Elektronické podpisy: z bláta do louže?
K 1.7.2012 nabude účinnosti novela zákona o elektronickém podpisu. Napravuje některé již překonané aspekty, nedomyšlenosti či přímo chyby v legislativní úpravě el. podpisů. Současně ale přináší řadu nových nejasností i nepříjemných praktických problémů.
Elektronický podpis je v našem právním řádu zakotven již od roku 2000. V mezidobí jeho právní úprava prošla řadou novelizací, ke kterým se v brzké době přidá další. Jde o “společnou“ novelu, která mění jak zákon č. 227/2000 Sb., o elektronickém podpisu, tak i zákon č. 499/2004 Sb., o archivnictví a spisové službě. A spolu s nimi opravuje (spíše než novelizuje) celou řadu dalších právních předpisů.
Prezident republiky popisovanou novelu podepsal již 4. května, ale dosud ještě nevyšla ve Sbírce zákonů. K tomu by mělo dojít v nejbližších dnech – a 1.7.2012 by vše mělo nabýt účinnosti.
Udělejme si nejprve stručný přehled toho, co všechno se k uvedenému datu změní, pokud jde o elektronické podpisy (a značky):
- mění se definice tzv. uznávaného podpisu (tj. toho, který je „právně závazný“ a je postaven na roveň vlastnoručnímu podpisu) a zpřesňuje se povinnost jeho používání ve veřejné správě i ve vztahu k veřejné správě. Současně s tím dochází k opravě ve všech ostatních zákonech, které místo pojmu „uznávaný“ dosud chybně požadovaly jen (mnohem slabší) „zaručený“ podpis.
- mění se definice pojmu „datová zpráva“, neboli toho, co je podepisováno: nově se připouští i to, že se může jednat o data v podobě souboru
- mění se pravidla uchovávání informací o vydaných a revokovaných kvalifikovaných certifikátech
- ministerstvo vnitra dostává zmocnění k vydání prováděcí vyhlášky, která má stanovit postupy ověřování platnosti elektronických podpisů a značek i certifikátů
- nevyřešen zůstává asi největší problém, kterým je existence tzv. vyvratitelné domněnky pravosti (v zákoně č. 499/2004 Sb. o archivnictví a spisové služeb). Ta není odstraněna, pouze drobně upravena, a její samotná existence v našem právním řádu nadále způsobuje zcela zásadní koncepční rozpor ohledně toho, jak nakládat s elektronickými dokumenty v dlouhodobém časovém horizontu
- určitým způsobem novela reaguje i na Rozhodnutí Komise 2011/130/ES z února loňského roku, které zavádí tzv. referenční formáty podpisů (BES či EPES). Těm, kteří tyto nové formáty nepoužívají, zákon ukládá povinnosti jdoucí významně nad rámec samotného Rozhodnutí.
Co bude mít největší bezprostřední dopady?
Největší dopady pro každodenní praxi očekávám od posledně zmiňovaného bodu. Protože ten v zásadě říká, že při výkonu veřejné moci by měly být používány jiné formáty elektronických podpisů (a značek), než jaké jsou používány dnes – právě ony referenční formáty (PAdES-BES a EPES, jde-li o PDF dokumenty).
Obávám se, že dnes tak nečiní prakticky nikdo, a že na tyto nové formáty není nikdo ani připraven, byť citované Rozhodnutí Komise je účinné již od srpna loňského roku. Naštěstí toto Rozhodnutí připouští i používání dosavadních formátů (PKCS#7, resp. CMS), za podmínky poskytnutí informací o tom, jak lze jejich platnost ověřit.
Jenže naše tuzemská novela jde mnohem dál, nad rámec Rozhodnutí Komise, a po každém orgánu veřejné moci či subjektu, který vykonává veřejnou moc a který chce nadále používat původní formáty podpisů, požaduje:
zpřístupnit k neomezenému a bezplatnému užití způsobem umožňujícím dálkový přístup aplikaci, která umožní okamžité ověření uznávaného elektronického podpisu nebo uznávané elektronické značky
V praxi se bude muset jednat o něco podobného jako je služba Secustamp, provozovaná společností Software602, a která již nové referenční formáty zvládá. Jenže by musela fungovat bezplatně, a také by musela odpovídat na to, na co se jí ptáte: když ji dnes požádáte o ověření platnosti elektronického podpisu na konkrétním dokumentu, řekne vám něco jiného: jaká je platnost podpisového certifikátu.
Nehledě na to, že Secustamp pracuje pouze s PDF dokumenty, zatímco ani Rozhodnutí Komise, ani popisovaná novela, se neomezují na žádný konkrétní formát dokumentů. Jinými slovy: nijak nebrání používání dalších formátů dokumentů (např. XML) a jejich podepisování.
Ono to ani nejde
Další velkou nepříjemností je to, že on-line aplikace, jakou nad rámec Rozhodnutí Komise požaduje nynější novela, ani dost dobře nemůže existovat. Problém je v onom „okamžitém ověření“, které u elektronicky podepsaných dokumentů bez časového razítka nepůjde realizovat.
Důvodem je skutečnost, že novela neřeší jiný letitý problém naší právní úpravy elektronického podpisu: stále nepožaduje po akreditovaných certifikačních autoritách, aby informace o stavu revokace (odvolání, předčasného zneplatnění) vydaných certifikátů zveřejňovaly v reálném čase pomocí OCSP protokolu. To dnes dělá jen I.CA, ovšem jen jako placenou službu (a pochopitelně jen pro „své“ certifikáty).
Zbývají proto jen seznamy CRL (Certificate Revocation List), které ale fungují na dávkovém principu a jsou zveřejňovány vždy s určitým časovým odstupem. Pro pozitivní ověření toho, že nějaký certifikát nebyl „na poslední chvíli“ revokován, je proto nutné počkat 24 hodin – a toto bude zaneseno i v prováděcí vyhlášce k postupu ověřování elektronických podpisů, kterou má nově vydat MV ČR (na základě zmocnění). Dnes je v návrhu této vyhlášky (v eKlepu) následující formulace:
Je-li k ověření užit seznam zneplatněných certifikátů, je pro tyto účely rozhodným seznamem první seznam vydaný alespoň 24 hodin od okamžiku, ke kterému je platnost certifikátu ověřována.
Tato formulace má bohužel ještě jeden nepříjemný problém v tom, že požaduje „první CRL seznam po 24 hodinách“, a nikoli „kterýkoli starší 24 hodin“, který by ještě obsahoval požadované informace. Celé je to trochu složitější, ale v zásadě jde o velmi praktickou záležitost: pokud by to zůstalo tak, jak je ve vyhlášce navrhováno (rozhodující by byl jen první seznam vydaný po 24 hodinách), a nedal se použít například druhý následně vydaný CRL seznam, třetí atd., musel by ověřující subjekt nejprve počkat oněch 24 hodin (což samo o sobě znemožňuje ono „okamžité ověření“), a pak přesně „chytit“ první CRL seznam, vydaný po uplynutí oněch 24 hodinách. Tedy alespoň pro elektronické podpisy bez kvalifikovaného časového razítka, které se musí ověřovat k aktuálnímu časovému okamžiku.
V případě elektronických podpisů opatřených kvalifikovaným časovým razítkem by to bylo ještě komplikovanější: jejich platnost se ověřuje k okamžiku, uvedenému v tomto časovém razítku. Pak by bylo nutné zpětně dohledávat onen „první CRL seznam, vydaný po 24 hodinách“ (od okamžiku v razítku). Ten navíc už ani nemusí být k dispozici.
U tzv. podpisů s dlouhodobou ověřitelností (LTV, Long Term Validation) se problém nedostupnosti starších CRL seznamů řeší tím, že se příslušný CRL seznam „přibalí“ k samotnému podpisu ještě v době, kdy je dostupný. Opět by to ale nesměl být například druhý, třetí atd., vydaný 24 hodin po okamžiku časového razítka, ale musel by to být právě a pouze ten první. A prokázat, že je to skutečně ten první, a ne druhý, třetí atd., by vyžadovalo mít dostatečně důvěryhodnou evidenci toho, v jakých časových okamžicích příslušná autorita vydávala své CRL seznamy.
Je vyvratitelná domněnka pravosti protiústavní?
Ještě větší problém, než s referenčními formáty, osobně spatřuji v zachování tzv. vyvratitelné domněnky pravosti (ještě v zákoně č. 499/2004 Sb., o archivnictví a spisové služeb). Tu jsem zde na Lupě, i při mnoha dalších příležitostech, opakovaně kritizoval kvůli tomu, že jakoby staví na hlavu celou logiku elektronických podpisů – a současně způsobuje, že lidé nucení pracovat s elektronickými dokumenty v delším časovém horizontu dostávají dva zcela protichůdné signály:
- jednou se jim říká, že se o své elektronické dokumenty musí aktivně starat. Že nestačí je pouze jednorázově opatřit elektronickým podpisem a časovým razítkem, ale je nutné je pravidelně (jednou za několik let) opatřit dalším časovým razítkem, aby se zachovala možnost ověření platnosti původního podpisu
- jindy, právě skrze vyvratitelnou domněnku pravosti, se jim říká přesný opak: že elektronické dokumenty stačí jednorázově opatřit jedním podpisem a jedním razítkem, a to „vystačí“ na libovolně dlouhou dobu – dokud někdo neprokáže opak.
Důvody pro první tvrzení jsou opět na delší povídání (které najdete například zdenebo zde), ale ve stručnosti jde o to, že s růstem schopností počítačů musíme neustále „přitvrzovat“ (zvyšovat výpočetní složitost) a tím bránit druhé straně v tom, aby v únosně krátké době vypočítala tzv. kolizní dokument (jiný dokument, ale se stejným podpisem), a ten podstrčila místo původně podepsaného dokumentu. Právě to má za úkol postupné přidávání oněch dalších časových razítek.
Pokud své elektronické dokumenty necháme jen tak někde ležet, a ani jinak nezabráníme záměně původního dokumentu za kolizní dokument, vlastně tím druhé straně podepisujeme bianco šek: ona si k našemu podpisu časem může přidat jiný (kolizní) dokument, přičemž náš podpis bude k tomuto dokumentu „sedět“ a bude moci být ověřen jako platný.
Navíc je vyvratitelná domněnka pravosti formulována tak, že přenáší důkazní břemeno z jedné strany na druhou: pokud by skutečně došlo k „podstrčení“ kolizního dokumentu, nemusel by podvodník prokazovat, že jeho kolizní dokument je původně podepsaným dokumentem. Naopak: oběť (podepsaná osoba) by musela prokázat, že jde o podvod a že ona původně podepsala jiný dokument. Vyvratitelná domněnka, jinak §69a/8 zákona 499/2004 Sb. totiž říká, že:
Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou …. a …. opatřen kvalifikovaným časovým razítkem.
Nynější novela tuto domněnku neodstraňuje, a pouze mění její formulaci: dnes ještě říká, že ono jedno časové razítko lze přidat kdykoli, bez jakéhokoli omezení. Nyní autoři novely snad chtěli říci, že časové razítko se musí přidat „včas“. Ale ani to se jim moc nepovedlo, protože i k tomu použili nesprávnou formulaci: mluví o tom, že razítko má být přidáno „za doby platnosti uznávaného elektronického podpisu“. Ta ale nikdy nekončí, protože elektronické podpisy, stejně jako podpisy vlastnoruční, nejsou „na dobu určitou“. Jakmile jednou platí, platí napořád. Omezena v čase je pouze možnost provést jejich ověření. Takže správně měli autoři novely požadovat přidání časového razítka ještě „za doby, kdy je možné ověřit platnost podpisu“.
Vraťme se ale ještě jednou k aspektu prokazování pravosti a přenosu důkazního břemene: právě díky tomuto by celá vyvratitelná domněnka mohla být „hodně špatně“ i po právní stránce. U „papírových“ listin totiž záleží na tom, zda jde o soukromou listinu, nebo o listinu veřejnou.
V případě veřejných listin platí, že pokud někdo chce rozporovat jejich pravost (tj. zda pochází od vystavitele), nese on důkazní břemeno: on musí prokázat opak. V případě soukromých listin je tomu ale jinak: dojde-li ke sporu o pravost, nese důkazní břemeno ten, kdo se snaží skrze soukromou listinu prokázat něco ve svůj prospěch.
Vyvratitelná domněnka pravosti ale tento rozdíl mezi soukromými a veřejnými listinami stírá, a z hlediska důkazního břemene, resp. dokazování pravosti je fakticky staví na stejnou úroveň. Tím ale zavádí významnou disproporci mezi elektronickou a listinnou („papírovou“) formou jednoho a téhož dokumentu: když by někdo měl nějakou soukromou listinu, ale v případě potřeby by nebyl schopen prokázat její pravost, stačilo by mu převést ji (autorizovanou konverzí) do elektronické podoby – a důkazní břemeno by přenesl na protistranu. Ona by v případě sporu musela prokazovat opak (nepravost). To asi není správně. Setkal jsem se i s názorem, že již jen kvůli tomuto aspektu by celá vyvratitelná domněnka pravosti mohla být protiústavní.
Další aspekty novely elektronického podpisu, zejména pokud jde o novou definici uznávaného elektronického podpisu a opravy jiných zákonů, si nechme na samostatný článek.