Zákon o elektronickém podpisu

Pozitiva a úskalí zákona o elektronickém podpisu přijatého v České republice, návaznost na směrnice a harmonizační aktivity EU.

Důvody a počáteční kroky vedoucí k právní úpravě elektronického podpisu

Elektronický podpis používaný při elektronické komunikaci a transakcích byl a v celé řadě zemí stále je aplikován bez odpovídající právní úpravy. Je používán v rámci smluvní volnosti stran, které dobrovolně a z různých důvodů považují jeho použití při vzájemné komunikaci za výhodné a dostatečně bezpečné.

Elektronická komunikace a transakce však přinášejí nová rizika, např. snadnější možnost neoprávněného přístupu k důvěrným informacím, neoprávněnou změnu údajů, odmítnutí odpovědnosti apod. Pro obchod, a nejen pro něj, je přitom zásadní mít k dispozici doklady, které jsou pro zúčastněné strany dostatečně průkazné, aby obstály v případném sporu. To platí nejen pro transakce vnitrostátní, ale i mezinárodní.

Vlády jednotlivých států jsou tak už po určitou dobu nuceny řešit základní politické otázky týkající se např. jejich role při rozvoji elektronického obchodu a používání elektronického podpisu, rozsahu jejich zásahů případně omezení v podobě legislativních úprav této oblasti. Zákonodárci pak musí ve stávajících právních předpisech odstranit omezení týkající se elektronického obchodu a používání elektronického podpisu, která vyplývají z tradičního pojetí obchodování, podoby dokumentů a podpisů. Dále musí rozhodnout, zda je vhodné upravit pravidla používání elektronického podpisu speciálním předpisem či pouze zapracovat do obecných předpisů příslušná ustanovení týkající se elektronického podpisu. Vývoj ve světě i v České republice se dal většinou cestou přijímání speciálních norem upravujících elektronický podpis a jeho druhy, definujících v jakých právních vztazích ho lze používat, kdo nese odpovědnost za jeho použití, jaká je jeho důkazní hodnota apod.

Na mezinárodním poli se stále intenzívněji pracuje na vytváření modelových předpisů upravujících oblast elektronického obchodování a elektronického podpisu. Tyto dokumenty by měly sloužit jako určitý více či méně závazný rámec (podle toho, kým jsou přijaty), na jehož základě by se mělo vytvářet, případně přizpůsobovat národní zákonodárství. Cílem těchto mezinárodních snah je napomoci harmonizaci národních zákonodárství upravujících oblast elektronického obchodu a elektronického podpisu, což by ve svých důsledcích mělo vést k právně podloženému mezinárodnímu přijímání a vynutitelnosti práv a povinností vyplývajících z elektronických transakcí uzavřených mezi subjekty různých států. Zároveň by tyto mezinárodní aktivity měly ztížit potenciální snahy národních vlád o zavedení obchodních bariér elektronickému obchodování tím, že by neuznávaly elektronické podpisy.

Právní úprava existující před přijetím zákona o elektronickém podpisu

Možnost použití elektronického podpisu v soukromoprávních vztazích byla v České republice až do nabytí účinnosti zákona o elektronickém podpisu (1.října 2000) upravena občanským zákoníkem. Nespornost podpisu a jeho uznávání mohlo a může být podle občanského zákoníku pro občanskoprávní i obchodní vztahy upraveno dohodou smluvních stran. (1) Z občanského zákoníku také vyplývá, že pokud právní předpis vyžaduje pro určitý právní úkon písemnou formu, je tato forma zachována i pokud je učiněna elektronickými prostředky. (2) Elektronicky podepsané dokumenty jsou podle občanského zákoníku nejen platné, ale na jejich základě může být uplatňován určitý právní nárok např. i soudní cestou vzhledem k tomu, že občanský soudní řád, jako základní procesní předpis, definuje uznávané druhy důkazů velmi široce. (3)

Uvedená právní úprava může být postačující po určitou dobu, po kterou se elektronická komunikace omezuje na předávání informací právně nezávazné povahy, případně kdy se uzavírání právně závazných transakcí elektronickou cestou nestalo masovým jevem a tudíž i případné spory vyplývající z povahy těchto transakcí jsou spíše ojedinělé. Uvedená právní úprava je však již nyní nepostačující pro komunikaci se státními orgány, není dostatečná pro obchodování ad hoc, kdy dochází k jednorázovému plnění, kdy se smluvní strany často neznají a ve svých důsledcích nepodporuje uzavírání transakcí v elektronické podobě. Proto byly iniciovány legislativní aktivity, které vyústily v přijetí zákona o elektronickém podpisu.

Zákon o elektronickém podpisu

Zákon o elektronickém podpisu a o změně některých dalších zákonů číslo 227/2000 Sb (dále jen ZoEP) byl přijat v červenci 2000 a nabyl účinnosti 1. října 2000. Smyslem ZoEP bylo vytvořit legislativní rámec pro použití elektronického podpisu a jeho zrovnoprávnění s podpisem vlastnoručním, sjednotit terminologii, definovat příslušné pojmy, stanovit požadavky na různé typy elektronických podpisů i požadavky na certifikační autority (dále jen CA) - dle terminologie zákona poskytovatele certifikačních služeb (dále jen PCS) - podle toho, jaké certifikáty budou vydávat, stanovit odpovědnost účastníků smluvního vztahu a případné sankce.

Přijetí ZoEP však neznamená, že by dosavadní praxe používání elektronického podpisu, činnost a vydávání certifikátů certifikačními autoritami nemohla nadále pokračovat ve stávající podobě. Je však pravděpodobné, že PCS se budou snažit uvést postupně svoji činnost do souladu se ZoEP v takové míře, v jaké to je a bude možné, aby se podle ZoEP mohly stát akreditovanými PCS (viz níže).

Pozitivní stránky a úskalí přijatého ZoEP

Nekladu si zde za cíl taxativně či nějakým absolutním a detailním způsobem vyjmenovávat přínosy či nedostatky ZoEP. Jde spíše o názory a posouzení ZoEP jako takového, možností jeho aplikace v praxi a v této souvislosti upozornění na prováděcí vyhlášku, která se připravuje. Dále jde o upozornění na možná a potřebná doplnění ZoEP.Vzhledem k tomu, že někdy přínos ZoEP na jedné straně má za následek nedostatek na straně druhé, zmiňuji tam, kde je to nutné, oba pohledy v souvislosti.

Obecná hlediska

Přijetí ZoEP bylo nezbytným krokem, bez něhož bychom se v delším horizontu neobešli. Důvody jsou zřejmé. Stávající právní úprava této oblasti je z dlouhodobého hlediska nepostačující, jak jsem již zmínila výše, a legislativní vývoj na mezinárodním poli vytváří jednoznačný tlak na vlády jednotlivých států k přijetí právních norem upravujících tuto oblast. Přípravě i přijetí Zákona byla věnována určitá pozornost ze strany medií, což přitáhlo pozornost veřejnosti i státních orgánů. Ty si tak, doufejme, uvědomily, že elektronická komunikace se nevyhne ani státní správě a bude nutné příslušně (do)vybavit úřady státní správy a případně i odstranit určitou nedůvěru, která na úřadech vůči této formě komunikace často existuje.

Návrh ZoEP do značné míry vycházel ze Směrnice Evropské Unie pro elektronický podpis přijaté 30. listopadu 1999 (Directive 1999/93/EC of the European Parliament and of the Council). Oproti Směrnici, která je poměrně liberální, však ZoEP dosti direktivně upravuje určité oblasti související zejména s kvalifikovanými certifikáty. Směrnice zavazuje členské státy ve lhůtě do 19. července 2001 implementovat tuto Směrnici do svých vnitrostátních právních řádů formami a prostředky, které uznají za nejvhodnější. Česká republika, ač zatím není členským státem EU, se stala první zemí, jež tuto implementaci do svého vnitrostátního práva provedla. V souvislosti s časem přijetí nastává otázka, zda česká legislativa neupravila příliš striktně některé otázky, které EU legislativa řeší poměrně liberálně případně je ponechává na vůli smluvních stran.

Tato skutečnost má i další stinné stránky související např. s omezenou zkušeností s používáním elektronického podpisu v zahraničí. Na druhé straně nám rychlost přijetí přinesla určitý politický kapitál, což pravděpodobně bylo také jedním z důvodů vedoucím k relativně rychlému přijetí druhé verze ZoEP parlamentem. Zároveň se však zdá, jakoby se přijetím ZoEP ztratila politická vůle pokračovat v dokončení započatého procesu legislativní podpory elektronického obchodování
(e-commerce).

ZoEP jako takový není zcela "svéprávný", tzn. k jeho úplnému uvedení v život a využití všech ustanovení v soukromoprávní a především veřejnoprávní sféře je třeba dalších legislativních kroků. Zákon sám předpokládá, že některé konkrétní oblasti týkající se zejména požadavků kladených na PCS a prostředků pro bezpečné vytváření a ověřování zaručených elektronických podpisů budou upraveny prováděcími předpisy. Mezi problémové, zákonem nedořešené oblasti patří například vydávání kvalifikovaných certifikátů, úprava podpisových prostředků, úprava podmínek pro udělení akreditace, provádění auditů PCS. Vzhledem k absenci těchto předpisů a znění §11 ZoEP (4) nelze v současnosti používat elektronický podpis při komunikaci občanů s orgány veřejné moci a při vzájemné komunikaci orgánů veřejné moci.

Na druhé straně ZoEP novelizuje, a to je velmi důležité, některé jiné právní normy, jako je např. občanský zákoník, občanský soudní řád, správní řád, zákon o správě daní a poplatků a trestní řád, v nichž se zakotvuje alternativní možnost elektronického podání opatřeného zaručeným elektronickým podpisem. Bez těchto novelizací by plná aplikace ZoEP také nebyla možná.

Prováděcí vyhláška

Jak je uvedeno výše, k úplnému uvedení ZoEP v život je potřeba vydat k některým jeho ustanovením prováděcí vyhlášku, k čemuž je zmocněn Úřad pro ochranu osobních údajů (dále jen ÚOOU). K návrhu vyhlášky probíhá v současné době připomínkové řízení. Návrh vyhlášky detailně specifikuje požadavky kladené na PCS, který chce získat akreditaci, provádění auditů PCS k udržení si akreditace a další, často detailní technické otázky.

Vyhláška by mimo jiné měla odstranit dosavadní nemožnost používání kvalifikovaného certifikátu v praxi, vyplývající z toho, že žádný existující PCS není schopen kvalifikované certifikáty vydávat. ZoEP totiž vyžaduje, aby PCS vydávající kvalifikované certifikáty používaly "bezpečné systémy a nástroje elektronického podpisu". Takto formulace zákona navozuje však v odborné kryptografické veřejnosti více či méně oprávněný pocit nerealizovatelnosti těchto požadavků. Stanovit, co je obecně bezpečný systém je velmi problematické a ještě problematičtější je ověřovat konkrétní systémy z hlediska jejich bezpečnosti - měli bychom spíše hovořit o míře bezpečnosti nikoliv o bezpečnosti jako takové.

Na druhé straně, co je bezpečný systém a nástroj, má stanovit prováděcí vyhláška. Je proto v zásadě v rukou zpracovatelů vyhlášky a ÚOOU jakou úroveň bezpečnosti zvolí. Z právního pohledu se nezdá být problematické zvolit nižší avšak stále přijatelnou míru bezpečnosti v zájmu urychlení přijetí vyhlášky a postupně tuto míru bezpečnosti zvyšovat v návaznosti na rozvoj technologických postupů a na rozvoj standartizace akreditačních schémat v EU. Takový postup není jistě optimální, nicméně je možným řešením problému spojeného s příliš přísnými formulacemi ZoEP oproti např. liberálnější Směrnici EU.

ZoEP vyvolává různé více či méně závažné otázky i pochybnosti mezi odbornou veřejností i jinými svými formulacemi, které jsou většinou právně technického rázu a tudíž mohou být řešeny buď prováděcí vyhláškou, případně novelou ZoEP.

Vyhlášku však není v tuto chvíli třeba jen dokončit, ale i vydat (publikovat) ve Sbírce zákonů, aby se mohla stát obecně závazným právním předpisem. To ovšem není možné, protože ÚOOU není orgánem oprávněným publikovat právní předpisy ve Sbírce zákonů. Takovými orgány jsou pouze ústřední orgány státní správy. ÚOOU, který byl zřízen na základě zákona o ochraně osobních údajů č. 101/2000 Sb. je typicky správním orgánem, nelze však z tohoto zákona dovodit, že by požíval status ústředního orgánu státní správy. Vyhlášky ÚOOU budou tedy moci být publikovány a stanou se obecně závaznými předpisy až poté, co bude přijata příslušná novela zákona. Tato novela se již projednává v parlamentu, není však zřejmé v jaké podobě bude přijata a kdy by k tomu mělo dojít.

Po dokončení a vydání vyhlášky se budou moci PCS rozhodnout, zda budou vydávat kvalifikované certifikáty případně požádají ÚOOU o akreditaci, či si ponechají své stávající postavení. Jakmile dojde k udělení prvních akreditací a následně vydání příslušných certifikátů občanům, měli by občané být schopni komunikovat s orgány veřejné moci elektronickou cestou. Doufejme, že v té době budou orgány veřejné moci technicky, programově a zejména personálně vybaveny tak, aby takové elektronické komunikace byly schopny.

Možná doplnění ZoEP

ZoEP v podobě, v níž je přijat, neupravuje některé oblasti spojené s používáním elektronického podpisu, které jsou technologicky řešitelné a které dále rozšiřují možnosti využití elektronického podpisu. Jejich právní úprava je z mnoha důvodů potřebná a lze předpokládat, že se objeví v některé z novel ZoEP. Jedná se např. o právní úpravu používání časových razítek, používání "doručenek", úpravu podmínek, které musí být splněny pro šifrování dokumentů a přijímání takových dokumentů zejména ve státní správě.

Časová razítka/značky

Časové razítko je nezávislým poskytovatelem stanovený časový údaj o tom, kdy v nejobecnější podobě bylo elektronickou cestou něco učiněno.U elektronických podpisů, kdy může jít např. o čas podepsání dokumentu, je uvedení času podpisu důležité zejména v souvislosti s platností certifikátu, který prokazuje platnost podpisu. Může nastat např. situace, kdy určitá osoba elektronicky podepíše dokument, poté zneplatní u PCS svůj certifikát a následně zpochybní platnost podpisu a tak i celého podepsaného dokumentu s tím, že byl podepsán po zneplatnění certifikátu. Zde pak časové razítko, vydané důvěryhodnou třetí stranou, poskytne věrohodný důkaz o tom, kdy byl dokument podepsán.

Časové razítko může poskytnout významnou službu i v případě ověřování platnosti podpisu, která souvisí s platností certifikátu, po dlouhé době. Časová razítka by tak měla být i součástí certifikátů a údajů o jejich zneplatnění.

Službu "časové autority" mohou poskytovat v rámci svých služeb spojených s elektronickým podpisem PCS.

Doručenky

Další službou, kterou by PCS, jako třetí, důvěryhodná strana, mohl i byl schopen nabízet, je potvrzení přijetí dokumentu příjemcem. Tato služba by byla obdobou nám známého dopisu s doručenkou či potvrzení z podatelny úřadu o učiněném podání.

Díky tomu, že PCS je nezávislý subjekt může být doručenka cenným dokladem pro obě strany smluvního vztahu a v kombinaci s časovým razítkem vytvořit dokonalý důkazní materiál ověřující čas podepsání a čas doručení daného dokumentu.

Šifrování dokumentů

Elektronicky podepsaný dokument zůstává otevřeným dokumentem. Často takový dokument obsahuje důvěrné informace, které odesílatel/příjemce chce utajit. To platí pro komunikaci a transakce prováděné jak v soukromoprávní sféře, tak pro komunikaci se státními úřady (např. údaje o výši příjmů poskytnuté v daňovém přiznání) i pro komunikaci státních úřadů navzájem. V soukromoprávní sféře lze na základě dohody stran určit šifrovací software a případně předat i šifrovací klíče. Pro veřejnoprávní sféru je však minimálně nutné stanovit, jaké typy šifrování a jaké šifrovací algoritmy bude stát podporovat a akceptovat.

Závěr

Není pochyb o tom, že používání elektronického podpisu by mělo ve větší či menší míře zjednodušit a urychlit práci téměř kohokoliv, včetně zefektivnění komunikace se státními úřady. Čím bezpečnější typ elektronického podpisu se bude užívat, tím větší bude důvěra v elektronickou komunikaci. Tato důvěra bude však záviset nejen na technologickém zajištění bezpečnosti používání elektronického podpisu, ale i na přesném vymezení práv, povinností a související odpovědnosti subjektů používajících elektronický podpis. V neposlední řadě úroveň rozšíření elektronických podpisů bude záviset i na připravenosti přijímat a vydávat elektronicky podepsané dokumenty i orgány státní správy.

ZoEP je prvním zákonem svého druhu přijatým v České republice. Nebyl vytvořen na "zelené louce", při jeho přípravě se zpracovatelé zákona nechali inspirovat zkušenostmi z Evropské Unie. Nejedná se a ani se jednat nemůže o dokonalý zákon, poněvadž je to zákon stojící na začátku cesty, která směřuje k rozsáhlé a zřejmě detailní úpravě vztahů v této oblasti a bude se pravděpodobně dále vyvíjet v návaznosti na právní úpravy elektronického obchodování, či přímo v jejich rámci. Je přirozené, že bude významně ovlivňována i dalším legislativním vývojem ve světě, zejména pak v Evropské unii.

Literatura:

Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů

Důvodová zpráva k zákonu o elektronickém podpisu

Pracovní verze návrhu prováděcí vyhlášky k zákonu o elektronickém podpisu z 9. února 2001

Direktiva Evropské Unie pro elektronický podpis č. 1999/93/EC

Zákon č. 40/1964 Sb., občanský zákoník ve znění pozdějších změn a dodatků

Koncové poznámky:

1. § 2 odst 3 zákona č. 40/1964 Sb., občanský zákoník ve znění pozdějších předpisů stanoví: "Účastníci občanskoprávních vztahů si mohou vzájemná práva a povinnosti upravit dohodou odchylně od zákona, jestliže to zákon výslovně nezakazuje a jestliže z povahy ustanovení zákona nevyplývá, že se od něj nelze odchýlit."

2. §40 odst. 4 zákona č. 40/1964 Sb., občanský zákoník ve znění pozdějších předpisů, stanoví: "Písemná forma je zachována, je-li právní úkon učiněn telegraficky, dálnopisem nebo elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila."

3. § 125 zákona č. 99/1963 Sb., občanský soudní řád ve znění pozdějších předpisů stanoví: "Za důkaz mohou sloužit všechny prostředky, jimiž lze zjistit stav věci, zejména výslech svědků, znalecký posudek, zprávy a vyjádření orgánů a právnických osob, listiny, ohledání a výslech účastníků."

4. § 11 zákona č. 227/2000 Sb. o elektronickém podpisu stanoví: "V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb."