První díl si můžete přečíst zde.
Abychom si mohli vysvětlit podstatu celého problému s kontroverzním přívlastkem „zaručený“, musíme si nejprve připomenout rozdílný kontext, v jakém se tento přívlastek používá.
Jak jsme si popisovali v první dílu tohoto článku, terminologie používaná právní úpravou a běžnou praxí se v případě elektronických podpisů dosti významně liší. Pojmy jako kvalifikovaný elektronický podpis, uznávaný elektronický podpis a zaručený elektronický podpis jsou v běžné praxi chápány jako disjunktní, neboli samostatné a zcela oddělené druhy elektronických podpisů. Jinými slovy: kvalifikovaný elektronický podpis je v praxi pouze kvalifikovaným elektronickým podpisem, a není současně ani uznávaným, ani zaručeným elektronickým podpisem. Obdobně zaručený elektronický podpis je pouze zaručeným elektronickým podpisem, a není současně ani uznávaným, ani kvalifikovaným elektronickým podpisem.
Naproti tomu právní úprava chápe stejné pojmy jako „do sebe vnořené“ pojmové kategorie: kvalifikovaný elektronický podpis je pro právo současně také uznávaným elektronickým podpisem, a současně i zaručeným elektronickým podpisem. Připomeňme si tento rozdíl na následujícím obrázku: vlevo a uprostřed je pohled právní úpravy, vpravo pohled běžné praxe.
Základní charakteristikou zaručených elektronických podpisů, tak jak je vymezuje právní úprava, je to, že u nich není vznášen žádný požadavek na druh či „kvalitu“ certifikátu. Takovýto požadavek je kladen až na uznávané a kvalifikované elektronické podpisy, které musí být založené na kvalifikované certifikátu. Na kvalifikované elektronické podpisy je pak vznášen ještě další požadavek, týkající se tzv. kvalifikovaného prostředku (certifikované čipové karty či USB tokenu pro uložení soukromého klíče).
V tomto dílu se zaměříme jen na takové elektronické podpisy, které jsou zaručenými elektronickými podpisy v terminologii běžné praxe. V terminologii práva jde o takové zaručené elektronické podpisy, které nejsou současně uznávanými elektronickými podpisy.
Zjednodušeně: budeme se zabývat jen takovými elektronickými podpisy, které jsou založeny na jiném než kvalifikovaném certifikátu. Protože pokud by byly založeny na kvalifikovaném certifikátu, již by se jednalo o uznávané elektronické podpisy.
O tom, komu podpis patří, vypovídá obsah certifikátu
Škála certifikátů, které nejsou kvalifikované, je v praxi docela široká. Obecně se všechny označují jako komerční certifikáty, což je ale jen neformální označení, používané v běžné praxi (zatímco právní úprava takovýto pojem nezná). Navíc i v běžné praxi je tento pojem používán ve dvojím významu: v širším slova smyslu jako označení všech certifikátů, které nejsou kvalifikované. V užším slova smyslu pro označení takových (ne-kvalifikovaných) certifikátů, u kterých jejich vydavatelé ověřují identitu toho, komu certifikát vydávají.
Důležité ale je, že mezi certifikáty, které nejsou kvalifikované (tj. mezi komerční certifikáty v širším slova smyslu) spadají i takové certifikáty, které si někdo vystaví sám a může si do nich napsat cokoli, co ho jen napadne. Pak si s takovým certifikátem může hrát, resp. učit se pracovat s elektronickými podpisy, či jen testovat, jak fungují.
Výsledný elektronický podpis, který bude na takovémto „testovacím“ certifikátu založen, bude z pohledu běžné praxe zaručeným elektronickým podpisem, a z pohledu práva zaručeným elektronickým podpisem, který není současně uznávaným elektronickým podpisem.
Obecně přitom to, komu konkrétní elektronický podpis patří, resp. koho bychom měli považovat za podepsanou osobu, dovozujeme právě z toho, co je uvedeno v certifikátu, na kterém je podpis založen.
Takže pokud může být zaručený elektronický podpis (resp. „zaručený podpis, který není uznávaným elektronickým podpisem“) založen na jakémkoli certifikátu, a tedy i na testovacím certifikátu, jehož obsah vůbec nemusí odpovídat skutečnosti, pak se u těchto podpisů na identitu podepsané osoby obecně nemůžeme spoléhat.
Jinými slovy: zaručený elektronický podpis (v terminologii běžné praxe) nemusí být pravý, neboli vytvořený tím, kdo jej vytvořit měl. Mohl jej totiž vytvořit někdo jiný, než kdo je prezentován jako podepsaná osoba. Jako zaručený elektronický podpis literární postavy Josefa Švejka na následujícím obrázku (který je založen na testovacím certifikátu z předchozího obrázku).
Není platnost jako pravost
Pozor ale na to, že pravost elektronického podpisu není to samé jako jeho platnost. Již jen proto, že pravost je právní pojem a právní záležitost, zatímco platnost je záležitost technická: podpis je při svém ověřování vyhodnocen jako platný, pokud jsou splněny určité (technické) podmínky. A důležité je, že může být vyhodnocen jako platný, i když po právní stránce není pravý. Jako výše uvedený příklad zaručeného elektronického podpisu literární postavy Josefa Švejka, který je (technicky) platný, ale není (právně) pravý.
Obecně přitom platí, že pokud je elektronický podpis založený na kvalifikovaném certifikátu, lze z jeho (technické) platnosti přímo a bez dalšího dovozovat jeho (právní) pravost. A to díky tomu, že na správnost obsahu kvalifikovaného certifikátu se můžeme (bez dalšího) spoléhat.
Znovu si ale připomeňme, že zaručené elektronické podpisy mohou být založeny na jakémkoli certifikátu. A ty, které jsou pouze zaručenými elektronickými podpisy a nejsou současně uznávanými elektronickými podpisy, jsou založeny na jiných než kvalifikovaných certifikátech. Proto u nich obecně nemůžeme z jejich technické platnosti dovozovat jejich právní pravost.
Abychom tak mohli činit, potřebovali bychom něco dalšího – co by nám s dostatečnou mírou důvěryhodnosti doložilo, že obsah certifikátu odpovídá skutečnosti. Může jít například o certifikát, který sice není kvalifikovaný, ale spoléhající se osoba zná jeho vydavatele i podmínky, za jakých byl vydán, a toho si může dovozovat důvěru v obsah certifikátu.
Příkladem mohou být komerční certifikáty v užším slova smyslu, vydávané kvalifikovanými vydavateli podle konkrétních podmínek (tzv. certifikačních politik), v rámci kterých si vydavatel ověřuje identitu žadatele o certifikát.
Jiným příkladem mohou být certifikáty vydané interní certifikační autoritou vlastní organizace, bankou pro její klienty apod.
A pro doplnění: v případě kvalifikovaných certifikátů ono „něco dalšího“ nepotřebujeme proto, že jeho roli plní již samotný fakt, že jde o kvalifikovaný certifikát. V jejich případě jsou totiž relevantní podmínky jejich vydávání stanoveny přímo právní úpravou (nařízením eIDAS). Ten ve svém článku 24 požaduje opravdu důkladné ověření totožnosti osoby, které je kvalifikovaný certifikát vydáván.
Proč se zaručeným elektronickým podpisům říká zaručené?
Jak jsme si již několikrát uvedli: pokud je konkrétní podpis pouze zaručeným elektronickým podpisem (a není současně uznávaným elektronickým podpisem), pak z jeho technické platnosti nemůžeme bez dalšího dovozovat jeho právní pravost. Tedy spoléhat se na to, komu tento podpis patří, resp. koho máme považovat za podepsanou osobu. O někom se sice dozvíme (o nějakém konkrétním držiteli se v certifikátu dočteme, viz příklad s literární postavou), ale „bez dalšího“ se nemůžeme spoléhat, že to odpovídá skutečnosti. Potřebovali bychom ono „něco dalšího“, co by nám potvrdilo, že obsah certifikátu odpovídá skutečnosti.
Použití přívlastku „zaručený“ je proto u takovéhoto druhu elektronických podpisů velmi nemístné a matoucí: vytváří dojem, že „nic dalšího“ nepotřebujeme a že identita podepsané osoby je (při platnosti podpisu) zaručena. Neboli že platný zaručený elektronický podpis je vždy současně i pravý. Ostatně, koho by napadlo, že přívlastek „zaručený“ má u elektronických podpisů chápat v přesně opačném významu, než jak je zvyklý jej chápat v jiném kontextu? Že zaručený elektronický podpis je charakteristický tím, že nezaručuje?
Důsledky zmatení pak dopadají na širší veřejnost v roli spoléhajících se osob, které se spoléhají i na takové elektronické podpisy, na které by se spoléhat neměly. Ale někdy dopadají bohužel i na ty, kteří „určují pravidla“ a stanovují, jaké druhy elektronických podpisů mají být kde použity – a místo vyšších druhů elektronických podpisů (alespoň uznávaných) vznáší požadavky jen na ty zaručené.
Kde se ale vůbec vzal takovýto matoucí a zcela nevhodný přívlastek, který způsobuje tolik zmatků a nedorozumění?
Odpověď na tuto otázku musíme hledat v historii toho, jak vznikal náš původní zákon č. 227/2000 Sb. o elektronickém podpisu. Prvním čtením prošel návrh, který vznikal ještě nezávisle na unijní směrnici 1999/93/ES a počítal jen s jedním konkrétním druhem elektronického podpisu. Takovým, který měl zaručovat identitu podepsané osoby. U něj tedy ještě měl přívlastek „zaručený“ svou logiku.
Jenže v mezidobí byla v Unii přijata ona směrnice 1999/93/ES „o zásadách Společenství pro elektronické podpisy“. A jelikož Česká republika již tehdy směřovala ke členství v EU, do druhého čtení se dostal zcela přepracovaný návrh budoucího zákona (pozdějšího zákona č. 227/2000 Sb. o elektronickém podpisu), který již vycházel z unijní směrnice.
Bohužel se ale do tohoto návrhu dostaly i některé prvky návrhu z prvního čtení, včetně termínu „zaručený elektronický podpis“. A to právě k označení takového druhu elektronického podpisu, který identitu podepsané osoby nezaručuje. Byla to zkrátka doba, kdy povědomí o elektronických podpisech nebylo ještě dostatečné na to, aby se legislativci takovéto chyby vyvarovali.
O to více mrzí to, že s příchodem unijního nařízení eIDAS, zrušením původního zákona č. 227/2000 Sb. o elektronickém podpisu a novými „adaptačními“ zákony (hlavně zákonem č. 297/2016 Sb. o službách vytvářejících důvěru) jsme měli vhodnou příležitost dávnou terminologickou chybu napravit. Leč nestalo se, příležitost jsme promarnili.
Pokračován článku Vám na Právním prostoru přineseme již brzy.
Diskuze k článku ()