1. Přehled stávající právní Úpravy

V českém právním řádu není pojem digitálního podpisu legislativně zpracován.




2. Zhodnocení stávající právní úpravy

Vzhledem ke konstatování v odstavci A uvádí tento odstavec pouze zhodnocení právních předpisů, které upravují příbuznou problematiku. Stávající právní úprava se této nově vzniklé informační technologii, která se zabývá zvýšením míry ověření autenticity a integrity přenášených datových zpráv, dotýká pouze okrajově.

Uznání písemné formy učiněné elektronickými prostředky řeší dílčím způsobem například zákon č. 40/1964 Sb., občanský zákoník ve znění pozdějších předpisů a to v § 40 odst. 4, dále pak zákon č. 99/1963 Sb., občanský soudní řád ve znění pozdějších předpisů. Zákon o telekomunikacích č. 110/1964 Sb., v platném znění stanoví pouze všeobecné požadavky na zabezpečení přenosu zpráv v datové formě. Občanský soudní řád č. 70/1992 Sb., v platném znění uvádí v § 125, že "za důkaz mohou sloužit všechny prostředky, jimiž lze zjistit stav věci" tedy i doklady v digitální formě.

Při záměrném zneužití přenášených informací lze použít trestní zákon č. 140/1961 Sb., ve znění pozdějších předpisů; jde o postih ohrožení státního, služebního nebo hospodářského tajemství a § 128 - zneužití informací v obchodním styku. Případný postih by byl v současné době řešen podle trestního zákona při použití paragrafů Zneužívání informacív obchodním styku a § 250 - Podvod. Přímá vazba je zde též na zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a změně některých zákonů, který nabyl účinnost od 1. 11. 1998.

Předkládaný návrh není v rozporu s Ústavou České republiky (zákon č. 1/1993 Sb.).
 
 

3. Návrh věcného řešení

1. Účel a předmět zákona



Účelem zákona je zajistit pro digitální podpis stejnou právní váhu, jakou má v současné době vlastnoruční podpis na papírovém médiu.

Předmětem navrhovaného zákona je úprava podmínek pro používání digitálních podpisů, které slouží k zabezpečení přenášených digitálních zpráv a pomocí kterých lze spolehlivě zjistit původnost přenášených dat.

2. Vymezení některých pojmů

Pro účely tohoto zákona se rozumí:

1) Digitální dokument je takový dokument, který je vytvořen v digitální formě a pro záznam informací používá magnetická nebo optická paměťová média.

2) Digitální podpis je informace přidaná k digitálním údajům, která je vytvořena zakódováním digitální zprávy vlastním podpisovým klíčem odesílatele. Slouží k rozeznání vlastníka podpisového klíče, označení souhlasu podepsaného k obsahu dat a k ověření původnosti přenášených dat.

3) Certifikát je potvrzení o přiřazení veřejného podpisového klíče, který slouží k identifikaci subjektu při elektronické komunikaci.

4) Certifikace je proces ověřování podmínek při udělování certifikátů a jejich vlastní přidělení.

5) Certifikační autorita je důvěryhodná třetí strana, která ověřuje žádosti o certifikáty, vydává certifikáty a poskytuje žadatelům služby spojené s používáním certifikátů.

6) Identifikace je zjištění totožnosti, zjištění souladu mezi více pojmy.

7) Autenticita dokumentu značí skutečnost, že příjemce bezpečně pozná, kdo je autorem zasílaného digitálního dokumentu.

8) Integrita dokumentu vyjadřuje vlastnost, že obsah přenášeného digitálního dokumentu nebyl po odeslání modifikován.

9) Nepopiratelnost značí, že autor digitálně podepsaného dokumentu nemůže popřít autorství dokumentu ani jeho obsah.

10) Soukromý podpisový klíč je prostředek pro vytvoření digitálního podpisu.

11) Veřejný podpisový klíč je prostředek pro ověření digitálního podpisu.

12) Časové razítko (označení času) je potvrzení certifikační autority, která stvrzuje, že určitá digitální data byla předložena v době označené v časovém razítku.

3. Národní certifikační autorita*)

varianta A

Zákonem se zřizuje Národní certifikační autorita jako jeden z orgánů státní správy. Národní certifikační autoritu zřizuje Ministerstvo průmyslu a obchodu.

varianta B

Funkci Národnícertifikační autority přebírá Český telekomunikační úřad. Národní certifikační autoritu zřizuje Ministerstvo dopravy a spojů.

__________________________________________________
*Jiná navrhovaná varianta názvu je Národní akreditační úřad
 
 

Národní certifikační autorita bude svou působností pokrývat jak oblast veřejné správy tak i soukromý sektor. Bude mít především za úkol udělovat a odnímat licence certifikačním autoritám. V případě, že žadatel o provozování činnosti certifikační autority vyhoví všem podmínkám, které budou pro fungování předepsány, bude mít právo na vydání licence pro vykonávání činnosti certifikační autority.

Národní certifikační autorita bude mít dále ve své kompetenci tyto činnosti:

1. určování postupů při vydávání, zablokování a rušení certifikátů
2. stanovení podmínek pro platnost certifikátů
3. vydávání pravidel pro používání podpisových klíčů a identifikačních údajů
4. zpřístupnění evidence o vydaných certifikátech prostřednictvím veřejně dostupných komunikačních prostředků
5. stanovení podmínek a ověřování odborné způsobilosti obsluhujícího personálu certifikačních autorit
6. stanovení rozsahu zkoušek pro pracovníky certifikačních autorit
7. určování podmínek při ukončení činnosti certifikačních autorit
8. kontrolu činnosti certifikačních autorit, kterým Národní certifikační autorita vydala licenci
9. stanovení požadavků na technické komponenty, jejich ochranu a dokumentaci

Národní certifikační autorita bude mít oprávnění k provádění kontroly při dodržování zákona o digitálním podpisu. Národní certifikační autorita bude kontrolovat zejména:

1. úroveň ověřování totožnosti žadatele o certifikát certifikační autoritou
2. dodržování opatření pro zajištění bezpečných digitálních podpisů
3. ověřování, zda žadatelé, kterým byl certifikát vydán, splňují podmínky pro jeho používání
4. odbornou způsobilost osob, které budou zajišťovat činnost certifikační autority
5. dodržování bezpečnostních požadavků na provoz certifikační autority
6. používání vhodných technických komponent
7. zajištění nezbytných opatření před neoprávněnou změnou nebo neoprávněným získáním seznamu certifikátů
8. dodržování postupu, že v případě zastavení činnosti certifikační autority budou veškeré aktivity převedeny na jinou certifikační autoritu

Při výkon kontrolní činnosti se předpokládá postup podle zákona o státní kontrole, pokud předkládaný zákon nestanoví jinak a pokud se v průběhu přípravy zákona neukáže potřeba upravit některý s navrhovaných kontrolních postupů zvlášť.

Při nesplnění povinností, které vyplývají z tohoto zákona, bude Národní certifikační autorita oprávněna pozastavit nebo zrušit licenci pro provozování certifikační autority. Na rozhodování se bude vztahovat zákon č. 71/1967 Sb. zákon o správním řízení (správní řádve znění pozdějších předpisů.

4. Certifikační autority

Certifikační autorita musí postupovat v souladu se zákonem. V případě splnění podmínek nutných k vystavení certifikátu nesmí bezdůvodně odmítnout vydání certifikátu. Certifikát bude vystaven pouze na jméno konkrétní fyzické osoby. Pro zvýšenou bezpečnost bude generování soukromých podpisových klíčů provádět přímo osoba, která vlastní příslušný certifikát. Certifikační autorita se přitom musí přesvědčit, že vlastník podpisového klíče použil vhodné technické komponenty. Vlastník certifikátu musí zajistit bezpečné uložení vygenerovaných podpisových klíčů a musí provést taková opatření, aby nemohlo dojít k neoprávněné manipulaci s nimi.

Certifikační autorita musí všemi dostupnými prostředky zamezit použití nesprávných údajů pro vystavení certifikátu, přičemž je povinna zablokovat certifikát, pokud o to vlastník podpisového klíče požádá nebo v případě, že byl certifikát získán na základě chybných údajů.

Certifikační autorita musí oznámit vlastníkům podpisového klíče a třetím důvěryhodným stranám, o nichž je v certifikátu obsažena informace, telefonní číslo, na kterém mohou kdykoli certifikáty okamžitě zablokovat.

Certifikační autorita je zodpovědná vůči jakékoliv osobě, která se rozumně spoléhá na jí vydaný certifikát v ohledu přesnosti všech informací uvedených v certifikátu od doby jeho platnosti, zejména pak že osoba, identifikovaná v certifikátu v době jeho vydání existuje a prostředky k vytváření digitálního podpisu (soukromý podpisový klíč) odpovídají prostředkům k ověřování digitálního podpisu (veřejný podpisový klíč).

Certifikační autorita není zodpovědná za chyby, které vzniknou ze zneužití nebo chybného použití certifikátu. Certifikační autorita může stanovit limit na hodnotu transakcí, pro které je certifikát platný, přičemž nezodpovídá za případné škody, které mohou vzniknout při překročení tohoto limitu. Certifikační autorita dále musí předvést spolehlivost nezbytnou pro nabídku certifikačních služeb a zabezpečit rychlé a bezpečné zrušení poskytované služby.

Certifikační autorita musí při zastavení své činnosti tuto skutečnost nahlásit Národní certifikační autoritě a musí vynaložit veškeré možné úsilí na to, aby platné certifikáty byly převzaty jinou certifikační autoritou popřípadě aby byly zneplatněny. V souvislosti s předáním certifikátů jiné certifikační autoritě musí být předána také příslušná dokumentace.

Dokumentace musí být zhotovena pro bezpečnostní plány včetně případných změn, zprávy o přezkoušení, dohody s žadateli o certifikát. Zdokumentovány musí dále být:

1. dohoda s žadatelem o certifikát
2. vydaný certifikát
3. kopie předložených osobních průkazů identity
4. pokud žadatel o certifikát požaduje instruktáž, potom dokumentace o této instruktáži
5. přesné časové určení vydaných certifikátů
6. čas doručení a jeho potvrzení

Záznamy, které jsou uchovávané v digitální podobě musí být také digitálně podepsány. Dokumentace podle musí být uchovávána nejméně 10 let od doby vydání certifikátu podpisového klíče a po celou tuto dobu musí být zabezpečena tak, aby k ní byl přístup.

Certifikační autorita musí registrovat vydané certifikáty v registru. Doba archivace certifikátu v registru od ukončení platnosti certifikátu je stanovena na dobu alespoň pěti let. Pokud jde o zahraniční certifikáty, platí stejný termín archivace na veřejné podpisové klíče certifikační autority nejvyšší úrovně v těchto zahraničních zemích. Certifikační autorita musí sdělit certifikačním autoritám komunikační spojení, na kterém je přístupný registr vydaných certifikátů.

V případě zablokování certifikátu musí být tato skutečnost zřetelně vyznačena v registru certifikátů včetně přesného časového označení (datum, hodina, minuty), kdy ke zablokování certifikátu došlo.

5. Kontrola činnosti certifikačních autorit

Národní certifikační autorita bude mít právo vůči certifikačním autoritám, kterým vydala licenci k provozování činnosti, uplatňovat kontrolní činnost nad dodržováním ustanovení tohoto zákona. Může zejména zakázat používání nevhodných technických komponent a v odůvodněných případech pozastavit nebo zakázat provoz certifikační autority. V případě podezření z nezákonných praktik může Národní certifikační autorita odmítnout určité osobě udělit certifikát.

Za účelem kontroly musí certifikační autorita pracovníkům Národní certifikační autority umožnit přístup do všech provozních prostor během pracovní doby a na požádání musí certifikační autorita předložit veškeré doklady, a ostatní materiály, které souvisí s její činností. Certifikační autorita musí poskytnout potřebnou součinnost a sdělit veškeré známé informace, které se týkají kontrolovaných skutečností.

V případě odnětí licence nebo při jiném ukončení činnosti certifikační autority je Národní certifikační autorita povinna zajistit předání dosud vykonávané činnosti jinou certifikační autoritou, nebo jiným způsobem zajistit plnění smluv mezi certifikační autoritou, která ukončila činnost a vlastníkem soukromého podpisového klíče. Tato činnost platí také v případě, pokud je na certifikační autoritu podána žádost na konkurzní řízení, pokud není povolená činnost dále vykonávána.

Certifikační autorita, která končí svou činnost, musí o této skutečnosti informovat Národní certifikační autoritu alespoň tři měsíce předem. Certifikační autorita dále musí informovat každého vlastníka podpisového klíče o svému záměru ukončit své aktivity jako certifikační autorita nejméně dva měsíce předem. Musí mu sdělit, jméno certifikační autority, která převezme správu jeho certifikátu.

V případě, že nedojde k převzetí certifikátů jinou certifikační autoritou musí být všechny platné certifikáty zablokovány. Vlastník podpisového klíče, který má být zablokován, musí být o tom informován.

Národní certifikační autorita může nařídit zneplatnění certifikátů, pokud existuje podezření, že byly certifikáty padělány, nebo pokud byly vydány na základě nepravdivých údajů. Zneplatnění certifikátů může dojít také v tom případě, kdy certifikáty nejsou dostatečně zabezpečeny, nebo se při jejich používání používají technické komponenty, které vykazují bezpečnostní nedostatky, které by umožnily padělání digitálních podpisů nebo změnu podepisovaných údajů.

Zneplatnění certifikátů musí obsahovat přesné časové označení, od kterého je certifikát zneplatněn. Zneplatněné certifikáty není povoleno opětovně zprovoznit a používat.

6. Vydávání certifikátů

Certifikační autorita musí pro potřeby vydání certifikátů provést šetření, které zhodnotí předkládané požadavky na udělení certifikátu. Musí spolehlivě identifikovat osobu, která žádá o certifikát na základě občanského průkazu, cestovního pasu, nebo jinými vhodnými prostředky. Žádost o certifikát musí být žadatelem o certifikát podepsána ručně.

Certifikační autorita může od žadatele o certifikát požadovat vyhotovení nezbytných dokumentů. Pokud osoba žádající o certifikát splní všechny požadované podmínky, má právo na vydání certifikátu. Vydání certifikátu je stvrzeno digitálním podpisem certifikační autority. Doba platnosti certifikátu nesmí být delší než tři roky. Doba mezi vydáním certifikátu a počátkem jeho platnosti nesmí být delší než tři měsíce.

Platnost podpisového klíče nesmí být delší než platnost certifikátu, na který se odkazuje.

Certifikační autorita má za povinnost prostřednictvím veřejných komunikačních spojení umožnit komukoliv vyhledání a ověření těch certifikátů, které byly touto certifikační autoritou vydány.

7. Poučení žadatele o certifikát

Certifikační autorita musí žadatele o certifikát instruovat o opatřeních, které jsou nezbytné pro bezpečné používání digitálních podpisů:

1. Za ochranu paměťového média, které obsahuje soukromý podpisový klíč, odpovídá osoba, které byl klíč přiřazen. V případě ztráty paměťového média musí být certifikát podpisového klíče neprodleně zablokován. Jestliže se paměťové médium, které obsahuje soukromý podpisový klíč již nepoužívá, musí být klíč učiněn nepoužitelným a certifikát podpisového klíče musí být zablokován. Pokud již uplynula doba platnosti certifikátu, toto opatření neplatí.
2. Pokud paměťové médium obsahující soukromý podpisový klíč používá k identifikaci heslo, musí být uchováváno jako důvěrná informace. V případě vyzrazení nebo i při pouhém podezření z vyzrazení těchto identifikačních údajů musí být daný podpisový klíč zneplatněn.
3. Pro vytvoření a hodnocení digitálních podpisů musí být použity technické komponenty, které splňují požadavky tohoto zákona.
4. Při přezkušování digitálního podpisu musí být zjištěno, zda byl certifikát podpisového klíče platný v době, kdy byl podpis vytvářen.

V případě, že žadatel o certifikát již vlastní jiný certifikát, nemusí být další instruktáž vyžadována.

8. Obsah certifikátů

V souvislosti s používáním digitálních podpisů musí příslušný certifikát povinně obsahovat následující údaje:

1. číslo certifikátu
2. jednoznačnou identifikaci vlastníka podpisového klíče, tedy jméno, rodné číslo a adresu
3. veřejný podpisový klíč, který byl žadateli přidělen
4. označení použitých algoritmů podpisových klíčů
5. jednoznačnou identifikaci certifikační autority, tedy jméno, adresu, a veřejný podpisový klíč certifikační autority
6. datum začátku a konce platnosti certifikátu
7. údaje o případném omezení při používání podpisového klíče
9. Ochrana získávaných osobních dat

Certifikační autorita má oprávnění získávat osobní data pouze od fyzické osoby, která požaduje vystavení certifikátu, a to jen v rozsahu, který je nezbytně nutný a předepsaný pro vystavení příslušného certifikátu. Shromažďování osobních dat k jiným účelům musí být odsouhlaseno fyzickou osobou, (žadatelem o certifikát). Certifikační autorita musí vynaložit veškeré úsilí k tomu, aby získaná osobní data nemohla být zneužita nepovolanou osobou.

10. Uznávání zahraničních certifikátů

Digitální podpis, který lze ověřit veřejným podpisovým klíčem na základě zahraničního certifikátu, bude postaven na stejnou úroveň v tom případě, pokud zahraniční certifikát splňuje stejné bezpečnostní požadavky, jako požaduje tento zákon a pokud bude se státem, který tento certifikát vystavil, uzavřena příslušná mezistátní dohoda o vzájemném uznávání certifikátů.

11. Technické komponenty

Při používání digitálních podpisů se mohou používat pouze takové technické komponenty, které spolehlivě zjistí neoprávněnou změnu digitálního podpisu nebo přenášených dat a přispívají k ochraně před neoprávněným používáním soukromých podpisových klíčů. Tyto komponenty musí jednoznačně rozpoznat, k jakým údajům a ke kterému vlastníku soukromého podpisového klíče se digitální podpis vztahuje.

Pro zajištění spolehlivosti při používání technických komponent musí být zajištěna jejich dostatečná kontrola. Technické komponenty, které byly vytvořeny v zahraničí, budou pro potřeby tohoto zákona postaveny na roveň a uznávány tehdy, pokud jejich technické parametry budou splňovat stejnou míru spolehlivosti jako technické komponenty stanovené tímto zákonem.

Technické komponenty, které umožní ověřovat nebo získat veřejný podpisový klíč musí v sobě zahrnovat taková bezpečnostní opatření, aby nemohlo dojít k neoprávněné změně nebo neoprávněnému získání seznamu certifikátů.

K upřesnění technických komponentů vydá vláda prováděcí vyhlášku k tomuto zákonu, kde budou uvedeny podrobné údaje a postupy při:

1. udělování a odnětí licence k provozování certifikační autority
2. zastavení provozu certifikační autority,
3. specifikaci povinností certifikační autority,
4. stanovení doby platnosti přidělených certifikátů,
5. kontrole činnosti certifikačních autorit,
6. stanovení požadavků na technické komponenty, jejich pravidelné přezkoušení a evidence o těchto zkouškách,
7. stanovení postupu a termínů při obměňování certifikátů za určené časového období, po jehož uplynutí bude nutné použít nový digitální podpis.

Certifikační autorita musí přijmout veškerá dostupná opatření, aby zabránila neautorizovanému přístupu k technickým komponentám a soukromým podpisovým klíčům používaným pro tvorbu certifikátů. Dále musí zajistit přístup k vydaným a spravovaným certifikátům za účelem přezkoušení.

12. Soulad s Ústavou ČR

Předkládaný návrh věcného záměru zákona o digitálním podpisu je v souladu s Ústavou České Republiky.




4. Promítnutí navrhovaného věcného řešení do právního řádu

Cílem navrhovaného zákona je vytvoření platného právního rámce pro používání digitálního podpisu a odstranění dosud existujících právních překážek jeho používání. Je tedy nezbytné změnit ty stávající zákony, které brání používání elektronických dokladů.

Předkládaným zákonem by měla být zabezpečena právní průkaznost elektronických informací, jejich spolehlivost a bezpečnost. S ohledem na prudký rozvoj informačních technologií je třeba zajistit, aby transakce prováděné prostřednictvím počítačů a počítačových sítí nebyly diskriminovány oproti tradičním formám běžného hospodářského styku.

Forma promítnutí do právního řádu je navrhována ve dvou variantách:

varianta A

Po nabytí účinnosti zákona o digitálním podpisu budou postupně novelizovány ty zákony, kterých se tento zákon přímo dotkne.

varianta B

Změny ostatních zákonů v právním řádu, které zákon o digitálním podpisu vyvolá, budou definovány přímo v tomto zákoně.

Následné úpravy, které budou vyvolány přijetím tohoto zákona se v první řadě dotknou následujících právních předpisů: jedná se zejména o zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, zákon č. 563/1991 Sb. o účetnictví, zákon č. 513/1991 Sb. obchodní zákoník a zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů, zákon č. 591/1992 Sb., o cenných papírech, ve znění pozdějších předpisů a zákon č. 455/1991 Sb., živnostenský zákon ve znění pozdějších předpisů.

5. Předpokládaný hospodářský a finanční dosah

Navrhovaný věcný záměr zákona nepředpokládá v první fázi zvýšené požadavky na státní rozpočet. Jakmile bude zřízena zákonem navrhovaná instituce Národní certifikační autority, povinně zahrnující oblast státní sféry, bude na zřízení této instituce vznesen požadavek přídělu finančních prostředků ze státního rozpočtu. Tato Národní certifikační autorita bude zřízena státem nebo jí bude udělena licence státem a bude podléhat kontrole státu. Jiné varianty totiž v sobě nesou značné riziko roztříštěnosti, nejednotnosti ve způsobech certifikace, nekontrolovatelnosti a riziko neúměrných finančních požadavků poskytovatelů certifikačních služeb. Předpokládá se, že tato certifikační autorita by operovala také v rámci mezinárodní působnosti.

Ve svém konečném důsledku bude mít podpora předávání digitálních dokumentů podepsaných digitálním podpisem za následek značné finanční úspory. Půjde především o výrazně nižší používání papírových informačních médií a významné zrychlení oběhu dokumentů. Odpadne tím doposud v praxi používané ruční přepisování údajů z informačního systému jednoho subjektu do informačního systému druhého subjektu.

1. ÚVOD

Přenos informací prostřednictvím počítačových sítí v oblasti obchodní a hospodářské praxe je oblast lidské činnosti, která prochází nebývale dynamickým rozvojem. Pro celosvětovou komunikaci mají rostoucí význam otevřené sítě typu Internet. Nabízejí nové obchodní příležitosti vytvářením nástrojů pro zvýšení produktivity a snižování nákladů, přinášejí nové metody pro dosažení nových zákazníků. Sítě jsou využívány společnostmi, které chtějí využít výhod, spojených s novými metodami realizace obchodu a s novými metodami práce, jako je teleworking a sdílené virtuální prostředí. Tyto sítě jsou využívány rovněž vládními institucemi, při zajišťování jejich vztahů se společnostmi a občany.

Jednou ze součástí zabezpečení tohoto procesu je vytvoření legislativního rámce, který by umožnil plné využití dostupných informačních technologií. Situaci je třeba urychleně řešit již proto, aby nedocházelo touto formou ke zneužití elektronicky zpracovávaných a předávaných informací a dalším nezákonným aktivitám.

Při zpracování digitálních dokumentů je nutné aby jim byla dána právní relevance (průkaznost). Jedním z faktorů je autenticita původce digitálního dokumentu, což znamená prokazatelné a spolehlivé zjištění jeho totožnosti. Druhý důležitý faktor je zachování integrity digitálního dokumentu, to je skutečnost, že digitální dokument nebyl nějakým způsobem, ať již záměrně či neúmyslně, změněn. Třetím faktorem je zajištění nepopiratelnosti, což znamená, že původce digitálního dokumentu nebude moci popřít, že tento dokument vytvořil.

Elektronické podpisy umožňují příjemci digitálního dokumentu ověřit původ dat (autentizace zdroje) a zkontrolovat integritu dat. V současné době nejprogresivnějším typem elektronického podpisu, zajišťujícím rovněž nepopiratelnost, je tzv. digitální podpis, používající kryptografické metody.

V současné době existují některé dokumenty na evropské nebo mezinárodní úrovni, vymezující určitý rámec pro přijetí národních zákonů o elektronickém obchodu a digitálním podpisu. Evropská ministerská konference uspořádaná v Bonnu v červnu 1997, které se účastnili také ministři zemí střední a východní Evropy, přijala závěry, jejichž cílem je vytvořit podmínky pro využívání informačních technologií v celé společnosti počínaje státní správou přes malé a střední podniky až po občany. Jako klíčový problém pro elektronický obchod označila potřebu digitálních podpisů, nutnost vytvoření právního a technického rámce na evropské a mezinárodní úrovni, který mj. zajistí kompatibilitu a vytvoří důvěru při používání digitálních podpisů. Bonnská konference uložila ministrům zúčastněných zemí iniciovat nutné kroky pro odstranění překážek v používání digitálních podpisů v oblasti legislativy, komerce a státní správy a zajištění vzájemného uznávání certifikátů.

Komise OSNpro mezinárodní obchodní zákon UNCITRAL zveřejnila v roce 1998 návrh modelového zákona o digitálním podpisu, který doplňuje návrh zákona o elektronickém obchodu. S ohledem na naše budoucí členství v EU je nutné přihlédnout i k požadavkům dalších dvou významných dokumentů. V říjnu 1997 vydala Evropská komise sdělení COM (97) 503 “K evropskému rámci pro digitální podpisy a šifrování”. Toto sdělení se zabývá v první časti vypracováním rámce pro entity vydávající certifikáty na bázi digitálních podpisů, tzv. certifikační autority, a právním uznáním digitálních podpisů. V druhé části se zabývá šifrováním, včetně problematiky kontroly exportu a požadavků na právní prosazení. Ve třetí části se zabývá právním základem pro iniciativu Komise v této oblasti a rozsah ačasový rámec takové iniciativy. V červnu 1998 pak byla přijata Evropskou komisí předložená Směrnice k obecnému rámci pro elektronické podpisy COM (1998) 297.

Předkládaný návrh věcného záměru vzal v úvahu i současný stav legislativy o digitálním podpisu ve světě, zejména německý zákon o digitálním podpisu a prováděcí vyhlášku k tomuto zákonu. Současně s problematikou digitálního podpisu musí být řešena i navazující problematika elektronického obchodu, infrastruktury veřejných klíčů atd.

Je nutné připomenout, že v této oblasti řada legislativních a standardizačních procesů v Evropě dosud probíhá a přes určité mírné zpoždění České republiky v této oblasti je možné se k těmto procesům se připojit.
 
 

2. ZDŮVODNĚNÍ NAVRHOVANÉHO VĚCNÉHO ŘEŠENÍ

Základním cílem je dát elektronickým dokumentům stejnou právní váhu, jako mají dokumenty v papírové podobě stvrzené vlastnoručním podpisem. Důkazní síla digitálního podpisu tedy v případném soudním řízení (platnost důkazního materiálu) musí být postavena na stejnou úroveň jako klasický vlastnoruční podpis na papírovém médiu.
 
 

3. Předmět navrhovaného zákona

Předmětem zákona je stanovení podmínek pro používání digitálních podpisů, které spolehlivě identifikují padělání digitálních podpisů nebo jinou nezákonnou manipulaci s digitálně podepsanými dokumenty.

3. 1 Vymezení používaných pojmů

V navrhovaném zákoně budou používány některé pojmy, které upřesňují význam odborných termínů a vymezují tak oblast působnosti navrhovaného zákona. Jedná se o tyto pojmy: digitální dokument, digitální podpis certifikát, certifikace, certifikační autorita, identifikace, autenticita dokumentu, integrita dokumentu, nepopiratelnost značí, soukromý klíč, veřejný klíč, časové razítko (označení času). Definice těchto pojmů jsou popsány v návrhu věcného záměru zákona o digitálním podpisu v části C – Návrh věcného řešení.

Dále se v této oblasti používají tyto pojmy:

1) Kryptografie s veřejným klíčem (asymetrická kryptografie) je využití kryptografického algoritmu, který využívá dvou souvisejících klíčů, veřejného a soukromého. Tyto klíče splňují vlastnost, že z veřejného klíče je výpočetně neproveditelné zjistit soukromý klíč.

2) Infrastruktura veřejných klíčů (PKI, Public Key Infrastructure) je struktura hardware, software, lidí, procesů a politik, která využívá technologii digitálního podpisu pro zajištění průkazného spojení mezi veřejným klíčem a konkrétním subjektem.

3) Důvěryhodná třetí strana (TTP, Trusted Third Party) je autorita nebo agent, který je důvěryhodný ve vztahu k určité činnosti.

4) Elektronická výměna dat (EDI Electronic Data Interchange) je výměna strukturovaných standardizovaných zpráv mezi aplikacemi pomocí komunikačních sítí.
 
 

4. Funkce elektronického podpisu

Hlavním problémem elektronického obchodu je vybudovat důvěru při elektronických transakcích na otevřených sítích mezi stranami, které nemají žádný předem existující vztah. Elektronické podpisy jsou jedním prostředkem k dosažení těchto cílů.

Existuje několik různých metod pro elektronické podepisování dokumentů od nejjednodušších (například vložení naskenovaného obrázku vlastnoručního podpisu do dokumentu) až po velmi pokročilé (například metody používající kryptografie). Elektronické podpisy, založené na použití tzv. "kryptografie s veřejným klíčem" jsou nazývány digitálními podpisy a tvoří základ mnoha aplikací, např. :

• digitální podpisy pro úřední komunikaci s veřejnými institucemi
• digitální podpisy pro zajištění smluvních vztahů v datových sítích
• digitální podpisy pro provádění právních úkonů v datových sítích
• digitální podpisy pro identifikaci osob v informačních systémech
• digitální podpisy pro uzavřené systémy (např. podnikové informační systémy)

Digitální podpis v žádném případě není digitalizovaná image ručního podpisu. Digitální podpis je elektronickou analogií vlastnoručního podpisu. Digitální podpis poskytuje následující funkce:

1. Autentizace původce. Tato funkce znamená, že příjemce digitálního dokumentu bezpečně ví, kdo je autorem (nebo odesilatelem) digitálního dokumentu. Příjemce má také jistotu, že dokument nebyl padělán nebo podvržen.
2. Integrita digitálního dokumentu. Funkce integrity poskytuje příjemci jistotu, že digitální dokument nebyl modifikován.
3. Nepopiratelnost. Tato funkce zajišťuje, že odesílatel (autor) digitálního dokumentu nebude moci popřít, že daný dokument s daným obsahem vytvořil nebo odeslal. Z právního hlediska jde o vyjádření nezpochybnitelnosti informací, které digitální podpis indikuje.

Postup při tvorbě digitálního podpisu je následující:

1. Nejprve je ke zprávě vytvořen kontrolní blok bytů pomocí tzv. hash funkce. Vytvořený kontrolní blok je zcela unikátní pro každou digitálně podepisovanou zprávu.
2. Kontrolní blok je zašifrován soukromým podpisovým klíčem odesílatele zprávy a zašifrovaný blok je připojen k vlastní zprávě.
3. Při ověřování digitálního podpisu na straně příjemce je nejprve z vlastní zprávy bez digitálního podpisu vytvořen kontrolní blok stejným způsobem jako při odeslání.
4. Zašifrovaný kontrolní blok je rozšifrován pomocí veřejného podpisového klíče odesílatele zprávy a pokud se oba kontrolní bloky:
1. rovnají, je digitální podpis platný a může být vyslána zpráva, která odesílateli potvrdí bezchybný přenos,
2. liší, přenášená data jsou odmítnuta a odesílateli může být o výsledku vyslána zpráva.

Digitální podpisy jsou dnes obvykle vytvářeny a ověřovány pomocí asymetrických kryptografických prostředků. Pro každého uživatele jsou vytvořeny dva vzájemně se doplňující klíče. Jeden z nich (soukromý klíč) je uživatelem držen v tajnosti a je používán pro vytváření digitálního podpisu. Druhý z nich (veřejný klíč) je zveřejněn a slouží k ověření digitálního podpisu. Tento princip zajišťuje, že nikdo neoprávněný – tedy osoba která nevlastní soukromý podpisový klíč – nemůže digitální podpis měnit.

Soukromý klíč je používán pouze tím, kdo podpisuje, k vytvoření digitálního podpisu a veřejný klíč je zveřejněn třetím stranám tak, že tyto mohou ověřit, že digitálně podepsaný dokument byl podepsán držitelem odpovídajícího soukromého klíče. Když byla již zpráva digitálně podepsána s použitím soukromého klíče, dešifrovat nebo ověřit podpis může pouze osoba s přístupem k veřejnému klíči. Soukromý klíč nedešifruje ani neověřuje digitální podpis. Ačkoliv klíče v dvojici klíčů mají matematický vztah, jestliže byl asymetrický šifrovací systém navržen a implementován bezpečně, je prakticky neproveditelné odvodit soukromý klíč ze znalosti veřejného klíče. Takže ačkoliv může mnoho lidí znát veřejný klíč toho, kdo podpisuje, a používá ho pro ověření podpisů toho, kdo podpisuje, nemohou odhalit soukromý klíč toho, kdo podpisuje a použít jej pro padělání digitálního podpisu.

Na rozdíl od kryptografie, používané pro utajení, jsou digitální podpisy připojeny k digitálnímu dokumentu a samotný obsah digitálního dokumentu je ponechán beze změn. Pouhé ověření digitálního podpisu zajišťuje, že digitální dokument nebyl padělán nebo pozměněn, ale neříká nic o identitě autora dokumentu. Příjemce totiž nemá jistotu, že veřejný klíč, kterým byl digitální podpis ověřen, skutečně patří proklamovanému autorovi. Kdokoliv totiž může zveřejnit svůj veřejný klíč pod jakýmkoliv jménem.

Příjemce proto potřebuje spolehlivou informaci o identitě vlastníka veřejného klíče. Tuto informaci může například získat osobním kontaktem s odesílatelem. Jinou a běžně používanou cestou je potvrzení identity vlastníka veřejného klíče získané od nezávislé důvěryhodné třetí strany. V kontextu digitálního podpisu je tato strana obvykle nazývána certifikační autorita.
 
 

5. Certifikační autority

Hlavním úkolem certifikační autority je bezpečně zjistit identitu vlastníka certifikovaného veřejného klíče. Jakmile je certifikační autorita dostatečně přesvědčena o identitě (a případně jiných vlastnostech) vlastníka veřejného klíče, vydá certifikát, který obsahuje jméno vlastníka podpisového klíče, přidělený veřejný klíč, přidělené originální číslo certifikátu, dobu platnosti certifikátu, název certifikační autority a údaje, týkající se případného omezení při používání podpisového klíče. Samotný certifikát je pak podepsán digitálním podpisem pomocí soukromého klíče certifikační autority, kterým certifikační autorita potvrzuje vztah mezi veřejným klíčem a identitou jeho vlastníka. Pro ověření digitálního podpisu je nutné, aby příjemce digitálního dokumentu důvěřoval certifikační autoritě.

Svázání identity konkrétní entity s konkrétní dvojicí klíčů je jednou z klíčových funkcí certifikačních autorit. Protože vývoj směřuje k rozdílným úrovním a typům certifikátů, některé mohou pouze vyžadovat, aby certifikační autorita doložila pouze nízkou úroveň identifikace, jako např. odkazem na certifikovaný dokument, zatímco jiné mohou požadovat stejnou formu identifikace jako je požadována například pro získání pasu. Navíc, certifikáty by měly dokládat jiné atributy osoby než je identita, což může zahrnovat např. jejich oprávnění jednat jménem sdružené entity ve speciální transakci.
 
 

6. certifikát

Certifikát je digitální dokument, který obsahuje identifikační informace a jiné atributy subjektu a veřejný klíč čili prostředek pro ověření digitálního podpisu, podepsané certifikační autoritou, která provedla ověření atributů. Je to soubor svazující identitu subjektu s jeho veřejným klíčem. Pomocí certifikátu je možné identifikovat subjekty v elektronické komunikaci. Jedná se tedy o elektronický průkaz identity, který na základě matematických teorií dokazuje identitu svého držitele.

Certifikát může mimo veřejný klíč a identitu jeho vlastníka obsahovat mnoho různých informací. K těmto údajům patří zejména jméno vlastníka podpisového klíče, veřejný podpisový klíč, názvy použitých algoritmů, podpisového klíče a veřejné klíče certifikační autority, pořadové (běžné) číslo certifikátu, začátek a konec platnosti certifikátu, jméno certifikační autority a údaje týkající se případného omezení použití podpisového klíče.

Některé dodatečné informace jsou potřeba vždy, například použitý algoritmus nebo časová platnost certifikátu. Jiné informace mohou být volitelné a závisí na účelu použití certifikátu.

Údaje týkající se zmocnění k zastupování třetí osoby a odborné způsobilosti k provozu nebo jiného typu způsobilosti mohou být součástí jak certifikátu podpisového klíče, tak i certifikátu atributů. Další údaje mohou být v certifikátu podpisového klíče obsaženy pouze se souhlasem dotyčných stran.
 

6. 1 Infrastruktury veřejných klíčů

Obvykle jsou certifikační autority organizovány hierarchicky do struktury nazývané PKI (Public Key Infrastructure). Ustavení infrastruktury veřejných klíčů je způsob, jak zajistit důvěru, že veřejný klíč podpisujících skutečně odpovídá jejich soukromému klíči, že jsou klíče generovány a spravovány důvěryhodným a legálním způsobem.
 
 

7. Struktura navrhovaného zákona

Struktura navrhovaného zákona vychází z požadavků upravit zákonem všechny nezbytné činnosti spojené s používání digitálního podpisu, dále pak byly vzaty v úvahu zkušenosti z praktického používání zemí, které již digitální podpis ve svém právním řádu mají zahrnut. Tak jak je návrh předkládán se zřejmě nejvíce přibližuje pojetí německého zákona o digitálním podpisu.

Struktura tedy zahrnuje hlavní oblasti, které jsou tedy účel a předmět zákona, vymezení používaných pojmů, zřízení Národní certifikační autority, práva a povinnosti certifikačních autorit, obsah certifikátů, uznávání zahraničních certifikátů a podmínky kladené na používané technické komponenty.
 
 

8. Právní váha digitálního podpisu

Po přijetí navrhovaného zákona bude potřeba provést úpravy u těch právních norem, které vymezují způsob podepisování dokumentů. V obchodním styku bude možné digitální podpis používat ihned po nabytí platnosti zákona, v ostatních případech bude muset postupně dojít k novelám a ustanovení vlastnoručního podpisu a digitálního podpisu na stejnou právní úroveň.

Úprava současného právního řádu bude muset být provedena v oblasti obchodního práva, a to v obchodním zákoníku, kde bude nutné formou novely tohoto zákona stanovit rovnost papírových a digitálních dokumentů při realizaci obchodního a hospodářského styku. Další přímý dopad na současnou právní úpravu bude spočívat v rozšíření (novelizaci) trestního zákona o trestné činy související s budoucím zákonem o digitálním podpisu. Sankce při zneužití podle trestního zákoníku budou muset být vymezeny podle závažnosti dopadu konkrétního protizákonného skutku.

Podrobné určení jednotlivých konkrétních postupů a opatření by měla určovat prováděcí vyhláška k tomuto zákonu, jejíž vydání by mělo následovat bezprostředně po schválení tohoto zákona.
 

8. 1 Využití digitálního podpisu orgány státní správy

Ve státní správě připadají v úvahu aplikace použití digitálního podpisu při vzájemné komunikaci jednotlivých orgánů státní správy, dále v systému zadávání veřejných zakázek, při provozování elektronického obchodu státními institucemi, styku občanů s orgány státní správy, apod. Využití digitálního podpisu orgány státní správy bude mít značný ekonomický přínos. Snaha o prosazení nových progresivních technologií v oblasti státní správy je nezbytná pro lepší využití prostředků, které do státní správy plynou. Předpokládáme, že bude možné využít skutečnost, že na projekt elektronického systému zadávání veřejných zakázek je možné žádat finanční pomoc z Evropské unie.

V Evropské unii bude v nejbližší době na Internetu zpřístupněn elektronický systém zadávání veřejných zakázek. Bude tedy možné využít těchto zkušeností se zaváděním podobného systému v České republice s možností pozdějšího zapojení do systému Evropské unie.
 

8. 2 Harmonizace práva ve vztahu k Evropské unii

Prioritním zájmem je postupné sbližování (harmonizace) právního řádu České republiky s legislativou platnou v Evropském společenství, které připravuje legislativu pro využití digitálního podpisu v elektronickém obchodu.

UNCITRAL (komise OSN pro mezinárodní obchodní zákon) zveřejnila na začátku roku 1998 návrh vzorového zákona o digitálním podpisu, který doplňuje návrh zákona o elektronickém obchodu. Upravuje používání digitálních podpisů pro identifikaci a autentizaci osoby, která provedla elektronickou transakci a zajištění integrity, tj. zachování obsahu digitálního dokumentu a pro zabezpečení průkaznosti elektronické komunikace.

Návrh zákona zohledňuje Sdělení Evropské komise COM (97) 503 z října 1997, zajišťující bezpečnost a důvěru v elektronické komunikaci pod názvem “Evropský rámec pro digitální podpisy a šifrování”. Zohledňuje rovněž Směrnici Evropské komise o obecném rámci pro elektronické podpisy COM (1998) 297 z června 1998.

K opatřením v této oblasti přistupují i hospodářsky nejsilnější země světa i země Evropské unie a Česká republika by se z ohledem na svůj plánovaný vstup do Evropské Unie k nim měla připojit. Předložení zákona je odůvodněno požadavkem na jednoznačné právní vymezení oblasti používání digitálního podpisu. Navrhovaný zákon by měl zajistit stejné postavení jak papírových a elektronických dokladů, tak i vlastnoručních a elektronických podpisů při předávání informací v těch oblastech, kde digitální komunikace může sloužit stejným, ale přitom efektivnějším způsobem. Má tedy umožnit plné využití současných možností elektronické formy předávání informací nejrůznějšího druhu.

Jako příklad využití digitálního podpisu je možné uvést usnadnění a urychlení procesu zadávání veřejných zakázek. Oblast veřejných zakázek musí být transparentní pro subjekty trhu. Stát může svým aktivním přístupem k využívání elektronického obchodu přispět k jeho rychlejšímu rozvoji a k úspoře prostředků.

Předkládaný věcný návrh zákona o digitálním podpisu neřeší formu peněžních operací, spojených s jednotlivými transakcemi. Předpokládá se, že samostatné právní předpisy budou řešit legislativní vymezení některých dalších oblastí jako jsou pravidla pro stanovení daní a cel při elektronických obchodních transakcích a technicky zabezpečenou elektronickou archivaci přenášených dokumentů včetně možnosti zpětného přístupu.