Elektronické podpisy: když dva říkají totéž, není to totéž – V.
To, čemu se v praxi říká "prosté elektronické podpisy", představuje určitou zbytkovou kategorii - takových elektronických podpisů, které nesplňují ani ty nejméně přísné požadavky, kladené právní úpravou na konkrétní druhy elektronických podpisů. Mnohdy je ale tato zbytková kategorie (nesprávně) stavěna na roveň úplně všem elektronickým podpisům.
Pojem „prostý elektronický podpis“ není pojmem práva, protože v právní úpravě (ani té české, ani té unijní) jej nikde nenajdeme. Je to jen neformální pojem, kterým si praxe pomáhá, když má na mysli „jiné“ elektronické podpisy. A to jiné než ten druh elektronických podpisů, který právní úprava zavádí jako první a nejobecnější, a na který klade ty nejméně přísné požadavky. Tedy jiné, než jsou „rozšířené“ elektronické podpisy (anglicky Advanced Electronic Signatures), které v naší právní úpravě označujeme oním nešťastným a zavádějícím způsobem jako zaručené elektronické podpisy, viz předchozí části tohoto článku.
Jde tedy o jakýsi komplement (doplněk) oněch „rozšířených“ (zaručených) elektronických podpisů. Zjednodušeně: co není „rozšířeným“ elektronickým podpisem (zaručeným elektronickým podpisem), je tzv. prostým elektronickým podpisem. Představu ukazuje následující obrázek.
Jaké vlastnosti (ne)mají prosté elektronické podpisy v podobě textu či obrázku?
Připomeňme si, že unijní nařízení eIDAS klade na zaručené (správně spíše „rozšířené“) elektronické podpisy ve svém článku 26 celkem čtyři požadavky, které musí být splněny kumulativně (současně). Aby se tedy jednalo o tzv. prostý elektronický podpis, nejméně jedna z těchto čtyř podmínek nesmí být splněna. Připomeňme si, jaké podmínky to jsou:
Zaručený elektronický podpis musí splňovat tyto požadavky:
a) je jednoznačně spojen s podepisující osobou;
b) umožňuje identifikaci podepisující osoby;
c) je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a
d) je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.
Zkusme si (ne)splnění jednotlivých požadavků, kladených na zaručené elektronické podpisy, rozebrat na typických příkladech toho, co bývá v praxi také považováno za prostý elektronický podpis. Může to být například jen něčí jméno a příjmení, napsané v nějakém editoru, jako na následujícím obrázku:
Takovýto „textový“ podpis mohl vytvořit úplně kdokoli – což popírá zejména třetí požadavek, kladený na zaručené elektronické podpisy (aby podepisující osoba měla výhradní kontrolu nad tím, kdo vytváří její podpis). Stejně tak není naplněn čtvrtý požadavek, požadující detekci jakékoli změny – nic takového napsaný kus textu nedokáže. A mimochodem: kdo by měl být považován za podepsanou osobu? Ten, jehož jméno bylo napsáno? Nebo ten, kdo podpis vytvořil – tím, že příslušný text v editoru napsal? Nehledě na to, že oním „textovým“ podpisem může být vlastně jakýkoli text, nejenom něčí jméno a příjmení.
Jiným častým příkladem toho, co bývá v praxi považováno za prostý elektronický podpis, je obrázek s křivkou vlastnoručního podpisu. Bez ohledu na to, jak se tento obrázek do elektronického dokumentu dostal. Například zda jej někdo stáhl jako již hotový obrázek odněkud z Internetu a jednoduše vložil do textového editoru (jako na následujícím obrázku). Nebo zda naskenoval křivku vlastnoručního podpisu z nějakého listinného dokumentu, a takto získaný obrázek vložil do jiného dokumentu v editoru. Nebo zda rovnou naskenoval celý listinný dokument i s vlastnoručním podpisem. Výsledek bude stejný, protože půjde stále jen o obrázek, a to obrázek s vlastnoručním podpisem. Nikoli o vlastnoruční podpis jako takový.
S (ne)splněním podmínek je to u tohoto „obrázkového“ podpisu vlastně úplně stejné jako u „textového“ podpisu z předchozího obrázku: koho bychom měli považovat za podepsanou osobu? Toho, kdo podpis vytvořil (tím, že obrázek vložil do dokumentu)? Nebo toho, koho si spojujeme s obsahem samotného obrázku? A co kdyby místo obrázku s křivkou vlastnoručního podpisu byl takto vložen do dokumentu nějaký „neadresný“ obrázek? Třeba smajlík, sluníčko, domeček apod.?
Pokud vůbec budeme považovat takovéto napsané kusy texty či vložené obrázky (u elektronických dokumentů) za podpisy, tak opravdu nejvýše za ony tzv. prosté elektronické podpisy. Rozhodně ne za zaručené elektronické podpisy, protože zcela evidentně nesplňují požadavky, které jsou na ně kladené.
Dynamické biometrické podpisy
Zajímavější je to s tzv. dynamickými biometrickými podpisy, které vznikají nasnímáním křivky vlastnoručního podpisu na dotykové destičce, se současným zaznamenáváním rychlosti tahu perem a přítlaku. To vše jsou ony „biometrické údaje“, které mohou být dostatečně specifické a unikátní pro konkrétní fyzickou osobu – a písmoznalec může zkoumat, zda skutečně patří příslušné osobě, obdobně jako u vlastnoručního podpisu na listinném dokumentu.
Jenže vlastnoruční podpisy jsou již spojeny s podepisovaným obsahem, tím že jsou obsaženy na stejném nosiči (napsány na témže listu papíru). Zjednodušeně: podepisujeme se přímo na papír, pod již napsaný obsah. To v případě dynamického biometrického podpisu se podepisujeme dopředu, na dotykovou destičku, která náš podpis nasnímá. Vytváříme tedy něco, co je „podpisem samo o sobě“, a co ještě není nijak spojeno s konkrétním obsahem. Je to vlastně určitý „vzorek“ konkrétní fyzické osoby, který by měl být pro ni charakteristický a unikátní, podobně jako třeba otisk prstu, vzorek DNA, snímek rohovky apod.
Po funkční stránce je pak odevzdání vzorku, v podobě vlastního dynamického biometrického podpisu, obdobné podepsání bianco šeku. Tedy podepsání prázdného listu, na který je teprve dodatečně něco napsáno. Dynamický biometrický podpis tak už z principu nemůže naplňovat čtvrtý požadavek, týkající se možnosti detekovat jakoukoli změnu podepsaného obsahu. Proto se může jednat nejvýše o prostý elektronický podpis, nikoli o zaručený elektronický podpis.
Navíc je technicky možné jednou získaný (nasnímaný, odebraný) vzorek vlastnoručního podpisu, v podobě dynamického biometrického podpisu, využít opakovaně: připojit ho k více různým obsahům. Zda se tak děje či neděje, je závislé na korektnosti toho, kdo něčí dynamický biometrický podpis snímá a dále s ním, v rámci svého technického řešení, nějak nakládá.
Obvyklé využití dynamických biometrických podpisů je pro dvoustranné smluvní dokumenty: jedna strana (typicky zákazník, účastník atd.) odevzdá druhé smluvní straně svůj vzorek v podobě svého dynamického biometrického podpisu. Ten je nasnímán na technickém řešení druhé smluvní strany, která vzorek (dynamický biometrický podpis) následně nějakým způsobem připojí ke dvoustrannému dokumentu v elektronické podobě.
Velmi často tento způsob připojení spočívá v tom, že grafická podoba nasnímaného vzorku (křivka podpisu) je použita jako vizualizace (resp. grafické ztvárnění) uznávaného či kvalifikovaného elektronického podpisu či pečeti, která ale patří druhé smluvní straně.
Příklad ukazuje následující obrázek dvoustranného smluvního dokumentu, který je opatřen dvěma pečetěmi druhé smluvní strany. S tím že podpis první strany (fyzické osoby – klienta), resp. obrázek s křivkou jeho podpisu, je zde využit pouze v roli vizualizace první z obou pečetí.
K tomu je vhodné dodat, že vizualizace elektronických podpisů (ani pečetí) právní úprava nezná, a tudíž jim ani nemůže přisuzovat jakékoli právní účinky. Takže ať už je vizualizace jakákoli, nemění nic na tom, že u zde prezentovaného příkladu jde o (uznávanou elektronickou) pečeť druhé smluvní strany, a nikoli o podpis první strany.
Kromě toho: při autorizované konverzi dokumentů z elektronické do listinné podoby se vizualizace nepřenáší, a v listinném výstupu tak nejsou vůbec vidět. Ukazuje to i následující obrázek s listinnou podobou téhož dokumentu, vzniklou autorizovanou konverzí.
Není elektronický podpis jako prostý elektronický podpis
Připomeňme si znovu, že pojem „elektronický podpis“ je definicí, a současně se používá i jako generické označení pro všechny druhy elektronických podpisů. Není to druh elektronického podpisu. Naproti tomu tzv. prosté elektronické podpisy již za druh elektronického podpisu považovat můžeme a musíme, protože jsou s nimi spojeny určité podmínky, u kterých má smysl zkoumat, zda jsou či nejsou splněny.
Nebo opačně: tzv. prosté elektronické podpisy nejsou definicí ani generickým označením pro elektronické podpisy jako takové, pro všechny jejich druhy. Můžeme říkat například: zaručený elektronický podpis je elektronickým podpisem, ale nemůžeme říkat: zaručený elektronický podpis je prostým elektronickým podpisem, protože to není pravda. Oba jsou to různé druhy elektronických podpisů, navíc vzájemně komplementární.
Již z principu proto mezi elektronické podpisy (coby definici a generické označení) a tzv. prosté elektronické podpisy (coby konkrétní druh elektronických podpisů) nemůžeme klást rovnítko. Byť se s tím v různých právních textech můžeme takto setkat:
Nařízení eIDAS zavedlo tři úrovně elektronického podpisu, a to elektronický podpis, který je v praxi označován jako prostý, dále zaručený elektronický podpis a kvalifikovaný elektronický podpis. [zdroj]
Výčet druhů elektronického podpisu nám poskytuje tzv. nařízení eIDAS,[1] které rozlišuje mezi několika druhy elektronických podpisů s ohledem na míru, jakou je garantováno určení autenticity jednajícího. Jedná se o elektronický podpis (čl. 3 odst. 10 nařízení eIDAS; dále označován jako „prostý elektronický podpis“); zaručený elektronický podpis (čl. 3 odst. 11 nařízení eIDAS); a kvalifikovaný elektronický podpis (čl. 3 odst. 12 nařízení eIDAS). [zdroj]
Nesprávné pojetí tzv. prostých elektronických podpisů, které je ztotožňuje s elektronickými podpisy jako takovými, je nejspíše důsledkem nedocenění rozdílů mezi tím, jak pojmové kategorie v oblasti elektronického podpisu konstruuje právo (jako „do sebe vnořené“) a jak technické obory a běžná praxe (jako disjunktní, vzájemně se nepřekrývající).
Protože zatímco zaručené, uznávané a kvalifikované elektronické podpisy jsou (coby právní pojmy) konstruovány jako „do sebe vnořené“ pojmové kategorie, tzv. prosté elektronické podpisy (coby neformální pojem z praxe) jsou chápány jako disjunktní pojmová kategorie. Připomeňme si to na následujícím obrázku, který jsme si ukazovali již v úvodu článku.
Jak by měly být prosté elektronické podpisy správně definovány?
Jak jsme si již uvedli, ani unijní právní úprava elektronických podpisů, ani ta naše národní, nezavádí žádné označení pro takové elektronické podpisy, které nejsou zaručenými elektronickými podpisy. Proto když právní praxe potřebovala alespoň nějak neformálně pojmenovat takovéto elektronické podpisy, které nejsou zaručenými elektronickými podpisy, pomohla si právě pojmem „prostý elektronický podpis“. Správně by měly být vymezeny stejně, jako jsou interpretovány, a tedy ve smyslu disjunktních pojmových kategorií, jako doplněk k zaručeným elektronickým podpisům. Tedy ve smyslu:
„prostým elektronickým podpisem“ [se rozumí] elektronický podpis, který nesplňuje požadavky kladené na zaručené elektronické podpisy,
případně:
„prostým elektronickým podpisem“ [se rozumí] elektronický podpis, který není zaručeným elektronickým podpisem.
Rozhodně nikoli tak, jako u výše citovaných příkladů, se kterými se lze setkat v odborné právní literatuře, ve smyslu:
„prostým elektronickým podpisem“ [se rozumí] elektronický podpis.
Řečeno jinými slovy je problém v tom, že když právní praxe klade rovnítko mezi pojmy „prostý elektronický podpis“ a „elektronický podpis“, vymezuje tím prosté elektronické podpisy ve smyslu právní kategorie (tj. „vnořené“) - ale sama je interpretuje ve smyslu technické kategorie (tj. disjunktní).
Dost možná je právě kvůli tomu v praxi tolik nejasností, nedorozumění a sporů ohledně toho, jak a kde se mohou tzv. prosté podpisy používat. Pokud je například otázkou to, zda prostý elektronický podpis může být podpisem, vyžadovaným pro právní jednání v písemné formě dle § 561 NOZ, či zda umožňuje zachycení obsahu právního jednání a určení jednající osoby, jako je tomu u § 562 NOZ k zachování písemné formy, pak je dobré to posuzovat ve správném kontextu: toho, že prostý elektronický podpis není zaručeným elektronickým podpisem, a tudíž u něj nejsou splněny (kumulativně, současně) všechny čtyři podmínky, kladené na zaručené elektronické podpisy (a podrobněji rozebírané ve třetí části tohoto článku). Jiný slovy: u prostého elektronického podpisu je nesplněna alespoň jedna z těchto čtyř podmínek.
Pojďme si ještě jednou rozebrat důsledky nesplnění kterékoli z těchto podmínek:
- není splněno, že podpis „je jednoznačně spojen s podepisující osobou“. To nutně znamená, že jednající osoba nebude určena jednoznačně. V úvahu může připadat více osob, které mohou mít stejný podpis, a nebudeme schopni rozhodnout, o kterou z nich jde. Nebo:
- není splněno, že podpis „umožňuje identifikaci podepisující osoby“. To znamená, že se nemusíme ani dozvědět, která osoba připadá v úvahu jako podepsaná osoba.
- není splněno, že podpis „je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou“. To znamená, že podpis mohl ve skutečnosti vytvořit někdo jiný než ten, kdo je prezentován jako podepsaná osoba, bez jejího vědomí. Nebo:
- není splněno, že podpis „je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat“. To znamená, že zachycený obsah právního jednání mohl být dodatečně pozměněn, aniž by to bylo možné detekovat.
I když třeba požadavek práva na „zachycení obsahu právního jednání a určení jednající osoby“ nevznáší konkrétní požadavky na spolehlivost, konkrétně na správnost a jednoznačnost určení jednající osoby, a na absenci změn u zachycení obsahu právního jednání, přesto lze mít za to, že takovéto požadavky jsou v přiměřené míře kladeny. Že chceme vědět, co doopravdy bylo obsahem právního jednání (tj. aby to bylo zachyceno podle skutečnosti, nikoli nějak pozměněno). Obdobně pro určení jednající osoby: ta by měla být identifikována v obsahu právního jednání, a podpis by měl stvrzovat, že jednala skutečně ona, a ne někdo jiný. Nechceme, aby právní jednání jménem jedné osoby mohl (jejím jménem, ale bez jejího vědomí) činit někdo jiný.
Je ale možné těchto cílů (zachycení obsahu právního jednání a určení jednající osoby) dosáhnout s využitím tzv. prostého elektronického podpisu? Tedy takového, u kterého není splněna alespoň jedna z výše rozebíraných podmínek? Podle názoru autora tohoto článku nikoli. Ale i podle názoru dalších autorů (příklad), a ostatně i podle rozhodování soudů.
