Česká cesta k elektronickému podpisu?
Návrh zákona o elektronickém podpisu, který v současné době projednává Parlament ČR, se snaží řešit celou problematiku stejným způsobem, jaký zvolila i evropská unie a který vyjádřila ve své relevantní direktivě. Ne vždy tomu ale bylo stejně - původní verze našeho návrhu se snažila jít jinou cestou a předkladatelé zákona o nijak neskrývali.
Elektronický podpis je řešením, které umožní odstranit mnoho problémů současné "elektronické doby" - zejména pak skutečnost, že lidé by chtěli využívat elektronická média i pro nejrůznější úkony, pro které je v dnešní dob stále ještě vyžadována "papírová forma" včetně vlastnoručního podpisu. Často medializovaným příkladem může být předkládání daňových přiznání v elektronické formě, ale obecně jde o celou širokou škálu úkonů začínající u spolehlivé komunikace a končící u uzavírání smluvních vztahů elektronickou cestou. Důležité je, že technologická řešení již jsou k dispozici - ale jejich praktické využití brání to, že nejsou ukotvena v současné legislativě, která stále vyžaduje vlastnoruční (tj. "papírový") podpis a o elektronických podpisech se nezmiňuje. Co je tedy potřeba udělat, a to formou zákona, je zrovnoprávnit elektronické podpisy s vlastnoručními.
Praktické používání elektronických podpisů přinese výrazné zefektivnění, zjednodušení a také zlevnění nejrůznějších úkonů, a to doslova pro každého, státní správou počínaje, přes soukromý sektor až po jednotlivé fyzické osoby. Prosazení elektronických podpisů do praxe je tedy v zájmu všech složek společnosti.
Kdo připraví zákon?
Tvorba nových zákonů je především úkolem státu, a proto se snah o vytvoření tolik potřebného návrhu zákona o elektronickém podpisu nejprve ujal Úřad pro státní informační systém, jako odborně příslušná instituce. Ovšem konkrétní práce na zákonu nepostupovaly příliš vpřed, a to začalo velmi vadit podnikatelské sféře, která potřebu tohoto zákona pociťovala velmi intenzivně. Iniciativy se nakonec chopilo sdružení SPIS (Sdružení pro informační společnost), které iniciovalo vznik poslaneckého návrhu, a pro poslance-předkladatele zajistilo zpracování textu návrhu zákona.
První verze zákona byla prezentována odborné veřejnosti na tiskové konferenci SPISu dne 23.9.1999 v pražském hotelu Pyramida. Jako autor návrhu byl představen doc. Vladimír Smejkal. Tato verze byla také vystavena na WWW serveru SPISu a veřejnosti byla nabídnuta možnost zasílání připomínek. Říkejme této verzi pro jednoduchost "verze A".
Po zapracování některých připomínek vznikla další verze, která byla předána do Parlamentu a 26.ledna 2000 prošla 1. čtením. Říkejme této verzi "verze B". Autorem této verze byl opět doc. Smejkal. V době mezi prvním a druhým čtením byla na základě dohody ÚSIS a SPIS vytvořena odborná skupina složená z nezávislých odborníků, a pověřena uvedením návrhu zákona do souladu s direktivou Evropské unie pro elektronické podpisy, která byla mezitím schválena (Direktiva EU 1999/93/EC, schválená 30. listopadu). Výsledkem práce této skupiny byl značně přepracovaný návrh, který byl odevzdán 7.3. předkladatelům a SPISu. Říkejme této verzi "verze C".
Nedopatření, nebo záměr?
Mezi jednotlivými verzemi návrhu zákona existují opravdu diametrální věcné odlišnosti. Důvody je třeba hledat ve skutečnosti, že takový zákon, jakým je zákon o elektronických podpisech, nemůže existovat zcela nezávisle na technické realitě - na tom, co elektronické podpisy jsou, jak fungují, co umožňují atd. Zákon nutně musí pracovat s určitou abstrakcí elektronických podpisů, která musí být nesmírně pečlivě volena tak, aby zákon mohl řešit takové věci, jaké je potřeba řešit, a naopak co nejméně bránil rychlému rozvoji technologií (a současně s tím nepůsobil i proti sobě, protože čím více bude zákon na technologiích závislý, tím častěji jej bude nutné měnit).
První dvě verze zákona, A a B, používaly jinou abstrakci, a s ní i úplně jiný pohled na elektronické podpisy, než jaký použila Evropská unie ve své direktivě 1999/93/EC. Nebylo to přitom ani nechtěným nedopatřením, ani důsledkem toho, že by předkladatelé zákona nebyli seznámeni s přístupem EU k celé problematice. Byla to naopak zcela záměrná snaha jít jinou cestou. Dokumentuje to ostatně i následující výrok jednoho z předkladatelů, poslance Vladimíra Mlynáře z Unie Svobody, který pronesl dne 22.12.1999 v interview pro iDnes:
Jsou tady dvě cesty, kterými se dá jít: jednou je téměř doslova přijmout legislativu EU. To je cesta, kterou chce jít vláda. Druhá cesta je vytvořit něco, co by bylo pro nás, jako nečlena EU, mnohem jednodušší a nebylo vázané přímo direktivu EU. To, co chce přejmout vláda, totiž direktivu EU, obsahuje přesné technické specifikace. V případě, že přijdou nové techniky identifikace - identifikace lidí z DNA či očních duhovek - direktiva se jednoduše změní. Náš zákon ale nikoliv. Proto my navrhujeme zákon, který by nepočítal s ničím technicky konkrétním. Byl přesně pro situaci v ČR a přesně by ho vymezil až Úřad pro elektronický podpis.
Teprve později předkladatelé zákona změnili názor a rozhodli se uvést svůj poslanecký návrh do souladu s Direktivou EU. Tím současně vyslyšeli sílící protesty odborné veřejnosti, která poukazovala jak na tento nesoulad, tak především na to, že předchozí abstrakce (pohled na elektronické podpisy a jejich podstatu) jsou veskrze chybné, a zákon který by z nich vycházel by v praxi nebyl použitelný - ale tyto protesty nebyly dříve brány v potaz. Po vzájemné dohodě předkladatelů, SPISu a ÚSIS pak byla ustavena již zmiňovaná skupina nezávislých odborníků, která připravila výše označenou verzi C, vycházející z direktivy EU.
V čem jsou konkrétní odlišnosti?
Zkusme si nyní naznačit, v čem jsou konkrétní rozdíly mezi jednotlivými verzemi A, B a C. Začněme například terminologií: verze C používá termíny jako "podepisující osoba" (resp. podepsaná osoba), "certifikát", či "certifikační autorita". Naproti tomu verze A a B používaly ke stejnému účelu termíny "oprávněná osoba", "osvědčení" a "ověřovatel informací".
Nejpodstatnější rozdíly však nebyly v terminologii ale v tom, co zákon předpokládal, nařizoval, stanovoval atd. Například verze A počítala s tím, že lidé si budou pořizovat "osvědčení o svém elektronickém podpisu" (par. 12) a zavazovala je "nakládat s elektronickým podpisem s náležitou péčí" (par. 7). Naproti tomu verze B chtěla, aby si lidé pořizovali "osvědčení o svém prostředku pro vytvoření zaručeného elektronického podpisu" (par. 12), a aby "nakládali se svými prostředky pro vytváření elektronických podpisů s náležitou péčí" (par. 7).
Pokud bychom se ptali po logice těchto požadavků, pak pro verzi A by z toho nutně muselo vyjít, že elektronický podpis existuje sám o sobě a je opakovaně použitelný, podobně jako například razítko: jedině pak má smysl získávat od někoho osvědčení o elektronickém podpisu a ukládat mu povinnost nakládat s ním s náležitou péčí (podobně jako s razítkem). Logiku pak má také termín "oprávněná osoba", jako osoba která má právo k určitému konkrétnímu úkonu (použití elektronického podpisu, podobně jako při použití razítka).
Verze B již respektuje skutečnost, že alespoň tzv. zaručený elektronický podpis je unikátní (pokaždé jiný, protože je závislý na datech která podepisuje), a vzniká jednorázovou aplikací "prostředků pro vytváření zaručených elektronických podpisů". Pak jistě má logiku, aby zákon stanovoval že s těmito prostředky je třeba nakládat s náležitou péčí.
Direktiva EU, a s ní i verze C, se ale na tyto "prostředky" dívají jinak: chápou je jako něco, co má dvě principiálně odlišné části (komponenty): jednu, která je unikátní pro konkrétní fyzickou osobu, a druhou která může být stejná, resp. společná. Druhou komponentou je typicky program, který si může kdokoli koupit, a to v identickém provedení. Naproti tomu první komponenta jsou data, která jsou neopakovatelná a charakteristická pro konkrétní fyzickou osobu - dnes je to například její soukromý klíč, zítra to mohou být například její biometrická data. Zákon pak může stanovit, že program musí splňovat určité podmínky, a pak může být veřejně prodáván v libovolném počtu exemplářů. Případné apely na nakládáni s takovýmto programem "s náležitou péčí" asi jsou na místě, ale určitě nepatří do zákona o el. podpisu, nýbrž do licenčních podmínek prodejce. Naopak na první složku (označovanou jako "podepisovací data") musí zákon klást přísné požadavky, aby se zabránilo jejich neoprávněnému použití.
Nerozlišování obou složek může na první pohled vypadat jako nepříliš podstatná drobnost, ale není tomu tak. V případě že rozlišovány nejsou, tvoří jeden celek, který nutně je unikátní (charakteristický pro každou konkrétní fyzickou osobu) a musí být někým "shůry" posvěcen (podle verze B na něj musí být vydáno osvědčení, a to "ověřovatelem informací"). To by v praxi znamenalo, že po pořízení jakékoli nové verze programu (třeba nového Outlooku, který také umožňuje elektronicky podepisovat zprávy elektronické pošty), a po jeho konfiguraci (zavedení dat která jej identifikují) by se každý jednotlivý uživatel musel odebrat za "ověřovatelem informací" a nechal si od něj vystavit nové osvědčení o svém novém prostředku pro vytváření elektronických podpisů. Stejně tak by musel učinit v případě, že by se rozhodl používat místo programu X program Y.
Verze C již požadují individuální "posvěcení" (nikoli formou vydání osvědčení, ale vystavením tzv. certifikátu) pouze pro první složku, neboli pro data. Uživatel, který certifikát vlastní, si pak příslušná "podepisovací data" sám nainstaluje do takových programů, které chce používat (a při přechodu na nový program nepotřebuje nová data, resp. nový certifikát). Stejně tak může v jednom programu používat více certifikátů, vydaných různými certifikačními autoritami.
Komu patří podpis?
Snad nejzávažnějším rozdílem mezi verzemi A s B na straně jedné a verzí C na straně druhé je to, jak definují komu elektronický podpis "patří". Verze A a B hovoří o "oprávněné osobě", kterou definují jako toho, kdo podpis vytvořil. Naproti tomu verze C hovoří o "podepsané osobě" a vychází z toho, že podpis patří tomu, ke komu se vztahují použitá podepisovací data.
V praxi to nutně znamená, že podle verze A a B patří podpis tomu, kdo v programu schopném vytvářet elektronické podpisy (např. v MS Outlooku) vyvolá příslušnou akci vedoucí ke vzniku podpisu (zmáčkne ikonku s názvem "podepiš"). Podle verze C patří podpis tomu, čí podepisovací data jsou v takovémto programu nainstalována.
Představme si nyní kancelář a v ní šéfa, který diktuje obchodní dopis své sekretářce, která jej píše rovnou jako zprávu elektronické pošty, přímo na šéfově notebooku. Nakonec šéf řekne sekretářce: podepište to mým jménem - což sekretářka udělá tím, že zmáčkne příslušnou ikonu v poštovním klientském programu. V tomto programu jsou přitom nainstalována podepisovací data šéfa (který po celou dobu dává pozor, aby sekretářka nepodepsala jeho jménem ještě něco jiného, nebo si jeho data nezkopírovala).
Podle verze C takto vytvořený podpis patří šéfovi (a stejně se to bude jevit příjemci podepsané zprávy). Podle verzí A a B ovšem podpis patří sekretářce, neboť to byla ona, kdo vytvořil podpis.
Verze D?
Verze C, vypracovaná podle vzoru Direktivy EU odbornou skupinou, byla touto odevzdána předkladatelům zákona 7.3.2000, s předpokladem že bude předložena Parlamentu do druhého čtení. Oproti původním dohodám a slibům však byla tato verze ještě dále měněna, mj. i autorem verzí A a B doc. Smejkalem, a znovu do ní byly zaneseny některé dřívější omyly a chyby. To vedlo členy odborné skupiny k vydání veřejného prohlášení, ve kterém se od takto vzniklé verze distancovali pro její věcné nedostatky . Toto prohlášení, stejně jako další relevantní informace k návrhu zákona o el. podpisu, můžete najít na adrese http://www.trustcert.cz.