Elektronický podpis čekají změny
Patnáct let je hodně dlouhá doba. Tedy alespoň ve světě digitálních technologií, kde čas doslova letí a změna střídá změnu. To s lidskými znalostmi a schopnostmi nové technologie ovládat je to horší. Zde jakoby čas plynul pomaleji, protože lidem trvá poměrně dlouho, než se s něčím sžijí a naučí pracovat. No a snad nejpomaleji se vyvíjí zákony a z nich vycházející právní úprava konkrétních technologií.
Třeba takový elektronický podpis: jeho právní úprava, vycházející z evropských směrnic, bude brzy slavit již své patnáctiny. A i přes určité dílčí novely je dnes přeci jen dosti obstarožní. Protože technologie mezitím vyspěly mnohem více. Ale co uživatelé? Někteří se elektronický podpis naučili používat zcela rutinně, zatímco pro jiné zůstal tajemnou španělskou vesnicí.
Za této situace se rýsují na obzoru dvě významné snahy o změnu, svou logikou jdoucí jakoby proti sobě.
Jedna z nich se snaží zachovat stávající principy podepisování v elektronické formě, a pouze aktualizovat právní úpravu tak, aby lépe odpovídala současnému stavu technologií, ale třeba i požadavkům na bezpečnost a na jednotnost v rámci celé Evropské unie. Jde konkrétně o chystané evropské nařízení o tzv. důvěrytvorných službách (službách, vytvářejících důvěru), známé i pod zkratkou eIDAS.
Pro běžné uživatele přinese eIDAS jednu podstatnou změnu, na první pohled asi ne úplně příjemnou: už se neobejdete bez čipové karty nebo USB tokenu. Protože pro vytváření takových elektronických podpisů, které budou míst stejnou váhu jako vaše vlastnoruční podpisy, a úřady je budou povinné akceptovat, už nebude možné nechat svůj soukromý klíč a odpovídající certifikát "jen tak někde válet". Například uložený pouze v systémovém úložišti počítače. Už bude muset být bezpečněji uložen právě na čipové kartě či USB tokenu.
Je elektronické podepisování moc složité?
To druhá snaha o změnu je podstatně radikálnější a jakoby vychází z konstatování, že elektronické podepisování je pro běžné smrtelníky příliš složité. A tak je chce této složitosti zbavit, tím že ji jako horkou bramboru "hodí" na někoho jiného, kdo má šanci ji lépe zvládnout. A to i za cenu změny některých základních principů, na které jsme si zvykali celá dlouhá století. Zkusme si to trochu více přiblížit.
U klasických papírových dokumentů jsme zvyklí na to, že se podepisujeme sami, na vlastní dokumenty: že něco napíšeme na papír, a pak k tomu připojíme vlastní rukou svůj podpis. Tedy tzv. vlastnoruční podpis. A jen v některých případech, kde "jde o hodně", musíme jít za někým, podepsat svůj dokument před ním a požádat ho, aby on stvrdil, že jsme se podepsali my. Jistě už tušíte, že zde jde o tzv. úředně ověřený podpis, pro který musíte jít "na úřad", nebo třeba za notářem či za advokátem. Protože on je tím, kdo vás "nechá se podepsat".
Teď si ale zkuste představit, že by existovala pouze tato druhá možnost, neboli úředně ověřený podpis. Že byste se už nemohli podepisovat sami, ale vždy byste museli jít za někým, kdo by vás "nechal se podepsat".
Pokud si toto představíme v elektronické podobě, bylo by to právě to řešení, které by umožnilo zbavit běžné smrtelníky složitosti a nástrah elektronického podepisování: místo nich by se vše musel naučit a zvládnout někdo jiný. Protože pouze on by doopravdy elektronicky podepisoval takové dokumenty, které obvykle také sám připravil. A podepisoval by je na znamení toho, že vy s nimi projevujete svůj souhlas.
Aby to ale mohlo být dostatečně důvěryhodné, musí ten, kdo na znamení vašeho souhlasu elektronicky podepisuje nějaký dokument, k němu připojit něco, co je pro vás unikátní a co nemá nikdo jiný. Aby se z toho dalo dovodit, že jste to skutečně byli vy, kdo projevil svůj souhlas s příslušným dokumentem, když jste mu "to něco" dali. Stačila by třeba kapka vaší krve, ale to by nebylo moc praktické. Nebo třeba vaše slina, kvůli vzorku DNA. Ale jen si to představte: vyjadřovat svůj souhlas s něčím tak, že na to plivnete. To se ve slušné společnosti nedělá.
Naštěstí ani nemusí, protože existují i jiné "vzorky", které mohou být pro vás dostatečně charakteristické a unikátní. Třeba vaše řeč, váš způsob chůze, nebo váš způsob podepisování. Použít by se asi daly všechny, ale právě způsob podepisování má jednu velkou výhodu: vytváří vám iluzi něčeho, na co jste běžně zvyklí a co dobře znáte. Tedy iluzi toho, že vy něco podepisujete. Zde je to ale jinak: váš podpis, spolu s tím jak ho vytváříte (jak rychle pohybujete perem, jak na něj tlačíte atd.), je sejmut jako onen "váš vzorek" a přiložen k tomu dokumentu, se kterým vyjadřujete svůj souhlas. A teprve pak, po přiložení tohoto vašeho vzorku, je výsledný celek elektronicky podepsán - a to tím, kdo vám celý tento postup zprostředkovává.
Dost možná, že jste se s tímto postupem již setkali. Říká se mu různě, ale nejčastěji se v souvislosti s ním používá termín "dynamický biometrický podpis". Ve skutečnosti je ale dynamickým biometrickým podpisem pouze onen "váš vzorek", který někdo jiný sejme. Obvykle pomocí nějaké destičky, na které svůj podpis vytvoříte. A pak tento "váš vzorek" přiloží k příslušnému dokumentu a na znamení vašeho (i svého) souhlasu opatří svým vlastním podpisem. Nyní již řádným elektronickým podpisem (případně elektronickou značkou), tak jak to příslušné technologie elektronického podepisování vyžadují.
Stále častěji to tak dělají banky, telekomunikační operátoři, utility (jako vodárny, plynárny atd.), či různé přepravní služby a další subjekty. Obecně ti, kteří původně pracovali s velkými objemy klasických papírových dokumentů, a nyní přechází na čistě elektronické dokumenty. Protože to pro ně může být opravdu výhodné. A pro vás?
Pravdou je, že pro vás je to skutečně jednodušší. Nemusíte se zabývat čímkoli "elektronickým", protože to za vás řeší někdo jiný. Vy mu ale musíte dostatečně důvěřovat. Přinejmenším v tom, že když získá onen "váš vzorek" (váš dynamický biometrický podpis), že s ním bude nakládat korektním způsobem. Zejména že ho - na znamení vašeho souhlasu - nepřiloží k nějakému úplně jinému dokumentu, o kterém nemáte ani tušení.