biometrických podpisů zabýval kulatý stůl, který uspořádal Úřad na ochranu osobních údajů. Měl jsem možnost na něm prezentovat svůj pohled na dynamické biometrické podpisy – a nyní bych se o něj chtěl podělit i se čtenáři Lupy. Tento článek je tedy obdobou mé prezentace z kulatého stolu (kterou si můžete prohlédnout skrze následující vložený objekt), upravenou do podoby článku. Přesněji její první částí.
Jde o jedno velké nedorozumění?
Dynamické biometrické podpisy jsou něčím, co určitě „má své místo na slunci“. Jak by také ne, když se to už reálně používá, a čím dál tím více firem o zavedení dynamických biometrických podpisů (DBP) uvažuje. Problém je v tom, v jaké roli se používají a jak skutečně fungují ta řešení, která je využívají.
Zde si dovolím vyjádřit názor, že kolem dynamických biometrických podpisů panuje „jedno velké nedorozumění“. Jeho podstatou je prezentování dynamických biometrických podpisů jako nástroje pro podepisování. Jako něčeho, čím lze něco podepsat. A následně i jako jednodušší, efektivnější a méně problematickou alternativu ke klasickým (kryptografickým) elektronickým podpisům.
Ve skutečnosti jsou ale dynamické biometrické podpisy pouze nástrojem autentizace. Tedy nástrojem pro stvrzení, že skutečně jde o určitou konkrétní osobu, kterou jsme již nějak identifikovali (určili její identitu).
Obávám se, že svou roli v onom „velkém nedorozumění“ hraje i jazykový aspekt: jakmile se někde vyskytne slůvko „podpis“ (jako právě u slovního spojení „dynamický biometrický podpis“), člověk má okamžitě tendenci myslet si, že jde současně o možnost podepisování. Tedy o možnost projevu vlastní vůle, realizovanou tak, že vy sami připojíte svůj vlastní podpis k nějakému konkrétnímu dokumentu. Klíčové je, že právě k tomu u dynamických biometrických podpisů nedochází. Zde váš podpis (konkrétně ten dynamický biometrický) připojuje k elektronickému dokumentu někdo jiný, kdo pak také celý dokument skutečně podepisuje, vlastně jakoby „za vás“ – a to svým klasickým (tj. „kryptografickým“) elektronickým podpisem.
Přirovnání k ověřeným podpisům
Většina článků, popisujících dynamické biometrické podpisy, začíná i končí popisem jejich věcné podstaty. Tedy toho, jak se u dynamických biometrických podpisů snímá nejenom výsledná křivka, neboli grafická podoba podpisu, ale také způsob jeho vytváření. Zejména tlak na pero a rychlost, s jakou osoba vytvářející svůj podpis toto pero vede. A následně se články zabývají tím, jak jsou takto nasbírané údaje charakteristické pro konkrétní osobu a jak soudní znalec dokáže spolehlivě určit, zda jde či nejde o podpis této osoby.
V tom článku bych ale rád šel dál a zabýval se tím, jak se dynamické biometrické podpisy v praxi skutečně používají. Zejména: jakým způsobem se mění obvyklá praxe podepisování, na kterou si lidé zvykali po celá dlouhá staletí, či spíše tisíciletí.
Zkusme na to jít přes přirovnání k tomu, jak jsme zvyklí podepisovat klasické listinné (rozuměj: „papírové“) dokumenty. Zde se setkáváme především s vlastnoručními podpisy, a s podpisy úředně ověřenými (tj. ověřenými úředníkem, notářem, advokátem atd.):
- u vlastnoručních podpisů si můžeme sami vytvořit (sepsat) nějaký dokument, a sami si ho také podepsat. Můžeme si tedy podepisovat vlastní dokumenty, a nepotřebujeme k tomu nikoho dalšího.
- u ověřených podpisů se naopak neobejdeme bez „někoho dalšího“ (bez oné ověřující osoby). Zde si totiž nemůžeme sami podepsat nějaký vlastní dokument, ale musíme „jít za někým jiným“, kdo ověří naši identitu, nechá nás podepsat náš dokument (případně uznat za vlastní nějaký cizí podpis), a pak celý dokument – na znamení ověření našeho podpisu – ještě podepíše sám.
Teď si zkusme představit, v rámci analogie s vlastnoručními a úředně ověřenými podpisy, čemu odpovídá zavedení dynamických biometrických podpisů: odpovídá situaci, kdy vlastnoruční podpisy nejsou z principu možné, a místo toho existují jen podpisy ověřené. Proč?
Protože u dynamických biometrických podpisů, stejně jako u ověřených podpisů, také sami nepodepisujete svůj vlastní dokument. Místo toho „jdete za někým“, kdo to udělá za vás. Kdo nejprve ověří vaši identitu, a pak dokument opatří svým vlastním (elektronickým) podpisem.
Vydavatelé dokumentů a jejich klienti
Analogie mezi dynamickými biometrickými podpisy a úředně ověřenými podpisy ale není úplně dokonalá, protože zde existují i určité rozdíly. Například v tom, že u ověřených podpisů se typicky jedná o vaše dokumenty (tj. takové, které si vytváříte sami). Naproti tomu u dynamických biometrických podpisů se nepředpokládá, že by se jednalo o váš (vámi vytvořený) dokument. Místo toho jde snad vždy o dokument, který vytvořil přímo „ten, za kým jdete“. Což je dnes nejčastěji nějaká banka, operátor, utilita (dodavatel plynu, vody, elektřiny atd.), přepravní služba apod. A typicky jde o nějakou smlouvu či jiný smluvní dokument mezi těmito subjekty a vámi coby klienty těchto subjektů.
Jelikož dosud není ustálena vhodná terminologie, říkejme těmto subjektů pracovně „vydavatelé“, ve smyslu vydavatelů dokumentů: jsou to oni, kdo připravuje („vydává“) příslušné dokumenty, již rovnou v elektronické podobě, a kdo je také elektronicky podepisuje. Přesněji opatřuje svým uznávaným elektronickým podpisem, nebo uznávanou elektronickou značkou.
Před časem jsem zde na Lupě podrobněji popisoval, jak s využitím dynamických biometrických podpisů uzavírá smlouvy se svými klienty česká Telefónica. Připomeňme si na následujícím obrázku, jak takový (elektronický) dokument vypadá: je na něm několik elektronických značek, a všechny patří Telefónice (resp. jí používaný zařízením). Zdůrazněme si, že zde není (elektronický) podpis samotného klienta, který je dalším účastníkem příslušného smluvního vztahu.
Povšimněme si ještě dalších podstatných rozdílů oproti úředně ověřeným podpisům: u těch ověřující osoba pouze ověřuje identitu „klienta“ a jeho podpis, ale sama nevstupuje do smluvních vztahů (není jejich účastníkem). To v případě dynamických biometrických podpisů vydavatel příslušného dokumentu (například Telefónica, na výše uvedeném příkladu) současně ověřuje identitu svého klienta, a současně je jednou ze smluvních stran v rámci vznikajícího, či právě nějak měněného smluvního vztahu. Z toho pak vyplývá další zajímavý rozdíl: zatímco pro úřední ověření svého podpisu (na listinném dokumentu) si můžete vybrat, kdo bude příslušným ověřovatelem, zde to neplatí – zde „musíte jít“ za jedním, pevně daným vydavatelem dokumentu.
Jaký vzorek klienta použít?
Zkusme se nyní na chvíli oprostit od dynamických biometrických podpisů a podívat se na vše trochu obecněji: pokud nějaký subjekt typu banky, operátora, utility apod. uzavírá právě popsaným způsobem nějaký smluvní vztah se svým klientem, a příslušný smluvní dokument (elektronicky) podepisuje pouze tento subjekt, jak se může jednat o dvoustranný právní akt? Jak a kde je zde zachycen souhlasný projev vůle klienta?
Nechme prozatím stranou právní stránku věci a podívejme se na to věcně, resp. technicky: co kdyby se do dokumentu, ještě před jeho podpisem ze strany vydavatele (coby jedné ze smluvních stran), vložilo „něco“, co je dostatečně charakteristické pro druhou smluvní stranu, neboli pro klienta? Něco, co nemá nikdo jiný, a čím ani nemůže nikdo jiný disponovat. Tedy něco, co vydavateli dokumentu nemůže poskytnout nikdo jiný (aby to vydavatel následně vložil do jím podepisovaného dokumentu). Vlastně jakýsi unikátní „vzorek“ příslušného klienta.
Samozřejmě by to musel být takový vzorek, který vydavatel nemůže získat „jen tak“, bez vědomí a souhlasu klienta. Protože jinak by vložení takového vzorku nemohlo být vědomým projevem vlastní vůle (souhlasu) klienta.
Jaké možnosti vzorků ale připadají v úvahu? Zůstaneme-li u těch biometrických, pak by se mohlo jednat například o kapku krve. Sice by to hezky navazovalo na bájnou tradici upisování se vlastní krví (čertovi či ďáblovi), ale dnes by podobné odkapávání vlastní krve přímo do nějaké čertovy nádoby nebylo příliš praktické (již jen z hygienických důvodů).
Další možností by mohlo být poskytnutí vzorku vlastního DNA, třeba ze sliny. Ale vyjadřujte svůj souhlas plivnutím – to se ve slušné společnosti nedělá. Podobně by bylo společensky neúnosné třeba stříhat klientům, na znamení jejich souhlasu, například vlasy či nehty. Nebo brát jim otisky prstů.
Přijatelnější může být odběr „behaviorálních“ biometrických vzorků, například vzorku řeči (kdy by klient na znamení svého souhlasu něco namluvil do mikrofonu). Podobně by se snad dal použít i vzorek chůze, který je prý pro každého jedince také natolik unikátní a charakteristický, že jej s dostatečnou přesností identifikuje.
Dynamický biometrický podpis jako vzorek
Proč ale vymýšlet všelijaké takovéto krkolomnosti, když se zde přímo nabízí něco přirozenějšího: vzorek v podobě způsobu vlastního podepisování konkrétního klienta. Tedy to, jak právě on táhne perem – jak rychle, a jak moc či málo přitom na pero tlačí. I jak vypadá křivka, kterou jím vedené pero vykreslí. Tedy samotný dynamický biometrický podpis.
Jak nám tvrdí grafologové, je kombinace všech uvedených charakteristik v rámci dynamického biometrického podpisu (tedy tvar křivky, rychlost vedení pera, přítlak atd.) natolik unikátní a specifická pro konkrétní osobu, že ji může s dostatečnou přesností identifikovat.
Proč tedy nevyužít právě dynamický biometrický podpis jako onen „vzorek“ pro klienta, který je jednou ze smluvních stran v rámci dokumentu, který následně podepíše již jen vydavatel tohoto dokumentu?
Volba dynamického biometrického podpisu (třeba oproti plivnutí či poskytnutí kapky vlastní krve) má navíc jednu obrovskou výhodu: vytváří klientům iluzi něčeho, na co jsou běžně a dlouho zvyklí. Tedy iluzi toho, že něco konkrétního podepisují.
Ve skutečnosti, u výše popisovaných řešení na bázi dynamického biometrického podpisu, které stále častěji zavádí subjekty typu bank, operátorů, utilit, přepravců atd., ze strany klienta skutečně nejde o žádné podepisování (v technickém slova smyslu), ale pouze o odběr, resp. poskytnutí vzorku. A samotný odběr tohoto vzorku a jeho následné vložení do dokumentu pak má „ve své moci“ výhradně vydavatel dokumentu (v praxi: banka, operátor, utilita atd.), který dokument také následně podepisuje.
Na co si musíme odpovědět?
S vědomím toho, jak vše funguje, a toho, že dynamický biometrický podpis má ve skutečnosti charakter vzorku, je třeba si klást zcela zásadní otázky, jako:
- lze platně činit dvoustranné právní akty, je-li smluvní dokument (v elektronické podobě) podepisován pouze jednou ze smluvních stran a je-li do něj vkládán „vzorek“ druhé ze smluvních stran, v podobě jejího dynamického biometrického podpisu?
- kdy (za jakých podmínek) lze věřit vydavateli dokumentu, že s odebraným vzorkem (dynamickým biometrickým podpisem) svého klienta bude nakládat korektně? Například že jej vloží právě a pouze do toho smluvního dokumentu, se kterým je klient seznámen a vůči kterému projevuje svou vůli v podobě souhlasu – a ne do žádného jiného dokumentu?
- jaký je charakter dynamického biometrického podpisu coby vzorku, z pohledu ochrany osobních údajů? Jde „jen“ o osobní údaj, nebo o citlivý osobní údaj? Jaká musí být forma souhlasu toho, kdo takovýto vzorek (za svou osobu) poskytuje a co všechno musí splňovat a udělat ten, kdo takovéto vzorky odebírá a nakládá s nimi?
Na první otázku se subjekty charakteru vydavatelů dnes snaží odpovídat různými právními stanovisky, jejichž věrohodnost si jako právní laik netroufám hodnotit. Ze své pozice se mohu jen podivovat nad tím, jak diametrálně se liší.
Alespoň ve stručnosti, bez zabíhání do detailů: většina právních stanovisek vychází z toho, že zákony o dynamických biometrických podpisech a jejich používání nic neříkají, a tyto se ani nedají jakkoli „zapasovat“ do stávající legislativy, zejména do legislativy o elektronickém podpisu. Na druhou stranu ale stávající legislativa dynamické biometrické podpisy ani nijak nezakazuje. A tak tato většina stanovisek, připravovaná pro subjekty z komerční sféry, využívá princip „co není zakázáno, je dovoleno“ a dovozuje, že využití dynamických biometrických podpisů je možné (že mu zákony nebrání).
V tuzemsku ale existuje i opačný přístup, prosazovaný profesorem Vladimírem Smejkalem. Podle něj dynamické biometrické podpisy naopak vyhovují stávající legislativě o elektronickém podpisu, a tudíž by mohly být využívány i ve veřejné sféře (kde se již nelze opírat o princip „co není zakázáno, je dovoleno“). Ba co více: mohou prý úplně nahradit dosavadní (kryptografické) elektronické podpisy, jako jejich jednodušší, efektivnější a méně problematická varianta. Osobně se ale obávám, že zde jde o nedocenění skutečné podstaty dynamických biometrických podpisů: toho, že jde o pouhé vzorky, které samy o sobě nemohou žádný dokument podepsat. Stejně jako ona kapka krve, slina, otisk prstu, vzorek řeči apod.
S právním postavením dynamických biometrických podpisů souvisí i další zajímavá „podotázka“: má být toto jejich postavení nějak explicitně „ukotveno“ v legislativě? V tom smyslu, aby jejich využití mělo nějaké zákonem konkrétně určené právní důsledky? Pokud ano, je vhodné nějak vymezovat okruh těch subjektů, které mohou plnit výše popsanou roli vydavatelů (aby docházelo k oněm právním důsledkům)? Nebo žádné explicitní „ukotvení“ dynamických biometrických podpisů v legislativě není potřebné, a lze vystačit jen s různými výklady a stanovisky?
Na druhou z výše nastolených otázek („kdy lze věřit vydavateli“) dnes subjekty charakteru vydavatelů odpovídají odkazem na nejrůznější dobrozdání svých dodavatelů a systémových integrátorů, a na vlastní procesy a jejich nastavení. Můj osobní pohled je ten, že dnes jsou klienti ovlivněni spíše celkovým renomé a postavením vydavatele (banky, operátora atd.) – a že jsme teprve na začátku hledání vhodného systému (na bázi standardů, certifikací atd.), ze kterého by bylo možné odvozovat dostatečnou míru důvěry v celá řešení, využívající vzorky v podobě dynamických biometrických podpisů.
Třetí výše nastolená otázka (týkající se problematiky ochrany osobních údajů) byla diskutována na již zmiňovaném kulatém stole, který minulý týden uspořádal Úřad pro ochranu osobních údajů. Dovolím si předpokládat, že k závěrům vydá vlastní stanovisko – ke kterému pak bude možné se vyjadřovat a diskutovat o něm.
P.S. V pokračování tohoto článku (který je už tak dost dlouhý) bych se rád zastavil ještě u dalších zajímavých vlastností a specifik dynamických biometrických podpisů, kterých jsem se dotkl v závěru své prezentace na kulatém stole ÚOOÚ.