Zákon o elektronickém podpisu (dále jen Zákon) byl přijatý pod číslem 227/2000 Sb. před čtyřmi lety. Technologie elektronického podepisování si nicméně cestu do praxe razí jen velmi, velmi pomalu. Napomoci by tomu měla i novela Zákona, která byla schválena 24. června 2004 a která představuje dosud největší zásah do této právní úpravy (už v minulých letech opakovaně novelizované).
O tom, že původní Zákon měl k dokonalosti daleko, bylo už napsáno hodně. Rychlost a snaha mít jakékoliv výsledky (byť v praxi nepoužitelné) zkrátka zvítězila nad funkčností a rozmyslem. Letošní novela tak řeší následující okruhy problémů, které původní Zákon opomíjel:
• Chybějící úprava technologie časových razítek (bez nich je praktické využití elektronického podpisu značně omezené, protože jej není možné zařadit na časové ose).
• Chybějící soulad zákona s právem Evropské unie (ač byl v souvislosti s původní verzí proklamován, nebyla to zcela pravda).
• Uznávání zahraničních certifikátů v rámci České republiky (což výrazně znepříjemňovalo a znesnadňovalo komunikaci se zahraničními subjekty).
• Přesnou úpravu elektronických podatelen (mnoho orgánů státní správy a samosprávy se proto do dotyčné oblasti nehrnulo, což v konečném důsledku odnesl běžný občan, který nemohl plnohodnotně elektronicky komunikovat – blíže jsme se problematice elektronických podatelen věnovali v předchozím vydání PC WORLD Security).
• Možnost automatického podepisování zpráv bez zásahu člověka (dosud mohla podepisovat jen fyzicky přítomná osoba, nikoliv samočinný stroj – to neumožňovalo vystavovat třeba tzv. doručenky).
Novela Zákona dále rozšiřuje okruh sužeb, které poskytovatelé certifikačních služeb (tedy certifikační autority) zajišťují. Kromě výše zmíněných časových razítek se jedná např. o vydávání systémových certifikátů a prostředků pro bezpečné vytváření elektronických podpisů.
Některé výše uvedené body vyžadují podrobnější objasnění. V první řadě je to technologie časových razítek. Ta vychází z předpokladu, že v běžném světě počítačů neexistuje důvěryhodný časový zdroj a že je tedy možné tento údaj modifikovat. To samozřejmě není v pořádku a přináší to s sebou spoustu komplikací – technických i právních. Technologie časových razítek tuto otázku řeší; s její pomocí je možné zařadit existenci elektronických dat na časové ose.
Časové razítko vyjadřuje skutečnost, že datový objekt existoval před určitým časem, přičemž tento čas je okamžikem podpisu žádosti na autoritě časových razítek. Časové razítkování v praxi provádí specializovaná služba certifikační autority na základě přesně definovaných pravidel, není prováděno přímo na počítači (odtud plyne nemožnost časový údaj měnit). Uživatel vytvoří otisk (hash) elektronických dat, který pak odešle k podepsání (orazítkování) certifikační autoritě. Otisk je dostatečně průkazným důkazem existence dokumentu, přičemž je tímto způsobem možné razítkovat i tajné materiály, protože fyzicky neopouštějí počítač (odeslaný je právě a jen otisk dokumentu, který jej sice jednoznačně identifikuje, ale nevypovídá zhola nic o jeho obsahu).
S pomocí časového razítka lze prokazovat:
• Aktuálnost – razítko bylo vytvořeno po určeném časovém okamžiku (po vzniku elektronických dat).
• Existenci – dokument v určeném časovém
okamžiku existoval (okamžik orazítkování).
• Pořadí – umožňuje seřadit dokumenty vzhledem k časové ose.
Pokud bychom se striktně chtěli držet terminologie Zákona, pak kvalifikovaným časovým razítkem se rozumí datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem a zároveň zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem.
Dalším kladem novelizace Zákona je možnost automatického podepisování zpráv bez zásahu lidské ruky. Dosud bylo nezbytně nutné, aby elektronický podpis vytvořil fyzicky přítomný člověk nějakým úkonem („vlastnoručně“). To ale přinášelo mnohá omezení – třeba při předání elektronického podání mimo úřední hodiny nezískal podavatel okamžitou odezvu a potvrzení o tom, že úkon byl provedený. Novela Zákona do praxe zavádí elektronické značky, což jsou z čistě technického hlediska elektronické podpisy vytvořené strojem, ale z právního hlediska je za podpis není možné považovat.
Elektronická značka představuje údaje v elektronické podobě, které jsou logicky spojené s elektronickými daty a které splňují několik podmínek. Jednak jsou jednoznačně spojené s označující entitou (nikoliv nutně osobou!) a umožňují její identifikaci, jednak byly vytvořeny pomocí technických prostředků, které může označující strana udržet pod svou výhradní kontrolou, a konečně jsou k označené datové zprávě připojené takovým způsobem, že je možné zjistit její případnou modifikaci. Právě v tomto případě nalézá své uplatnění další novinka Zákona: systémový certifikát (resp. kvalifikovaný systémový certfikát). Dosud bylo totiž možné vystavovat certifikát pouze fyzické osobě, nyní je možné vystavovat certifikáty v omezené míře také pro automatické zpracování (omezená míra = pouze pro vytváření elektronických značek).
Z hlediska kompatibility s evropským právem (směrnice 1999/93/ES Evropského parlamentu a Rady o zásadách Společenství pro elektronické podpisy) došlo v Zákoně k několika změnám. První představuje povinnost poskytovatele zveřejňovat pouze ty certifikáty, u nichž žadatel se zveřejněním vyslovil souhlas (dosud byly zveřejňovány všechny). Dá se sice předpokládat, že většina žadatelů bude se zveřejněním souhlasit (z principu věci ho bude dokonce vyžadovat), ale existují speciální případy, kdy neudělení souhlasu chrání soukromí žadatele.
Další změnou je, že kvalifikovaný certifikát už nemusí obsahovat informaci o tom, že byl vydán v České republice. Tento krok ukončuje vytváření umělých bariér a staví české i evropské certifikáty na stejnou úroveň (viz níže). Dalším otevřením se EU je pravidlo, jež umožňuje získat akreditaci i těm poskytovatelům certifikačních služeb, kteří nemají sídlo v ČR.
Z novelizace také vyplývá, že kvalifikovaný certifikát vydaný certifikační autoritou v některé členské zemi Evropské unie je možné považovat za kvalifikovaný certifikát ve smyslu Zákona. Doposud byly nekompromisně požadovány certifikáty od akreditovaných poskytovatelů certifikačních služeb. Pokud byl certifikát vydán jako kvalifikovaný mimo členské země EU, pak je ho možné považovat za kvalifikovaný jednak v případě, že poskytovatel byl akreditován v některé členské zemi EU (nemusí to tedy nutně být Česká republika), jednak pokud za něj převezme odpovědnost poskytovatel certifikovaných služeb v kterékoliv členské zemi EU, nebo pokud to vyplývá z mezinárodní smlouvy.
Pro orgány veřejné moci se pak kromě výše zmíněné problematiky elektronických podatelen objevila jedna důležitá změna. A to, že písemnosti orgánů veřejné moci v elektronické podobě označené elektronickou značkou (za dodržení zákonných podmínek – kvalifikovaný systémový certifikát vydaný akreditovaným poskytovatelem certifikačních služeb apod.) mají stejné právní účinky jako veřejné listiny vydané těmito orgány. Jinými slovy: vznikají elektronické veřejné listiny. Ty najdou uplatnění v nejrůznějších veřejných seznamech: katastr nemovitostí, obchodní rejstřík apod. 05s0018/jp o
Elektronický podpis obcím
V červnu roku 2004 zahájilo Ministerstvo
informatiky ČR projekt Elektronický podpis obcím a od té doby vydává obecním úřadům a městským částem zdarma na jeden rok certifikáty pro vytváření elektronických podpisů. Cílem ministerstva je prosadit využívání elektronické komunikace ve veřejné správě a umožnit obcím plnit povinnosti, které jim ukládají nové zákony. Již od ledna 2005 jsou totiž všechny úřady povinny s využitím zaručeného elektronického podpisu používat elektronické podatelny, v roce 2006 pak začne platit nový správní řád, podle něhož budou úřady vést celé správní řízení (přijímat podání a vydávat rozhodnutí) v elektronické podobě. Projekt Elektronický podpis obcím poběží i v příštím roce. Elektronické podpisy jsou vydávány v Praze a na krajských úřadech, které postupně navštěvuje mobilní certifikační autorita. Projekt zajišťuje Ministerstvo informatiky, První certifikační autorita a technický a zkušební ústav TESTCOM. Ministerstvo informatiky na vydávání kvalifikovaných certifikátů uvolnilo z vlastního rozpočtu tři milióny korun. (Zdroj: Ministerstvo informatiky ČR)
Certifikační služby
Zatím jedinou akreditovanou certifikační autoritou v ČR je První certifikační autorita, a.s. (www.ica.cz), dceřinná společnost PVT, a.s. Získala akreditaci pro výkon činnosti akreditovaného poskytovatele certifikačních služeb ve smyslu zákona č. 227/2000 Sb., o elektronickém podpisu, s účinností od 18. března 2002. Za dobu provozu vydala přes čtvrt miliónu certifikátů. Cena jednoho certifikátu s roční platností začíná na 322 Kč včetně DPH, kvalifikovaného certifikátu pak na 752 Kč včetně DPH.