Archi.gov.cz: kdo by měl zajišťovat digitální kontinuitu?
V minulosti se vkládaly velké naděje do tzv. vyvratitelné domněnky pravosti, která měla „právně eliminovat“ časová omezení v elektronických podpisech. Dnes už neplatí, a tak se některé oči upírají k § 562 odst. 2 nového občanského zákoníku.
V předchozích dvou článcích (prvním a druhém) jsme si popsali, na základě informací z webu archi.gov.cz, v čem spočívá problém digitální kontinuity – v zastarávání a oslabování kryptografických algoritmů. Také jsme si popsali, co se s tím dá dělat. Princip je v zásadě velmi jednoduchý: opakovaně použít novější a silnější kryptografické algoritmy a metody, případně v kombinaci s většími klíči.
Reálně se toho dá dosáhnout novým podepsáním či přidáním nové elektronické pečeti či přidáním dalšího časového razítka – protože obojí udělá z původních dat nový otisk (použije aktuálně dostatečně silnou hashovací funkci) a pak aplikuje aktuálně dostatečně silný podpisový algoritmus.
Kvůli příznivějším právním účinkům se v praxi obvykle přidávají hlavně další časová razítka. Tedy alespoň u varianty, kterou Národní architektonický plán na webu archi.gov.cz označuje jako aktivní péči o dokumenty – kdy své dokumenty průběžně udržujeme jako „samonosné“, ve smyslu nesoucí přímo v sobě vše, co může být později potřeba pro ověření jejich pravosti a autenticity, skrze ověření platnosti jejich podpisů, pečetí a časových razítek.
Zapomínat ale nesmíme ani na nezbytné validační informace, které již nemusí být k dispozici v pozdější době, kdy je budeme potřebovat pro vyhodnocení platnosti původního podpisu. A tak je také musíme pravidelně přidávat k těm dokumentům, u kterých se snažíme o zachování jejich digitální kontinuity. Podmínkou přitom je použití takových formátů elektronických podpisů a pečetí, které přidávaní validačních informací vychází vstříc.
Národní architektonický plán ale zmiňuje i takovou variantu udržování digitální kontinuity elektronických dokumentů, při které tyto dokumenty nejsou „samonosné“, ale pro prokázaní svých vlastností se spoléhají na dosvědčení od „něčeho externího“, co jejich vlastnosti dokládá. Mohou to být různé záznamy, logy, transakční protokoly apod. Ale pokud ty jsou vedeny v elektronické podobě a využívají kryptografii, týkají se jich stejné problémy, resp. vyžadují obdobnou péči o zajištění své průkaznosti jako samotné dokumenty.
Kdo by měl zajišťovat digitální kontinuitu?
Národní architektonický plán se ale už bohužel nevyjadřuje k tomu, kdo a jak by se měl o digitální kontinuitu starat.
Obecně lze říci, že její zajištění na principu aktivní péče není nijak zásadně náročné na implementaci a průběžnou realizaci. Možná nejsložitější je rozhodnout, které elektronické dokumenty stojí za udržování digitální kontinuity a které nikoli. Pak už jen stačí (u těch dokumentů, které byly vybrány) si pamatovat, kdy končí řádná platnost certifikátu jejich časového razítka, a včas přidat další (i s potřebnými validačními informacemi).
Při dnešní praxi našich kvalifikovaných poskytovatelů časových razítek (certifikačních autorit) vychází potřeba přidání dalšího časového razítka jednou za pět let. To je něco, co by třeba spisové služby a další řešení pro správu elektronických dokumentů měly snadno zvládat – a určitě by potřebná funkčnost měla být jejich standardní součástí.
Jak to ale mají dělat ti, kteří žádnou spisovou službu či něco obdobného nemají? Tedy například jednotlivé fyzické osoby, drobní živnostníci atd.? Pokud nechtějí své důležité dokumenty včas konvertovat z elektronické do listinné podoby, což stojí 30 Kč za stránku, samozřejmě si mohou potřebná opatření pro zajištění digitální kontinuity realizovat sami a „ručně“. To ale určitě není řešení pro každého.
Další možností je využití (kvalifikovaných) služeb pro uchovávání elektronických podpisů a pečetí, popisovaných výše. Těch už existuje (v EU) celá řada a jedna je dostupná i v ČR (služba SecuSign od Software602). Ale jde vesměs o komerční služby, a tudíž placené.
Jaké by tedy mohlo být vhodné řešení pro jednotlivce, kteří mají jen několik málo elektronických dokumentů?
Dnes tu máme Portál občana, který nabízí svým uživatelům úložiště pro jejich dokumenty (a datové zprávy) o kapacitě 500 MB. Co kdyby vyšel svým uživatelům vstříc a u uložených dokumentů se staral o udržování jejich digitální kontinuity? Tedy jednou cca za 5 let přidal další časové razítko a nezbytné validační informace?
Vyvratitelná domněnka pravosti už neplatí
Pro úplnost si dodejme, že existovaly a nadále existují i jiné pohledy na celou problematiku digitální kontinuity. Například již v roce 2010 vydalo MV ČR dokument s názvem Stanovisko odboru archivní správy a spisové služby k užívání časového razítka v souvislosti s odesíláním a ukládáním dokumentů v digitální podobě, který stavěl na tehdy platném ustanovení zákona č. 499/2004 Sb., o archivnictví a spisové službě. Jednalo se o tzv. vyvratitelnou domněnku pravosti, podle které stačil jeden podpis a jedno časové razítko – a mělo to vydržet libovolně dlouho:
Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán platným uznávaným elektronickým podpisem nebo označen platnou elektronickou značkou […] a opatřen kvalifikovaným časovým razítkem. Ustanovení věty první se vztahuje i na dokumenty vzniklé z činnosti původců, kteří nejsou určenými původci.
Že šlo o pokus „překonat“ cestou práva výše popisované objektivní skutečnosti, konkrétně zastarávání kryptografických algoritmů a metod, dokládá i následující úryvek z předmětného stanoviska z roku 2010, zmiňující „právní eliminaci omezené platnosti kvalifikovaného certifikátu“:
Co se týče vlivu kvalifikovaného časového razítka na pravost dokumentu obsaženého v datové zprávě, konstatujeme, že absence kvalifikovaného časového razítka nečiní dokument nepravým (a neměla by tudíž ovlivnit jeho akceptaci orgánem veřejné moci či jiným subjektem). Přítomnost kvalifikovaného časového razítka na dokumentu obsaženého v datové zprávě je však nezbytným předpokladem toho, aby bylo možno na dokument aplikovat domněnku pravosti po celou dobu existence dokumentu, konstruovanou podle § 69a odst. 8 zákona č. 499/2004 Sb. Jejím účelem je právně eliminovat omezenou platnost kvalifikovaného certifikátu, respektive kvalifikovaného systémového certifikátu vydaného akreditovaným poskytovatelem certifikačních služeb, na kterém je založen zaručený elektronický podpis, respektive elektronická značka…
Dlužno dodat, že ona vyvratitelná domněnka pravosti, která (alespoň podle mého názoru) popírala fyzikální realitu, byla v roce 2016 zákonem č. 298/2017 Sb. zrušena. Stejně tak se změnil i názor na potřebu připojování časových razítek: zatímco ještě v roce 2009 se jim veřejná správa bránila, dnes je v zákoně (v § 11 zákona č. 297/2016 Sb.) explicitně požadováno, aby orgány veřejné moci opatřovaly své elektronické dokumenty (kvalifikovanými elektronickými) časovými razítky.
Zabývá se digitální kontinuitou nový občanský zákoník?
Místo dnes již neexistující vyvratitelné domněnky se dnes některé alternativní pohledy na digitální kontinuitu upírají k ustanovení § 562 odst. 2 nového občanského zákoníku, který zní takto:
Má se za to, že záznamy údajů o právních jednáních v elektronickém systému jsou spolehlivé, provádějí-li se systematicky a posloupně a jsou-li chráněny proti změnám. Byl-li záznam pořízen při provozu závodu a dovolá-li se jej druhá strana k svému prospěchu, má se za to, že záznam je spolehlivý.
Ujasněme si nejprve, o jaký druh spolehlivosti se zde může jednat. Tedy na co se – podle tohoto ustanovení – můžeme u „záznamů údajů o právních jednáních v elektronickém systému“ spoléhat, pokud jsou splněny jeho předpoklady.
Určitě to nemůže být domněnka správnosti těchto záznamů, protože to by představovalo jakýsi bianco šek pro všechny elektronické systémy na to, že poskytují obsahově správné záznamy (zjednodušeně: že fungují správně a říkají pravdu). To vše jen na základě toho (resp. jen díky tomu), že se řádně starají o své výstupy (záznamy): že je chrání proti změně a generují je nějak pravidelně a ve správném pořadí (systematicky a posloupně), a nikoli nějak náhodně a „na přeskáčku“.
Může to tedy být jen spolehlivost ve smyslu neměnnosti a správného pořadí záznamů. Tedy že záznamy se od svého vygenerování nezměnily a nedošlo ke změně jejich pořadí.
Pokud si to shrneme, první věta celého ustanovení tak vlastně neříká nic moc světoborného: pokud záznamy chráníme proti změně, pak je můžeme považovat za nezměněné. A pokud je vytváříme systematicky a posloupně, můžeme předpokládat, že nedošlo k jejich zpřeházení (změně pořadí).
Reálně samozřejmě jde o to, jak dobře je naplněno ono „jsou-li chráněny proti změnám“ – protože pokud se toto dělá elektronickou cestou, s využitím kryptografických algoritmů a metod, tak jsme přesně u toho, čemu se věnuje celá tato série článků.
Zajímavá je ale věta druhá popisovaného ustanovení:
„Byl-li záznam pořízen při provozu závodu a dovolá-li se jej druhá strana k svému prospěchu, má se za to, že záznam je spolehlivý“.
Tomu se dá rozumět tak, že když jedna strana předloží druhé straně nějaký elektronický dokument (zde označovaný jako záznam) a druhé straně se tento dokument „hodí do krámu“ natolik, že jím sama začne argumentovat a něčeho se po někom domáhat, pak nemusí prokazovat autentičnost tohoto dokumentu (že je to „ten původní dokument“, a ne nějaký jiný, resp. že nedošlo k jeho změně).
Tato druhá věta tedy především obrací důkazní břemeno: držitel záznamu, resp. dokumentu (zde: druhá strana) nemusí prokazovat, že jde o původní a nezměněný dokument (ochráněný proti změnám). To by mohlo znamenat, že jej nemusí předkládat v takové podobě, aby bylo možné ověřit platnost jeho elektronických podpisů, případně značek či pečetí. Mohl by to tedy být dokument, u kterého již nebyla udržena digitální kontinuita. Naopak ten, komu je takovýto dokument předložen, by musel sám prokazovat opak – tedy pokud by tvrdil, že dokument není autentický (že je to nějaký jiný, resp. pozměněný dokument), musel by to dokázat on.
Velmi důležitá je ale úvodní podmínka této druhé věty: „Byl-li záznam pořízen při provozu závodu…“ V terminologii nového občanského zákoníku, vzhledem k jeho § 502, to (zjednodušeně) znamená, že jde o něco, co vzniklo v podnikatelské sféře. Netýká se to tedy veřejné správy a dokumentů (záznamů), vznikajících ve veřejnoprávní sféře.
Navíc je zajímavou otázkou, komu může druhá strana takovýto dokument (záznam) „k svému prospěchu“ vlastně předložit. Pokud by se jednalo pouze o „první stranu“, tedy o provozovatele „závodu, při jehož provozu došlo k pořízení záznamu“, mělo by to svou logiku: on se může sám přesvědčit o tom, zda zpětně překládaný dokument je autentický a pravý.
Například kdyby občan získal od nějaké banky, firmy či jiné soukromoprávní instituce elektronický dokument s nějakým příslibem, potvrzením či něčím obdobným – a někdy později předložil tento dokument (již po ztrátě jeho digitální kontinuity) zpět stejnému subjektu a argumentoval tím „k svému prospěchu“, rozuměl bych tomu – protože ten, kdo dokument původně vydal, by měl mít možnost si zpětně ověřit jeho autenticitu a pravost, či prokázat opak.
Ale pokud by celá tato druhá věta ustanovení § 562 odst. 2 měla být myšlena tak, že „druhá strana“ může dokument bez digitální kontinuity předkládat „k svému prospěchu“ libovolné třetí straně (tj. někomu jinému než první straně, která dokument vytvořila), pak bych to osobně vnímal jako další pokus o nebezpečný průlom do celého problému digitální kontinuity. Jako jakousi reinkarnaci původní a dnes již zrušené domněnky pravosti, byť omezenou jen na dokumenty od soukromoprávních původců.