Vyšlo na Lupě, 09.01.2017
Vytištěno z adresy: http://www.earchiv.cz/b17/b0109001.php3

Měl premiér Sobotka proč stahovat z internetu obrázek se svým podpisem?

V soukromoprávních vztazích má dnes i pouhý obrázek (sken) vlastnoručního podpisu na el. dokumentu stejné právní účinky jako vlastnoruční podpis na listinném dokumentu.

Minulý týden probleskla médii informace o tom, že premiér Bohuslav Sobotka nechal z Twitteru stáhnout obrázek se zápisem do pamětní knihy zámku v Lánech, na kterém byl jeho vlastnoruční podpis. S odůvodněním, že se bojí zneužití svého podpisu.

Všimla si toho jak masovější média (např. iDnes.cz, Aktualne.cz, Novinky.cz, TV Nova), tak i média ryze bulvární (např. Blesk, Bleskově), nemluvě již o Parlamentních listech. Většina z nich to ale jen konstatovala, některá přidala i nějaký ten posměšek. Našel jsem pouze jeden zdroj, který poukázal na to, že premiérův vlastnoruční podpis (a nejenom jeho) visí na internetu na kdejakém rohu.

Nikdo se ale moc nezamýšlel nad podstatou věci: je nějaký důvod obávat se zneužití vlastnoručního podpisu, když někde bude zveřejněn a kdokoli si může udělat jeho kopii (sken, resp. screenshot)?

Můj názor je: ano, je důvod se obávat zneužití. A to kvůli velmi problematickému § 7 odst. 1 zákona č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce.

Pojďme si to nyní rozebrat podrobněji.

Lze to považovat za projev vůle?

Čtenářům Lupy určitě není třeba popisovat, že když je někde (například na internetu) dostupný obrázek něčího vlastnoručního podpisu, že kdokoli může tento obrázek vzít (zkopírovat) a připojit k jakémukoli textu, který ho napadne.

 
Příklad
 

Sám jsem to předváděl snad na všech kurzech elektronického podpisu (a také třeba v tomto článku zde na Lupě) jako příklad něčeho, co by rozhodně nemělo být „právně relevantním“ podpisem. A přítomní „lidé od práva“ vesměs souhlasili s tím, že něco takového nemůže být považováno za projev vůle toho, komu přisuzujeme původ oné křivky, reprezentující vlastnoruční podpis. Již jen proto, že nemusí mít ani tušení (natož pak souhlasit s tím), že někdo úplně jiný „přilepil“ obrázek s křivkou jeho podpisu k takovému textu, jaký si sám vymyslel.

Problém je v tom, že tuto elementární skutečnost si neuvědomili zákonodárci a nechali se přesvědčit, aby do adaptačního zákona k nařízení eIDAS (zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce) dali ustanovení, které i takovémuto "obrázkovému" podpisu přisuzuje stejné právní účinky, jaké má vlastnoruční podpis. Byť nikoli pro právní jednání vůči orgánům veřejné moci, ale jen v soukromoprávních vztazích. Tedy jen mezi fyzickými a právnickými osobami. Například pro právní jednání (v elektronické podobě) mezi fyzickými osobami navzájem či mezi fyzickou osobou a bankou, poskytovatelem půjčky, operátorem, utilitou atd.

Ono ustanovení (§ 7 odst. 1) jde dokonce tak daleko, že nemusí jít ani o obrázek s vlastnoručním podpisem. Stačí třeba jen napsat něčí jméno (a příjmení). Vzato do důsledku, nemusí to být ani jméno, ale úplně cokoli (elektronického). Třeba i jen jednička nebo nula.

Hezkou analogii pro listinnou podobu jsem nedávno našel v tomto článku (který vřele doporučuji k přečtení, byť jde o „hodně právnický“ text):

Vyhověl by postup, při kterém by fyzická osoba podepsala listinu tak, že by na bloček papírků Post-It ležící vedle listiny napsala křížek a vrchní papírek s ním pak přichytila na listinu.

Kdo nese důkazní břemeno?

Jak už bývá zvykem, různí právníci mají na věc různý názor. Rozpory se točí zejména kolem toho, jak vykládat §561 a §562 nového občanského zákoníku, které hovoří o písemné formě právního jednání obecně, i konkrétně v elektronické podobě. A jak už v oblasti práva bývá zvykem, lze se setkat s různými výklady.

Od těch přísnějších, které vyžadují, aby se z podpisu na elektronickém dokumentu dalo poznat alespoň něco, a něco se také dalo dodatečně zkoumat a ověřovat, až po názory, podle kterých stačí k podepsání prakticky cokoli. S argumentem, že stačí, když podpis deklaruje (tvrdí) identitu podepsané osoby, ale už ji nemusí ověřovat (potvrzovat). Jinými slovy: že stačí jen předpoklad (presumpce) toho, že dokument někdo podepsal – a že tento předpoklad může, ale nemusí být pravdivý. Protože to se řeší až v případě sporu, kdy důkazní břemeno mohou nést různé strany (podle toho, o jaký dokument jde a co je předmětem sporu). A pokud to takto nestačí (pokud je třeba mít dopředu jistotu o tom, kdo podpis vytvořil), pak je nutné místo vlastnoručního podpisu použít podpis úředně ověřený. 

Pravdou je, že u listinných dokumentů to v praxi takto skutečně funguje: když někde někomu předložíte dokument opatřený (pouze) vlastnoručním podpisem, jeho pravost - tedy to, že jej skutečně vytvořil ten, jehož identita je tvrzena/deklarována - se nezkoumá a věří se v ni. Až na případné výjimky, jako třeba při výběru peněz na přepážce banky, kdy se podpis porovnává s podpisovým vzorem. Kromě těchto výjimek se pravost vlastnoručního podpisu skutečně zkoumá až v případě sporu, cestou písmoznalce a porovnávání různých vzorků vlastnoručních podpisů od téže osoby.

U soukromoprávních listin je obecný princip takový, že důkazní břemeno pravosti vlastnoručního podpisu má ten, kdo pravost tvrdí a odkazuje se na ni. Funguje to jako určitá pojistka (byť jen dodatečná) proti zfalšování vlastnoručního podpisu: osobě, jejíž identita je tvrzena/deklarována, stačí popřít, že podpis vytvořila – a je na protistraně, aby prokázala, že jde o jeho/její podpis.

Aby ale takováto pojistka nebyla zneužívána, objevil se v novém občanském zákoníku § 565.  Když si jej přeložíme do češtiny, říká, že s důkazním břemenem je to obráceně (oproti výše uvedenému), pokud jde o osobu, která listinu „zjevně podepsala“:

Je na každém, kdo se dovolává soukromé listiny, aby dokázal její pravost a správnost. Je-li soukromá listina použita proti osobě, která listinu zjevně podepsala, nebo proti jejímu dědici nebo proti tomu, kdo nabyl jmění při přeměně právnické osoby jako její právní nástupce, má se za to, že pravost a správnost listiny byla uznána.

V zásadě je to logické a správné: pokud někdo něco skutečně podepsal, ale pak by tvrdil, že tomu tak není, musel by to prokazovat on, a nikoli protistrana.

V případě listinných dokumentů a jejich vlastnoručních podpisů praxe asi již dokáže poznat situaci, kdy by mělo dojít k takovémuto přenesení důkazního břemene na druhou stranu. Tedy posoudit, zda někdo něco „zjevně podepsal“. I díky tomu, že zde stále je co zkoumat – nejenom samotný tvar vlastnoručního podpisu, ale třeba i stáří papíru a inkoustu atd.

Jenže výše citovaný §565 platí obecně, a tedy i pro elektronické podpisy na elektronických dokumentech (coby listinách, dle § 3026 odst. 1 NOZ). Takže i pro ně rozhoduje o tom, zda důkazní břemeno nese jedna, či druhá strana.

Kdy někdo „zjevně podepsal“ elektronický dokument?

Jak ale posuzovat to, zda někdo „zjevně podepsal“ nějaký elektronický dokument? Kdy je to „zjevné“?

Jistě není těžké nahlédnout, jak nesmírně důležité je to (kvůli §565 NOZ) pro posuzování právě takových případů, jaký vidíte na dnešním prvním obrázku. Má jedna strana prokazovat, že obrázek s vlastnoručním podpisem skutečně „vlepil“ do elektronického dokumentu ten, komu křivku na obrázku přisuzujeme? Nebo má naopak tato osoba (druhá strana) prokazovat, že tak neučinila?

Alespoň podle mého názoru lze o „zjevném podepsání“ hovořit v případě zaručených elektronických podpisů, založených na kvalifikovaném certifikátu. Tedy v případě toho, co naše současná legislativa označuje jako uznávaný podpis. V předchozí právní úpravě to dokonce bylo zakotveno přímo v zákoně (§ 3 odst. 2 zákona č. 227/2000 Sb. o elektronickém podpisu).

Ale v případě ostatních variant tomu tak již není! Nemůže to být zjevné dokonce ani v případě (pouhého) zaručeného elektronického podpisu, protože ani ten nezaručuje identitu podepsané osoby!

Jeho název (konkrétně přívlastek „zaručený“) by to sice mohl naznačovat, ale je to jen špatný překlad z anglického „Advanced Electronic Signature“ (zkratkou AdES), kde anglické „Advanced“ znamená pokročilý, rozvinutý apod. Například na Slovensku jej překládají jako zdokonalený elektronický podpis, v Německu jako Fortgeschrittene elektronische Signatur (doslova: pokročilý el. podpis).

Jen u nás již od roku 2000 systematicky překládáme anglické „Advanced Electronic Signature“ jako „zaručený elektronický podpis“, a tím účinně mateme sami sebe. Nejen uživatele, ale i zákonodárce, kteří opakovaně dávají do právních předpisů požadavek jen na zaručený el. podpis i tam, kde je zapotřebí vyšší forma, která skutečně něco zaručuje. Příkladem z poslední doby může být třeba tato vyhláška.

V souvislosti s příchodem nařízení eIDAS (a jeho adaptačním zákonem) jsme měli vhodnou šanci tuto svou dávnou terminologickou chybu napravit. Sám jsem to v příslušné pracovní skupině navrhoval, leč nestalo se tak.

Důvodem, proč (pouhý) zaručený el. podpis nezaručuje identitu podepsané osoby, je to, že neklade žádný požadavek na kvalitu (důvěryhodnost) certifikátu, o který se opírá. Nemusí to být kvalifikovaný certifikát, za jehož obsah ručí jeho (kvalifikovaný) vydavatel. Může to být jakýkoli certifikát, včetně takového, který si někdo vyrobí sám a napíše si do něj, cokoli ho jen napadne. Proto zaručený podpis nedokáže zaručit identitu podepsané osoby.

Jinými slovy: formou zaručeného elektronického podpisu se kdokoli může podepsat jménem kohokoli jiného. Hezky vidět je to na následujícím příkladu se zaručeným elektronickým podpisem literární postavy Josefa Švejka.

 
Příklad zaručeného elektronického podpisu literární postavy Josefa Švejka
 

Co je prostý elektronický podpis a jaké má účinky?

Pokud „podepsání“ nemůže být zjevné u (pouhého) zaručeného elektronického podpisu, tím spíše nemůže být zjevné ani u ještě nižší formy elektronického podpisu, kterou je tzv. prostý elektronický podpis (přesněji: elektronický podpis bez jakéhokoli přívlastku).

Takovýmto prostým elektronickým podpisem může být – podle nové právní úpravy, vycházející z unijního nařízení eIDAS - skutečně cokoli, co je elektronické (“data v elektronické podobě“) a co někdo použije jako svůj podpis:

data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání;

Nemusí to tedy být jen obrázek s naskenovaným vlastnoručním podpisem nebo například něčí fotografie, nákres, ikona apod. Stejně tak této definici vyhoví například kus textu, heslo, PIN apod. A vzato do důsledku, vyhověl by i jediný bit, nejspíše jedničkový (Kdo by se asi chtěl podepisovat nulou, že?:)

Ovšem výše zmiňovaný §7 nového zákona č. 297/2016 Sb., který adaptuje náš právní řád na nové unijní nařízení eIDAS, přisuzuje účinky vlastnoručního podpisu všem úrovním a variantám elektronických podpisů – včetně (pouze) zaručeného el. podpisu a včetně prostého el. podpisu. Byť jen v soukromoprávních vztazích:

K podepisování elektronickým podpisem lze použít zaručený elektronický podpis, uznávaný elektronický podpis, případně jiný typ elektronického podpisu, podepisuje-li se elektronický dokument, kterým se právně jedná jiným způsobem než způsobem uvedeným v § 5 nebo § 6 odst. 1.

Co hrozí?

Možnost podepisovat se při právním jednání (v soukromoprávních vztazích) jakýmkoli druhem elektronického podpisu, včetně pouhého prostého elektronického podpisu – například naskenovaného obrázku vlastnoručního podpisu – je podle mého názoru velmi nešťastná a nedomyšlená. A v kombinaci s oním obrácením důkazního břemene (§565 NOZ) je nebezpečnou nahrávkou na smeč všem, kteří by chtěli podvádět a zneužívat.

Naštěstí uchráněna snad zůstane oblast převodu nemovitostí, protože ČÚZK včas rozpoznal hrozící nebezpečí (že by někdo triviálně zfalšoval podpisy na smlouvě o převodu nemovitosti, a pak vše posvětil zapsáním do katastru) a prosadil si výjimku z §7 zákona č. 297/2016 Sb. (jde o § 7 odst. 2 zákona č. 256/2013 Sb. katastrální zákon, pozor na stejné číslování). Ale jiné oblasti takto chráněny nebudou.

Snad se třeba banky, operátoři, utility a další obdobné subjekty budou chovat obezřetně a budou aktivně omezovat možnosti zneužití. Ale u subjektů na druhé straně barikády, které sází na lidskou naivitu až hloupost, se bojím přesného opaku.

Na závěr si dovolím znovu doporučit k přečtení tento článek, který detailněji (a do hloubky) popisuje celý problém s prostými elektronickými podpisy. Dovolím si také ocitovat jeho samotný začátek:

Nahradí elektronický podpis prostý ten tradiční vlastnoruční?

Stačí kliknout a je podepsáno? Bude možné poklepáním na tlačítko „Souhlasím“ v prohlížeči elektronicky podepsat souhlas k lékařskému pokusu na člověku podle § 96 občanského zákoníku („o z.“)? Lze běžnou zprávou elektronické internetové pošty vystavit věřiteli ručitelské prohlášení podle § 2018 o. z. a založit tak své ručení? Můžete podle § 2053 o. z. uznat svůj údajný dluh dokumentem z textového editoru, na jehož konci jen napíšete kurzívou své jméno a příjmení s doložkou „ve smyslu podpisu“? Nebo tak snad podle § 1314 o. z. uzavřete smlouvu zástavní?

Příklady spojuje kogentní požadavek soukromého práva na písemnou formu právního jednání. V tradičním světě by na závěr listiny bylo nutné připojit vlastnoruční podpis. To by osobu přimělo se zabývat obsahem listiny a podpis odmítnout, ledaže tak právně jednat chce.
Tento článek varuje, že od 19. září 2016 jsou uvedené možnosti zřejmě v souladu s právem ČR.

Mimochodem, také si od vás půjčuje Andrej Babiš?

 
Ilustrační příklad uznání dluhu (nikoli pravé uznání dluhu
 

P.S. Toto je pouze ilustrační příklad, nikoli pravé uznání dluhu.