Předchozí díl čtěte zde.
V první části tohoto třídílného seriálu jsme se začali zabývat konkrétním případem sporu o elektronický dokument, podepsaný prostým elektronickým podpisem v rámci komerční služby pro on-line podepisování (konkrétně služby DocuSign). K tomuto sporu se váží loňská rozhodnutí Obvodního soudu pro Prahu 3 (č. j. 20 C 176/2021-220) a Městského soudu v Praze (č. j. 54 Co 217/2024-259), která jsme si začali podrobněji rozebírat.
Obě rozhodnutí lze shrnout tak, že prostým elektronickým podpisům nesvědčí domněnka pravosti, a tato musí být v případě sporu pozitivně prokázána. A to z nějakých dalších, resp. „jiných“ důkazů (než je samotný prostý elektronický podpis a jím podepsaný dokument). Samozřejmě jen pokud jsou k dispozici.
V případě prostých elektronických podpisů, vytvořených v rámci služeb pro on-line podepisování (jako je i služba DocuSign), mohou být takovýmito dalšími důkazy také související záznamy této služby, popisující, co všechno se v rámci služby při podepisován odehrálo. V této druhé části třídílného seriálu, si ukážeme, jak takovéto záznamy vypadají a co z nich lze vyčíst.
Komu patří prostý elektronický podpis?
Připomeňme si z předchozího dílu, že právní úprava elektronických podpisů se v průběhu času měnila, a s nástupem nařízení eIDAS (v polovině roku 2016) došlo k významnému rozvolnění požadavků, kladených na elektronické podpisy jako takové. Fakticky to dopadlo na „zbytkovou“ kategorii takových elektronických podpisů, které nejsou ani zaručenými elektronickými podpisy – a které neformálně označujeme jako prosté elektronické podpisy.
Zatímco dříve musely i prosté elektronické podpisy „někomu patřit“ a umožňovat ověření identity podepsané osoby, dnes už to po nich není požadováno. Proto dnes může být prostým elektronickým podpisem úplně cokoli elektronického, co někoho napadne použít v roli svého podpisu. Třeba i něco zcela anonymního, co není spojeno s žádnou konkrétní identitou – jako např. smajlík či jiný emotikon, nebo nějaký kus textu (jiný než jméno) apod.
U takovýchto „anonymních“ podpisů pak nejde dovozovat (určovat) podepsanou osobu a její projev vůle z nich samotných, ale je nutné tak činit z nějakých jiných indicií či důkazů, pokud jsou k dispozici. Je to v zásadě stejná situace, jako kdyby místo takového podpisu bylo příslušné právní jednání stvrzeno pouze ústně – snad jen s tím rozdílem, že zde je „alespoň něco vidět“, na co se dá ukázat a tvrdit o tom, že jde o podpis.
Právě proto, podle našeho názoru, prosté elektronické podpisy samy o sobě nemusí stačit pro zachování písemné formy právního jednání.
Zajímavé přitom je, že takovéto „anonymní“ prvky (jako např. smajlík či „já“) v elektronické podobě splňují požadavky na elektronický podpis (a díky tomu mohou být prostým elektronickým podpisem), zatímco v listinné podobě podle existující judikatury a odborné literatury jejich obdoba nemůže být vlastnoručním podpisem. Podpisem na listině tak není např. tzv. znamení ruky (viz § 563 o.z.) ani otisk tzv. mechanických prostředků (viz § 561 o.z. a např. rozhodnutí Nejvyššího soudu sp. zn. 21 Cdo 3278/2010, publikované i ve Sbírce soudních rozhodnutí a stanovisek pod č. 55/2012, dále sp. zn. 21 Cdo 682/2018, publikované i ve Sbírce soudních rozhodnutí a stanovisek pod č. 29/2020, nebo 22 Cdo 3646/2018).
To v případě prostých elektronických podpisů, vytvořených v rámci služeb pro on-line podepisování může být situace jiná. Protože zde o tom, komu prostý elektronický podpis patří, vypovídá sama služba, v rámci které byl vytvořen. Jde vlastně o princip určitého dosvědčení od příslušné služby pro on-line podepisování: to ona nám říká, koho bychom měli považovat za podepsanou osobu.
Může o tom vypovídat již grafické provedení prostého elektronického podpisu, který služba vytvoří pro svého uživatele, jako na následujícím obrázku. I z něj je ale patrné, že ani takovéto dosvědčení nemusí být vždy správné, resp. pravdivé (protože literární postava se v reálném světě podepsat nemohla).
Stejně tak ale z grafického provedení prostého elektronického podpisu, vytvořeného v rámci služby pro on-line podepisování, nemusí žádná identita vyplývat, jako na následujícím obrázku.
Nicméně v případě služeb pro on-line podepisování obvykle máme k dispozici „ještě něco“ – a to záznamy příslušné služby o tom, co vše se v rámci ní dělo, a zejména jak a kdy příslušný podpis vznikl. Ty nám mohou pomoci s určením toho, koho bychom měli považovat za podepsanou osobu.
Takovéto záznamy mohou být přímou součástí podepsaného dokumentu (jako třeba v případě tuzemské služby Podpisovna), ale častěji jde o samostatný dokument, který je s podepsaným dokumentem jen nějak „logicky spojen“, obvykle přes nějaký unikátní identifikátor.
Výhody on-line podepisování
Než si obsah takového záznamu ukážeme a rozebereme, řekněme si, že služby pro on-line podepisování vytváří určité řízené prostředí, ve kterém si jednotliví uživatelé zřizují své uživatelské účty (registrují se), následně se do tohoto prostředí mohou opakovaně přihlašovat a zde provádět konkrétní úkony – nahrávat si sem své dokumenty (případně je zde již nachází připravené), a hlavně zadávat pokyn k jejich podepsání. Jak jsme si již řekli v předchozích dílech, uživatelé mají obvykle k dispozici různé cenové plány, a v rámci nich jak různé možnosti podepisování (co do druhu elektronického podpisu), tak třeba i pokud jde o možnosti své identifikace a autentizace (určení a ověření své identity), práce s dokumenty atd.
Především ale platí, že služba jako taková má plný přehled o všem, co se v rámci ní odehrává – od přihlašování jednotlivých uživatelů, přes jejich manipulaci s dokumenty, až po vlastní podepisování. Díky tomu může generovat již zmíněné záznamy, které pak mohou sloužit jako tolik potřebné vodítko k určení identity podepsané osoby, i jako důkaz pro případ sporu. To vše samozřejmě za předpokladu, že službu a jejího poskytovatele můžeme považovat za důvěryhodné, a její záznamy za korektně vedené a spolehlivé (ve smyslu § 562 odst. 2 o.z.).
V zásadě zde totiž jde o určitý princip dosvědčení: je to právě příslušná služba, která nám dává své dobrozdání ohledně toho, komu podpis (např. uvedený smajlík) patří, resp. koho bychom měli považovat za podepsanou osobu. Znovu si proto zdůrazněme, že jde typicky o služby provozované soukromoprávními subjekty na čistě komerční bázi, bez statusu kvalifikovaných služeb vytvářejících důvěru dle nařízení eIDAS a bez jakékoli úřední licence.
Příklad s prostým elektronickým podpisem od služby DocuSign vidíte na následujícím obrázku. V jeho spodní části je popisovaný záznam v podobě samostatného souboru (nadepsaný „Certificate of Completion“ opatřený zaručeným elektronickým podpisem služby DocuSign), který se odkazuje na podepsaný dokument skrze unikátní identifikátor (v zeleném rámečku). Pro jednoduchost jde o dokument jen s jedním podpisem.
Ze samotného prostého elektronického podpisu v podobě smajlíku (v těle dokumentu v horní části obrázku) není možné dovozovat, komu by měl patřit. Ani z doprovodného číselného údaje, který ke smajlíku připojila sama služba DocuSign. O tom, že za podepsanou osobu by měl být považován jeden za spoluautorů tohoto článku, vypovídá až obsah příslušného záznamu (ve spodní části obrázku), konkrétně údaj v modrém rámečku.
Jak spolehlivé je ale v daném případě určení příslušné osoby? Jakým způsobem si zde služba DocuSign ověřovala identitu svého uživatele? Ze záznamu (v levém červeném rámečku) lze vyčíst, že jde pouze o deklarovanou identitu, ověřovanou pouze skrze e-mailovou adresu při zřizování účtu (přesněji: přes schopnost číst obsah zprávy, zaslané na příslušnou e-mailovou adresu). Při zřizování účtu bylo obdobně ověřováno i telefonní číslo (přesněji: schopnost číst obsah SMS zprávy, zaslané na toto tel. číslo) – ale toto telefonní číslo se v záznamu od služby DocuSign neobjevuje. Žádné jiné ověřování nebylo při zřizování účtu prováděno. A při samotném podpisování také nebylo žádné ověřování prováděno – ani znovu přes e-mail či telefonní číslo. Po přihlášení k již existujícímu účtu (přes jméno v podobě e-mailové adresy a heslo) stačilo jen kliknout na tlačítko s pokynem k podepsání.
Povšimnout si ale můžeme dalších údajů na záznamů, které mohou pomoci při ověřování. Jde například o časové údaje (u kterých je třeba dávat pozor i na časová pásma). Ale také o IP adresu(ve druhém červeném rámečku), ze které počítač uživatele komunikoval se službou. V daném případě jde o (veřejnou) IP adresu z rozsahu, který patří společnosti O2 Czech Republic, a tato adresa je sdílena více jejími zákazníky (tj. touto adresou není identifikován konkrétní počítač, ale pouze poskytovatel přístupu k Internetu).
Ukažme si ještě jeden obdobný příklad, s prostým elektronickým podpisem, který by měl patřit dalšímu ze spoluautorů tohoto článku. Tedy alespoň podle tvrzení služby DocuSign, ve které byl vytvořen.
Ze záznamu (opět ve spodní části obrázku) lze vyčíst, že i zde byla identita autora ověřována (a to pouze při zřizování jeho účtu) jen přes e-mailovou adresu (a také přes telefonní číslo, které ale není v záznamu uvedeno). Uvedena je také IP adresa, v daném případě stejná jako u předchozího příkladu – což ale nutně neznamená, že oba podpisy byly zadány ze stejného počítače (jelikož jde o IP adresu, sdílenou více uživateli téhož poskytovatele připojení).
Vodítkem k ověření podepsané osoby by mohla být e-mailová adresa. Ovšem zjistit, kdo používá konkrétní e-mailovou adresu, je také velmi problematické. Zvláště u e-mailů na veřejných webmailech (např. Seznam, Google atd.). V daném případě může být vodítkem to, komu patří doména earchiv.cz – pohledem do registru domén lze zjistit, že jejím držitelem je druhý ze spoluautorů tohoto článku, který zde má svůj archiv článků. Ovšem ani to rozhodně nevylučuje, aby konkrétní e-mailovou adresu v této doméně používal, nebo k ní alespoň měl přístup (a možnost přečíst si obsah jedné zprávy, při registraci) někdo jiný, než je držitel samotné domény.
Asi již tušíte, že podpisy na obou předchozích příkladech jsou dílem stejné osoby, přičemž ten první vytvořil na své jméno, a druhý na jméno spoluautora (a to bez jeho vědomí). Ovšem ověřit to dostatečně spolehlivě, tak aby byly eliminovány případné pochybnosti, může být opravdu těžké. Nestačí např. vědět z nějakých jiných důkazů, kdo používá konkrétní e-mailovou adresu – ale je potřeba prokázat, že se k jejímu obsahu nemohl jednorázově (při registraci, resp. vytváření uživatelského účtu) dostat někdo jiný. Pokud jde o využití IP adresy jako důkazu, musel by její sdílení „rozkrýt“ příslušný poskytovatel přístupu atd.
Znovu si ale zdůrazněme, že služby pro on-line podepisování (včetně služby DocuSign) nabízí více možností i pro identifikaci a autentizaci svých uživatelů. Včetně takových, kdy identita uživatelů je ověřována opravdu důkladně (zatímco zde popisované příklady odpovídají té „nejnižší“ a nejméně spolehlivé variantě). O to více je třeba v konkrétních případech studovat příslušné záznamu a zajímat se o to, jakým způsobem a jak důkladně byla identita uživatele služby, coby podepisující osoby, zjišťována a ověřována.
Bohužel čím spolehlivější je zjištění a ověření identity uživatele, tím složitější (a také dražší) to pro něj je. Proto se v praxi lze setkávat spíše s využitím těch nejjednodušších (a také nejlevnějších) variant, které ale trpí malou spolehlivostí.
Jak se podepisovat za někoho jiného
Ukažme si nyní na konkrétním příkladu, jak je možné se u služby DocuSign vydávat za někoho jiného. Například za literární postavu Josefa Švejka. Při registraci (třeba jen k otestování služby, zdarma na 30 dnů) stačí uvést (deklarovat) příslušné jméno, zadat účelově vytvořený email, a stejně tak účelově pořízené telefonní číslo, viz následující obrázek.
Při správném zadání číselných kódů, zaslaných na onu účelově zřízenou e-mailovou adresu a telefonní číslo, je účet vytvořen a je možné se začít podepisovat – jako držitel tohoto účtu.
Při samotném aktu podpisování nemusí být žádné další ověření prováděno. Stačí jen zvolit umístění toho obrázku, který má být prostým elektronickým podpisem, a jehož podobu služba vytvořila podle zadaných údajů – a pak jen kliknout na dokončení („Finish“).
Služba DocuSign pak nejprve vloží vytvořený obrázek na uživatelem zvolené místo, a celý PDF dokument opatří svým (zaručeným) elektronickým podpisem. Vedle toho sestaví odpovídající záznam, jehož logickou vazbu s podepisovaným dokumentem představuje unikátní identifikátor, vložený do záhlaví podepisovaného dokumentu a uváděný i v samotném záznamu.
Výsledek ukazuje následující obrázek, obdobný jako u výše uváděných příkladů: v jeho horní části je výsledný podepsaný dokument, ve spodní části pak odpovídající záznam v samostatném dokumentu. Unikátní identifikátor na obou dokumentech je v zelených rámečcích, deklarované jméno podepsané osoby (literární postavy Josefa Švejka) je v modrém rámečku na záznamu. E-mailová adresa, použitá pro ověření (při zřizování účtu) držitele účtu a zde současně podepisující osoby, je v červeném rámečku. Obdobně využité telefonní číslo v záznamu uvedené není. Naopak je zde uvedena IP adresa, ze které byla podepisující osoba ke službě připojena (zde konkrétně přes síť VPN, umožňující zamaskování skutečné IP adresy, takže jde o adresu patřící poskytovateli VPN).
Z takovéhoto záznamu je alespoň teoreticky možné dovodit, kdo skutečně podpis vytvořil – např. přes zjištění, kdo si nechal účelově zřídit e-emailovou adresu u služby Gmail, či kdo využil službu sítě VPN k zamaskování své skutečné IP adresy. Ale reálné to není.
Samozřejmě jde o uměle vytvořený příklad. Jednak k přiblížení toho, jak vlastně prosté elektronické podpisy vytvořené službami pro on-line podepisování (zde konkrétně od služby DocuSign) mohou vypadat. Ale hlavně jako důkaz vyvracející představu, že když byl elektronický podpis vytvořen v rámci takové on-line služby, kterou považujeme za důvěryhodnou, tak že je automaticky „v pořádku“ a je skutečně podpisem té osoby, která je prezentována jako podepsaná osoba. Neboli že je pravý.
Nestačí k tomu ani obsah spolehlivě a korektně vedených záznamů, které služba poskytuje – vždy je třeba zjistit, jakým způsobem byla podepisující osoba vůči službě identifikována a autentizována. A sami si vyhodnotit, do jaké míry se na výsledky takovéto identifikace a autentizace můžeme spoléhat. I vzhledem k tomu, jaký je charakter podepsaného obsah (o co v něm jde).
K tomu si dodejme, že nařízení eIDAS právě pro účely hodnocení „dostatečnosti“ použité identifikace a autentizace zavedlo kromě různých druhů elektronických podpisů i koncept tzv. úrovní záruky: rozlišuje nízkou, značnou a vysokou úroveň záruky. Zde popisované komerční služby pro on-line podepisování s tímto konceptem ale vesměs nepracují.
Možností identifikace a autentizace bývá více
Znovu si zdůrazněme, že služby pro on-line podepisování mohou nabízet různé cenové plány, a v rámci nich nejenom různé druhy vytvářených elektronických podpisů, ale i různé možnosti identifikace a autentizace svých uživatelů, v roli podepisující osob. Mohou pracovat jak s pouze deklarovanými identitami, které mohou odpovídat nejvýše úrovni záruky „nízká“, tak i s identitami ověřenými, které již mohou odpovídat úrovním „značná“, případně i „vysoká“.
Ukažme si to na závěr na několika příkladech s tuzemskými službami. Například služba Podpisovna připouští registraci uživatelů přes jejich účty u různých služeb včetně takových, které pracují s ověřenou identitou (např. BankID nebo validované účty u mojeID), které mohou odpovídat úrovni záruky „značná“ (a u mojeID i úrovni „vysoká“).
Způsob ověření identity se pak může promítat i do grafické podoby obrázku, který služba vkládá přímo do dokumentu, a který je prostým elektronickým podpisem podepsané osoby. A pochopitelně se objevuje i v záznamu (zde označovaném jako: „finálním audit reportu“), který služba Podpisovna (jako jedna z mála) vkládá přímo do podepisovaného dokumentu, za jeho konec. Takto vytvořený elektronický dokument pak služba opatřuje svou kvalifikovanou elektronickou pečetí (kterou program Adobe Acrobat Reader nesprávně prezentuje jako „kvalifikované elektronické razítko“), a také (skutečným kvalifikovaným elektronickým) časovým razítkem.
Konkrétní příklad s ověřením přes bankovní identitu (resp. službu BankID) ukazuje následující obrázek.
Vytvářet on-line lze i jiné druhy elektronických podpisů
Příkladem služby pro on-line podepisování, která nabízí nejenom různé způsoby ověření identity, ale i různé druhy elektronických podpisů, může být služba DigiSign.
Následující obrázek ukazuje nejprve další příklad prostého elektronického podpisu, spojený také s pouze deklarovanou (ale reálně neověřenou) identitou literární postavy Josefa Švejka. Jeho vznik je obdobný tomu, jak vše funguje u služby DocuSign: tomu, kdo se za něj vydával, stačilo při vytváření uživatelského účtu u služby DigiSign pouze zadat jméno této literární postavy, a nechal si zaslat dva číselné kódy na účelové zřízený e-mailový účet a telefonní číslo. Při samotném podepisování pak stačilo jen kliknout na tlačítko – jak je popsáno i v záznamu. Žádné dodatečné ověřování při samotném podepisování neproběhlo, stačilo jen předchozí přihlášení k uživatelskému účtu zadat správné jméno a heslo, nastavené při registraci (vytváření účtu).
Naproti tomu následující obrázek ukazuje jinou možnost, kterou stejná služba nabízí: kdy při samotném podepisování je znovu prováděno ověření podepisující osoby (resp. identifikace a autentizace uživatele), a to přes bankovní identitu, resp. službu BankID (viz červeně podtržená část záznamu ve spodní části obrázku). Což již může odpovídat úrovni záruky „značná“ a se „značnou pravděpodobnosti“ vylučovat, že se někdo vydává za někoho jiného.
Na obou předchozích obrázcích jsou ale stále jen prosté elektronické podpisy uživatele, resp. jednající osoby, rozdíl je pouze ve způsobu (a tím i spolehlivosti) ověření uživatele, kterému by prostý elektronický podpis měl patřit. Služba DigiSign, stejně jako další obdobné služby, ale nabízí i jiné druhy elektronických podpisů, než jen ty prosté.
Jak ukazuje následující obrázek, uživatelé si mohou vybrat jak způsob svého ověření při vytváření jednotlivých podpisů, tak i různé druhy vytvářených elektronických podpisů. Na předchozích obrázcích je „jednoduchý podpis (tlačítkem)“, kdy jde o prostý elektronický podpis v podobě obrázku, jehož podobu sestaví sama služba (a napíše do něj jméno a příjmení uživatele). Možnost „vlastnoručního“ podpisu znamená, že uživatel může poskytnout křivku svého podpisu, kterou služba umístí do obrázku místo napsaného jména a příjmení.
Další možností je již elektronický podpis od služby BankID Sign, který služba DigiSign využije jako určitou „subdodávku“ – pro samotné podepsání uživatele přesměruje ke službě BankID Sign, která si sama ověří identitu podepisující osoby (žadatele identifikuje a autentizuje přes jeho bankovní identitu). Zaručený podpis na podepisovaném dokumentu pak vytvoří sama služba BankID Sign, připojí k němu svou vlastní elektronickou pečeť, a výsledek vrátí zpět službě DigiSign, která k dokumentu připojí ještě svou vlastní pečeť.
Výsledek z pohledu příjemce takto podepsaného dokumentu ukazuje následující obrázek: v jeho dolní části je opět záznam, vytvořený službou DigiSign a uvádějící, že samotný podpis byl vytvořen službou BankID Sign. Ze záznamu to sice není patrné, ale jde již o zaručený elektronický podpis, a nikoli pouze o prostý elektronický podpis.
Jinými slovy jde již o elektronický podpis, který je založen na certifikátu. A to takovém, který pro jednorázové využití (pro vytvoření daného podpisu) vydala interní certifikační autorita společnosti BankID. Tato autorita ale nemá kvalifikovaný status, a nemůže tak vydávat kvalifikované certifikáty (nutné pro uznávané či kvalifikované elektronické podpisy). Bohužel není ani součástí žádného ze známých výčtů důvěryhodných autorit, takže běžně používané programy její (komerční, a nikoli kvalifikované) certifikáty neznají a tudíž ani neví, zda jim mohou důvěřovat. Proto i program Adobe Acrobat Reader na předchozím obrázku u zaručeného elektronického podpisu uživatele „krčí rameny“ a hlásí, že technická platnost tohoto zaručeného podpisu je pro něj neznámá.
Mimochodem, na obrázku s volbou druhu podpisu je patrné, že služba DigiSign umožňuje vytvářet i podpisy, založené na vlastním certifikátu uživatele. Což, podle druhu tohoto certifikátu, mohou být jak zaručené, tak i uznávané či kvalifikované elektronické podpisy. Tyto možnosti jsou ale dostupné jen v rámci vyšších cenových plánů (na obrázku jsou nedostupné).
Shrnutí
Na závěr tohoto článku si ještě znovu shrňme jeho hlavní sdělení: že prosté elektronické podpisy samy o sobě nemusí být spojeny s žádnou konkrétní identitou, a mohou být zcela „anonymní“ – a jejich pravost musí být prokazována z jiných podkladů a důkazů, než je prostý podpis samotný. Jsou tedy srovnatelné spíše s ústním stvrzením právního jednání, které se také prokazuje „z něčeho jiného“, a kvůli tomu až na výjimky nesplňují požadavky na zachování písemné formy podle § 561 o.z
Pokud ale jde o prosté elektronické podpisy, vytvořené v rámci služeb pro on-line podepisování, zde může být situace jiná. Zde obvykle jsou k dispozici související záznamy příslušné služby, zachycující co vše se kolem podepisování odehrávalo. Pokud jsou vedeny korektně a můžeme je považovat za spolehlivé, mohou sloužit jako důkazy při hodnocení samotných prostých elektronických podpisů a ověřování jejich pravosti. Písemná forma právního jednání pak může být zachována podle § 562 o.z. Nicméně i tyto záznamy je nutné pečlivě číst a správně vyhodnocovat, protože pokud se příslušné služby v konkrétních případech spokojí jen s deklarovanou identitou, kterou si neověřují dostatečně spolehlivě, mohou být samy uvedeny v omyl, když se jejich uživatel může úspěšně vydávat za někoho jiného.
V další, již závěrečné části tohoto třídílného seriálu, se již dostaneme podrobněji k tomu, co jsou vlastně ony prosté elektronické podpisy a jak se vyvíjela jejich právní úprava. Srovnáme si také jejich vlastnosti s vlastnostmi zaručených, uznávaných a elektronických podpisů.
Pokračování článku si naleznete na Právním prostoru pod tímto odkazem.
Diskuze k článku ()