Recenze knihy: Elektronické právní jednání
V nakladatelství Wolter Kluwer vychází dlouho očekávaná právní monografie Vojtěch Kmenta (nejenom) o dopadech nařízení eIDAS a jeho širších souvislostech
Recenze knih nejsou zde na Lupě příliš obvyklé. A když už, jde o obvykle o tituly z počítačové branže, psané pro lidi, kteří mají k počítačům blízko. Sám jsem zde na Lupě publikoval recenze dvě, ale už poměrně dávno: v roce 2007 šlo o knihu Google Story a v roce 2003 o Umění klamu od Kevina Mitnicka.
Dnes bych rád přidal další recenzi, i když jde o úplně jiný druh titulu. O knihu s názvem Elektronické právní jednání, vydanou vydavatelstvím právnické a ekonomické literatury (Wolters Kluwer) a prezentovanou jako „právní monografie“. Jejím autorem je pan Vojtěch Kment, který se hlásí jak k profesi právníka, tak i k původní profesi počítačového inženýra.
Autor svou knihu charakterizuje jako „analýzu a výklad základních institutů právního jednání“, pochopitelně vycházejících zejména z unijního nařízení eIDAS, a rozebírá i jeho implementaci do právních řádů nejenom v ČR, ale i v Německu. Přidává srovnávací analýzu elektronického právního jednání podle práva EU, ČR a Německa a přináší také exkurz do obecné teorie právního jednání. V neposlední řadě autor ve své knize upozorňuje i na řadu oblastí, které jsou podle jeho názoru upraveny nedostatečně.
Moje hodnocení
V prvním přiblížení si tuto knihu dovolím zhodnotit jako „hodně právnickou“, určenou především právníkům. A to z celého širokého spektra „lidí od práva“ především těm, kteří se zajímají o „věci elektronické“. Pro čtenáře bez právnického vzdělání (jako jsem i já) je tato kniha dosti náročnou četbou.
Ostatně, kniha vychází ze stejnojmenné disertační práce autora, nedávno úspěšně obhájené na Právnické fakultě UK v Praze. Zveřejnění plného textu práce bylo odloženo o 3 roky od obhajoby, ale třeba číslování jednotlivých kapitol (podle odkazů v posudku jednoho z oponentů) je identické. A kapitola „Shrnutí“ v knize je prakticky shodná s abstraktem obhájené práce.
Přesto, či právě proto si myslím, že jde o titul, který může být zajímavý a přínosný i pro čtenáře Lupy. Alespoň pro ty, kteří jsou ochotni číst „hodně právnické“ texty, a mají zájem (či spíše odvahu) přemýšlet nad úkony, které děláme ve stále větší míře elektronickou cestou (v právnické terminologii: když právně jednáme elektronicky), mnohdy zcela automaticky a bez přemýšlení – protože tak nám to přišlo nejjednodušší či nejschůdnější. Či nám někdo řekl, že právě tak je to správně a tak to máme dělat a jinak by to bylo špatně.
Publikace se totiž zabývá věcmi, které se zde na Lupě opakovaně řešily a řeší, nejčastěji v souvislosti se službami eGovernmentu, ale i v oblasti e-commerce. Třeba: jaké právní účinky (a kdy) mají různé druhy elektronických podpisů a pečetí a jak vychází jejich srovnání s vlastnoručními podpisy na listinných dokumentech? Jaký druh elektronického podpisu či pečeti použít při komunikaci s úřady a jaké při soukromoprávním jednání? Jak na fikci podpisu v datových schránkách? Jak je to s kvalifikovanými prostředky a jejich certifikací? Mají prosté elektronické podpisy vůbec nějaký význam a využití? Jak rozumět tomu kterému ustanovení nařízení eIDAS či našeho adaptačního zákona (zákona č. 297/2016 Sb.)?
Pokud vás zajímají otázky takovéhoto typu, pak vám tato kniha může přijít velmi vhod. Nečekejte ale od ní konkrétní a jasně formulované odpovědi či přímo návody, jaké byste hledali v typickém počítačovém manuálu. Přeci jen jde o právnický text, který především „mapuje a rozebírá“ (analyzuje a vykládá). Nejde ani o tradiční právní titul charakteru „komentář k zákonu XY“.
Hlavní přínos knihy si dovolím vystihnout tak, že „konečně se někdo fundovaný systematicky podíval na danou problematiku v celé její šíři, přidal i srovnání se zahraničím, nad vším se zamyslel, prozkoumal i různé souvislosti – a teď nám říká jak svůj názor a pohled, místy i kritický, tak i tlumočí názory a pohledy dalších autorů“.
K absenci konkrétních a jednoznačných odpovědí si dovolím podotknout, že celá problematika elektronického právního jednání je záležitostí na jedné straně velmi „mladou“, ale současně velmi dynamickou co do svého vývoje a rostoucího významu. A její právní rámec, byť vlastně již nějak naformulovaný a formálně existující, se fakticky teprve „usazuje“.
Čím vším se kniha zabývá?
Celá kniha „Elektronické právní jednání“ od Vojtěcha Kmenta má v tištěné podobě přes 400 stran a velmi široký záběr. A to jak co do šíře aspektů, kterými se zabývá, tak i co do „časového“ a „geografického“ záběru: autor je v oboru aktivní dlouhodobě a již dříve se podrobněji zabýval jak původní právní úpravou elektronických podpisů na unijní úrovni (danou směrnicí Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999), tak i obdobnou úpravou v Německu, která je z roku 1997 a té unijní tak vlastně předcházela.
Jeho dnešní kniha, která vznikala postupně od roku 2013, je sice již orientovaná primárně na současnou právní úpravu (vycházející z unijního nařízení č. 910/2014, známého jako eIDAS), ale obsahuje mnohá zajímavá srovnání jak mezi oběma úpravami a vývojem v čase (od unijní směrnice z roku 1999 k nařízení eIDAS z roku 2014), tak i srovnání mezi ČR, Německem a unijní úpravou jako takovou.
Je to ostatně patrné i z pouhého výčtu kapitol celé knihy (celý podrobnější obsah si můžete stáhnout zde):
- Úvod a předmět monografie
- Právní jednání jako pojem práva ČR
- Právní jednání v soukromém německém právu
- Podpis a jeho funkce z pohledu práva
- Elektronické právní jednání
- Nařízení eIDAS (služby vytvářející důvěru)
- Implementace nařízení eIDAS v právu Německa
- Implementace nařízení eIDAS v ČR
- Právní jednání s elektronickým podpisem v ČR
- Elektronické právní jednání právnických osob (ČR)
- Souhrn a závěr
Vydavatelství Wolters Kluwer nabízí ke stažení jako ukázku také plný text první kapitoly. Jde o 10 stránek textu, ve kterých autor sám podrobněji popisuje záběr celé knihy i zaměření jednotlivých kapitol. Současně je z této ukázky patrný i styl autora a jeho psaní.
K tomu si dovolím dodat své hodnocení: tuto ukázkovou kapitolu řadím mezi ty snáze čitelnější, alespoň pro právního laika. Jiné kapitoly jsou na čtení přeci jen „těžší“, zatímco další jsou s tou první srovnatelné. Nejspíše to souvisí jak s autorovou disertační prací, tak i s tím, že různé části celého díla vznikaly v různých časových obdobích (což autor sám uvádí).
V první ukázkové kapitole autor zmiňuje i to, čemu se v knize již nevěnuje. Jako třeba té části nařízení eIDAS, která řeší problematiku elektronické identifikace. To by asi opravdu bylo na samostatnou knihu (i když třeba jeden z oponentů disertační práce je jiného názoru).
I tak je celá kniha hodně rozsáhlá a s velmi širokým záběrem. Přesto v ní ale jednu oblast docela postrádám, a to problematiku digitální kontinuity. Jde o věc, která již dnes docela zásadně ovlivňuje možnosti elektronického právního jednání – tím, jak se v čase ztrácí možnost ověření platnosti elektronických podpisů, a tím i možnost spoléhat se na ně i na jimi autentizované elektronické dokumenty.
Celá problematika digitální kontinuity je pak o tom, jak těmto jevům kontrovat – jak předcházet ztrátě možnosti ověřit platnost elektronického podpisu či pečeti po nějaké delší době. Mimochodem, nařízení eIDAS na to pamatuje kvalifikovanými službami pro tzv. uchovávání kvalifikovaných elektronických podpisů a pečetí (přičemž jednu takovouto službu už máme i v ČR).
Jak se autor staví k elektronickým pečetím?
V rámci této recenze, pro přiblížení obsahu a stylu knihy, bych se rád podrobněji zastavil u několika konkrétních věcí, které mne na knize zaujaly a které by snad mohly být zajímavé i pro čtenáře Lupy.
Tak například: autor ve své knize opakovaně uvádí, že má odlišný názor na význam elektronických pečetí, než jaký převažuje v právní nauce:
Jsem si vědom, že můj pohled na využití elektronických pečetí právnickými osobami, který předkládám v této monografii, částečně není českou právní naukou vůbec předpokládán ani zastáván. Přesto se domnívám, že je legitimní předložit svůj pohled k diskusi, neboť jeho akceptace by mohla být přínosná zejména pro právní jednání právnických osob v praxi. Domnívám se, že mne k tomu opravňují i nově předložené argumenty, vyplývající z hloubky provedené a předestřené analýzy…
Konkrétně jde o to, že jiní autoři právních textů považují elektronické pečeti jako určitou náhradu dřívějších elektronických značek, které se do našeho právního řádu dostaly jako řešení pro situace, kdy by elektronický podpis měl přidávat stroj (automat, resp. program), a nikoli člověk (fyzická osoba) – a nynější elektronické pečeti považují za náhradu značek:
„Dosavadní právní úprava znala institut elektronické značky, který bude nahrazen právě elektronickou pečetí“. Nebo: „...můžeme vyvodit, že elektronická pečeť je de facto elektronickou značkou právnické osoby.“
Zcela obdobně uvažovali již dříve jiní autoři (Smejkal – Kodl – Uřičař): „V Nařízení se [české elektronické] značky objevily, neboť všeobecná užitečnost takového nástroje je známa, a to jako ‚elektronické pečeti‘. Anglický termín ‚seal‘ mohl být ovšem přeložen také jako ‚razítko‘, neboť o to v Nařízení právě jde.“ Konsekventně také uvažují o tom, že účelem (zaručené) elektronické pečeti je být přídavným autentizačním technickým prvkem, asi jako bývá tradiční gumové razítko. Tito autoři si však již kladou otázku, proč není zaručená elektronická pečeť připuštěna pro fyzické osoby, zejména fyzické osoby podnikající, resp. to považují za vadu regulace v eIDAS.
Na to autor recenzované knihy, po podrobnějším rozboru, odpovídá takto:
Výše uvedené vede autora na odlišné právní hodnocení významu zaručené elektronické pečeti, než zastávají všichni výše uvedení čeští komentátoři a dost možná i další čeští právníci. Jestliže totiž znak automatizace právně není odlišujícím znakem zaručené elektronické pečeti, nemůže být ani jejím účelem. Pak je ale nutné se ptát, co je skutečným účelem zaručené elektronické pečeti v eIDAS. Dle autora jedinou zbylou odpovědí je, že právním účelem zaručené elektronické pečeti v eIDAS je být „něco jako podpis“ osoby právnické, aniž by právně podpisem výslovně byla. Z tohoto úhlu pohledu již zanikají i námitky, proč není zaručená elektronická pečeť dovolená fyzickým osobám.
V tomto mohu s autorem plně souhlasit: že původní elektronické značky nejsou to samé, jako dnešní pečeti. Protože dříve bylo „dělicí čárou“ mezi elektronickým podpisem a značkou to, zda vznikala „ručně“, či strojově (a pouze s podpisem byl spojen předpoklad seznámení se s podepisovaným textem). Dnes je „dělicí čarou“ mezi podpisem a pečetí to, „komu patří“ (zda fyzické či právnické osobě), a nikoli to, „jak vzniká“ (zda ručně, či strojově).
Jen mne docela překvapilo, že „v právních kruzích“ vůbec panuje výše naznačený pohled na pečetě coby přímou obdobu značek – což autor dokládá citáty a uvádí na pravou míru. Z mého pohledu „v počítačových kruzích“ s tím problém není.
Elektronická časová razítka jako dokumentová?
Co mne také docela překvapilo, je autorova interpretace §11 adaptačního zákona, která veřejnoprávním podepisujícím ukládá připojovat elektronické časové razítko ke všem elektronickým dokumentům, kterými právně jednají a které opatřují elektronickým podpisem nebo pečetí.
Příslušné ustanovení používá obrat „opatří podepsaný elektronický dokument kvalifikovaným elektronickým časovým razítkem“ (obdobně pro pečeti), což autor interpretuje následovně:
Znění §11 odst. 1 ZSVD autor vykládá tak, že se časovým razítkem QTS má opatřit spojení elektronického dokumentu a jeho podpisu QES, nikoli tedy například samotný QES.
To by mělo reálně znamenat, že místo „podpisových“ elektronických časových razítek (přidávaných k podpisům či pečetím) by veřejnoprávní podepisující měli přidávat tzv. dokumentová (též: archivní) elektronická časová razítka, a to k dokumentům jako takovým (nikoli k podpisům či pečetím). Rozdíl mezi oběma druhy razítek ilustruje následující obrázek.
Technicky to určitě možné je – běžně používané programy zvládají přidávat oba druhy časových razítek. Jen by to někdy mohlo být složitější pro podepisující (či „ručně“ pečetící) osobu, protože přidávání podpisového časového razítka se obvykle děje automaticky (v rámci podepisování, při správném nastavení), zatímco připojení dokumentového časového razítka většinou vyžaduje nějakou akci (kliknutí) navíc – a tady je prostor pro možné opomenutí.
Hlavně ale: podle mé zkušenosti většina programů, používaných pro ověřování platnosti elektronických podpisů a pečetí, dnes ještě nedokáže s dokumentovým časovým razítkem správně pracovat – v tom smyslu, že čas přidání dokumentového časového razítka nepoužije (jako tzv. rozhodný okamžik) pro vyhodnocení platnosti podpisu či pečeti na témže dokumentu. Přitom to, co ono dokumentové časové razítko dělá, je právě to, že poskytuje důkaz o existenci celého dokumentu (včetně jeho podpisu či pečeti) v čase – a právě to by při ověřování podpisu či pečeti mělo být zohledněno.
K problematice časových razítek si neodpustím citaci názoru jednoho z oponentů autorovy disertační práce (doc. JUDr. Radima Polčáka, Ph.D.), týkající se právě významu časových razítek:
Z konkrétních otázek zmínil bych především problematiku časových razítek. Kap. 6.7.2 se věnuje formě jejich užití a diskutuje otázky prodloužení ověřitelnosti zaručených podpisů nebo prokázání existence dat v určitém čase. Domnívám se, že doktorand se zde mohl vyjádřit ke specificky českému nešvaru, mohutně podporovanému poskytovateli certifikačních služeb, spočívajícímu v nadužívání časových razítek. V českém prostředí se totiž objevuje řada plevelných popularizačních publikací, které se snaží přesvědčit uživatele certifikačních služeb o tom, že zaručený elektronický podpis (resp. jeho deriváty) je prakticky nepoužitelný bez toho, aby byl opatřen časovým razítkem. Razítkovací mánie, mohutně podporovaná poskytovateli příslušných služeb, dostoupila u nás dokonce takového rozsahu, že byla reflektována naší zákonnou úpravou ….
Práce je naštěstí dostatečně odborně fundovaná na to, aby tento populární trend, stojící naše veřejné rozpočty nemalé peníze, nenásledovala, ale ani jej otevřeně nekritizuje.
Lze se spoléhat na tvrzený čas podpisu?
Osobně mám na problematiku časových razítek jiný pohled, než jaký vyplývá z výše citovaného názoru oponenta. I proto mne velmi zajímal názor autora na problematiku volby rozhodného okamžiku při ověřování platnosti elektronických podpisů podle článku 32 odst. 1 nařízení eIDAS. Jde o to, že podle tohoto ustanovení by rozhodným okamžikem (ke kterému se ověřuje splnění podmínek pro platnost podpisu či pečeti) měl být tzv. tvrzený čas (v položce Signing Time), nastavovaný aplikací pro tvorbu elektronického podpisu a přejímaný (obvykle) ze systémových hodin počítače, na kterém podpis vzniká.
Problém je, že takovýto údaj není spolehlivý (ony hodiny lze snadno přetočit do minulosti či do budoucnosti) – ale nařízení vlastně říká, že se mu má důvěřovat. A nepřímo tím vyřazuje ze hry účinky časových razítek (protože běžně se jako rozhodný okamžik při ověřování volí čas nejstaršího kvalifikovaného časového razítka).
Jde o problém, který se řešil i na pracovní skupině při přípravě adaptačního zákona, kde jsem se s autorem knihy potkal – a kde vznikl návrh stanovit postup ověřování v souladu s běžnou praxí i s původní právní úpravou (konkrétně v §3 odst. 2 dnes již zrušené vyhlášky 212/2012 Sb.). Nakonec se ale návrh, vzniklý v pracovní skupině, do adaptačního zákona nedostal a ministerstvo vnitra ho zařadilo jen do své metodické pomůcky (dokumentu Metodický návod pro ověřování platnosti uznávaných elektronických podpisů a elektronických pečetí). Tedy do předpisu s mnohem menší právní „sílou“.
Pan Kment ve své knize problém rozebírá a popisuje jak problematické aspekty samotného ustanovení v nařízení, tak i vhodnost používat časová razítka, pro eliminaci nejistot. Ovšem nějaký jednoznačnější závěr jsem v knize nenašel. Jen tento text, kterému až tak úplně nerozumím:
Výše uvedené pouze nastiňuje, jaké zhruba potíže nastávají, když se elektronický podpis ověřuje v jiném čase než v okamžiku vytvoření. Matematickými kontrolami různých časových intervalů lze s jistotou rozhodnout, zda tvrzený čas spadá do období, kdy certifikát, na němž byl podpis založen, stejně jako jiné relevantní certifikáty v certifikační cestě byly všechny aktivní i platné. Jinak řečeno, tvrzený čas nemusí být postupem podle čl. 32 odst. 1 objektivně ověřitelný, zda skutečně byl okamžikem vytvoření elektronického podpisu, jak s pojmem pracuje konzistentně nařízení eIDAS, ale je ověřitelné, že nebyl vytvořen mimo období, kdy by některý z uvedených certifikátů nebyl platný. Postup je automatizovatelný.
Pochybnosti mám zejména o poslední části citovaného tvrzení – určitě je algoritmicky zjistitelné, zda tvrzený čas je, či není podezřelý (zda spadá, či nespadá do doby, kdy všechny relevantní certifikáty byly platné). Ale to nám neříká nic o tom, zda to je, či není čas, kdy byl podpis skutečně vytvořen. Pokud by někdo přetáčením systémových hodin svého počítače chtěl podvádět, dozvěděli bychom se jen to, zda nás podvádí šikovně, či nešikovně. Ale pokud by nás podváděl šikovně (přetočil hodiny do doby, kdy certifikáty byly platné), pak jen ze samotného tvrzeného času nepoznáme, že jde o podvod (že podpis byl vytvořen v nějakou jinou dobu).
Mimochodem, v případě kvalifikovaného elektronického časového razítka platíme jeho poskytovateli právě za to, že nesmí přetáčet své systémové hodiny, ale musí je mít vždy přesně seřízené. A pouze takovéto časové razítko nám dává jistotu, že podpis nevznikl později, než kdy bylo časové razítko připojeno.
K čemu je prostý elektronický podpis?
S autorem knihy se plně ztotožňuji i v jeho kritickém pohledu na tzv. prosté elektronické podpisy, které nařízení eIDAS nově definuje „ještě více minimalisticky“ než předchozí unijní směrnice. V zásadě jako „cokoli elektronického“ (jakékoli nuly a jedničky), které někdo připojí či jen nějak „logicky spojí“ s podepisovaným obsahem a chápe to jako svůj podpis.
To předchozí definice požadovala alespoň nějaký přínos, v podobě možnosti dopátrat se, komu by takovýto podpis měl patřit (chtěla, aby prostý podpis „sloužil jako metoda autentizace“).
Autor knihy to hodnotí takto a přidává i přiléhavý příměr k obdobě prostého podpisu v „papírovém světě“:
Podstatné je, že z definice eIDAS byl vyňat požadavek autentizace. Není již požadováno, aby z podpisu (z prvních dat) byla ověřitelná pravost druhých podepsaných dat.
Pokud bychom měli demonstrovat, co by znamenala tato definice, za pomoci umělého znázornění v listinné praxi, vyhověl by postup, při kterém by fyzická osoba podepsala listinu tak, že by na papírovou listinu nalepila papírek Post-It a na něj vlastní rukou napsala křížek. Protože papírek s podpisem je nezjistitelně odstranitelný, nemůže sloužit jako metoda autentizace listiny. Nikdo nemůže ani vědět, že papírek nepodepsala osoba stejným způsobem v souvislosti s nějakou jinou listinou a že sem papírek nebyl přelepen dodatečně. A i kdyby věděl, že k přelepení nedošlo, z křížku nelze spolehlivě odvodit identitu osoby, která jej provedla. Nic z uvedeného však není na závadu, protože požadavek autentizace ani identifikace není v definici obsažen. Nevadí ani zpřísnění v eIDAS, že podepisující osobou je dle čl. 3 bodu 9 eIDAS výhradně fyzická osoba, která vytváří elektronický podpis, náš křížek byl vytvořen fyzickou osobou. Zatímco v listinné podobě bychom mohli vyslovit pochybnosti o svéprávnosti osoby, která by takový podpis vytvořila, popř. se na něj spoléhá, pro elektronický svět nám přímo evropský zákonodárce stanoví, že se jedná o „normální postup“.
Tento autorův příměr prostého elektronického podpisu k lístečku Post-It, který je v odborné komunitě znám již delší dobu, sám s oblibou používám na nejrůznějších seminářích, k dokreslení jeho velmi problematické podstaty.
Stejně tak plně souhlasím s autorem v jeho názoru na § 7, podle kterého jsou v soukromoprávním jednání přípustné všechny druhy elektronických podpisů, včetně toho prostého:
Autor považuje připuštění elektronického podpisu prostého pro platné právní jednání v písemné formě za určité ohrožení osob, které takto budou jednat, neboť pro elektronický podpis vyhovují prakticky všechny druhy techniky (srov. 4.5) elektronických podpisů, tedy i tzv. click-wrap podpis. Jak autor výše uvádí, některé výklady § 561 a § 562 obč. zák. (srov. 5.1.5) sice představují určitou možnost námitek proti právě uvedenému připuštění pouze elektronického podpisu prostého z eIDAS, v praxi však bude zatím převládat výklad druhý, dle kterého elektronický podpis prostý recepcí v ZSVD z eIDAS možný je. Jediná ochrana takto údajně podepsané osoby již spočívá pouze v nemožnosti důkazního použití většiny druhů techniky (srov. 4.5), neboť nemají ani autentizační (pravostní) funkci. Takový důkaz autenticity musí být zajištěn něčím dalším, než je pouze samostatný elektronický podpis.
Dovolení elektronického podpisu prostého pro splnění písemné formy právního jednání se nezdá vhodné ani s ohledem na třetí osoby, pokud vůči nim má být dané právní jednání dokladováno v rámci běžného právního styku při realizaci práva
Kniha je dostupná i v elektronické verzi
Na závěr této recenze bych rád ocenil, že kniha je dostupná nejenom v tištěné verzi, ale i ve verzi elektronické, jako e-book (a to ve formátech ePub a Mobi), s dnes již obvyklým soft-DRM.
Elektronická verze se dá koupit jak samostatně (bez tištěné verze), tak i v balíčku, společně s tištěnou verzí (viz první obrázek v úvodu článku).
Oceňuji také to, že odkazy na poznámky pod čarou jsou v elektronické verzi aktivní, a jelikož jsou unikátní, fungují i obráceně (z poznámky pod čarou se lze vrátit zpět na odkazující se text). Totéž bohužel neplatí pro odkazy na jiné části knihy: některé z nich aktivní jsou a lze se po nich přenést do odkazované části knihy, ale jiné takto aktivní nejsou.
Stejně tak je (alespoň pro mne) velkou výhodou možnost vyhledávání v celém textu elektronické verze knihy (které zprostředkovává dnes snad už každá čtečka). U takto „hutného“ textu, který rozhodně není oddechovým čtením někam na dovolenou, to považuji v podstatě za nezbytnost. Navíc, pokud používáte vhodnou čtečku, můžete si v knize vytvářet záložky a vybrané části textu zvýrazňovat a opatřovat vlastními poznámkami (anotacemi).
Ostatně, i když jsem od vydavatele dostal k recenzi tištěnou verzi knihy, stejně jsem si sám zakoupil ještě její elektronickou verzi.