Vyšlo na Lupě, 04.05.2015
Vytištěno z adresy: http://www.earchiv.cz/b15/b0504001.php3

eIDAS klepe na dveře, jeho služby už mají své logo

Česká republika se již připravuje na účinnost nařízení eIDAS a na služby vytvářející důvěru. Jaké konkrétní otázky se řeší v souvislosti s elektronickým podpisem?

Tak už je to potvrzené: již tuto středu, 6. května 2015, Evropská komise představí světu svou novou vizi Jednotného digitálního trhu (DSM: Digital Single Market). Uvidíme, nakolik se bude lišit od již uniklé verze, kterou jsem zde na Lupě popisoval přesně před týdnem.

Nicméně některé stavební kameny tohoto nového Jednotného digitálního trhu již jsou připraveny, či alespoň známy. Například minulý týden k nim přibyla značka evropských služeb vytvářejících důvěru (formálně: značka důvěry EU).

Jde o nové logo, kterým se budou moci – byť jen dobrovolně a nikoli povinně  – pyšnit kvalifikovaní poskytovatelé evropských služeb vytvářejících důvěru, stejně jako jejich služby. Samozřejmě jen pokud budou splňovat požadavky, které na ně kladou příslušná unijní nařízení (konkrétně nařízení č. 910/2014, známé jako eIDAS). Zákazníkům a uživatelům má toto logo usnadnit jejich orientaci a poskytnout určité záruky ohledně poskytovatelů a jejich služeb.

 
Oznámení o vítězném návrhu loga
 

V praxi by toto logo mohly používat například kvalifikované certifikační autority, pro sebe i své služby. Stejně tak by se jím mohly pyšnit systémy elektronické identifikace a příslušné prostředky (např. čipové karty, používané pro dostatečně spolehlivou identifikaci). Či třeba kvalifikované služby elektronického doručování (na které zřejmě chtějí aspirovat naše datové schránky).

Pro zajímavost si dodejme, že logo vzešlo ze soutěže s názvem e-Mark U Trust, určené studentům designu a dalších uměleckých oborů. Nakonec zvítězil návrh Igora Štumbergera ze Slovinska, který vidíte na předchozím obrázku. Další dva návrhy, které se dostaly do finále, vidíte na následujícím obrázku.

 
O vítězi rozhodovala veřejnost
 

Vítězné logo vybírala veřejnost, a sám jsem dal svůj hlas právě prostřednímu (nakonec vítěznému) návrhu. Zvykněme si na něj, protože jej asi budeme vídat častěji. Ovšem až v příštím roce (2016): Komise musí nejprve (do 15.7.2015) připravit konkrétní pravidla pro používání tohoto loga.

Hlavně ale: relevantní pasáže samotného nařízení 910/2014 (eIDAS), které vymezuje samotné služby vytvářející důvěru (a jejich poskytovatele), začnou být účinné až od poloviny příštího roku.

Začínají práce na „dopadech“ nařízení eIDAS

Když už jsme u nařízení eIDAS, řekněme si, jak pokračují práce na jeho „dopadech“. Nikoli na jeho „přijetí“, protože jde o přímo účinný právní předpis, který se netransponuje do národních legislativ. Platí okamžitě (svým uveřejněním v úředním věstníku EU, což se již stalo), a účinnosti nabývá podle toho, co je v něm uvedeno. Pro většinu služeb vytvářejících důvěru půjde o již zmiňovanou polovinu příštího roku.

Nicméně to zdaleka neznamená, že by jednotlivé členské země mohly jen pasivně čekat s rukami v kapse. Musí konkrétně reagovat dopady, které toto nařízení bude mít na další (národní) zákony. Podle odhadu ministerstva vnitra, který jsem v nedávných dnech zaznamenal na jedné konferenci, by eIDAS měl mít dopad na 120 našich zákonů. 

Jen pro ilustraci, o co například jde: naše dnešní zákony operují s pojmem uznávaný elektronický podpis. Nařízení 910/2014 (eIDAS) ale mění terminologii (i věcné vymezení), a tak všechny odkazy na uznávaný el. podpis (ve všech zákonech) bude třeba změnit na odkazy na kvalifikovaný elektronický podpis. K tomu bude nejspíše třeba nový „dopadový“ (či: implementační) zákon, který nahradí současný zákon č. 227/2000 Sb. o elektronickém podpisu, a současně znovelizuje další zákony (z oněch 120, na které eIDAS má mít dopad).

Změny kolem elektronického podpisu ale budou jen jednou částí celkové mozaiky. Další změny budou nutné i kolem datových schránek (zákona č. 300/2008 Sb.), kolem archivnictví a spisových služeb (zákona č. 499/2004 Sb.), dohledu nad certifikačními autoritami a dalšími poskytovateli atd. A to jsme se ještě nezmínili o elektronické identifikaci, kterou bychom také měli zavést.

Na nedávné konferenci ISSS (Internet ve státní správě a samosprávě) pak Ministerstvo vnitra informovalo o tom, že zřídilo celkem 6 pracovních skupin, které se zabývají řešením těchto „dopadů“ do různých oblasti:

 
Z prezentace zástupce MV ČR
 

Vzhledem k termínu (polovina příštího roku), kdy by potřebné legislativní změny měly již být účinné, byl už opravdu nejvyšší čas.

Není všechno zlato, co se v eIDAS blyští

Podívejme se nyní podívat trochu podrobněji na to, jaké otázky se konkrétně musí vyřešit v oblasti elektronických podpisů. Právě na jejich příkladu je totiž docela dobře vidět, že nařízení eIDAS se sice snaží vytvořit jednotné prostředí a jednotné podmínky v rámci celé EU (když už jde o jeden ze základních stavebních kamenů jednotného digitálního trhu) – ale že „je to těžké“. Zejména proto, že autoři nařízení (i ti, kteří jej přijímali), museli postupovat kompromisním způsobem a velmi pečlivě vyvažovat své formulace tak, aby nikoho (příliš) nenaštvaly, nebo nepřekročily určité meze toho, co je kdo (z členských zemí) ochoten akceptovat, či alespoň tolerovat.

Výsledkem pak bohužel jsou taková ustanovení, která nejsou jednoznačná, či nemusí na první pohled dávat valný smysl – a je nutné složitě pátrat po jejich logice a smyslu. Či dokonce taková ustanovení, která jsou prakticky zcela nepoužitelná.

Co je v eIDASu špatně?

Příkladem takového ustanovení, které je (alespoň podle mého názoru) nesprávné a v praxi nepoužitelné, je ustanovení týkající se postupu ověřování platnosti elektronických postupů. Říká totiž, že při ověřování se má zkoumat, zda relevantní podmínky (nutné pro možnost prohlásit konkrétní el. podpis  za platný) byly splněny „k okamžiku podpisu“ (viz článek  32).

Nechme stranou to, že takovéto technické detaily by asi neměl řešit zákon, ale až nějaký prováděcí předpis (tak je tomu např. u naší současné právní úpravy el. podpisu, kdy postup ověřování řeší vyhláška č. 212/2012 Sb.). Podstatné je, že „okamžik podpisu“, ve smyslu jeho vytvoření, nikdy neznáme tak, abychom se na něj mohli spoléhat. K samotnému el. podpisu se sice „nějaký čas“ vždy přidává, ale ten je brán ze systémových hodin, které si každý může přetočit, jak ho jen napadne. Pro ilustraci malý příklad, který obvykle používám na svých kurzech elektronického podpisu:

 
Příklad el. podpisu s úmyslně zfalšovaným údajem o době vzniku podpisu
 

Proto i dnešní (tuzemská) právní úprava říká, že se splnění relevantních podmínek posuzuje k takovému (nejstaršímu) okamžiku, ke kterému máme jistotu, že podpis již existoval. Což je v praxi okamžik přidání (nejstaršího platného kvalifikovaného) časového razítka. Nebo „právě teď“, neboli k aktuálnímu času, pokud žádné časové razítko není k dispozici. Případně se lze „opřít“ i o nějaký jiný (dostatečně spolehlivý) údaj o čase – ale rozhodně se nelze opírat o časový údaj, převzatý z „libovolně přetočitelných“ hodin počítače, na kterém podpis vzniká.

Bude proto velmi zajímavé, jak se s tímto problémem „dopadové zákony“ vypořádají. Zda se jim podaří celý problém nějak „překlenout výkladem“ (třeba ve smyslu toho, že okamžikem podpisu se rozumí okamžik přidání časového razítka, nebo aktuální čas). Jinak se obávám, že by se s elektronickými podpisy nadále nedalo pracovat (ve smyslu: spoléhat se na ně).

A hlavně: jak se takováto věc vůbec mohla do eIDASu dostat? To si toho nikdo nevšiml? Nebo jde i zde o nějaký kompromis, a do nařízení se muselo napsat A – s vědomím, že stejně to všichni budou interpretovat jako B?

Jakou právní sílu má mít elektronický podpis?

Dalším významným aspektem nařízení č. 910/2014 (eIDAS) je to, že se na jedné straně velmi snaží  sjednotit „prostředí“ a podmínky ve všech členských zemích, ale na druhé straně přeci jen nechává určité věci k dopracování na národní úrovni. Nejde přitom jen o takové „maličkosti“, jako určení konkrétní výše pokut za nedodržení té či oné povinnosti. Týká se to i tak podstatných věcí, jakými jsou právní účinky samotných služeb vytvářejících důvěru. S tím, že určité „základní věci“ nařízení stanovuje direktivně, ale zbytek obecně ponechává na členských zemích (viz článek 22 nařízení):

Je na vnitrostátním právu, aby vymezilo právní účinky služeb vytvářejících důvěru, nestanoví-li se v tomto nařízení jinak.

Konkrétně u elektronických podpisů nařízení explicitně stanovuje, že tzv. kvalifikovaný elektronický podpis má mít stejnou právní sílu jako vlastnoruční podpis. Nejprve to říká recitál 49:

Toto nařízení by mělo zavést zásadu, že elektronickému podpisu by neměly být upírány právní účinky na základě skutečnosti, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikovaný elektronický podpis. Právní účinky elektronických podpisů v členských státech by však měly být vymezeny vnitrostátním právem, s výjimkou požadavků stanovených v tomto nařízení, podle něhož by měl mít kvalifikovaný elektronický podpis rovnocenný právní účinek jako podpis vlastnoruční.

a následně i článek 25:

2. Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu

V praxi ale kvalifikovaný elektronický podpis (resp. u nás dnes používaný uznávaný podpis) dokáže zajistit více, než co dokáže zajistit vlastnoruční podpis. Například: z vlastnoručního podpisu („na papíře“) vůbec nemusíte poznat, o čí podpis by se mělo jednat. Může to být zcela nečitelný „klikyhák“, ze kterého nepoznáte vůbec nic – a jen doufáte, že patří tomu, o kom si myslíte, že je to jeho podpis.

To u kvalifikovaného (uznávaného) elektronického podpisu žádný „klikyhák“ neexistuje. Naopak zde byl někdo, kdo velmi důkladně a přesně identifikoval toho, kdo podpis vytvořil: jde o (kvalifikovanou, resp. akreditovanou) certifikační autoritu, ke které se žadatel o (kvalifikovaný) certifikát musel dostavit osobně a prokázat se platnými doklady.

Po stránce své „síly“ (důvěryhodnosti, ….) je tedy kvalifikovaný (resp. dnešní uznávaný) elektronický podpis srovnatelný spíše s úředně ověřeným (vlastnoručním) podpisem. A třeba na Slovensku (kde našemu uznávanému el. podpisu říkají zaručený el. podpis) našli dost odvahy k tomu, aby jej skutečně prohlásili za odpovídající úředně ověřenému podpisu (je-li doplněn časovým razítkem):

Zaručený elektronický podpis (ZEP) – je plnohodnotnou náhradou vlastnoručného podpisu, a ak je doplnený časovou pečiatkou, je ekvivalentom notársky overeného podpisu. Má preto využitie najmä pri komunikácii so štátnou správou.

To u nás jsme ekvivalenci uznávaného el. podpisu s podpisem zaručeným zavedli alespoň nepřímo, u některých konkrétních úkonů: takových, které „na papíře“ vyžadují ověřený (vlastnoruční) podpis, ale v elektronické formě pro ně postačuje uznávaný elektronický podpis. Příkladem za všechny budiž zákon č. 300/2008 Sb. (o elektronických úkonech a autorizované konverzi) a žádosti o zřízení datové schránky, pro které platí ustanovení §27 odst. 2:

Úředně ověřený podpis žádosti podle § 3 odst. 4, § 4 odst. 5 a § 5 odst. 5 se nevyžaduje, je-li žádost podepsána před zaměstnancem státu zařazeným v ministerstvu nebo zaměstnancem zařazeným v kontaktním místu veřejné správy anebo je-li podepsána uznávaným elektronickým podpisem.

Jestliže ale nyní eIDAS klade kvalifikovaný (dnes: uznávaný) elektronický podpis na roveň pouze podpisu vlastnoručnímu, není to krok zpět? A proč to vlastně dělá?

Odpovězme si nejprve na druhou otázku: eIDAS nemohl přirovnat právní účinky kvalifikovaného podpisu k podpisu úředně ověřenému nejspíše proto, že samotný institut ověřeného podpisu existuje jen v některých členských zemích, ale ne ve všech. Třeba ve Velké Británii mají jen vlastnoruční podpis. A pokud potřebují nějakou „větší sílu“, místo úředně ověřeného podpisu (který neznají) nechávají příslušný dokument podepsat (opět formou vlastnoručního podpisu) nějakým nestranným svědkem či svědky.

Takže nařízení eIDAS vlastně šlo cestou „největšího společného jmenovatele“ přes všechny členské země – a tudíž zůstalo jen u vlastnoručního podpisu, který je v některých členských zemích „nejvyšší“ formou podpisu.

Na druhou stranu tím, jak eIDAS ponechává právní účinky na členských zemích – a to nejenom účinky podpisů, ale i nejrůznějších právních úkonů – nebrání (alespoň podle mého názoru) tomu, aby konkrétní členské země pro konkrétní úkony nadále vystačily s kvalifikovaným elektronickým podpisem tam, kde „na papíře“ požadují úředně ověřený podpis. Viz výše zmiňovaný příklad se žádostmi o zřízení datové schránky. A tedy (v konkrétních případech) fakticky stavěly kvalifikovaný el. podpis na roveň podpisu ověřenému.

Jinými slovy: na současném stavu by se s účinností eIDASu vlastně nemuselo (fakticky) nic měnit.

Má či nemá elektronický podpis identifikovat podepsanou osobu?

Otázka ekvivalence mezi kvalifikovaným (dnes u nás: uznávaným) elektronickým podpisem na straně jedné, a vlastnoručním nebo ověřeným podpisem na straně druhé rozhodně není samoúčelná. Souvisí třeba i s takovou zásadní věcí, jako je požadavek na jednoznačnou identifikaci osoby, které má podpis patřit (tzv. podepsané osoby, či: podepisující osoby).

Jak jsme si již naznačili výše, u vlastnoručního podpisu (nikoli ověřeného) nemusíme vůbec poznat, komu skutečně patří (viz „klikyhák“, ze kterého nic nepoznáme). To u ověřeného podpisu je to jinak: zde ověřující osoba (notář, advokát, pověřený úředník) musí konkrétně identifikovat osobu, jejíž podpis ověřuje, a za správnost tohoto ověření také ručí.

Jak tomu ale má být u elektronických podpisů, zejména u těch kvalifikovaných (dnes: uznávaných)? Zde musím konstatovat, že i odborná komunita kolem elektronických podpisů je názorově rozdělena: část zastává názor, že elektronické podpisy (ani ty kvalifikované) nemají sloužit k identifikaci podepsané osoby, a tato identifikace se má řešit jinak. Přitom argumentují například právě ekvivalencí s vlastnoručním podpisem.

To druhá část lidí kolem elektronických podpisů (ke které se hlásím i já) naopak soudí, že když elektronické podpisy mohou zajišťovat jednoznačnou identifikaci, měly by tak činit (byť až na úrovni uznávaných, resp. kvalifikovaných el. podpisů).

K tomu si dodejme, že naše dnešní právní úprava (zákon č. 227/2000 Sb.) jednoznačnou identifikaci podepsané osoby požaduje, a to právě (až) od uznávaného elektronického podpisu. Byť konkrétní způsob, jakým to řeší vyhláška č. 212/2012 Sb., má do správnosti hodně daleko.

Jenže, a to je to podstatné: k jakému názoru se kloní unijní nařízení č. 910/2014, alias eIDAS?

Požaduje eIDAS jednoznačnou identifikaci podepsané osoby?

Na první pohled by se mohlo zdát, že eIDAS nepožaduje jednoznačnou identifikaci podepsané osoby. Nebo alespoň ne přesněji, než na úrovni pouhého jména a příjmení (přičemž lidí se stejným jménem a příjmením nemusí být nijak málo).

eIDAS totiž trvá pouze na tom, aby v kvalifikovaném certifikátu bylo uvedeno jméno a příjmení držitele. Další údaje o držiteli tam mohou být uvedeny také, ale jen volitelně (dobrovolně), a hlavně: celkový „účinek“ certifikátu to nesmí ovlivnit. Ten musí být stejný, ať tam další údaje o držiteli (kromě jména a příjmení) uvedeny jsou, či naopak nejsou.

Alespoň podle mého názoru ale požadavek na jednoznačnou identifikaci v eIDASu vyplývá z něčeho jiného, než jsou požadavky na samotný obsah certifikátů (v příloze I nařízení): z požadavků na ověřování platnosti (článek 32 nařízení).

Zjednodušeně řečeno: aby mohl být konkrétní (kvalifikovaný) elektronický podpis ověřen jako platný (dle článku 32), musí mít ověřující osoba k dispozici unikátní soubor dat, identifikujících držitele certifikátu, a tím i podepsanou osobu. A pokud takováto data nejsou obsažena přímo v kvalifikovaném certifikátu (což nemusí), pak je spoléhající se strana musí obdržet „nějak jinak“.

Svým způsobem je to tedy stejné, jako naše současná právní úprava (zákon č. 227/2000 Sb., o el. podpisu): ta také požaduje pouze to, aby kvalifikovaný certifikát obsahoval jméno a příjmení svého držitele. Další údaje – zejména unikátní identifikátor držitele, jakým je např. IK MPSV – kvalifikovaný certifikát obsahovat může, ale pouze volitelně, se souhlasem držitele. Ovšem samotná definice uznávaného el. podpisu (§ 11 odst. 3 písm. a) zákona č. 227/2000 Sb., o elektronickém podpisu) už unikátní identifikátor vyžaduje. Aby se tedy kvalifikovaný certifikát (od tuzemské certifikační autority) dal využít pro vytváření uznávaných el. podpisů, onen unikátní identifikátor v něm obsažen být musí.

Jinými slovy a lapidárněji: i dnes si v ČR můžete nechat vystavit kvalifikovaný certifikát bez unikátního identifikátoru. Ale moc vám neposlouží - nebudete ho moci využít pro takové elektronické podpisy, které je veřejná správa povinna akceptovat (tj. uznávané el. podpisy).

Nové nařízení eIDAS to zavádí (téměř) stejně: také si můžete nechat vystavit kvalifikovaný certifikát jen se jménem a příjmením, a bez dalších údajů, identifikujících vaši osobu. Pak jej dokonce můžete využít při vytváření kvalifikovaných el. podpisů (které nahradí naše dnešní uznávané el. podpisy). Ale takovéto podpisy nebudou moci být ověřeny jako platné.

Co požadoval původní návrh eIDAS-u?

Na podporu předchozího tvrzení si dovolím popsat, jak se relevantní požadavky nařízení postupně vyvíjely. 

Pokud se podíváme na původní návrh nařízení, tak jak jej v roce 2012 navrhla Komise, pak ten původně požadoval něco jiného než dnes: aby v certifikátu byla uvedena taková data, která jednoznačně identifikují držitele. A mezi nimi nesmělo chybět jeho jméno a příjmení. : 

Kvalifikované certifikáty pro elektronické podpisy obsahují:
.......
c)  soubor dat jednoznačně označujících podepisující osobu, jíž je certifikát vydán, včetně alespoň jména podepisující osoby nebo pseudonymu, který je jako takový označen;

Současně původní návrh požadoval, aby při ověřování platnosti podpisu měla ověřující (spoléhající se) strana k dispozici informace („soubor dat“), jednoznačně určující podepsanou osobu:

Kvalifikovaný elektronický podpis se považuje za platný, pokud
…...
d) spoléhající se straně je řádně poskytnut soubor dat jednoznačně označujících podepisující osobu;

Tento požadavek ale v zásadě znamenal, že spoléhající se strana musí mít k dispozici certifikát, na kterém je podpis založen - protože certifikát musel právě takováto data povinně obsahovat.

Jenže: tento původní návrh neříkal, jak má vypadat onen „soubor dat jednoznačně označujících podepisující osobu“. Asi i proto se při projednávání celého návrhu v evropském parlamentu objevil pozměňovací návrh, který chtěl upřesnit, že (kromě jména a příjmení) má jít o unikátní identifikátor držitele certifikátu:

Kvalifikované certifikáty pro elektronické podpisy obsahují:
.......
c) soubor dat jednoznačně označujících podepisující osobu, jíž je certifikát vydán, včetně alespoň (v zemích, kde je podporován) unikátního identifikátoru držitele (vhodného pro automatizované zpracování) a jména podepisující osoby nebo pseudonymu, který je jako takový označen;

Problém tohoto návrhu ale byl v tom, že zaváděl dosti markantní „nejednotnost“ mezi jednotlivé členské země, a šel tak příliš otevřeně proti snahám o sjednocení (o „jednotný trh“ i pokud jde o certifikáty a el. podpisy). Protože některé členské země skutečně nemusí podporovat unikátní identifikátory).

Proto to europoslanci nakonec udělali jinak: požadavek na unikátní identifikátor (resp. obecnější „jedinečný soubor dat identifikujících podepisující osobu“) zachovali, ale „přemístili ho“ – z požadavků na obsah kvalifikovaného certifikátu do požadavků na ověřování el. podpisů.

Následující úryvek ukazuje změnu požadavku na obsah kvalifikovaného certifikátu (přeškrtnutá je původně navrhovaná verze, nepřeškrtnutá je verze finální a platná):

Kvalifikované certifikáty pro elektronické podpisy obsahují:
......
c)  soubor dat jednoznačně označujících podepisující osobu, jíž je certifikát vydán, včetně alespoň jména podepisující osoby nebo pseudonymu, který je jako takový označen;
c) alespoň jméno podepisující osoby nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;

Konečně následující úryvek ukazuje, jak se změnil požadavek na dostupnost dat, potřebných pro možnost ověřit konkrétní kvalifikovaný el. podpis jako platný:

Kvalifikovaný elektronický podpis se považuje za platný, pokud ….
d) spoléhající se straně je řádně poskytnut soubor dat jednoznačně označujících podepisující osobu;
d) spoléhající se straně je řádně poskytnut jedinečný soubor dat identifikujících podepisující osobu v certifikátu;