Elektronické podpisy nejsou stejné

Ačkoli by to tak mohlo vypadat, není elektronický podpis jako elektronický podpis. Existuje jich více druhů a liší se zejména tím, jak moc se na ně můžeme spoléhat.

U elektronického podpisu jde nejen o pravost podpisu neboli o to, zda podpis skutečně vytvořil ten, koho považujeme za podepsanou osobu. Ale jde také o autenticitu podepsaného dokumentu – zda je přesně tím dokumentem, který byl původně podepsán, a nedošlo u něj k žádné změně, ani té sebemenší.

Různé druhy elektronických podpisů

Máme tedy různé druhy elektronických podpisů a právo nám říká, jaký druh můžeme použít pro ten který účel, resp. právní úkon. Stejně je tomu i v tradičním světě papírových (správně listinných) dokumentů a jejich podpisů: někde stačí vlastnoruční podpis, zatímco jinde nestačí a je vyžadován podpis úředně ověřený. Záleží na tom, jak moc průkazný a spolehlivý má být projev vůle, který svým podpisem vyjadřujeme, a jak moc jednoznačně má být zachycena totožnost podepisující osoby.

Naopak v některých případech (tam, kde je to obvyklé) stačí místo vlastnoručního podpisu jen jeho náhrada mechanickými prostředky (viz § 561 nového občanského zákoníku), tedy třeba jen strojem napsané, či na tiskárně vytištěné jméno, protože zde podpis není ani tak projevem vůle a závazkem, ale spíše jen nezávaznou indikací původu. Asi těžko můžeme chtít po řediteli, aby každý měsíc skutečně vlastní rukou podepisoval každý exemplář průvodního dopisu k vyúčtování služeb, které jeho firma (automatizovaně) rozesílá tisícům svých zákazníků.

Kvalifikovaný statut

Elektronické podpisy, kterými opatřujeme elektronické dokumenty, tvoří ještě o něco členitější hierarchii než podpisy na listinných dokumentech. Největší „sílu“ co do možnosti spoléhat se na identitu podepsané osoby, mají ty elektronické podpisy, které se pyšní přívlastkem kvalifikované.

Podle aktuálně platné právní úpravy (unijního nařízení eIDAS) může označení „kvalifikovaný“ užívat vždy jen to, co je na vrcholu příslušné hierarchie – co musí splňovat nejpřísnější požadavky stanovené zákonem (resp. nařízením), a na co se díky tomu můžeme v nejvyšší míře spoléhat. A abychom takové kvalifikované elektronické podpisy či třeba kvalifikované certifikáty, kvalifikované poskytovatele či kvalifikované služby co nejsnáze poznali, mají právo se honosit „unijní“ značkou důvěry (formálně: značkou důvěry EU), tedy modrým zámečkem s hvězdičkami, který vidíte na obrázku.

Kvalifikované, zaručené a prosté podpisy

Kvalifikované elektronické podpisy jsou ty, které zaručují jak autenticitu dokumentu (že se od podepsání nezměnil, a jde tedy o „ten původní“ dokument), tak i identitu podepsané osoby. Proto také stojí nejvýše v celé hierarchii elektronických podpisů.

Zaručené elektronické podpisy jsou charakteristické tím, že identitu podepsané osoby naopak obecně nezaručují. Což je hodně nepříjemný terminologický paradox, který už dlouhá léta plete uživatele i ­legislativce – a ti s oblibou (nesprávně) požadují pouze zaručený elektronický podpis tam, kde by správně měl figurovat kvalifikovaný elektronický podpis. Přesto mají zaručené elektronické podpisy svůj smysl a používají se naprosto rutinně – všude tam, kde je třeba zajistit neměnnost neboli tzv. integritu nějakých dat (například v rámci různých strojově generovaných záznamů) – a naopak kde nemusí či přímo nemá jít o podpis v právním slova smyslu (o analogii vlastnoručního podpisu). Zaručený elektronický podpis sice nepotvrzuje identitu podepsané osoby, ale alespoň integritu (neměnnost) toho, co je podepsáno. Mimochodem: důvodem, proč zaručený elektronický podpis obecně nezaručuje identitu podepsané osoby, je to, že neklade žádný požadavek na kvalitu (důvěryhodnost) certifikátu. Vystačí si i s takovým certifikátem, který není kvalifikovaný – ale třeba jen testovací. Tedy takový, který si někdo vyrobí sám a napíše si do něj cokoli, co vůbec nemusí být pravdou. Například že držitelem certifikátu, a tím i podepsanou osobou, je někdo úplně jiný, kdo třeba ani nemusí existovat.

Prosté elektronické podpisy si můžeme představit jako obdobu onoho výše zmiňovaného „nahrazení podpisu mechanickými prostředky“. Zde se jedná o elektronické prostředky. Jinak jsou však jejich vlastnosti v zásadě stejné – prosté elektronické podpisy, stejně jako „nahrazení podpisu mechanickými prostředky“, je spíše jen určitou indikací (opět ne nutně pravdivou), než podpisem ve smyslu projevu vůle a závazku. Nemusí vůbec nic zaručovat, a stejně tak nemusí umožňovat jakékoli zkoumání či dokonce ověřování čehokoli.

Kvalifikované certifikáty a kvalifikované prostředky

Aby se někdo mohl podepsat formou kvalifikovaného elektronického podpisu, potřebuje na to dvě věci: kvalifikovaný certifikát a kvalifikovaný prostředek.

Kvalifikovaný certifikát si můžeme představit jako jakési osvědčení, které se (automaticky) přikládá ke každému podpisu, aby podle něj příjemce podepsaného dokumentu poznal, komu podpis patří – tomu, kdo je v certifikátu uveden jako jeho držitel. I certifikátů, podobně jako elektronických podpisů, existuje více druhů – a zde je podstatné, že musí jít o kvalifikovaný certifikát (pro elektronický podpis). Právě certifikát s přívlastkem „kvalifikovaný“ je ten, který je nejvíce důvěryhodný: na jeho obsah se můžeme plně spoléhat, protože za pravdivost jeho obsahu nám ručí jeho (kvalifikovaný) vydavatel. U nás jeden ze čtveřice eIdentity, I.CA, PostSignum a SZR (Správa základních registrů).

Kvalifikovaný prostředek (pro vytváření elektronických podpisů, zkratkou QSCD, z anglického Qualified Signature Creation Device), to je obvykle čipová karta (případně USB token) – ale taková, která úspěšně prošla požadovanou certifikací, a díky tomu se může honosit „kvalifikovaným“ přívlastkem. Podstatnou vlastností takového kvalifikovaného prostředku je to, že z něj nelze extrahovat tzv. soukromý klíč – což je ta nezbytná ingredience pro vytvoření elektronického podpisu, která činí podpis svého držitele jeho podpisem. Tento soukromý klíč, který je ve skutečnosti jedním (hodně velkým) číslem, si lze představit jako tajemství, které nezná nikdo jiný – a tak nikdo jiný (než držitel soukromého klíče) nemůže takovýto podpis vytvořit, leda že by se tohoto klíče zmocnil (resp. dozvěděl se jeho hodnotu). Právě proto onen požadavek na kvalifikovaný prostředek, ze kterého soukromý klíč nejde dostat ven (nejde okopírovat).

České uznávané elektronické podpisy

Kvalifikovaný prostředek pro vytváření elektronických podpisů v podobě čipové karty či USB tokenu se dnes běžně prodává za ceny kolem 700 Kč s DPH (pro jednotlivé kusy). Dříve však bývala jeho cena přece jen o něco vyšší, v nižších jednotkách tisíců. Právě tato cena nejspíše vedla k tomu, že již v roce 2000 jsme se odchýlili od tehdejší unijní úpravy elektronických podpisů (směrnice 1999/93/EU)
a místo kvalifikovaných elektronických podpisů, vyžadujících ony kvalifikované prostředky, jsme si zavedli tzv. uznávané elektronické podpisy. Ty se od těch kvalifikovaných lišily právě v tom, že nevyžadovaly ony kvalifikované prostředky. Stále tedy bylo třeba kvalifikovaných certifikátů, díky čemuž dokázaly zaručit identitu podepsané osoby, ale možnost spoléhat se na ně je přece jen nižší (oproti kvalifikovaným elektronickým podpisům) kvůli většímu riziku kompromitace (okopírování) soukromého klíče.

Je to podobný rozdíl jako u platebních karet: u transakcí, které vyžadují fyzickou přítomnost karty (například pro výběr z bankomatu), je riziko zneužití menší než při platbách on-line, kde fyzická přítomnost karty není nutná (resp. ani možná), a stačí znát údaje o kartě.

Aby to však nebylo tak jednoduché: s účinností nového unijního nařízení eIDAS (č. 910/2014) k polovině roku 2016 jsme se už kvalifikovaným elektronickým podpisům nemohli vyhýbat jako dříve. Aby nebylo nutné novelizovat úplně všechny výskyty požadavku na uznávaný elektronický podpis, které se mezitím dostaly do naší legislativy, došlo na zajímavý trik v podobě zavedení „legislativní zkratky“: pojmem „uznávaný elektronický podpis“ se nově (viz § 6 odst. 2 zákona č. 297/2016 Sb.) rozumí hned dvě varianty současně:

  • kvalifikovaný elektronický podpis,
  • původní uznávaný elektronický podpis, nově označovaný jako „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“.

Rozdílem je tedy požadavek na kvalifikovaný prostředek: u první varianty je požadován, u druhé nikoli. Jenže: jak si na takto krkolomnou terminologii zvyknout?

Jaké podpisy musí kdo používat?

První variantu uznávaného elektronického podpisu, tedy kvalifikovaný elektronický podpis, musí používat například úředníci. Obecně se tímto způsobem musejí podepisovat dokumenty, produkované orgány veřejné moci (neboli tzv. veřejnoprávními podepisujícími), ale stejně tak dokumenty produkované fyzickými či právnickými osobami, pokud právě vykonávají nějakou veřejnoprávní působnost – protože to požaduje § 5 zákona č. 297/2016 Sb. Stejně se kvalifikovanými elektronickými podpisy podepisují například doložky autorizovaných konverzí.

S druhou variantou uznávaného elektronického podpisu, tedy se zaručeným elektronickým podpisem, založeným na kvalifikovaném certifikátu, vystačí právnické a fyzické osoby, pokud právně jednají vůči orgánům veřejné moci (či osobám v souvislosti s výkonem veřejnoprávní působnosti, viz § 6 zákona č. 297/2016 Sb.). Když například posílají nějaké podání k úřadu, soudu apod. elektronickou poštou, podepsat se musí – a mohou použít tento druh podpisu (ale samozřejmě mohou použít i vyšší druh, tedy kvalifikovaný elektronický podpis). Pokud své podání odesílají ze své datové schránky, podepisovat se nemusí a mohou využít tzv. fikce podpisu (viz § 18 odst. 2 zákona č. 300/2008 Sb.). Ale samozřejmě i v tomto případě své podání podepsat mohou opět kteroukoli z obou variant uznávaného elektronického podpisu.

www.ctu.cz/rada-ctu
jiri.peterka.cz