Vyšlo na serveru Právní prostor, 12.12.2023
Vytištěno z adresy: http://www.earchiv.cz/b23/b1212001.php3

Elektronické podpisy: když dva říkají totéž, není to totéž – IV.

Právo vnímá podpis jako projev vůle fyzické osoby vůči konkrétnímu obsahu. Technické standardy pro elektronické podpisy ale dokážou rozlišovat mezi „právním“ podpisem, který vyjadřuje nějaký závazek, resp. projev vůle vůči podepsanému obsahu, a „technickým“ podpisem, který žádný závazek vůči podepsanému obsahu nevyjadřuje.

Vlastnosti zaručených elektronických podpisů, kterými jsme se začali zabývat v předchozím dílu tohoto článku, neodpovídají tomu, co naznačuje přívlastek v jejich názvu: nezaručují identitu podepsané osoby, a z jejich technické platnosti se obecně (bez dalšího) nedá dovozovat jejich právní pravost. Důvodem je to, že mohou být založeny na jakémkoli certifikátu. I takovém, jehož obsah vůbec neodpovídá skutečnosti.

Jejich skutečnou podstatu a vlastnosti mnohem lépe vystihuje jejich anglický název: Advanced Electronic Signatures, zkratkou AdES, který by se měl správně překládat ve smyslu „pokročilého“, „rozšířeného“ či „zdokonaleného“ elektronického podpisu – protože se již nejedná o „holý“ podpis, tvořený jedním hodně velkým číslem, resp. konkrétní posloupností nul a jedniček, ale je doplněný (rozšířený) o další údaje, představující návod a podklady, nezbytné pro možnost další práce s takovýmto (holým) podpisem. Zejména pro možnost ověření jeho platnosti. Ale třeba i pro zjištění, koho bychom měli považovat za podepsanou osobu.

Proč jsou zaručené elektronické podpisy potřebné?

Existence zaručených (správně spíše: „rozšířených“) elektronických podpisů, které mohou být založeny na jakémkoli certifikátu a které obecně nezaručují identitu podepsané osoby, má praktické důvody a je velmi potřebná. V praxi je totiž velmi mnoho elektronických podpisů, dost možná většina takových, u kterých vůbec nejde o právní účinky podpisu v tradičním slova smyslu. Tedy o projev vůle fyzické osoby vůči podepsanému obsahu.

Byť právo nic takového nezná, z pohledu běžné praxe i technických standardů by se dalo rozlišovat mezi „technickými“ a „právními“ podpisy. A zatímco u těch „právních“ nám jde o právní účinky (závazek, resp. projev vůle) vůči podepsanému obsahu, u těch „technických“ nám o žádné právní účinky vůči podepsanému obsahu nejde. Nebo přímo chceme, aby podpis takovéto účinky neměl.

Příkladem může být potřeba „zafixování“ nějakých dat, například různých záznamů, logů, žurnálů, transakčních protokolů spisových služeb apod., tak aby byly chráněny proti změně. Přesněji: abychom dokázali detekovat jakoukoli změnu, pokud by k ní došlo. V terminologii technických oborů: jde nám o zajištění integrity podepsaných dat.

Nejsnazší způsob, jak toho dosáhnout, je opatřit tato data elektronickým podpisem. Stačí na to i takový zaručený elektronický podpis, který není uznávaným podpisem – jak vyplývá i z požadavků práva na jeho vlastnosti, probíraných v předchozím dílu tohoto článku. Konkrétně z posledního ze čtyř požadavků, které nařízení eIDAS ve svém článku č. 26 klade na zaručené elektronické podpisy. Že takovýto podpis:

je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.

Můžeme k tomu využít i takový zaručený elektronický podpis, který je založený na testovacím certifikátu. Protože identita toho, kdo takto data „zafixoval“, nás zde nezajímá. Nejde nám totiž o podepsání v právním slova smyslu (o „právní podpis“), coby projev vůle nějaké fyzické osoby vůči podepisovanému obsahu, ale o „technický podpis“, zajišťující integritu podepsaných dat (umožňující detekovat jakoukoli jejich změnu).

Přihlašování jen s komerčními certifikáty

Jiným v praxi častým, a svým způsobem opačným příkladem toho, kdy skutečně aktivně nechceme, aby náš podpis měl jakékoli právní účinky vůči podepsanému obsahu, je přihlašování pomocí certifikátu. Či pomocí nějakého mobilního klíče, například bankovního, což je řešení fungující na stejném principu – jen realizované tak, aby se uživatel nemusel vůbec starat o nějaké certifikáty a elektronické podpisy, a nemusel o nich ani vědět. Ve skutečnosti totiž v obou případech přihlašující se uživatel nechává svůj program (webový browser nebo mobilní klíč) elektronicky podepsat „kus dat“ dodaný protistranou, která si následně z podpisu ověřuje, o koho doopravdy jde.

Problém je ale v tom, že přihlašující se uživatel tento „kus dat“ nevidí a tudíž neví, co nechává podepsat. Absence právních účinků vůči podepsanému obsahu je tak ochranou před nebezpečím, že by protistrana měla zlé úmysly a při přihlašování podstrčila přihlašující se osobě něco, co by tato vědomě nikdy nepodepsala. Přesto i zde o určitých právních účincích mluvit můžeme. Jen se nevztahují k podepsanému obsahu, ale k samotnému podpisu jako takovému: jde nám o to, kdo podpis vytvořil. Nikoli o to, co podepsal. Podpis zde tedy má jen autentizační roli: stvrzuje že ten, kdo se přihlašuje, je skutečně tím, za koho se vydává, a nikoli někým jiným.

Mimochodem, právě z tohoto důvodu není ve správně nastavených systémech možné se přihlašovat kvalifikovaným certifikátem, resp. pomocí kvalifikovaných či jen uznávaných elektronických podpisů. Protože ty jsou určeny pouze pro „právní podpisy“, neboli pro podepisování v tradičním slova smyslu. Míněno: s právními účinky vůči podepsanému obsahu, resp. jako projev vůle vůči podepsanému obsahu. Zjednodušeně: s účinky vlastnoručního podpisu. Nikoli pro jiné účely.

 
 

Ostatně, právě proto nařízení eIDAS přisuzuje (v odst. 2 svého článku 25) účinky vlastnoručního podpisu pouze kvalifikovanému elektronickému podpisu, zatímco zaručenému elektronickému podpisu nikoli. A pokud jde o náš uznávaný elektronický podpis, který je také založen na kvalifikovaném certifikátu – tomu jsme v naší národní právní úpravě také přisoudili účinky vlastnoručního podpisu (skrze § 6 odst. 1 zákona 297/2016 Sb.).

Pro ostatní účely (než je podepisování v tradičním slova smyslu) pak jsou určeny certifikáty, které nejsou kvalifikované, resp. elektronické podpisy, který jsou na takovýchto certifikátech založené. Tedy zaručené elektronické podpisy, v roli „technických podpisů“.

I pro účely přihlašování lze obecně využít jakékoli (nekvalifikované) certifikáty, včetně těch testovacích. Stačí se napoprvé řádně přihlásit jiným způsobem a protistraně předložit svůj certifikát. Tím protistrana získá ono „něco dalšího“, díky čemu může certifikátu důvěřovat – až se bude uživatel příště přihlašovat a prostřednictvím tohoto certifikátu bude dokládat, že je to skutečně on a ne někdo jiný, kdo se za něj jen vydává.

Některé služby, jako třeba naše datové schránky, ale mohou požadovat komerční certifikáty v užším slova smyslu. Konkrétně takové, které mají od svého vydavatele v sobě uvedeno, že mohou sloužit k přihlašování.

 
 

Certifikáty pro „právní“ a pro „technický“ podpis

Technické standardy přitom znají rozdíl mezi „technickými podpisy“, které nemají mít právní účinky vůči podepsanému obsahu, a „právními podpisy“, které takové účinky naopak mají mít. Rozlišují je pomocí dalších údajů, obsažených v certifikátu. Konkrétně pomocí dvou příznaků v jednom z tzv. (kritických) rozšíření certifikátu, které popisuje přípustné využití (veřejného) klíče:

  • příznak digitalSignature (česky: Digitální podpis) pro „technický podpis“: pro ověřování elektronických podpisů používaných službami pro autentizaci osob, autentizaci původu a/nebo integritu dat,
  • příznak contentCommitment (dle standardu X.509), resp. nonRepudiation (dle standardů ETSI a RFC, v české lokalizaci: Neodvolatelnost), pro „právní podpis“: pro ověřování elektronických podpisů, které mají vyjadřovat projev vůle, resp. závazek (anglicky commitment) podepsané osoby vůči podepisovanému obsahu. O jaký projev vůle, resp. druh závazku se jedná (např. o souhlas, o přijetí závazku apod.), může určovat samotný podepsaný obsah. Mohou to ale indikovat i další příznaky, nastavené vydavatelem v certifikátu, či další atributy elektronického podpisu (jako např. důvody podepsání, viz následující obrázek).
 
 

U kvalifikovaných certifikátů by tak správně měl být nastaven pouze příznak „contentCommitment“ (v češtině „Neodvolatelnost“), týkající se právních účinků. Tak jako na následujícím obrázku s kvalifikovaným certifikátem od společnosti PostSignum.

 
 

Naproti tomu certifikáty, které kvalifikované nejsou, by tento příznak nastavený mít neměly – a místo něj by měly mít nastavený příznak „Digitální podpis“, týkající se „technického“ podpisu.

 
 

V praxi, a to i u našich vydavatelů (certifikačních autorit), se ale můžeme setkat s tím, že právě popsaná pravidla se striktně nedodržují, a kvalifikované certifikáty mají nastavený jak příznak „Neodvolatelnost“, tak i příznak „Digitální podpis“. Důvody jsou praktické: některé běžně používané programy a služby nejsou ochotny využít kvalifikovaný certifikát při podepisování, pokud v něm není nastaven také příznak „Digitální podpis“. Příkladem může být kvalifikovaný certifikát od I.CA, v levé části následujícího obrázku.

 
 

Obdobně i u některých komerčních certifikátů (v užším slova smyslu) bývá nastaven i příznak „Neodvolatelnost“. Jako v případě komerčních certifikátů od PostSignum v pravé části předchozího obrázku.

předchozí část  |  první část  |  další část