Elektronický podpis jako memento

Ve středu 24. května krátce po třinácté hodině schválila Poslanecká sněmovna Parlamentu drtivou většinou 169 hlasů (ze 186 přítomných) poslanecký návrh zákona o elektronickém podpisu, který je jedním z klíčových předpokladů pro rozvoj elektronické komerce a našeho směrování k tzv. informační společnosti. Jednalo se konkrétně o tzv. třetí čtení tohoto zákona, po kterém musí následovat ještě schválení Senátem a podpis prezidentem.

Na první pohled by se mohlo zdát, že šlo o vzácně bezproblémovou záležitost, která dokázala spojit strany napříč politickým spektrem a přiměla politiky odložit tradiční šarvátky a jednat konstruktivně a rychle. Ve skutečnosti se ale i kolem elektronického podpisu přeci jen odehrál lítý a nemilosrdný boj. Nebyl ale vedený politiky, a nebyl ani nijak výrazněji medializován. Na veřejnost pronikaly jen drobné útržky ozvěn tohoto boje - například pozorní návštěvníci nedávného Prague Internet Worldu mohli při jedné z přednášek zaznamenat narážky na "zuřivé útoky proti elektronickému podpisu" či na snahy "opisovat za každou cenu od Evropské Unie". Z druhé strany na veřejnost proniklo prohlášení odborné skupiny k návrhu zákona (na adrese http://www.trustcert.cz/). O co vlastně v celém sporu šlo? A kdo byly zúčastněné strany?

Spor nebyl o tom, jak elektronické podpisy provázat s ostatní legislativou a jak jim udělit potřebný statut (zrovnoprávnit je s podpisy vlastnoručními). Spor byl o to, jak v zákoně pojmout samotné elektronické podpisy - jakou abstrakci technologií do zákona zakomponovat, tak aby zákon na jedné straně dokázal vystihnout a reagovat na podstatné vlastnosti a možnosti technologií, a na druhé straně nebránil jejich použití a sám se nemusel s očekávaným vývojem technologií příliš brzy měnit. Na to pak navazovala i důležitá otázka vybudování "systému důvěry", o který by se elektronické podpisy mohly opírat a ze kterého by mohly odvozovat svou platnost.

Jednou z možností jak právě naznačené otázky pojmout bylo vyjít z direktivy evropské unie (direktivy 1999/93/EC), která byla formálně přijata sice až 30.11.1999, ale již dávno předtím byly k dispozici její předběžné verze, které se od verze finální lišily jen nevýznamně. Přijmout tuto variantu znamenalo nevynalézat již jednou vynalezené - znamenalo to převzít (či chcete-li: opsat) základní definice a z nich vyplývající vlastnosti, převzít základní koncepci "systému důvěry", a vše dopracovat do národních podmínek a provázat s naší legislativou.

Autoři prvních verzí českého návrhu zákona o elektronickém podpisu se rozhodli jít jinou cestou - cestou vlastní. Ostatně, jeden z předkladatelů, poslanec Mlynář, to v rozhovoru pro MF Dnes v prosinci loňského roku řekl zcela na rovinu:

Jsou tady dvě cesty, kterými se dá jít: jednou je téměř doslova přijmout legislativu EU. To je cesta, kterou chce jít vláda. Druhá cesta je vytvořit něco, co by bylo pro nás, jako nečlena EU, mnohem jednodušší a nebylo vázané přímo direktivu EU.

První verze návrhu vykazovaly jistou podobnost s jiným vzorem než s direktivou EU, konkrétně s doporučením UNCITRAL (které je ale staršího data a je považováno za překonané). I od tohoto doporučení se ale první české verze návrhu v mnoha důležitých aspektech významně odlišovaly.

Ta část odborné veřejnosti, která cítila potřebu se ke vznikajícímu návrhu vyjádřit, měla možnost zasílat své připomínky zejména prostřednictvím SPIS-u, který vznik zákona inicioval. Konkrétní připomínky, které v rukou SPIS-u sešly, tvořily široké spektrum - od nepříliš podstatných drobností až po připomínky zcela zásadní, které upozorňovaly na to že celá abstrakce elektronických podpisů, použitá v návrhu, je chybná a zákon na ní postavený nemůže fungovat. Autoři zákona z těchto připomínek akceptovali jen některé, a je třeba zdůraznit že ty méně závažné. O zásadních připomínkách koncepčního rázu se s jejich autory odmítli bavit. Výsledkem byla verze zákona, která byla na jednom z klubových večerů SPISu slavnostně podepsána předkládajícími politiky (Mlynář, Gross a Langer), a předložena do 1. čtení.

V té době již nic nenasvědčovalo tomu, že by se obsah návrhu dal ještě nějak změnit, a že by protestující část odborné veřejnosti měla šanci se dovolat nějaké změny.

Schválení direktivy jako bod zvratu

Návrh zákona o elektronickém podpisu byl předložen Parlamentu a postoupen do 1. čtení již v době, kdy byla formálně schválena direktiva EU k elektronickým podpisům. Právě tento moment se ukázal být rozhodující pro další koncepci našeho zákona - zákonodárci si zřejmě uvědomili, že zákon není v souladu s direktivou EU ("jde druhou cestou", viz citovaný výrok předkladatele), a rozhodli se požadovat nápravu. Proto když návrh zákona o elektronickém podpisu procházel prvním čtením, prošel pouze s podmínkou, že bude uveden do souladu s direktivou EU.

Ovšem přizpůsobit návrh zákona direktivě EU znamenalo zásadně změnit tu jeho část, která byla oponenty nejvíce kritizována, a která představovala zejména použitou abstrakci elektronických podpisů. Vypracováním nové verze zákona ale již nebyli pověřeni původní autoři návrhu. Místo toho došlo k dohodě mezi SPIS a ÚSIS o tom, že novou verzi vypracují odborníci prosazující aplikaci direktivy EU. Pod patronací SPIS a ÚSIS pak došlo k vytvoření odborné pracovní skupiny, rekrutující se především z řad kritiků dosavadních verzí návrhu. Na práci skupiny se podíleli i členové CEO (včetně autora tohoto článku).

Ačkoli tato pracovní skupina nebyla nikdy formálně ustavena, stihla v doslova šibeničním termínu připravit novou verzi zákona, která již byla v souladu s direktivou EU. Tato verze byla odevzdána 7. března předkladatelům (tj. poslancům), čímž práce odborné skupiny skončila.

Nová verze zákona, připravená odbornou skupinou, měla být podle předchozí dohody postoupena do druhého čtení v Parlamentu. Místo toho ale byla nová verze postoupena původním autorům, kteří ji jednostranně a bez konzultace s novými autory (odbornou skupinou) znovu změnili a opětovně do ní zanesli některé rysy a chyby svých předchozích návrhů. To přimělo odbornou skupinu k vydání veřejného prohlášení, zveřejněného na Internetu na adrese http://www.trustcert.cz.

Další kroky již nejsou autorovi těchto řádek dostatečně známy - zřejmě došlo k dalšímu "ladění" návrhu ještě předtím, než byl skutečně předložen do druhého čtení. Lze tak soudit například podle použité terminologie: původní návrh (který prošel prvním čtením) používal pro autora podpisu termín "oprávněná osoba". Verze připravená odbornou skupinou převzala termín "podepisující osoba" (resp. "podepsaná osoba") jako ekvivalent termínu "signatory" v direktivě EU. Původní autoři pak do návrhu znovu prosadili termín "oprávněná osoba", ale do druhého čtení se již dostala verze používající znovu termín "podepisující osoba".

Podstatné ale je, že ve druhém a třetím čtení byla Poslaneckou sněmovnou schválena verze zásadně odlišná od návrhu původních autorů - verze, která se ke svému cíli ubírá cestou kompatibilní s direktivou Evropské unie, a nikoli neprozkoumanou "českou cestou".

Poučení pro příště

Zákon o elektronickém podpisu, který nyní již zřejmě bez problémů dokončí svou legislativní trajektorii (projde Senátem a bude podepsán prezidentem republiky), je jen prvním v celé dlouhé řadě zákonů a dalších opatření a rozhodnutí, která se týkají našeho směrování k tzv. informační společnosti. Proto bychom si z něj měli odnést i určitá poučení, abychom se vyvarovali budoucích chyb.

Za naprosto rozhodující a klíčové považuji to, že nové zákony i další opatření musí vznikat jako "komplexní řešení". Mám tím na mysli to, že musí jít o citlivé a vyvážené řešení, které bere ohled na všechny aspekty existence a fungování lidské společnosti, včetně záležitostí technologických, morálních, etických. Jde totiž o řešení problémů, které svým dopadem jsou také "komplexní", a nelze je tudíž řešit jen s ohledem na dosažení optimálního výsledku v jedné složce, resp. v jednom aspektu (s tím že jiné aspekty autory nezajímají). Je třeba počítat s tím, že dnešní společnost, a o to více budoucí společnost informační, bude složitou soustavou, kterou je potřeba udržovat ve vyváženém stavu, a ne ji naopak vyvádět z rovnováhy izolovaným působením jen na jednotlivé prvky či stránky.

Fungující a svůj účel naplňující zákon takového charakteru, jakým je zákon o elektronickém podpisu, proto musí být výsledkem aktivní spolupráce lidí z více oborů. Nemohou jej připravit pouze odborníci zabývající se kryptologií a šifrováním, protože nemají dostatečné povědomí o právních otázkách. Stejně tak jej ale nemohou připravit pouze právníci, protože nemají dostatečné povědomí o technologických aspektech. Podobně tomu bude i u dalších zákonů na naší cestě k informační společnosti - nemají-li to být zcela zcestné "zákony pro zákony", pak nutně musí vznikat jako výsledek aktivní a chtěné spolupráce lidí z různých oborů.

Přístup ve stylu "je to zákon, tak zde dávám za pravdu právníkům" je stejně nepřijatelný jako aktivní odmítání dialogu, se zdůvodněním ve stylu "vy mi k tomu nemáte co říci". V konkrétním případě zákona o elektronickém podpisu ještě zasáhla "vyšší moc" (v podobě schválení závazné direktivy EU), která umožnila tolik potřebným způsobem "vyvážit" návrh zákona i přes aktivní odpor jeho původních autorů. Ale můžeme se na podobnou "vyšší moc" spoléhat i u dalších budoucích zákonů?