Vyšlo na Lupě, 25.6.2012
Vytištěno z adresy: http://www.earchiv.cz/b12/b0625001.php3

Jak budou fungovat elektronické podpisy po 1. červenci?

Při přípravě nové prováděcí vyhlášky k elektronickému podpisu zvítězila snaha vydat ji včas před snahou napsat ji správně. Výsledkem pak je další rána celé problematice elektronického podpisu.

Pro oblast elektronizace, veřejné správy a celého eGovernmentu bude přelom letošního června a července opravdu významným milníkem, a to dokonce vícenásobným. Dojde totiž k souběhu hned několika významných událostí, z nichž každá by sama o sobě docela „stačila“ na poměrně zásadní změnu. Zde je výčet toho, co by mělo nastat k 1.7.2012:

  • do ostrého provozu budou spuštěny základní registry. To by mělo zcela zásadním způsobem změnit způsob fungování celé veřejné správy, s významnými dopady i na občany při jejich jednání s úřady. Jak už jsem ale psal nedávno zde na Lupě v samostatném článku, zdaleka ne všechno je na spuštění připraveno.
  • budou aktivovány datové schránky všem advokátům a daňovým poradcům (kteří si je dosud nezřídili a neaktivovali sami). Díky tomu by se veškeré doručování advokátům (například od soudů) mělo odehrávat již jen v elektronické formě. Bude velmi zajímavé sledovat, jak to dopadne. Jak si advokáti a poradci poradí s nástrahami elektronických dokumentů, s problematikou elektronických podpisů a také eventuálních konverzí.
  • účinnosti nabude zákon č. 167/2012 Sb., který novelizuje zákon č. 227/2000 Sb., o elektronickém podpisu, stejně jako zákon č. 499/2004 Sb., o archivnictví a spisové službě. O problémech, které tato novela přináší, jsem psal zde na Lupě již v květnu, v samostatném článku s názvem: „Elektronické podpisy: z bláta do louže“.

  • účinnosti nabude nová vyhláška č. 212/2012 Sb., o „postupech pro ověřování platnosti zaručeného elektronického podpisu“, a také o „struktuře údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu“.

Dnes bych se rád podrobněji věnoval poslednímu bodu, tedy nové prováděcí vyhlášce. Jak už ale avizuji v perexu, moc optimistické to nebude.

Proč nová vyhláška?

Formálním důvodem pro vydání nové vyhlášky je zrušení stávající vyhlášky č. 496/2004 Sb. (o elektronických podatelnách) k 1.7.2012, a zmocnění pro ministerstvo vnitra (v  zákoně č. 167/2012 Sb.), aby vydalo vyhlášku novou. Již ale s poněkud upraveným „záběrem“: dosavadní vyhláška primárně řeší fungování elektronických podatelen, a jen jako jakýsi dodatek říká, jak má elektronická podatelna postupovat, pokud ověřuje platnost nějakého elektronického podpisu či značky. Nová vyhláška má už řešit právě a pouze práci s elektronickými podpisy, a nikoli již fungování elektronických podatelen jako takových. Proto je také nová vyhláška nazývána „vyhláškou o ověřování platnosti zaručeného elektronického podpisu“.

Resort vnitra na základě příslušného zmocnění skutečně stihl novou vyhlášku včas vydat, tak aby mohla platit (nabýt účinnosti) k 1.7.2012. Vyšla již ve Sbírce, jako vyhláška č. 212/2012 Sb. Vnitro si tedy může udělat příslušnou čárku za splněný úkol. Jinou věcí je ale kvalita, užitečnost  a celkový přínos výsledku.

Co je na nové vyhlášce špatně?

Ze svého pohledu vidím hlavní problém v tom, že nová vyhláška vůbec nereaguje na dění, ke kterému došlo v oblasti elektronického podpisu za poslední roky. Namátkou: přímo aplikovatelné Rozhodnutí komise 2011/130/ES uložilo již v loňském roce všem členským zemím používat nové formáty elektronických podpisů (tzv. referenční formáty). Takže je třeba říci, jak konkrétně s nimi pracovat. Nová vyhláška ale o nových formátech, nařízených Unií, nic netuší a nezabývá se jimi.

Stejně tak v mezidobí vyvstala potřeba práce s elektronickými dokumenty v delším časovém horizontu, zejména pokud jde o tzv. „digitální kontinuitu“ a možnost ověření platnosti podpisů v delším časovém horizontu. Jde o celou problematiku tzv. dlouhodobě ověřitelných elektronických podpisů, neboli o koncept LTV (Long Term Validation). Ani tím se vyhláška nezabývá.

Nebo problematika více podpisů na jednom dokumentu: aby byl takový dokument platně podepsán, musí být možné ověřit všechny podpisy jako platné? Nebo stačí alespoň jeden, a žádný nesmí být ověřen jako neplatný? Nebo to má být ještě nějaká jiná kombinace?

Či taková zcela zásadní věc, jakou je samotné prohlášení elektronického podpisu za platný či neplatný. To samo o sobě není triviální – kdy, přesněji za jakých podmínek, může být výsledkem ověřování konstatování, že podpis je platný? Kdy musí být výsledkem konstatování, že podpis je neplatný? A co ve všech ostatních případech? Zejména pokud postup ověřování nemůže být dokončen?

Intuitivně by se jistě dalo očekávat, že vyhláška „o ověřování platnosti elektronického podpisu“ bude primárně řešit právě takovéto „logické“ otázky a podmínky platnosti či neplatnosti. Bohužel je neřeší. Zabývá se pouze postupy a kroky, které je třeba učinit v rámci ověřování. Nikoli ale výsledky těchto kroků. Neřeší, jak musí tyto kroky dopadnout, aby se nějaký konkrétní podpis mohl prohlásit za platný, či naopak za neplatný. Tedy jaké podmínky mají být splněny atd. A jaké má být výsledné konstatování ohledně ověřovaného podpisu, pokud splněny nejsou.

Jinými slovy: vyhláška vám neřekne, jak poznat platný či naopak neplatný podpis. V čem přeci jen pomůže, je získat alibi: vyhnout se případnému nařčení, že jste v rámci ověřování neudělali některý z nezbytných kroků.

Možná, že je to všechno jen důsledkem nesprávné formulace zmocnění, které autoři vyhlášky dostali:

Ministerstvo stanoví prováděcím právním předpisem strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, a postupy pro ověřování platnosti zaručeného elektronického podpisu, elektronické značky, kvalifikovaného certifikátu, kvalifikovaného systémového certifikátu a kvalifikovaného časového razítka.

Zde se skutečně hovoří pouze o „postupech“, a nikoli o nějakých výsledcích či podmínkách pro prohlášení podpisu za platný či naopak neplatný.

Ale možná je to spíše dáno snahou vydat novou vyhlášku včas, v předepsaném termínu, a nezdržovat se zásadnějšími změnami jejího obsahu. Pokud si totiž srovnáme dosavadní vyhlášku (č. 496/2004 Sb., o elektronických podatelnách) a novou vyhlášku (č. 212/2012 Sb.), zjistíme, že jsou velmi podobné: původní vyhláška řešila fungování podatelen a v příloze vyjmenovávala kroky, které má podatelna učinit při ověřování platnosti konkrétního podpisu na doručené datové zprávě. Novou vyhlášku pak v zásadě tvoří pouze ona příloha původní vyhlášky, jen s několika málo změnami. I ty ale mají poměrně zásadní význam. Rozeberme si některé z nich podrobněji.

Čas doručení i bez doručování?

Když autoři nové vyhlášky odstraňovali vše, co se týká elektronických podatelen, jednu věc nedocenili: že nemohou zachovat „okamžik doručení“. Protože ten má smysl pouze v kontextu podatelen a přenosu dokumentů či celých datových zpráv. A nemá smysl tam, kde se nic nepřenáší. Třeba u dokumentů, dlouhodobě uložených někde v archivu, nebo umístěných „jen tak“ na disku, flash paměti apod.

Původně, když ještě bylo vše zasazeno do kontextu podatelen a jejich fungování bylo konkrétněji definováno, mělo smysl operovat s „okamžikem doručení“ a dalo se na něj nějak spoléhat. Konkrétně se dal tento okamžik využít jako okamžik, ke kterému se ověření provádělo. Ve smyslu: splnění podmínek, nutných pro platnost či postačujících pro neplatnost podpisu, se vyhodnocovalo k tomuto časovému okamžiku. Nově, bez elektronických podatelen, už ale žádný okamžik doručení nemusí ani existovat. Přesto s ním nová vyhláška stále operuje a říká, že ověřování platnosti se provádí právě k okamžiku doručení:

Okamžikem, ke kterému je ověřována platnost kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu, je okamžik doručení datové zprávy.

Problém přitom není jen v tom, že „okamžik doručení“ nemusí vůbec existovat. Protože i tam, kde k nějakému přenosu a doručení přeci jen došlo, není nijak stanoveno, jak věrohodně a spolehlivě má být onen „okamžik doručení“ získán, zachycen a uchováván. Například: je nutné přitom mít správně seřízené hodinky, nebo na jejich správném chodu nezáleží? A když už se nějaký časový údaj při doručení „sejme“, stačí ho jen tak napsat na nějaký „kus papírku“ a tím pak operovat? Nebo je nutné postupovat nějakým konkrétním (dostatečně spolehlivým a důvěryhodným) způsobem?

Pokud by někdo chtěl podvádět, třeba antidatovat nějaký konkrétní elektronický podpis (nejspíše aby mohl tvrdit, že vznikl ještě před revokací podpisového certifikátu), jak snadné by pro něj bylo vyrobit vhodný „okamžik doručení“? Srovnejme si to s časovými razítky, která jsou řádným a korektním způsobem zachycení časového okamžiku, ve kterém nějaká data již existovala: musí se jednat o kvalifikovaná časová razítka, u kterých zákon velmi přesně a přísně stanovuje všechny jejich náležitosti, včetně způsobu jejich vydávání a odpovědnosti toho, kdo je vydává. Takže podvádět je u nich prakticky nemožné.

Zde se ale najednou časovým razítkům „předřadí“ něco (onen okamžik doručení), na co nejsou kladeny vůbec žádné požadavky, a co tedy není nijak chráněno proti podvodům. A jde skutečně o „předřazení“, které tomuto způsobu prokazování existence v čase dává přednost před časovými razítky. Vyhláška totiž v zásadě říká, že časové razítko se má brát do úvahy až v případě, kdy podpisový certifikát není platný „k okamžiku doručení“ (viz §3/2 vyhlášky).

Když byla popisovaná vyhláška v připomínkového řízení, snesla se na adresu předmětného ustanovení vlna kritiky (i od mé maličkosti). Autoři vyhlášky zareagovali tím, že přidali další možnost:

Okamžikem, ke kterému je ověřována platnost kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu, je okamžik doručení datové zprávy, případně nejčasnější časový okamžik, ve kterém již prokazatelně existoval zaručený elektronický podpis nebo elektronická značka založené na certifikátu, jehož platnost je ověřována.

To je ale jen úkrok z bláta do louže: sice se tím vychází vstříc situacím, kdy žádný okamžik doručení neexistuje, ale opět se nekladou žádné konkrétní požadavky na ono „jiné“ zachycení v čase. Jistě, je zde uvedeno „prokazatelně“, takže v případě sporu se s tím soud jistě nějak vyrovná: posoudí, co podle něj je a co není prokazatelné, a podle toho rozhodne. Ale jak má podle tohoto ustanovení fungovat běžná každodenní praxe, bez uchylování se k nákladným a vleklým soudním sporům? Jak by mělo být toto ustanovení zabudováno do programů, které ověřují platnost elektronických podpisů?

Přitom řešení by bylo tak jednoduché: nevymýšlet žádné specifické české cesty a vymoženosti. Místo „okamžiku doručení“ použít aktuální čas a vše ostatní nechat jen na (kvalifikovaná) časová razítka.

Jednoznačná identifikace?

Další problematickou částí nové vyhlášky je způsob, jakým se vyrovnává se svým druhým úkolem: stanovit

strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat

To se týká obsahu certifikátů: i ty kvalifikované mohou obsahovat například jen jméno a příjmení toho, komu byl certifikát vystaven. Ale to na jednoznačnou identifikaci nestačí, protože osob stejného jména a příjmení (včetně eventuálních titulů) může být více. Proto onen požadavek na přidání takových dalších údajů, které umožňují jednoznačně identifikovat držitele certifikátu, a tím i podepsanou osobu.  

Pro přesnost: stejný požadavek existoval i před nynější novelou, ale byl vázán na způsob použití uznávaného podpisu:

Pokud je uznávaný elektronický podpis užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná.

Možná i proto, že nebylo úplně jasné, co všechno spadá do „užití v oblasti orgánů veřejné moci“, byl stejný požadavek nově zabudován přímo do definice uznávaného podpisu, jako jeho nutná podmínka:

(3) Uznávaným elektronickým podpisem se rozumí
a) zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby,

Konkrétní strukturu příslušných údajů měla za úkol stanovit už původní vyhláška č. 496/2004 Sb., o elektronických podatelnách. Podle neoficiálních informací se ale při jejím vzniku „pohádalo“ vnitro s resortem práce a sociálních věcí o to, čí identifikátor má být v této roli použit. A tak tehdy vše skončilo zajímavým kompromisem, ve stylu uspokojení nutričních potřeb vlka, ale se zachováním integrity kozy:

Údaj, na jehož základě je možné osobu jednoznačně identifikovat, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295 a je spravován ústředním orgánem státní správy. Jeho hodnota není zaměnitelná s rodným číslem a nesmí být osobním údajem podle zvláštního právního předpisu.

Když nynější nová vyhláška vznikala, už to vypadalo, že se konečně řekne, o jaký konkrétní identifikátor se má jednat: do uvedeného ustanovení mělo přibýt konstatování, že identifikátor „je přidělován Ministerstvem práce a sociálních věcí“. Nakonec to ale dopadlo ještě horším kompromisem než v dosavadní vyhlášce. Protože ve výsledném textu nové vyhlášky, který byl publikován ve Sbírce, je už jen tato věta:

Údaj, který umožňuje jednoznačnou identifikaci podepisující osoby, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295.

Takže místo opravy dřívějšího problému došlo dokonce k jeho další eskalaci. Teď už ani nemusí jít o identifikátor, který spravuje nějaký orgán veřejné správy. O nějaké identifikaci, natož pak jednoznačné, si tedy můžeme nechat zdát.

Je třeba čekat 24 hodin

Jednu konkrétní změnu – a to věcně správnou – ale nová vyhláška přeci jen přináší. Týká se práce se seznamy revokovaných certifikátů, neboli tzv. CRL seznamů, relevantních pro posuzování platnosti podpisů a značek.

Dosavadní vyhláška požadovala, aby se stav revokace podpisového certifikátu posuzoval v závislosti na okamžiku doručení:

Rozhodným seznamem zneplatněných certifikátů je pro tyto účely seznam, jehož platnost začíná bezprostředně po čase doručení datové zprávy

To mělo smysl jen tam, kde existoval okamžik doručení (u podatelen), ale hlavně to bylo věcně chybné. Jednak to nebralo v úvahu časová razítka a nutnost posuzovat stav revokace k okamžiku nejstaršího časového razítka, ale stejně tak to nebralo v úvahu zpoždění, které může vznikat při vydávání CRL seznamů a které může dosahovat až 24 hodin. Nová vyhláška toto všechno už zohledňuje, když v zásadě říká, že je nutné čekat, v krajním případě i oněch 24 hodin:

Je-li k ověření užit seznam zneplatněných certifikátů, pro ověření je rozhodným seznamem poslední seznam, který byl vydán ve lhůtě 24 hodin od okamžiku, ke kterému je platnost certifikátu ověřována, případně každý následující seznam vydaný před koncem intervalu platnosti ověřovaného certifikátu.

Toto ustanovení má poměrně významné praktické důsledky, zejména u těch podpisů, které nejsou opatřeny či jinak „překryty“ kvalifikovaným časovým razítkem, a jejich platnost je proto nutné posuzovat (správně) k aktuálnímu časovému okamžiku: pak je nutné počkat oněch 24 hodin, a teprve pak je možné provést kontrolu případné revokace podpisového certifikátu.

V případě podpisů opatřených kvalifikovaným časovým razítkem je situace jiná: zde je nutné odpočítat 24 hodin od okamžiku přidání časového razítka. Pokud toto proběhlo před více jak 24 hodinami, již se na vydání nového CRL seznamu čekat nemusí. Ale zase hrozí nebezpečí, že příslušný „starý“ CRL seznam již nebude k dispozici. Jenže to už je zase o konceptu elektronických podpisů s možností dlouhodobého ověření (LTV), ke kterému se nová vyhláška bohužel ještě nedostala.

Možná je to všechno jedno

Na závěr malé povzdechnutí: možná že jsou všechny výše popisované nářky úplně zbytečné. Evropská unie totiž připravuje opatření (ve formě Nařízení Evropského parlamentu a Rady), které by celou naši právní úpravu elektronického podpisu mohlo velmi brzy smést ze stolu a nahradit ji přímo aplikovatelnou (a pochopitelně i závaznou) celounijní úpravou celé problematiky elektronického podpisu, ale také elektronické identifikace, doručování v elektronické podobě (tj. toho, co dělají naše datové schránky) atd. Zde na Lupě jsem to nedávno popisoval v samostatném článku s názvem „Přijdeme o svou e-suverenitu?“. Možná i proto (s touto vidinou) se ministerstvo vnitra s novou vyhláškou „příliš nepáralo“.

Podle posledních a zcela neoficiálních zpráv je ale otázkou, zda a jak brzy bude příslušné nařízení skutečně prosazeno. Protože ty členské státy, které v Unii o něčem skutečně rozhodují, prý mají na věc jiný názor a chtějí vše zásadněji změnit.  A nejspíše i pozdržet.