Vyšlo na Lupě, 04.07.2016
Vytištěno z adresy: http://www.earchiv.cz/b16/b0704001.php3

eIDAS a el. podpisy (2): proč „služby vytvářející důvěru“?

Nové nařízení eIDAS zlikviduje dosavadní elektronické značky, a místo nich zavede elektronické pečeti. Spočítané to mají i datové zprávy. Přežijí ale zaručené el. podpisy, které nezaručují …..

předchozím článku jsme se začali zabývat unijním nařízením eIDAS (č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru), které nově upravilo celou oblast elektronických podpisů  - a  jehož relevantní pasáže nedávno nabylo účinnosti.

Stalo se tak konkrétně 1. července 2016, kdy ale ještě nebyl připraven příslušný „adaptační“ zákon (zákon o službách vytvářejících důvěru, t.č. v Poslanecké sněmovně jako sněmovní tisk 763), který by připravil („adaptoval“) celý náš právní systém na účinnost nového nařízení.  A který by mimo jiné zrušil dosavadní zákon č. 227/2000 Sb. o elektronickém podpisu. Proto jsme se v minulém článku zabývali především specifickou situací, která nastane pro 1.7.2016.

Dnes, ve druhém článku malého seriálu, se již dostaneme k dalším zajímavým aspektům. Začít můžeme třeba tím, proč se nařízení eIDAS překládá ve smyslu „služeb vytvářejících důvěru“, a nikoli ve smyslu „důvěryhodných služeb“ (jako to dělá například oficiální slovenský překlad). Kdo vymyslel tak krkolomný novotvar, podle kterého bude pojmenován i nový adaptační zákon („zákon o službách vytvářejících důvěru“)?

Proč „služby vytvářející důvěru“? Proč ne „důvěryhodné služby“?

Důvodem je to, že nařízení nemá (a ani by reálně nemohlo mít) ambice „pokrývat“ úplně všechny služby, které by měly fungovat důvěryhodným způsobem. Což by měly být snad úplně všechny elektronické služby, včetně nejrůznějších spisových služeb, internetbankingů, rejstříků a podobných věcí.

Místo toho se nařízení eIDAS soustřeďuje jen na takové služby, které produkují „něco“, z čeho je důvěra odvozována, či na čem je zakládána naše důvěra v něco jiného. Názorným příkladem mohou být právě certifikáty a elektronické podpisy: z nich odvozujeme, zda a kým je nějaký dokument podepsán, a na tom pak stavíme svou důvěru v samotný dokument a jeho obsah.

Ostatně, i v anglickém originále se nařízení týká „trust services“ (doslova: služby důvěry, služby produkující důvěru, služby vytvářející důvěru apod.), a nikoli „trusted services“ (důvěryhodné služby).

Za to, že u nás bylo nařízení přeloženo věcně správně (i když jazykově asi „složitěji“), vděčíme skutečnosti, že naše ministerstvo vnitra se včas poradilo s odbornou komunitou, jak anglický název správně přeložit.

Na Slovensku to nejspíše neudělali, a tak mají nařízení „o dôveryhodných službách“. Jakpak asi budou říkat těm službám, které nespadají pod toto nařízení? Budou říkat, že „nejde o důvěryhodné služby“, nebo budou rovnou říkat, že jde o „nedůvěryhodné služby“?

Zaručený podpis, který nezaručuje ….

Když už jsme u odborné terminologie: nové nařízení otevřelo možnost napravit jeden náš dávný terminologický hřích, kterého jsme se dopustili již před rokem 2000, a jehož nepříjemné následky pociťujeme dodnes. Bohužel tato možnost zůstala nevyužita.

Jde konkrétně o překlad anglického „advanced electronic signature“ (zkratkou AdES). V doslovném překladu jde o „vyspělý“ či „pokročilý“ elektronický podpis (ve smyslu: „ o něco lepší“ než je tzv. prostý elektronický podpis, který nezaručuje vůbec nic).

Tento druh elektronického podpisu (AdES, „pokročilý“) zaručuje alespoň integritu podepsaného dokumentu. Neboli to, že se spolehlivě dozvíme, zda došlo či nedošlo ke změně původně podepsaného dokumentu. Ovšem o tom, komu takovýto podpis patří (kdo je podepsanou osobou) nám takovýto „pokročilejší“ elektronický podpis sice něco řekne – ale bez toho, abychom se na to mohli spoléhat (to můžeme až u vyšších forem elektronického podpisu).

Jinými slovy: tento „pokročilý“ druh elektronického podpisu (AdES) ještě nezaručuje identitu podepsané osoby. Ani tu nejednoznačnou, ve smyslu „některý Jan Novák“. Přesto jsme si jej (již před rokem 2000) přeložili jako „zaručený elektronický podpis“, a tím zmátli nejenom uživatele elektronických podpisů (kteří mají tendenci věřit informaci o identitě podepsané osoby a spoléhat se na ni), ale i legislativce a soudce - kteří opakovaně dávají do zákonů (i judikátů) ustanovení, podle kterého ke stvrzení nějakého důležitého úkonu stačí takovýto zaručený elektronický podpis (zatímco správně by měli trvat na vyšší formě, kterou je uznávaný el. podpis).  

 
Příklad, kdy je požadován pouze zaručený el. podpis
 

Zajímavé je, že zde je situace ve srovnání se Slovenskem přesně opačná: tam mají tuto věc přeloženu správně. Variantě AdES (Advanced Electronic Signature) na Slovensku říkají „zdokonalený elektronický podpis“, a přívlastek „zaručený“ dosud používají pro nejvyšší formu elektronického podpisu, která skutečně zaručuje správnost informace o identitě podepsané osoby (a s účinností nařízení eIDAS jej přejmenují na kvalifikovaný elektronický podpis).

Jinými slovy: náš (český) zaručený elektronický podpis je něco diametrálně odlišného od (dosavadního) slovenského zaručeného elektronického podpisu. Formou (českého) zaručeného elektronického podpisu se mohu podepsat jménem kohokoli jiného (i reálně neexistujícího), zatímco formou (slovenského) zaručeného elektronického podpisu se může podepsat jen a pouze příslušná fyzická osoba.

Sám to při nejrůznějších příležitostech ukazuji na příkladu elektronického podpisu literární postavy Josefa Švejka: jeho (český) zaručený el. podpis si může snadno vytvořit každý. Jeho (slovenský) zaručený elektronický podpis, odpovídající našemu uznávanému elektronickému podpisu, nikdo vytvořit nemůže (protože nejde o reálně existující fyzickou osobu, nikdo jí nevystaví nezbytný kvalifikovaný certifikát).

Podpisy vs. značky

Pojďme nyní již k tomu, jaké konkrétní změny přináší nové nařízení eIDAS v oblasti elektronických podpisů.

Začněme třeba tím, že původní směrnice z roku 1999 připouštěla, aby se mohly elektronicky podepisovat nejenom fyzické osoby, ale také právnické osoby (včetně organizačních složek státu). Důvod byl prostý: třeba při vystavování certifikátů musí jejich vydavatel vhodně stvrdit jejich pravost. Samozřejmě elektronicky, když samotný certifikát je elektronický. No a jelikož směrnice ještě neznala žádný vhodnější způsob, jak to udělat (než je elektronický podpis), dospěla celkem logicky k závěru, že podepisovat se elektronicky mohou i právnické osoby.

Problém je v tom, že v listinném světě to nemá obdobu – za právnické osoby se vždy podepisují fyzické osoby (které jednají za ně, resp. jejich jménem).

Další problém byl v tom, že podepisování je typicky „lidskou“ záležitostí, kdy se z vlastní vůle podepisuje nějaká lidská bytost. Při vydávání certifikátu (ale stejně tak při mnoha dalších činnostech, třeba při generování výpisů z různých rejstříků, při přenosu datových zpráv apod.) by se také mělo podepisovat, ale automatizovaně a „strojově“ (podepsání provádí stroj, nikoli na přímý popud člověka ale autonomně, podle pravidel, které mu někdy dříve jednorázově předepsal člověk).

U nás jsme tento rozpor vyřešili již v roce 2004 zavedením elektronických značek. Řešili jsme tím primárně „automatizované“ podepisování, které jsme nahradili „strojovým“ přidáváním elektronických značek. Druhý dílčí problém, s podepisováním jiných osob než fyzických, jsme vyřešili jednoduše a elegantně: když jde o značku a nikoli o podpis, může „patřit“ jak fyzické osobě, tak osobě právnické (i organizační složce státu).

Od té doby  naše certifikační autority opatřují vydávané certifikáty  svou elektronickou značkou. Podobně systém datových schránek od začátku svého fungování (v roce 2009) přidává elektronickou značku („patřící“ systému ISDS, spravovanému ministerstvem vnitra) na každou procházející datovou zprávu atd.

A aby se naše elektronické značky řádně odlišily od elektronických podpisů, vymysleli jsme si pro ně zvláštní druh certifikátů: systémové certifikáty, které se používají právě pro elektronické značky (vedle osobních certifikátů, které se používají pro podepisování).

 
Příklad systémového certifikátu
 

Pečetě nejsou značky

Evropská unie se naším řešením celého problému inspirovala, a po deseti letech v novém nařízení eIDAS zavedla „něco podobného“. Nikoli ale přesně stejného. Neřešila totiž „strojový“ charakter podepisování, ale soustředila se na rozlišení toho, kdo příslušný úkon provádí. A tak místo našich elektronických značek zavedla elektronické pečetě.

Hlavní rozdíl mezi naší dosavadní značkou a novou pečetí dle nařízení eIDAS je to, o čem vypovídají a vůči čemu. Naší elektronickou značku může kdokoli (kdo je držitelem příslušného systémového certifikátu, tedy třeba i fyzická osoba) připojit na cokoli – na jakýkoli elektronický dokument (soubor, zprávu), bez ohledu na jeho původ. A jde přitom o jeho projev vůle, obdobný tomu, jakým je podepsání. Ale podepsání to v pravém smyslu slova není.

Naproti tomu elektronickou pečeť může vytvářet jen právnická osoba (včetně organizační složky státu) – a může ji připojit jen na to, čeho je sama původcem. Zjednodušeně: el. pečeť může přidat jen na „něco svého“, a nikoli na „něco cizího“. Důvodem je  skutečnost, že nejde o projev vůle (v právním slova smyslu), obdobný podepsání: podepsat můžete klidně i cizí dokument (třeba proto, že s jeho obsahem vyjadřujete svůj souhlas).

Připojení elektronické pečeti naproti tomu není projevem vůle, ale deklarací původu: když nějaká právnická osoba připojí na něco svou pečeť, deklaruje tím, že je to „od ní“, neboli že ona je původcem toho, co je pečetí opatřeno. Proto elektronické pečetě nelze přidávat na cokoli „cizího“.

Takže třeba smlouvu v elektronické podobě (či žalobu k soudu apod.) pomocí elektronické pečeti nestvrdíte, ani kdyby jednající stranou byla právnická osoba. K tomu musí být fyzická osoba, a ta musí k podepsání smlouvy použít svůj elektronický podpis.

Nicméně osud našich dosavadních elektronických značek je nařízením eIDAS zpečetěn: sice bychom si je bývali mohli ponechat, jako „čistě národní“ službu vytvářející důvěru, kterou jinde (v zahraničí) neznají a neuznávají. Ale této možnosti jsme nevyužili – a asi je to rozumné.

Přesto ale bude možné dosavadní elektronické značky používat ještě dva roky. Umožní to připravovaný adaptační zákon (zákon o službách vytvářejících důvěru), který takovouto možnost dává v rámci svých přechodných ustanovení.

Jak to bude se zprávami v datových schránkách?

Ačkoli se nařízení eIDAS nezabývá tím, zda se elektronické pečeti mají/mohou přidávají strojově či nikoli, přesto tento nový koncept dokáže elegantně vyřešit třeba způsob vydávání certifikátů: certifikační autority nově (dle nařízení) již nebudou vydávané certifikáty podepisovat, ale budou je opatřovat svou elektronickou pečetí.

Ovšem na takové „podepisování“, které je skutečně strojové, se ani nové pečeti nemusí zrovna moc hodit. Třeba datové zprávy, které prochází datovými schránkami, jsou u nás dosud (ryze strojově) opatřovány elektronickými značkami – a dosud nebylo nutné řešit, zda původcem datové zprávy je její odesilatel, nebo samotný informační systém datových schránek (ISDS). Protože naši značku je možné přidat na cokoli (i na to, co má jiného původce).

Naproti tomu u elektronických pečetí je podstatné, kdo je původcem  –  a ani navrhovaný „tlusťoch“ (zákon o změnách, kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce, viz sněmovní tisk 764) nemá příliš jasno v tom, zda je na datové zprávy možné přidávat elektronické pečeti. Proto sám jen vyplivuje horkou bramboru tím, že dosavadní požadavek „označí uznávanou značkou“ hodlá nahradit požadavkem „zabezpečí způsobem zajišťujícím integritu, případně původ dat“.

Na to, jak to dopadne, si budeme muset počkat. A to nejspíše ještě další dva roky – kvůli výše zmiňovanému přechodnému ustanovení (v adaptačním zákoně), které umožní nadále používat elektronické značky po ony dva roky.

A víte, co jste podepsali?

S rozdílem mezi značkami a pečetěmi je spojen ještě jeden zajímavý aspekt: to, zda připojení podpisu či značky nebo pečeti má současně znamenat, že se „podepisující“ (či „připojující“) strana seznámila s obsahem toho, co podepisuje (resp. označuje/pečetí). Důležité to může být ve chvíli, kdy dojde na lámání chleba a na plnění toho, co je podepsáno.

Proto naše dosavadní právní úprava s elektronickým podpisem spojuje (vyvratitelnou) domněnku, že se podepisující osoba seznámila s tím, co podepisuje (viz § 3 odst. 1 zákona č. 227/2000 Sb., o elektronickém podpisu). Takže pokud by při následném sporu tvrdila, že podepsala něco jiného, musela by to prokázat ona (nesla by důkazní břemeno). Naproti tomu u elektronických značek takováto domněnka není, což je logické (stroj se nepotřebuje, a vesměs ani nedokáže seznamovat s tím, co opatřuje značkou).

Jenže nařízení eIDAS tyto důležité aspekty neřeší. U pečetí to asi moc nevadí, ale u samotných elektronických podpisů to může být docela zásadní: podepisující se straně se neukládá povinnost seznámit se s obsahem toho, co podepisuje. Stejně tak se nezavádí (byť vyvratitelná) domněnka, že tak učinila.

Jediné, co eIDAS požaduje, je že kvalifikované prostředky pro vytváření elektronických podpisů „nesmějí měnit podepisovaná data ani bránit tomu, aby byla tato data předložena podepisující osobě před vlastním podepsáním“.

Jenže ani z tohoto požadavku nelze dovozovat, že se podepisující osoba skutečně seznámila s tím, co podepisuje. Ba ani to, že jí byla podepisovaná data skutečně předložena, protože „nebránit předložení“ není to samé jako „předložit“.

Navíc je to vše trochu „někde jinde“ – samotný (kvalifikovaný) prostředek pro vytváření elektronických podpisů, kterým je v praxi čipová karta či token, obvykle pracuje jen s otiskem (tzv. hash-em) podepisovaných dat, a nikoli s „celými daty“. Takže by je ani nemohl uživateli zobrazit. Navíc typická čipová karta či token ani nemají čím je zobrazit (nemá žádný displej). 

Celkově je problém v tom, že eIDAS nectí zásadu WYSIWYS: What You See Is What You Sign (doslova: co vidíte, to podepisujete). Pravdou je, že by to s její důslednou aplikací bylo „poněkud složitější“, už jen kvůli různým formátům a možnostem zobrazování. Ale podstatné je, že eIDAS se o to ani nesnaží.

Jak potom budou řešeny spory, kde podepisující strana bude namítat, že podepisovala něco jiného?

Chraňte si svůj soukromý klíč jako oko v hlavě!

Ono je to ale ještě horší: náš dosavadní zákon o elektronickém podpisu požaduje po držiteli soukromého klíče, aby si jej chránil jako oko v hlavě a nedával ho z ruky. A pokud by snad byl jeho soukromý klíč kompromitován (získal ho, resp. dozvěděl se jeho hodnotu někdo jiný), měl by co nejdříve požádat o zneplatnění svého odpovídajícího certifikátu (viz § 5 odst. 1 písm. b) zákona č. 227/2000 Sb., o elektronickém podpisu). Protože jinak jde veškerá případná škoda „za ním“ (§ 5 odst. 2).

Jenže eIDAS takovéto povinnosti neukládá. Nepožaduje po držiteli soukromého klíče, aby v případě jeho kompromitace cokoli podnikal (žádal o revokaci certifikátu), a tím pádem ani neřeší otázku případné škody. Zůstane to tak na obecných ustanoveních jiných zákonů o povinnosti předcházet škodám, a na certifikačních politikách autorit, které certifikáty vydávají – ale tyto jejich dokumenty nemají a nemohou mít sílu a relevanci zákonů. Podle mého názoru to opět značně zkomplikuje případné spory a řešení otázek kolem náhrady škody.

Na druhou stranu nařízení eIDAS přeci jen určitým způsobem mění pravidla pro uchovávání soukromých klíčů. Chce totiž otevřít dveře službám typu „elektronický podpis jako služba“, resp. „server signing“. Jde o jakýsi outsourcing elektronického podepisování: místo toho, aby se konkrétní fyzická osoba učila všemu tomu, co je pro elektronické podepisování nutné vědět a znát, a pořizovala si k tomu nezbytné vybavení, nechá někoho jiného (samozřejmě dostatečně důvěryhodného a korektně se chovajícího), kdo jí vše zajistí jako službu: kdo se bude podepisovat za ni, jejím jménem. 

U nás to zatím nemáme, ale v některých zemích EU (například v Itálii) to prý již funguje. A předpokládá to, že držitel soukromého klíče jej musí „dát z ruky“ a svěřit jej někomu jinému (poskytovateli právě popsané služby). Proto nařízení eIDAS poněkud oslabuje pravidla nakládání se soukromým klíčem: místo dosavadního „nesmí se dávat z ruky“ požaduje, aby jeho využití zůstalo pod výhradní kontrolou držitele.

Ale odpovědnost za kompromitaci klíče, potřebu revokace certifikátu a odpovědnost za případnou škodu při kompromitaci klíče eIDAS nijak neřeší. Což opět může mít zásadní důsledky pro řešení různých sporů kolem pravosti elektronických podpisů.

Rekviem za datovou zprávu

Na závěr tohoto článku ještě jedna důležitá zajímavost: ze základů naší právní úpravy elektronického podpisu konečně zmizí tolik kontroverzní pojem datové zprávy.

Jde o další projev naší „lidové tvořivosti“ z doby vzniku první právní úpravy elektronického podpisu: tomu, kdo překládal původní unijní směrnici, asi přišlo divné, že by elektronický podpis měl být „nějakými daty“, které podepisují „nějaká jiná data“. Nejspíše mu to přišlo příliš vágní, nebo si vzpomněl na ještě starší návrhy skupiny UNCITRAL – a tak to přeložil tak, že „to, co je podepisováno“ je rovnou celá datová zpráva.

Naše definice elektronického podpisu dodnes takto zní (že elektronickým podpisem je podepisována datová zpráva), a již se moc nezabýváme tím, co vlastně onou datovou zprávou je. Zda je to jen něco na způsob dočasného kontejneru, do kterého se něco vloží (například nějaké dokumenty) a přenese odněkud někam, nebo zda jde o něco dlouhodobého, co je samo dokumentem.

Vrchol zmatení pak přinesl známý zákon č. 300/2008 Sb. o elektronických úkonech, který obě tyto (vzájemně nekompatibilní) varianty používá současně: hovoří o „dokumentech obsažených v datové zprávě“ (což by mělo odpovídat variantě „datová zpráva = kontejner“), a na jiných místech hovoří o tom, že dokumenty mají formu datových zpráv (což by mělo dopovídat variantě „datová zpráva = dokument“).

K tomu si ještě dodejme, že ani původní unijní směrnice z roku 1999, ani nové nařízení eIDAS s konceptem datových zpráv nepracují. Ale zatímco směrnice (která se transponuje do národní legislativy) nám umožnila změnit si nejzákladnější definici elektronického podpisu ve výše popsaném smyslu (že podepisována je vždy datová zpráva), nynější forma přímo účinného nařízení nám to již neumožňuje.

Konkrétně to znamená, že nová právní úprava elektronických podpisů (samotné nařízení, i adaptační zákon „o službách vytvářejících důvěru“) již s konceptem datových zpráv nepracují. Nicméně ostatní zákony, a zejména pak již zmiňovaný zákon č. 300/2008 Sb., budou pojem datové zprávy používat i nadále. Takže z toho bude pěkný zmatek.