Vyšlo v časopise Zprávy a informace ČKAIT, 08.12.2019
Vytištěno z adresy: http://www.earchiv.cz/b19/b1208001.php3

Není elektronický podpis jako elektronický podpis

Ačkoli by to tak mohlo vypadat, elektronické podpisy nejsou všechny stejné. Existuje jich více druhů a liší se zejména tím, jak moc se na ně můžeme spoléhat. Hlavně pokud jde o tzv. pravost podpisu, neboli o to, zda podpis skutečně vytvořil ten, koho považujeme za podepsanou osobu. Ale jde i o autenticitu podepsaného dokumentu - zda je přesně tím dokumentem, který byl původně podepsán, a nedošlo u něj k žádné změně, ani té sebemenší.

Máme tedy různé druhy elektronických podpisů a právo nám říká, jaký druh můžeme použít pro ten který účel, resp. právní úkon. Stejně je tomu i v tradičním světě papírových - správně: listinných - dokumentů a jejich podpisů: někde stačí vlastnoruční podpis, zatímco jinde nestačí a je vyžadován podpis úředně ověřený. Záleží na tom, jak moc průkazný a spolehlivý má být projev vůle, který svým podpisem vyjadřujeme, a jak moc jednoznačně má být zachycena totožnost podepisující osoby.

Naopak v některých případech (tam, kde je to obvyklé) stačí místo vlastnoručního podpisu jen jeho náhrada mechanickými prostředky (viz § 561 nového občanského zákoníku). Tedy třeba jen strojem napsané, či na tiskárně vytištěné jméno. Protože zde podpis není ani tak projevem vůle a závazkem, ale spíše jen nezávaznou indikací původu. Asi těžko můžeme chtít po řediteli, aby každý měsíc skutečně vlastní rukou podepisoval každý exemplář průvodního dopisu k vyúčtování služeb, které jeho firma (automatizovaně) rozesílá tisícům svých zákazníků.

Kvalifikovaný statut

Elektronické podpisy, kterými opatřujeme elektronické dokumenty, tvoří ještě o něco členitější hierarchii, než podpisy na listinných dokumentech. Největší "sílu", co do možnosti spoléhat se na identitu podepsané osoby, mají ty elektronické podpisy, které se pyšní přívlastkem kvalifikované.

Ostatně, podle aktuálně platné právní úpravy (unijního nařízení eIDAS) se přívlastkem "kvalifikovaný" může pyšnit vždy jen to, co je na vrcholu příslušné hierarchie - co musí splňovat nejpřísnější požadavky, stanovené zákonem (resp. nařízením), a na co se díky tomu můžeme v nejvyšší míře spoléhat. A abychom takové kvalifikované elektronické podpisy, či třeba kvalifikované certifikáty, kvalifikované poskytovatele či kvalifikované služby co nejsnáze poznali, mají právo se honosit "unijní" značkou důvěry (formálně: značkou důvěry EU). Tedy tím modrým zámečkem s hvězdičkami, který vidíte na obrázku.

Kvalifikované, zaručené a prosté podpisy

V prvním přiblížení si můžeme říci, že kvalifikované elektronické podpisy jsou ty, které zaručují jak autenticitu dokumentu (že se od podepsání nezměnil, a jde tedy o "ten původní" dokument), tak i identitu podepsané osoby. Proto také stojí nejvýše v celé hierarchii elektronických podpisů.

To zaručené elektronické podpisy jsou charakteristické tím, že identitu podepsané osoby naopak obecně nezaručují. Což je hodně nepříjemný terminologický paradox, který už dlouhá léta plete jak uživatele, tak i legislativce - a ti s oblibou (nesprávně) požadují pouze zaručený elektronický podpis tam, kde by správně měli požadovat kvalifikovaný elektronický podpis.

Přesto mají zaručené elektronické podpisy svůj smysl a používají se naprosto rutinně - všude tam, kde je třeba zajistit neměnnost, neboli tzv. integritu nějakých dat (například v rámci různých strojově generovaných záznamů) - a naopak nemusí či přímo nemá jít o podpis v právním slova smyslu (o analogii vlastnoručního podpisu). Protože zaručený elektronický podpis sice nezaručuje identitu podepsané osoby, ale zaručuje alespoň integritu (neměnnost) toho, co je podepsáno.

Konečně tzv. prosté elektronické podpisy si můžeme představit jako obdobu onoho výše zmiňovaného "nahrazení podpisu mechanickými prostředky". Jen tentokráte jde o nahrazení elektronickými, a nikoli mechanickými prostředky. Jinak jsou ale jejich vlastnosti v zásadě stejné - prosté elektronické podpisy, stejně jako "nahrazení podpisu mechanickými prostředky", je spíše jen určitou indikací (opět ne nutně pravdivou), než podpisem ve smyslu projevu vůle a závazku. Nemusí vůbec nic zaručovat, a stejně tak nemusí umožňovat jakékoli zkoumání či dokonce ověřování čehokoli.

Kvalifikované certifikáty a kvalifikované prostředky

Aby se někdo mohl podepsat formou kvalifikovaného elektronického podpisu, potřebuje na to dvě věci. Jednou z nich je kvalifikovaný certifikát. Ten si můžeme představit jako jakési osvědčení, které se (automaticky) přikládá ke každému podpisu, aby podle něj příjemce podepsaného dokumentu poznal, komu podpis patří - tomu, kdo je v certifikátu uveden jako jeho držitel. I certifikátů, podobně jako elektronických podpisů, existuje více druhů - a zde je podstatné, že musí jít o kvalifikovaný certifikát (pro elektronický podpis). Protože právě certifikát s přívlastkem "kvalifikovaný" je ten, který je nejvíce důvěryhodný: na jeho obsah se můžeme plně spoléhat, protože za pravdivost jeho obsahu nám ručí jeho (kvalifikovaný) vydavatel. U nás jeden ze čtveřice eIdentity, I.CA, PostSignum a SZR (Správa základních registrů).

Mimochodem: důvodem, proč zaručený elektronický podpis obecně nezaručuje identitu podepsané osoby, je to že neklade žádný požadavek na kvalitu (důvěryhodnost) certifikátu. Vystačí si i s takovým certifikátem, který není kvalifikovaný - ale třeba jen testovací. Tedy takový, který si někdo vyrobí sám a napíše si do něj cokoli, co vůbec nemusí být pravdou. Například že držitelem certifikátu, a tím i podepsanou osobou, je někdo úplně jiný, kdo třeba ani nemusí existovat.

Zpět ale ke kvalifikovaným elektronickým podpisům: samotný kvalifikovaný certifikát pro jejich vytvoření nestačí. Další podmínkou je použití tzv. kvalifikovaného prostředku (pro vytváření elektronických podpisů, zkratkou QSCD, z anglického Qualified Signature Creation Device). Jde obvykle o čipovou kartu (případně USB token) - ale takovou, která úspěšně prošla požadovanou certifikací a díky tomu se může honosit "kvalifikovaným" přívlastkem.

Podstatnou vlastností takového kvalifikovaného prostředku je to, že z něj nejde "dostat ven" tzv. soukromý klíč - což je ta ingredience, nezbytná pro vytvoření elektronického podpisu, která činí podpis svého držitele jeho podpisem.

Tento soukromý klíč, který je ve skutečnosti jedním (hodně velkým) číslem, si lze představit jako tajemství, které nezná nikdo jiný - a tak nikdo jiný (než držitel soukromého klíče) nemůže takovýto podpis vytvořit. Leda že by se tohoto klíče zmocnil (resp. dozvěděl se jeho hodnotu) někdo jiný. Právě proto onen požadavek na kvalifikovaný prostředek, ze kterého soukromý klíč nejde dostat ven (nejde okopírovat).

České uznávané elektronické podpisy

Kvalifikovaný prostředek pro vytváření elektronických podpisů, v podobě čipové karty či USB tokenu, se dnes běžně prodává za ceny kolem 700 Kč i s DPH (pro jednotlivé kusy). Dříve ale bývala jeho cena přeci jen o něco vyšší, v nižších jednotkách tisíců.

Právě tato cena nejspíše vedla k tomu, že již v roce 2000 jsme se odchýlili od tehdejší unijní úpravy elektronických podpisů (směrnice 1999/93/EU) a místo kvalifikovaných elektronických podpisů, vyžadujících ony kvalifikované prostředky, jsme si zavedli tzv. uznávané elektronické podpisy. Ty se od těch kvalifikovaných lišily právě v tom, že nevyžadovaly ony kvalifikované prostředky. Stále tedy vyžadovaly kvalifikované certifikáty, díky čemuž dokázaly zaručit identitu podepsané osoby. Ale možnost spoléhat se na ně je přeci jen nižší (oproti kvalifikovaným elektronickým podpisům) kvůli tomu, že je zde větší riziko kompromitace (okopírování) soukromého klíče.

Je to podobný rozdíl jako u platebních karet: u transakcí, které vyžadují fyzickou přítomnost karty (například pro výběr z bankomatu) je riziko zneužití přeci jen menší než při platbách on-line, kde fyzická přítomnost karty není nutná (resp. ani možná), a stačí znát údaje o kartě.

Aby to ale nebylo tak jednoduché: s účinností nového unijního nařízení eIDAS (č. 910/2014), k polovině roku 2016, jsme se už kvalifikovaným elektronickým podpisům nemohli vyhýbat tak jako dříve. Ovšem aby nebylo nutné novelizovat úplně všechny výskyty požadavku na uznávaný elektronický podpis, které se mezitím dostaly do naší legislativy, došlo na zajímavý trik, v podobě zavedení "legislativní zkratky": pojmem "uznávaný elektronický podpis" se nově (viz § 6 odst. 2 zákona č. 297/2016 Sb.) rozumí hned dvě varianty současně:

  • kvalifikovaný elektronický podpis, nebo
  • původní uznávaný elektronický podpis, nově označovaný jako "zaručený elektronický podpis, založený na kvalifikovaném certifikátu".

Rozdílem je tedy požadavek na kvalifikovaný prostředek: u první varianty je požadován, u druhé nikoli. Jenže: jak si na takto krkolomnou terminologii zvyknout?

Jaké podpisy musí kdo používat?

První variantu uznávaného elektronického podpisu, tedy kvalifikovaný elektronický podpis, musí používat například úředníci. Obecně se tak musí podepisovat dokumenty, produkované orgány veřejné moci (neboli tzv. veřejnoprávními podepisujícími), ale stejně tak dokumenty produkované fyzickými či právnickými osobami, pokud právě vykonávají nějakou veřejnoprávní působnost - protože tak to požaduje § 5 zákona č. 297/2016 Sb. Stejně tak se kvalifikovanými elektronickými podpisy podepisují například doložky autorizovaných konverzí.

S druhou variantou uznávaného elektronického podpisu, tedy se "zaručeným elektronickým podpisem, založeným na kvalifikovaném certifikátu", vystačí právnické a fyzické osoby, pokud právně jednají vůči orgánům veřejné moci (či osobám v souvislosti s výkonem veřejnoprávní působnosti, viz § 6 zákona č. 297/2016 Sb.). Například když posílají nějaké podání k úřadu, soudu apod. elektronickou poštou, podepsat se musí - a mohou použít tento druh podpisu (ale samozřejmě mohou použít i vyšší druh, tedy kvalifikovaný elektronický podpis). Pokud své podání odesílají ze své datové schránky, podepisovat se nemusí a mohou využít tzv. fikce podpisu (viz §18 odst. 2 zákona č. 300/2008 Sb.). Ale samozřejmě i v tomto případě své podání podepsat mohou, opět kteroukoli z obou variant uznávaného elektronického podpisu.