Právních norem je tedy několik. Můžete čtenářům ve stručnosti popsat čeho se týkají?

Před dvěma lety, konkrétně 1.10.2000, vstoupil v účinnost zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (dále jen „zákon č. 227/2000 Sb.“). Poté následovala celá řada dalších, neméně důležitých kroků nutných k tomu, aby mohl být elektronický podpis v komunikaci občan – stát používán. Důležitým krokem se stalo vydání nařízení vlády č. 304/2001, kterým se zmiňovaný zákon provádí. To stanoví povinnost orgánů veřejné moci zřídit elektronické podatelny a zajistit jejich provoz.Těmi se zabývá standard ISVS pro provoz elektronických podatelen ve vztahu k používání zaručeného elektronického podpisu. Byl uveřejněn ve Věstníku ÚVIS, ročník III, částka 1, 2002. Účinný je od 25.6.2002, kdy byl vyhlášen. Řeší především provoz a atestaci elektronických podatelen. Elektronická podatelna je podle tohoto standardu informačním systémem veřejné správy. Pro prokázání shody elektronické podatelny s tímto standardem se ovšem nevyžaduje její atest. Ten je vyžadován pouze na technické vybavení podatelny a související dokumentaci. Technické vybavení musí splňovat požadavky článku 4.5 standardu. Jedná se především o požadavky na funkčnost - ukládání přijatých zpráv, ověřování elektronických podpisů, formáty a kódování zpráv apod. Standard doporučuje, aby atest byl prováděn i s ohledem na bezpečnost, bezporuchovost a použitelnost vybavení.

A vyhláška ÚOOÚ?

ÚOOÚ vydal na základě zmocnění zákona č.227/2000 Sb. . vyhlášku, která upřesňuje některé požadavky pro vydávání kvalifikovaných certifikátů a dále požadavky na „nástroje“ elektronického podpisu. Celá vyhláška se tedy týká především poskytovatelů certifikačních služeb, kteří hodlají vydávat kvalifikované certifikáty, a poskytovatelů, kteří chtějí pro tuto činnost získat akreditaci. Činnost akreditovaných poskytovatelů je pro komunikaci stát - občan nezbytná, jak je vidět z § 11 („V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb“.)

Jedna taková akreditace už byla udělena, nemám pravdu?

Ano, první akreditaci udělil Úřad pro ochranu osobních údajů v březnu 2002 Získala ji ve správním řízení První certifikační autorita a.s. To znamená, že vznikl subjekt, který prokázal schopnost zajistit vydávání a správu kvalifikovaných certifikátů, které jsou nutné pro komunikaci občan – stát.

Pokud vím, je První certifikační autorita stále dosud jedinou akreditovanou certifikační autoritou. Čím to je?

Musíte uvážit, že podmínky pro získání akreditace jsou velmi náročné. Hlavním aspektem je zajištění maximální možné míry bezpečnosti při vydávání a správě kvalifikovaných certifikátů. A protože bezpečnost vždy něco stojí, musí uchazeč počítat se vstupními investicemi v desítkách miliónů korun. Náročný je rovněž provoz, nejen s ohledem na personální zajištění odborníky, ale i na nezbytnost zajištění nepřetržitého provozu klíčových činností. Přestože První certifikační autorita a.s. zůstává prozatím jediným akreditovaným poskytovatelem, není tajemstvím, že další firmy se na akreditaci intenzivně připravují.

Koncoví uživatelé informačních technologií se mohou setkat s pojmem "digitální podpis" na spousty místech. V e-mailových klientech a webových prohlížečích, jiní používají známý program PGP, kryptografie a certifikáty se objevují i v mobilních telefonech. Jak se k tomuto staví zákon? Požaduje jednu danou specifikaci nebo se vlastní implementací nezabývá?

Zákon je úmyslně a myslím si, že je to správné, technologicky neutrální. Nemluví o digitálních podpisech, šifrovacích klíčích nebo asymetrické kryptologii, ale používá termíny data na vytváření a ověřování podpisu, elektronický podpis, atd. Elektronický podpis uvádí v několika formách (viz příslušné definice v zákoně). Základní typy, které zde jsou uvedeny, jsou: elektronický podpis, zaručený elektronický podpis, zaručený elektronický podpis založený na certifikátech resp. kvalifikovaných certifikátech. Pokud bychom chtěli „namapovat“ tyto termíny na pojmy klasické asymetrické kryptografie, pak lze (zjednodušeně) říci, že digitální podpis odpovídá zaručenému elektronickému podpisu, a pokud jsou veřejné klíče předávány pomocí certifikátů, pak lze mluvit o zaručeném elektronickém podpisu založeném na certifikátu. Jestliže by takovýto certifikát vydával akreditovaný poskytovatel certifikačních služeb, pak máme přesně ten typ elektronického podpisu, který je vyžadován v paragrafu 11 zákona o elektronickém podpisu, tedy ten typ, který je vyžadován pro komunikaci v oblasti veřejné moci. Dá se tedy říci, že z technologického hlediska se zákon nezabývá jednotlivými konkrétními protokoly, realizacemi nebo podpisovými schématy.

Zastavme se ještě u PGP. Tento světoznámý šifrovací program má několik miliónů spokojených uživatelů po celém světě, nabízí funkci digitálního podpisu již několik let. Proč se, podle Vás, tento standard nehodí do komerční a státní sféry, resp. se o něm v této souvislosti nemluví?

Začnu protiotázkou – proč si myslíte, že se PGP nehodí do komerční a státní sféry? Pokud PGP umožní vytváření digitálních podpisů (za použití algoritmů uvedených v příloze č.1 vyhlášky k elektronickému podpisu) a bude používat certifikáty k veřejným klíčům a tyto certifikáty budou kvalifikované a bude je vydávat akreditovaný poskytovatel certifikačních služeb, pak máme přesně ten typ podpisu, který je vyžadován v oblasti veřejné moci (známý paragraf 11 zákona o elektronickém podpisu).

Jenže (a v tom je ten problém) klíče se v klasickém PGP předávají poněkud odlišným způsobem než pomocí certifikátů podle X.509 v.3. Existují však již verze PGP, kde lze certifikáty podle X.509 v.3 také používat.

Jinými slovy pro PGP, tak jako pro každý jiný program, platí, že musí splňovat požadavky zákona a pak jej lze používat. Pokud jde o komerční sféru, tak zde žádná obecná omezení nebo požadavky na určitý typ elektronických podpisů neexistují a PGP lze používat a také se tak běžně činí.

Rozumím. Ještě k té univerzálnosti zákona. Na straně poskytovatele certifikačních služeb ale požadavky na používané technologie jsou, v Zákoně je taková „právnická“ definice bezpečného nástroje elektronického podpisu...

Samozřejmě, poskytovatelé, kteří vydávají kvalifikované certifikáty, musí používat bezpečný nástroj elektronického podpisu a tato skutečnost musí být ověřena Úřadem pro ochranu osobních údajů. Příslušné ustanovení zákona v § 6, odst.1, písm. j) zní: „… nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou; toto musí být ověřeno Úřadem pro ochranu osobních údajů". Pokud nástroj elektronického podpisu splnil požadavky stanovené zákonem a Úřad vyslovil shodu, je nástroj považován za bezpečný. Seznam nástrojů, u nichž byla vyslovena shoda, je zveřejňován ve Věstníku Úřadu a na jeho webových stránkách (http://www.uoou.cz/ep_nastroje.php3 ). V současné době obsahuje tento seznam nástroje od čtyř různých výrobců. Na tento krok se v mediálních vystoupeních popisujících cestu k bezpečné komunikaci státu s občanem většinou zapomíná. Pravdou však je, že kdyby nebyly k dispozici nástroje, které jsou považovány za bezpečné, nemohl by žádný z poskytovatelů vydávat kvalifikované certifikáty (přesněji: nemohl by je důvěryhodně podepsat) a nemohl by zveřejňovat seznamy kvalifikovaných certifikátů, které byly zneplatněny (opět z důvodu, že by takový seznam nemohl důvěryhodným způsobem podepsat).

Po počáteční euforii před několika lety, kdy zákon prošel Poslaneckou sněmovnou, se někomu může zdát, že celá věc nějak ustrnula. Řekněte tedy, co je již hotovo a co musí být ještě uděláno?

Raději začnu konkrétním příkladem.. Na konferenci Internet ve státní správě a samosprávě (ISSS) Ing. Kučera (Ministerstvo práce a sociálních věcí) představil možnost elektronického podání žádosti o dávky státní sociální podpory. To umožnila novela zákona č.271/2001 Sb., kterou se změnil zákon č. 117/1995 Sb., o státní sociální podpoře. V té je uvedeno, že „…podání nebo jiný úkon lze učinit … i v elektronické podobě a elektronicky podepsat podle zvláštního právního předpisu (tj. zákona o elektronickém podpisu č.227/200 Sb.), pokud MPSV příslušný tiskopis v elektronické podobě zveřejnilo“ . Tato agenda je již v současné době zpřístupněna a stala se tak jakýmsi modelovým příkladem pro podobné agendy. Elektronické formuláře žádostí o jednotlivé dávky státní sociální podpory (SSP) a formulář hlášení změn v tomto systému zveřejnilo MPSV na své adrese http://www.mpsv.cz. Žádosti je možné podat podepsané pomocí zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu, který vydal akreditovaný poskytovatel certifikačních služeb.

Z toho je zřejmé, že v případě využití elektronického podpisu v nějaké agendě je vždy nejprve nutné provést důkladnou analýzu příslušných právních předpisů a zjistit, zda není nutné provést jejich novelu. Může se totiž stát, že ve stávajících předpisech se striktně vyžaduje např. písemná podoba některého formuláře nebo přílohy. Toto musí vyřešit vhodná úprava těchto právních předpisů, která umožní plné využití elektronického podpisu ve smyslu zákona o elektronickém podpisu i v těchto agendách. Pokud například občanský zákoník stanoví, že „závěť musí být vlastní rukou napsaná a podepsaná, jinak je neplatná“, pak zde elektronický podpis nenajde uplatnění.

Jestli tomu dobře rozumím, tak nyní je potřeba už „jen“ upravit příslušné zákony tak, aby umožňovaly komunikaci občan-úřad ve smyslu zákona o e. p. …

Ano. Předpokládá se samozřejmě, že počet zákonů, vyhlášek a směrnic, které upravují konkrétní využití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu, se bude dále postupně zvyšovat a budou tak postupně otevřeny další konkrétní agendy, kde lze komunikaci s využitím elektronického podpisu podle zákona č.227/2000 Sb. využít.

Takovýchto podobných situací je určitě spousta. Kdy očekáváte že legislativa a úřady dospějí do takového stádia, že tento a jemu podobné příklady bude občan moci řešit elektronicky?

V současné době lze elektronický podpis používat v některých agendách. Věřím, že během 2-3 let bude jeho používání tam, kde to má smysl (!), zcela běžné. Mimochodem málo se ví, že již pět právních předpisů umožňuje použití elektronického podpisu.

Na výrobce zboží, kteří uvádějí na trh výrobky v obalech, a firmy, které obaly vykupují, se vztahuje vyhláška č.117/2002 Sb. ministerstva životního prostředí ze dne 16. března 2002 o rozsahu a způsobu vedení evidence obalů a ohlašování údajů z této evidence. Ta umožňuje výkazy za uplynulý kalendářní měsíc zasílat ministerstvu v elektronické podobě podepsané podle zvláštního právního předpisu.

Zákon o podpoře výzkumu a vývoje č. 130/2002 Sb. umožňuje poskytovateli stanovit způsob podání návrhů a předložení projektů elektronicky, podepsaných podle zákona o elektronickém podpisu.

Třetím příkladem je vyhláška č.178/2002 ministerstva financí ze dne 19. dubna 2002 o podrobnějších pravidlech pro plnění povinnosti oznámit podíl na hlasovacích právech. Osoba, které vznikla oznamovací povinnost, odešle oznámení o dosažení, překročení nebo snížení podílu na hlasovacích právech Komisi pro cenné papíry, Středisku cenných papírů a společnosti elektronickou poštou a opatří je zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb.

Obdobný je další příklad. Jedná se o hlášení obchodů s investičními instrumenty uzavřených mimo veřejný trh (vyhláška č. 105/2001 ministerstva financí ze dne 9. března 2001). Povinná osoba může zaslat příslušné hlášení elektronicky, a pokud je opatří zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb, má se tato povinnost za splněnou a nemusí toto hlášení zasílat dodatečně v tištěné podobě opatřené podpisem nebo předat elektronicky na nosném médiu.

Známé je také využití elektronického podpisu ve zdravotnictví podle zákona č. 260/2001 Sb. ze dne 26. června 2001, kterým se mění zákon č. 20/1966 Sb., o péči o zdraví lidu. V Čl.I, páté části (zpracování osobních údajů souvisejících se zajišťováním zdravotní péče) se stanoví pro zápis zdravotnické dokumentace, aby se v případě, že byl zhotoven na paměťovém médiu výpočetní techniky a neobsahuje zaručený elektronický podpis, dodatečně převedl na papírový nosič (tiskovou sestavu), aby byl dále opatřen datem a podpisem osoby, která zápis provedla, a zařazen do zdravotnické dokumentace pacienta. Pokud se vede zdravotnická dokumentace pouze na paměťových médiích výpočetní techniky, lze zápis zdravotnické dokumentace provádět jen za podmínky, že všechny samostatné části zdravotnické dokumentace obsahují zaručený elektronický podpis osoby, která zápis provedla, podle zvláštního právního předpisu (zákon č.227/2000 Sb.)

Doposud jsme se bavili převážně o „elektronickém vztahu“ občana ke státu. Jak je na tom komunikace mimo státní správu? Opravte mě jestli se pletu: jakýmkoliv nástrojem se můžu digitálně podepisovat, pokud jsem předem písemně dohodnut s druhou stranou (na základě občanského zákoníku). Jaký je tedy nyní právní statut dokumentu, který digitálně podepíši podpisem založeným na kvalifikovaném certifikátu?

V zásadě máte pravdu. Jen upřesním, že ta dohoda není nutná. Můžete se samozřejmě elektronicky podepisovat i bez předchozí dohody. Druhá strana však nemusí takovouto komunikaci akceptovat a může vyžadovat písemnou podobu dohody, závazku apod. V případě, že dojde k akcepatci takovéto komunikace, pak Vámi podepsaný elektronický dokument může být v případě sporu použit jako důkaz u soudu. Pokud se používají kvalifikované certifikáty, pak takovýto důkaz bude mít vyšší průkaznost. Náš zákon o elektronickém podpisu zde relativně dobře naplňuje požadavek Směrnice evropské unie (1999/99/EC), že má příslušná legislativa nastavit takový stav, aby elektronicky podepsané dokumenty nemohly být u soudu odmítány z důvodu, že byly podepsány elektronicky.

Vžijme se do nějaké modelové situace, kdy mezi sebou komunikují dva (nestátní) subjekty. Řekněme například, že potřebuji rychle „na dálku“ vystavit plnou moc k nějakému úkonu. Co na to současný stav e. p. u nás?

Pro komunikaci nestátních subjektů není vámi uvedený případ vhodný. Plná moc slouží zpravidla k nějakému „právnímu úkonu“ a tedy není to situace, kde se jedná pouze o dohodu mezi občany. Typický je tedy jiný příklad. Někdo zašle jinému občanovi elektronický dopis obsahující jistý závazek a tento dopis elektronicky podepíše. Takovýto závazek je platný a elektronicky podepsaný dokument nemůže být ani u soudního řízení jako důkaz odmítnut z důvodu, že je elektronicky podepsán. Ale to již opakuji to, co jsem odpověděl na předchozí otázku.

Je jasné, že používání elektronického podpisu koncovými uživateli bude postupně nabývat na intenzitě. Jako obvykle vše směřuje k situace „nemusím vědět jak to funguje, hlavně když se na to mohu spolehnout“. Co vy na tento pohled? Myslíte, že jsme na to dostatečně spolehliví a „nedůvěřiví“?

Jsem hluboce přesvědčen, že činnost akreditovaných poskytovatelů certifikačních služeb bude z hlediska bezpečnosti a chcete-li obecněji – spolehlivosti zajištěna. Jednak přísnými podmínkami na hodnocení provozovaného informačního systému pro certifikační služby (ISO 15408, EAL4) a jednak z důvodu státního dohledu nad dodržováním postupů podle předložené dokumentace. Pokud dojde k problémům s bezpečností, pak se tak stane pravděpodobně u koncových uživatelů. Běžný uživatel není dostatečně připraven na používání elektronického podpisu a to jak z hlediska procesního, právního, tak ani bezpečnostního. Vše by měl ulehčit prodej kvalitních prostředků určených těmto koncovým uživatelům. Bohužel v současné době není u nás možné zakoupit prostředky, které se v zákoně o elektronickém podpisu nazývají „bezpečné prostředky pro vytváření a ověřování elektronického podpisu“. Žádný prodejce ani výrobce takovéto prostředky na našem trhu zatím nenabízí. Dostupné jsou pouze čipové karty, které však řeší jen část problému, a to bezpečné uložení dat pro vytváření elektronického podpisu a možnost kontroly těchto dat vlastníkem. Neřeší a nemohou řešit otázku spojenou s tím, zda skutečně podepisuji to, co vidím na obrazovce. Přesto doufám, že se tato technologie začne široce využívat a stane se v nejbližších letech běžnou součástí našeho života.

Děkuji za rozhovor.

Na závěr mi ještě dovolte popřát vašim čtenářům v novém roce 2003 všechno nejlepší, hlavně zdraví a klid na zajímavou práci.

S Mrg. Vondruškou si za server Krypta.cz povídal Michal Till