První část článku si můžete přečíst zde.
V diskusi o „prostých“ elektronických podpisech se často odkazuje na čl. 25 odst. 1 nařízení eIDAS a dále s účinností od 18. 9. 2016 též na § 7 ZoSVD. Já ale těmto ustanovením rozumím jinak, než se často prezentuje.
Nařízení eIDAS v čl. 25 odst. 1 uvádí, že „elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy“. V čl. 25 odst. 2 nařízení eIDAS se ale stanoví, že kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.
Ustanovení čl. 25 odst. 1 nařízení eIDAS tedy podle mého názoru říká jen to, že nižší elektronické podpisy než kvalifikované lze použít, že nesmí být odmítnuty jako důkaz a že jim nesmí být „upírány účinky“, ale již nic neříká o tom, jaký ten právní účinek má být. Specificky se naopak vyčleňuje kvalifikovaný elektronický podpis a jen jemu čl. 25 odst. 2 nařízení eIDAS přiznává účinky vlastnoručního podpisu. Kdyby podle čl. 25 odst. 1 nařízení eIDAS měly mít všechny elektronické podpisy stejný účinek (účinek vlastnoručního podpisu) jako kvalifikovaný elektronický podpis, byl by čl. 25 odst. 2 nařízení eIDAS formulován jinak, nebo by zcela chyběl (byl by nadbytečný). Tak tomu ale není. Správná otázka proto zní: jaké jiné (zřejmě nižší) mohou být právní účinky nižších úrovní elektronického podpisu?
Podle mého názoru je lze používat jen tam, kde by v listinné podobě stačilo nahrazení vlastnoručního podpisu mechanickými prostředky, tedy na úrovni „prostého mechanického“ podpisu. Je to i logické, neboť schopnost zachytit obsah právního jednání a ve vztahu k němu též „určit“ jednající osobu je objektivně v těchto případech velmi nízká, a to shodně v listinné i v elektronické podobě. Měly by mít tedy i shodné účinky. U písemného právního jednání by je tak bylo možné použít jen tehdy, je-li to obvyklé. Nižším úrovním elektronických podpisů se takovým výkladem právní účinky „neupírají“ (nějaké účinky mají), ale ani se jim „nepřidávají“ (až) na úroveň účinku kvalifikovaného elektronického podpisu a vlastnoručního podpisu.
Totéž platí podle mého názoru pro § 7 ZoSVD, v němž se hovoří o možnosti „použít k podepisování“ elektronickým podpisem zaručený elektronický podpis, uznávaný elektronický podpis, „případně jiný typ elektronického podpisu“, aniž by (podobně jako čl. 25 odst. 1 nařízení eIDAS) zákon stanovil, jaké jsou účinky jednotlivých (funkčně diametrálně rozdílných) úrovní elektronických podpisů. Jediné ustanovení, kde se explicitně hovoří o účincích elektronického podpisu, je stále čl. 25 odst. 2 nařízení eIDAS, a to v tom smyslu, že účinky vlastnoručního podpisu má právě (a jen) kvalifikovaný elektronický podpis. Toto nařízení má nepochybně přednost před národními zákony, i kdyby stanovily něco jiného, což (navíc) § 7 ZoSVD explicitně nestanoví.[1] Nařízení eIDAS dále v recitálu 49 své preambule stanoví, že „právní účinky“ elektronických podpisů v členských státech by měly být vymezeny vnitrostátním právem, „s výjimkou požadavků stanovených v tomto nařízení, podle něhož by měl mít kvalifikovaný elektronický podpis rovnocenný právní účinek jako podpis vlastnoruční“. Těžko tedy mohou mít nižší úrovně elektronického podpisu účinek stejný, popř. i vyšší. To by popíralo logiku celého nařízení eIDAS a jeho prováděcích předpisů, které směřují jen k vyšším úrovním elektronického podpisu, nikoli ke „zbytkové“ kategorii prostých elektronických podpisů.
Hlavním důvodem pro rozlišování účinků různých úrovní elektronického podpisu je však skutečnost, že různé úrovně elektronických podpisů mají různé vlastnosti a různou spolehlivost. Nedává žádný smysl, aby měly stejné právní účinky. Jsou-li přípustné dva výklady, je třeba zvolit ten, který je racionální a zachovává smysl a účel normy.
Úprava písemné formy právního jednání s elektronickým podpisem je také kogentní a musí být pro všechny stejná, stejně jako v listinné podobě. I podle zdravého rozumu by se základní požadavky na zachování písemné formy právního jednání (náležitosti) neměly diametrálně lišit podle technického provedení a podoby právního jednání. Kvalifikovaný elektronický podpis (ale i „český uznávaný“ elektronický podpis – protože je také založený na kvalifikovaném certifikátu) se značnou úrovní důvěry „zaručuje“ integritu podepsaných dat a identitu podepsané osoby. Kvalifikovaný certifikát totiž vydávají kvalifikovaní poskytovatelé služeb vytvářejících důvěru konkrétní osobě proti ověření její totožnosti. Podpis se pak vytváří jen z iniciativy podepsané osoby a až v souvislosti se zobrazeným obsahem jednání. Nelze ho nepoznatelně vyjmout a přenést jinam. To odpovídá nejen vlastnoručnímu podpisu (shora), ale i jiným elektronickým prostředkům upraveným v § 562 o. z., které musí pro zachování písemné formy právního jednání samy o sobě (jinak než elektronickým podpisem) umožnit „zachycení“ obsahu právního jednání a také „určení“ jednající osoby (to ale není předmětem tohoto článku a dál se konkrétními podmínkami právního jednání podle § 562 o. z. zabývat nebudu[2]). Naproti tomu „zaručený“ elektronický podpis již identitu podepsané osoby ve skutečnosti nezaručuje a „prostý“ elektronický podpis nezaručuje vůbec nic, tedy ani integritu podepsaných dat, ani identitu podepsané osoby.
Někteří autoři dávají jako příklad „prostého“ elektronického podpisu, který se běžně používá a měl by splňovat požadavky písemné formy právního jednání, tzv. e-mailovou patičku (předpřipravený tvar jména a příjmení vypsaný v editoru, doplněný případně o další údaje – pracovní zařazení, telefon, e-mailová adresa apod.)[3] Tato patička ale nepředstavuje významný rozdíl oproti jménu a příjmení, které byly vypsány v textovém editoru (např. ve Wordu, v příloze e-mailu), ať už v jakémkoliv fontu písma, který třeba připomíná ruční písmo. Prostým elektronickým podpisem by mohl být též obrázek vlastnoručního podpisu sejmutý z libovolného zdroje (obchodní či insolvenční rejstřík, elektronický spis či jakákoli listina, kterou lze naskenovat či vyfotit) a následně vložený do libovolné písemnosti (více písemností).[4] Prostým elektronickým podpisem ale může být i jakýkoli znak nebo číslo, třeba jen jednička („1“).[5] Může jít také o fotografii sejmutou odkudkoli. To vše ale může existovat samo o sobě, může to být vytvořeno předem, nikoliv nutně až v souvislosti s tím, co je podepisováno, nic z toho není pevně spojeno s podepisovanou písemností, lze to z písemnosti snadno sejmout a vložit jinam (asi jako kancelářské lepítko „post-it“). Není tak ani částečně osvědčeno, že uvedené „podpisy“ vůbec vytvořila podepsaná osoba, že je vytvořila za účelem podepisování, natož že je sama k písemnosti připojila. Takové „podpisy“ prostě ke službám vytvářejícím důvěru nepatří. A nic tomu nepřidá ani případná vysvětlovací doložka „ve smyslu podpisu“.
Příklad snadného zneužití podpisu pana prezidenta. Prostým elektronickým podpisem pan prezident podepíše, co kdo bude chtít (i s případnou doložkou „ve smyslu podpisu“).
Biometrický podpis – dostavte se k odběru!
V posledních letech začaly různé společnosti (banky, pojišťovny, telefonní operátoři, poskytovatelé energií a další) ve velkém nabízet podepisování dokumentů tzv. biometrickým podpisem. Patrně proto, že chtějí elektronizovat své agendy a že se vyšší formy elektronického podepisování uznávaným či kvalifikovaným podpisem do praxe (mimo výkon veřejné moci) zatím příliš nevžily a shora popsané varianty „prostých“ elektronických podpisů se jim asi zdály příliš prosté. Proto se hledala náhrada. Zatím se ale až na výjimky[6] příliš nehovoří o tom, že i biometrický způsob „podepisování“ má mnohá úskalí, z nichž některá se pokusím nastínit, zejména v porovnání s vlastnoručním podpisem a kryptografickými elektronickými podpisy.
Biometrický způsob „podepisování“ je založen na tom, že do písemnosti v elektronické podobě jsou (nějak) vložena biometrická data „podepsané“ osoby. Taková biometrická data musí být pro tuto osobu unikátní (jedinečná). Mohou být statická (např. otisk prstu či dlaně, speciální snímek obličeje nebo jen oka, ale i samotná křivka vlastnoručního podpisu, teoreticky je možné odebrat a digitalizovat též vzorek DNA ze slin či krve) nebo dynamická (např. vzorek hlasu, chůze, lze ale zaznamenat i specifické atributy vlastnoručního podpisu jako je rychlost, přítlak a další).
Jako technicky nejjednodušší a také společensky nejpřijatelnější se zatím projevil právě (dynamický) biometrický „podpis“, při němž se podepisující osoba jakoby podepisuje vlastnoručním podpisem, ale nikoli na písemnost v listinné podobě (na papír), ale samostatně na tablet či speciální signpad (dále jen „podpisovou destičku“), která biometrická data (nějak) zaznamená a následně je (nějak) zpracuje a podle svého (nějakého) nastavení je do písemnosti poté (nějak) vloží. Záleží samozřejmě na konkrétním provedení (tzv. implementaci). O tom ale podepisující osoba nic neví, nemá nad tím žádnou kontrolu.
Na rozdíl od jiných shora popsaných biometrik, které by mohly vyvolávat podezření či odpor zákazníků nebo by byly jen nepraktické, je biometrický podpis ve fázi svého „odběru“ zcela nekonfliktní, neboť zdánlivě zachovává to, na co jsou lidé po staletí při podepisování zvyklí. Vzbuzuje tak v zákaznících iluzi, že dělají stále to samé. Podobně nekonfliktní (na odběru) by mohl být záznam hlasu zákazníka na infolince (spíš než odběr vzorku do mikrofonu na pobočce), ale tam už by si lidé nejspíš kladli otázku, co se s nahrávkou (vzorkem) hlasu pak děje a jak se tato data dostala na konkrétní písemnost a zda se (také) nedostala (nemohou dostat) někam jinam. Totéž by nejspíše nastalo u snímání obličeje nebo otisku prstů (zejména přímo na pobočce). Soudci a advokáti by si ale tyto otázky podle mého názoru klást měli.
Ve skutečnosti u biometrického podepisování nejde o to samé, jako při vlastnoručním podepisování. Jde o odběr nějakého vzorku podepsané osoby, přesněji o odběr jejích jedinečných biometrických dat (např. křivka podpisu, tlak, rychlost atd., charakteristik je více, mohlo by jít ale i o otisk prstu nebo snímek obličeje), která pak už nikdy nebudou doopravdy (pouze) její. Tajemství se odevzdává jednou provždy, identita konkrétní osoby se v elektronické podobě převede do unikátního odebraného vzorku (dat). Nejde proto ani tak o možnost zdařilého napodobení tohoto vzorku, ale o možnost zneužití vzorku samotného (již odebraného). Tato skutečnost, obávám se, stále většině lidí uniká.
V soudních (listinných) spisech se ostatně taková naskenovaná písemnost jeví velmi podobně, jako kdyby byla pořízena z originálu v listinné podobě s vlastnoručním podpisem, takže vyvolává i u soudců iluzi, že tu není žádný rozdíl proti tomu, na co byli vždy zvyklí, tedy že smlouva byla uzavřena původně v listinné podobě. Změna nastane ve chvíli, kdy se soud začne z nějakého důvodu zajímat o originál smlouvy (písemnosti).
Jinými slovy, každý, kdo se na takovou podpisovou destičku „podepíše“ (zákazník),[7] by si měl být vědom, že odevzdává svá citlivá biometrická data druhé smluvní straně, která s nimi pak dále může něco (cokoli) dělat. Měla by je nejspíš sama připojit (podle jí zvoleného technického řešení) na elektronickou písemnost, kterou předtím zákazníkovi ukázala. To se předpokládá a v to máme věřit. Z principu to ale není nezbytné. Oddělil se totiž akt „vytvoření podpisu“ (vzorku, surových dat) od aktu „připojení podpisu“ (vzorku, obvykle nějak upraveného, šifrovaného[8]) k podepisované písemnosti. Zde je zajímavé se ptát, který z těchto aktů vlastně představuje právní akt „podepsání písemnosti“ – je to jen vytvoření vzorku, který existuje ještě sám o sobě, nebo jen jeho připojení k písemnosti (po případné úpravě), anebo jen oba zároveň? Sám zákazník totiž samostatně nepřipojuje nic, jeho „podpis“ se nevytváří na písemnosti, ale vedle, a obvykle se ještě nějak dále zpracovává (např. se jeho část šifruje). Bez „asistence“ druhé strany se tedy zákazník na písemnost nepodepíše (podpis nepřipojí). Vše záleží na konfiguraci podpisové destičky (celého souvisejícího hardwaru a softwaru). Tato služba je přitom zcela v moci druhé strany. Ta si ji buď sama vytváří, nebo spíše jen najímá a třetí osobě (poskytovateli podpisové destičky) platí podle toho, na čem se (bez účasti zákazníka) dohodli. Jde o specifickou „černou skřínku,“ o které zákazník nic neví (a není tak „nadměrně obtěžován“).
Jde o zjednodušenou představu rozdílu mezi podepsáním smlouvy vlastnoručním podpisem a vytvořením biometrického podpisu a jeho následným připojením ke smlouvě někým jiným, bez ohledu na způsob implementace. V zásadě jde o bianko podpis odevzdaný „černé skřínce.“ Potenciálně navždy.
Podstatné je, že zde nejde o žádné služby vytvářející důvěru podle nařízení eIDAS či ZoSVD, není tu žádná licence, žádné zákonné požadavky na poskytovatele takových zařízení ani na zařízení samotné, je tu jen smluvní závazek a možné reputační (popř. též trestněprávní) riziko!
Podle popsaných postupů tak samozřejmě podepisující osoba není při podpisu plně autonomní, „podepisuje se“ (jen odevzdáním vzorku) a jen s technickou pomocí druhé osoby (popř. třetí osoby, kterou si k tomu druhá osoba najala). Podpis se vytváří samostatně, může existovat i bez připojení k podepsané písemnosti, připojení vzorku na písemnost a pevné spojení dat zajišťuje (již pomocí asymetrické kryptografie) samostatně druhá strana, zákazníka k tomu již nepotřebuje.
Z principu tak hrozí snadné připojení odebraných dat (vzorku) na jinou písemnost, už bez vědomí a souhlasu zákazníka, a to i opakovaně (neomezeně), popř. i nepřipojení či odpojení odebraných dat (vzorku), navzdory souhlasu zákazníka. To, že se to nestane, je jen otázkou víry.
S odebranými biometrickými daty podpisu také jistě nebude problém vytvořit strojově vlastnoruční podpis a aplikovat ho (v opačném směru) na libovolnou listinu tak, že ho i písmoznalec bude považovat za pravý (minimálně s velkou pravděpodobností), protože podpisové charakteristiky budou odpovídající.
Pokud se bude tento způsob podepisování dále rozmáhat (třeba i různou podobou vynucování), bude každý zákazník odevzdávat svá biometrická data kdekomu, nejen na pobočkách bank či pojišťoven, ale třeba i pošťákům, messengerům, různým zprostředkovatelům, včetně podomních prodejců všemožných tarifů, dek, finančních produktů a bůhví čeho. Budeme se např. takovému dodavateli podepisovat prstem či stylusem na obrazovce jeho mobilu a věřit?
S tím souvisí i velmi podstatná skutečnost, že tato data jsou po dobu života člověka v podstatě neměnná, byť se jednotlivé odebrané vzorky mohou z různých důvodů trochu lišit, zejména v čase. Zajímavé je i to, že uvedená data nelze nijak zásadně „zpřísňovat“ (činit je složitějšími) a lépe je tak chránit proti padělání. Pokud odebraná biometrická data uniknou na veřejnost (lhostejno odkud), což se u různých přihlašovacích údajů, včetně hesel, čas od času stává, nelze biometrická data „zablokovat“ (zneplatnit, revokovat) a pořídit si nová (jiná). Nejde jen o nějaký teoretický bezpečnostní incident (únik z chráněné databáze), pokud se např. biometrika používá jen pro osobní přístup do nějakého uzavřeného systému. Při podepisování se biometrická data totiž v určité podobě vkládají i do samotné podepisované písemnosti, která se dále používá bez omezení. Nejde o žádný uzavřený systém. Biometrická data uvnitř písemnosti se sice obvykle šifrují, ale takové šifrování vždy vydrží jen určitou dobu (podle použitého kryptografického algoritmu) a poté již bude snadné, s rostoucí výpočetní silou počítačů[9] data rozšifrovat a extrahovat i ze samotné písemnosti (z kterékoli její elektronické repliky – kopie), a to opět jednou provždy, bez možnosti „zablokování“. Společenská důvěra v takto podepsané písemnosti tak bude podle mého názoru postupně upadat.
Zde bych rád zdůraznil ještě jednu souvislost. Jde tu o citlivá biometrická data (údaje), stejně jako u speciálních snímků obličejů nebo otisků prstů. Není proto divu, že se touto problematikou podrobně zabývá i Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“). V tomto článku není prostor zabíhat do podrobností, ale ÚOOÚ podle čl. 9 odst. 1 a 2 nařízení č. 679/2016, obecného nařízení o ochraně osobních údajů (známého jako GDPR), sleduje zpracování biometrických údajů (včetně dat v podobě biometrických podpisů), což považuji za správné (GDPR také zpracování citlivých biometrických údajů obecně zakazuje, stejně jako předchozí česká úprava).[10]
Konkrétní rozhodnutí ÚOOÚ ve věci zpracování biometrických dat (ukládající pokutu bance) ovšem vzbudilo mezi dotčenými subjekty značný rozruch.[11] Případná potřeba biometrických údajů „pro obhajobu právních nároků“ je velmi relativní, pokud takovou potřebu vyvolal sám budoucí zpracovatel údajů (biometrických dat), totéž platí pro vynucený „souhlas“ se zpracováním těchto osobních údajů. Jde o otázku přiměřenosti. I z osobní zkušenosti vím, že při požadavku na tento způsob „podepsání“ není zákazník vždy a pochopitelnou formou upozorňován, že mu banka jeho podpisová data takto odebírá a bude je (nějak) zpracovávat pro svou další potřebu. Využívá se popsaná iluze vlastnoručního podepisování. Některé instituce, které jsem navštívil, se dokonce snaží odběr biometrických dat vynucovat, např. tím, že už prostě odmítají uzavřít smlouvu v listinné podobě, nebo i elektronicky, ale s kvalifikovaným elektronickým podpisem. Mají to prostě nastavené jinak (na dynamický biometrický podpis) ve stylu: Podepiš (tak, že odevzdáš data), nebo odejdi! To je podle mého názoru s GDPR v rozporu. S tím pak souvisejí různé formuláře „souhlasu“ se zpracováním takto odebraných údajů (biometrických dat).
Zajímavé budou jistě i budoucí spory o smazání uvedených biometrických údajů po odvolání takového souhlasu, popř. (možná i hromadné) spory na náhradu újmy při případném úniku takových unikátních a nerevokovatelných údajů od banky či třetí osoby.[12] Zajímavé by mohly být i případné spory mezi bankami a třetími osobami (poskytovateli podpisových destiček).
Článek byl publikován na stránkách Advokátního deníku.
[1] Opačné náznaky se objevují jen v důvodové zprávě, která však nemá normativní povahu.
[2] Existuje však podle mého názoru dualita písemného právního jednání v elektronické podobě – buď jednání samonosné, s elektronickým podpisem (§ 561 o. z.), nebo jednání nesamonosné – bez podpisu, ale v rámci uzavřeného systému, např. internet bankingu, pokud systém splňuje požadavky § 562 o. z., což souvisí mimo jiné s úpravou identifikace a autentizace a s úrovněmi záruky podle nařízení eIDAS.
[3] Srov. např. F. Korbel, F. Melzer: Písemnost, elektronický a biometrický podpis v elektronickém právním jednání, Bulletin advokacie č. 12/2014.
[4] Osobně jsem se v civilním řízení setkal se situací, kdy nejmenovaná společnost při prokazování, že zákazník převzetí peněz z půjčky elektronicky podepsal, vzala „pro potřeby soudu“ obrázkový podpis tohoto zákazníka z příslušného potvrzení a připojila ho na své vlastní procesní vyjádření (prý aby byl větší a dal se lépe přečíst)!
[5] Málokdo se asi bude chtít podepisovat jako „nula“.
[6] J. Tománek: Dynamický biometrický podpis – mýty a fakta, DSM č. 1/2012 (kopie zde)
1. Valášek: Nahradí dynamické biometrické podpisy ty současné elektronické? Lupa 2011(zde)
2. Peterka: Elektronický podpis na rozcestí, Lupa 2011 (zde)
[7] Nebo si nechá provést snímek obličeje či sejmout otisk prstu či odebrat jiná biometrická data.
[8] Ale i rozšifrovatelného.
[9] Viz např. často citovaný Moorův zákon.
[10] Stanovisko ÚOOÚ č. 2/2014 – Dynamický biometrický podpis z pohledu zákona o ochraně osobních údajů, částečně též stanovisko ÚOOÚ č. 1/2017 – Biometrická identifikace nebo autentizace zaměstnanců.
[11] Rozhodnutí ÚOOÚ č. j. 10138/18-8 ze dne 21. 3. 2019.
[12] Takový (individuální) spor (přiznána náhrada újmy ve výši 10 tisíc Kč) už se objevil u Obvodního soudu pro Prahu 7 a odvolacího Městského soudu v Praze v souvislosti s únikem (revokovatelných) přihlašovacích údajů do e-shopu Mall.
Diskuze k článku ()