Elektronický podpis v praxi: Elektronické značky

Elektronický podpis není pro každého. Ale stejně tak je tomu i u podpisu vlastnoručního: také ten je pouze pro někoho. Nebo už jste viděli nějakou firmu, instituci či jinou právnickou osobu, aby se vlastnoručně podepsala? To ani nejde. Už jen proto, že právnická osoba, na rozdíl od osoby fyzické, nemá ruce, do kterých by mohla uchopit psací náčiní a vytvořit svůj podpis. Proto se za právnickou osobu vždy podepisuje konkrétní fyzická osoba, která jedná jménem oné právnické osoby. Jako její jednatel, statutární zástupce atd.

Ve světě elektronických podpisů je to úplně stejné.  I elektronický podpis může patřit pouze fyzické osobě. Tedy, abychom byli přesní a navázali na obsah předchozích dílů tohoto seriálu: uznávaný elektronický podpis může patřit pouze reálně existující fyzické osobě. Přitom právě tento druh elektronického podpisu, tedy podpis uznávaný, je postaven na roveň podpisu vlastnoručnímu.

Připomeňme si také, že u „nižších“ forem podpisu, které nemají srovnatelný statut jako vlastnoruční podpis – konkrétně u zaručeného elektronického podpisu – tomu může být jinak. Protože zde nemáme žádnou záruku ohledně správnosti údaje o tom, kdo je podepsanou osobou. Ukazovali jsme si to na příkladu zaručeného elektronického podpisu literární postavy Josefa Švejka, ale stejně tak bychom si mohli ukázat zaručený elektronický podpis, který by o sobě tvrdil, že patří nějaké právnické osobě. Jakékoli, reálně existující či smyšlené.

Rovněž si připomeňme, že u zaručených podpisů je možné takto libovolně „lhát“ díky tomu, že zákon zde neklade žádné omezující požadavky na obsah certifikátu, na kterém je zaručený podpis založen. Proto si kdokoli může vytvořit takový certifikát, do kterého si může napsat cokoli, co ho jen napadne (ve smyslu: komu certifikát vystavuje).

V případě uznávaných elektronických podpisů už to ale takto nejde: zde už zákon předepisuje kvalifikovaný certifikát, navíc od akreditované certifikační autority. A zde už se podvádět nedá: akreditovaná autorita vystaví kvalifikovaný certifikát jen skutečně existující fyzické osobě, jejíž existenci a identitu si velmi pečlivě prověří.

Proč elektronické podpisy nestačí?
Teď se ale na všechno podívejme z trochu jiného pohledu: v praxi existují situace, kdy je potřeba vytvářet elektronické podpisy nějak automatizovaně a „ve velkém“. Představme si třeba datové schránky: přes ně prochází desítky tisíc datových zpráv denně, a každou z nich je nutné podepsat (aby se potvrdilo, že skutečně prošla skrze systém datových schránek). Má tedy přímo u datových schránek sedět dav úředníků, kteří nebudou dělat nic jiného, než přidávat svůj vlastní (uznávaný) elektronický podpis na každou procházející datovou zprávu?

To by nebylo moc únosné z kapacitních důvodů i kvůli nákladům, které by s tím byly spojeny. Navíc by to ani nešlo, a to z principiálních důvodů: zákon totiž předpokládá, že podepisující osoba se seznámila s tím, co podepisuje. Jenže obsah datových zpráv je chráněn obdobou listovního tajemství a ani obsluha datových schránek nemá právo se do jejich obsahu dívat.

Podobně je tomu třeba u různých informačních systémů, které mají poskytovat své výstupy v automatizovaném režimu, bez přímé účasti člověka – ale přesto by tyto výstupy měly mít adekvátní právní statut, aby se s nimi dalo dále pracovat. Optimálně stejný statut, jako kdyby byly vlastnoručně podepsány (v listinné podobě), nebo opatřeny uznávaným elektronickým podpisem (u dokumentů v elektronické podobě).

Co je elektronická značka?
Řešení naštěstí existuje a má podobu elektronické značky. Po věcné stránce se vlastně nijak neliší od zaručeného či uznávaného elektronického podpisu: také vzniká aplikací soukromého klíče a ověřuje se pomocí veřejného klíče, obsaženého v certifikátu, s využitím úplně stejných metod a postupů asymetrické kryptografie.

Skutečný rozdíl je až právní: elektronická značka odpovídá uznávanému elektronickému podpisu, protože také vyžaduje použití kvalifikovaného certifikátu. Tedy takového, ve kterém nelze jakkoli „podvádět“, a na jeho obsah je spolehnutí.

Jenže: nemůže to být stejný druh kvalifikovaného certifikátu, jako u uznávaného elektronického podpisu, protože takovýto certifikát může být vydán pouze reálně existující fyzické osobě. Pak by totiž elektronická značka nemohla přinášet to hlavní, co od ní požadujeme: aby mohla „patřit“ nejenom fyzickým osobám, ale i právnickým osobám (a např. i organizačním složkám státu). Proto se u elektronických značek používá jiný druh kvalifikovaného certifikátu: tzv. kvalifikovaný systémový certifikát.  A ten už může být vydán jak fyzické osobě, tak i právnické osobě či organizační složce státu.

Odlišná ale musí být i právní terminologie kolem elektronických značek: místo podepisování se zde hovoří o označování, a místo o podepisující či podepsané osoby o označující osobě. A aby „označování“ mohlo probíhat strojově, bez přímé účasti člověka, je u elektronických značek odstraněn předpoklad, že se označující osoba seznámila s obsahem toho, co označuje.

A jak v praxi poznáme, že nejde o elektronický podpis, ale o elektronickou značku? Pokud nepoužíváme takový program, který to pozná sám, musíme se podívat na druh certifikátu, na kterém je podpis (resp. značka) založen: musí se jednat o kvalifikovaný systémový certifikát.

Autor vyučuje na pražské Matematicko-fyzikální fakultě UK problematiku počítačových sítí, a působí jako nezávislý konzultant a publicista.