Otázky, otázky...V doprovodném článku k zákonu o elektronickém podpisu v Chipu 10/00 se zamýšlíme nad novým zákonem o elektronickém podpisu z právního i technického hlediska. Při čtení zákona nás napadlo mnoho otázek, na které jsme si nedokázali odpovědět sami bez právní pomoci. Položili jsme je tedy spoluautorovi zákona doc. Ing. Smejkalovi, CSc. Protože se jedná už o dost konkrétní dotazy na význam některých termínů nebo ustanovení zákona, doporučujeme vám si nejprve přečíst jak úvodní článek v Chipu, tak text vlastního zákona (je k dispozici elektronicky, viz infotipy v článku) a poté tyto otázky a odpovědi.Protože některé termíny v zákonu jsou dlouhé, vytvořili jsme si mnemotechnické zkratky, jejichž seznam je v připojené tabulce. Seznam zkratek
Nyní už tedy naše otázky: 1. otázka Jaký je právní rozdíl mezi tím, když Jan Novák podepíše ručně nějakou smlouvu, vytištěnou na papíře, a tím, když tuto smlouvu (e-mailovou objednávku apod.) v elektronické podobě doplní na konci řetězcem "Jan Novák"? VS: Je třeba si uvědomit, že existují tři druhy podpisu: a) podpis - může být nahrazen i mechanickým prostředkem, má nejnižší právní váhu; b) vlastnoruční podpis - musí splňovat požadavky ObčZ, a to určení osoby, která právní úkon učinila; c) ověřený podpis - totožnost podepisujícího je ověřena úřední osobou, před kterou se občan podepíše (tzv. legalizace). Podepíše-li J.N. smlouvu na papíře nebo mail znakovým řetězcem "Jan Novák", pak jde o nejnižší druh podpisu ad a). Ovšem s jistou pravděpodobností lze grafologicky ověřit pravost i "obyčejného" podpisu, zatímco autorství řetězce bajtů bez dalšího ověřit nelze. Takže takovýto řetězec není elektronickým podpisem. Ale obrázek obsahující oskenovaný podpis by již jím být mohl - ten lze grafologicky ověřit, přičemž i zde bude díky schopnosti výpočetní techniky obtížné dokázat, zda se oskenovaný podpis ocitl na dokumentu z vůle uvedené osoby. Tyto problémy odstraňuje až zaručený elektronický podpis. V této souvislosti bych chtěl uvést jednu věc, která se promítá i do otázek a odpovědí dále: v původním návrhu našeho ZoEP se s "obyčejným" elektronickým podpisem vůbec nepočítalo. Neposkytuje totiž dostatečné záruky. Ale byli jsme doslova "utlučeni" argumenty, navíc nepravdivými, že zákon musí doslova odpovídat směrnici EU, a v zájmu "politické" průchodnosti jsme zapracovali i ustanovení směrnice, která považujeme za zbytečná či nevhodná. 2. otázka Přesto se v definici "obyčejného" EP říká, že "umožňuje ověření totožnosti podepsané osoby vzhledem k datové zprávě". Proč tedy EP neposkytuje dostatečné záruky a poskytuje je až ZEP? VS: Já chápu rozdíl v tom, že EP pouze umožňuje ověření totožnosti podepsané osoby ve vztahu k datové zprávě, což je podle mého názoru slabším tvrzením, než říká § 2 o ZEP, ale hlavně jde o § 3, "Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu". Jinými slovy: záruky týkající se ZEP jsou vyšší a jsou odvozeny také z institutu použití KvCt. 3. otázka Když je datová zpráva podepsána pouhým EP a nikoli ZEP, znamená to, že tento podpis je bezcenný (předpokládáme, že mezi účastníky neexistuje žádná jiná dohoda)? VS: Ano, více méně je tomu tak - viz výše, ale samozřejmě z hlediska volného hodnocení důkazů si dovedu představit určitým způsobem za určitých okolností vytvořený "obyčejný" EP, který bude v rámci důkazního řízení vyhodnocen stejně průkazně, jako ZEP. Ale ZEP má záruky dané přímo zákonem. 4. otázka V případě ZEP (§ 2 písm. b) se říká, že (oproti EP) umožňuje identifikaci podepisující osoby (ve vztahu k datové zprávě) a že je jednoznačně spojen s podepisující osobou. Jaký je rozdíl mezi identifikací a ověřením totožnosti (viz EP), co to znamená jednoznačně spojen? VS: Identifikace = zjištění, kdo je pod zprávou podepsán; autentizace je ověřením totožnosti, že se skutečně ten, kdo je identifikován, podepsal. 5. otázka Ano, ale jaký je rozdíl mezi "zjištěním" a "ověřením totožnosti". Můžete uvést příklad? VS: To je jednoduché: dostanete zprávu podepsanou "Vladimír Smejkal", tedy identifikujete odesílatele, jako že jsem to já. Ale uvěříte tomu až v okamžiku, kdy můj podpis autentizujete, tedy si ověříte jeho platnost. 6. otázka Pokusím se tedy zformulovat, jak jsem to pochopil. Když ZoEP říká, že EP "umožňuje ověření totožnosti podepsané osoby vzhledem k datové zprávě", nemyslí tím, že elektronickým podpisem je toto "ověření" také už automaticky vykonáno. ZoEP jen říká, že je to "umožněno", tj. že EP mě může napomoci k tomu, abych si totožnost podepsané osoby ověřil, ale nijak výsledek tohoto ověření nezaručuje. Pokud pod e-mailem bude uveden text "Jan Novák, Lužní 2, Brno", je to právě případ EP, neboť mi dává možnost (cestu) k ověření totožnosti. Pokud je ke zprávě přiložen BZEP (viz tabulka zkratek), je to jako kdyby podpis Jana Nováka pod touto zprávou ověřil už přímo notář, tedy toto "ověření" je už automaticky vykonáno. Mezi těmito dvěma podpisy (EP a BZEP) leží ještě ZEP, který nemá vlastnosti BZEP. Tento ZEP má sice lepší vlastnosti než EP, ale ZoEP u něj "ověření totožnosti" negarantuje stejně jako u EP. Pochopil jsem to správně? VS: Naprosto přesně. 7. otázka Zákon říká, že ZEP je jednoznačně spojen s podepisující osobou. EP tedy není jednoznačně spojen s podepisující osobou? VS: Zákon nic neříká v případě EP o jednoznačnosti. Protože podmínky v § 2 písm. b) se vztahují k ZEP, platí, že u EP tomu tak být může, ale nemusí. Jinými slovy, nelze na to spoléhat. 8. otázka ZEP je tedy jednoznačně spojen s podepisující osobou, ale ZoEP neříká, že jednoznačné spojení je pomocí certifikátu nebo kvalifikovaného certifikátu - vyplývá to přesto odněkud? VS: Vyplývá to z § 2, písm. b) ad 3, z § 3 a konečně z § 6 odst. 1 písm. c), případně § 12 zákona. 9. otázka Když bude z technického hlediska možné realizovat ZEP, který splňuje § 2, písm.b i bez použití Ct a KvCt, bude takový ZEP uznán Úřadem? VS: Možné varianty jsou čtyři, ale pouze jedna poskytuje to, o čem je celý zákon:
Platí moje poznámka výše o jisté zbytečnosti některých přístupů směrnice. 10. otázka § 11 říká, že v "oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty, vydávané akreditovanými poskytovateli certifikačních služeb". Platí toto o styku občan-orgán nebo jen orgán-orgán? VS: V oblasti orgánů veřejné moci je požadován vyšší stupeň záruky jak z hlediska technologie, tak z hlediska "důvěryhodné třetí strany". Platí to samozřejmě pro všechny účastníky, tj. jak občany, tak orgány. 11. otázka Co když se ale najde technologie ZEP, která nepoužívá certifikáty, tj. ani nepotřebuje PCS, ale bude umět vytvářet ZEP podle § 2, písm. b? Bude moci být tento ZEP použit ve státní správě? VS: Neočekáváme, že by se brzy našla technologie, která by likvidovala institut "důvěryhodné třetí strany"; pak by samozřejmě musel být novelizován zákon. Pokud by se jednalo pouze o nahrazení metod asymetrické kryptografie jinými postupy, pak by asi nemusel být zákon měněn, pouze by možná se změnily prováděcí předpisy. 12. otázka Dejme tomu, že taková technologie už existuje, a umí vytvářet ZEP s vlastnostmi podle § 2, písm. b, ale nepotřebuje k tomu certifikáty ani poskytovatele certifikačních služeb. Bude možné ji podle § 11 použít ve státní správě? (jde o výklad spojky "a" v citaci § 11 viz výše) VS: Domnívám se, že ne: problém není v § 11, ale v § 3 odst. 2. 13. otázka Pro komunikaci mezi úředníky různých ministerstev (nebo jiných orgánů státní správy) by měly existovat jejich vlastní certifikační autority. Ty však ministerstva nemohou podle § 10 zakládat přímo (nemají oprávnění k podnikatelské činnosti). Jak by se toto dalo vyřešit? VS: Nemyslím si, že by měly existovat CA totožné s orgánem veřejné správy. Pak se z "trojúhelníku" důvěry stane "přímka nedůvěry". 14. otázka Máte nějakou představu, kde by ministři, ministerští úředníci, policisté a všichni úředníci státní správy mohli získat certifikáty, aby navzájem a s občany mohli komunikovat včetně elektronických podpisů? VS: U poskytovatele certifikačních služeb, který projde dobrovolnou akreditací u Úřadu pro ochranu osobních údajů, a který bude vítězem veřejné soutěže podle zákona o veřejných zakázkách. 15. otázka Podle § 2 písm. g) vydaný (i nekvalifikovaný) certifikát musí umožnit ověřit totožnost podepisující osoby. Je možné vyložit zákon tak, že certifikát sám o sobě nemusí obsahovat dostatek dat pro ověření totožnosti, ale prostřednictvím PCS, který tato data má s certifikátem spojená, bude možné je doplnit? VS: Zákon požaduje, aby poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, před vydáním kvalifikovaného certifikátu bezpečně ověřil odpovídajícími prostředky totožnost osoby, které kvalifikovaný certifikát vydává, případně i její zvláštní znaky, vyžaduje-li to účel kvalifikovaného certifikátu. Takový požadavek není na "obyčejné" certifikáty, proto je nepovažujeme za dostatečně důvěryhodné. Prováděcí předpis by měl stanovit, že osoba se musí dostavit osobně, nejméně se dvěma úředními doklady prokazujícími její totožnost a obsahující její fotografii. Možná bude muset archivovat kopie těchto dokladů - ale to je pouze momentální nápad. 16. otázka Ano, to je procedura získávání certifikátu. Teď jde o to, co se z osobních dat promítne do vlastního certifikátu, tedy o to, co v něm uvidí a budou moci použít uživatelé systému. Vydaný certifikát by jim měl umožnit ověřit totožnost podepsané osoby. Jak je možné očekávat naplnění tohoto požadavku v praxi, tj. co se bude uvádět v Ct a KvCt ? Jak bude tato totožnost poté dokazována, pokud vznikne nějaká škoda? VS: Náležitostí KvCt (je mi zhola jedno, co bude v obyčejném certifikátu, pro který zákon nic nepředepisuje) předepisuje § 12. Další údaje o vlastníkovi certifikátu se naleznou samozřejmě v dokumentaci PCS vedené podle § 6 odst 9 ZoEP. Za škodu způsobenou porušením povinností stanovených tímto zákonem odpovídá poskytovatel certifikačních služeb vydávající kvalifikované certifikáty podle Občanského zákoníku. 17. otázka Můžete uvést příklad, na němž bude vidět rozdíl mezi prostředkem a nástrojem elektronického podpisu? VS: Podle mého názoru nástroj elektronického podpisu je širší pojem a zahrnuje všechno, co je třeba pro jakoukoliv činnost související s elektronickým podepisováním. Ale toto je opět jedna z věcí, na které byste se měli zeptat v Bruselu. 18. otázka Pokud by v KvCt bylo uvedeno jen jméno a příjmení osoby, bude naplněn § 3, odst.2, který říká, že při jeho použití lze ověřit, že datovou zprávu podepsala osoba, uvedená v KvCt? Postačí to k ověření? Znamená § 3, odst.2, že pokud nepoužijeme ZEP s KvCt a pomocí BP, není možné ověřit (a dokázat), že datovou zprávu podepsala osoba uvedená v KvCt? VS: Zákon říká, že v kombinaci ZEP s KvCt pomocí BP umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu - ne že se tak skutečně stalo. Ale současně říká, že to k ověření postačí. Zcela obecně řečeno, český právní řád je založen na principu tzv. volného hodnocení důkazů. Není tedy možné vyloučit, že by se v konkrétním případě podařilo dokázat, že datovou zprávu podepsala či naopak nepodepsala osoba uvedená na certifikátu. 19. otázka Je zřejmé, že občané si nemohou vytvářet "páry klíčů" pro EP sami na koleně. Program pro vytváření klíčů a vytváření žádosti o certifikát od někoho obdrží nebo obojí možná udělají přímo na pracovišti PCS. Lze v tomto případě hovořit o tom, že podepisující osoba může udržet prostředky pro vytváření ZEP pod svou výhradní kontrolou? VS: Směrnice i náš zákon vymezuje bezpečnostní předpoklady pro zamezení zneužití ze strany PCS (poskytovatel musí zajistit utajení dat pro vytváření zaručených elektronických podpisů v případě, že poskytovatel certifikačních služeb umožňuje podepisující osobě jejich vytvoření v rámci poskytovaných služeb - § 6 odst 1 písm. k - a poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, nesmí uchovávat a kopírovat data pro vytváření zaručeného elektronického podpisu osob, kterým poskytuje své certifikační služby - § 6 odst. 3), ale já osobně jsem proti tomu, aby se klíče generovaly na pracovišti PCS. Dostatečně rozumný uživatel si jej vygeneruje sám, na svém zabezpečeném počítači a skutečně výlučně pod vlastní kontrolou; tedy ne v síti a už vůbec ne někde na internetu. V rámci PCS si to dovedu představit tak, že bude existovat zabezpečený samostatný počítač v diskrétní zóně, který bude nastaven prokazatelným způsobem tak, že bude ukládat klíče pouze na disketu nebo čipovou kartu uživatele. 20. otázka Tato otázka je trochu teoretická. V situaci, kdy se na počítači PCS (v diskrétní zóně) generuje privátní klíč, dochází vlastně při jeho přenosu na zákazníkovo médium (disketa, čipová karta) z technického hlediska ke kopírování tohoto klíče. To je ale zakázáno podle § 6, odst.3. Chápe zákon kopírování i v tomto smyslu? VS: Já se domnívám že nikoliv. Kopie znamená, že k něčemu vznikne druhý exemplář. Současně již v diskusích okolo autorského zákona bylo řešeno, jaký je rozdíl mezi dočasnou, pracovní kopií např. v cache paměti a kopií určenou k tomu, aby jako kopie existovala. Tedy pokud v paměti procesoru vznikne privátní klíč, který je uložen pouze jednou, a to na vlastní médium zákazníka, pak ke kopírování nedochází. 21. otázka Vraťme se ale ještě k předchozí otázce. Obávám se, že ani o domácím počítači, ani o žádném programu, ani o žádné čipové kartě není možné spolehlivě říci, že je můžeme držet pod svou výhradní kontrolou. Může se jednat například o běžné chyby výrobce, trojské koně, viry, nepublikované kódy apod.). Bude zákon považovat třeba domácí PC nebo čipovou kartu za "udržitelné pod svojí výhradní kontrolou"? VS: Samozřejmě musí se předpokládat - a použiji jiný právnický termín, který nepochybně bude dráždit programátory - že uživatel musí vynaložit veškeré možné, rozumné a přiměřené úsilí, aby se tak stalo. Ale posuzovat se to musí ad hoc. Domnívám se proto, že zakoupení čipové karty od známého výrobce, dokládajícího kvalitu různými způsoby, ve známém a značkovém obchodu, následné vygenerování klíčů na počítači u akreditovaného PCS a podepisování výhradně na vlastním notebooku pořízeném stejným způsobem, provozovaném v zabezpečeném režimu, je něco úplně jiného, než nošení klíčů na disketě a strkání do každého počítače, na který narazíte. 22. otázka Jaká může být role PCS, který nechce být akreditovaný? Zdá se, že jediným důvodem pro to, aby PCS-KvCt nebyl akreditovaný, je podmínka, že akreditovaný PCS musí mít sídlo na území ČR. Má to nějaký praktický význam? Může zahraniční (a tudíž neakreditovaný) PCS vydávat KvCt podle tohoto zákona? VS: Akreditovaní PCS budou pod větší kontrolou a jurisdikcí státu (prostřednictvím ÚOOÚ). Těžko lze ukládat sankce podle českého ZoEP PCS sídlícímu v zahraničí. Bohužel, proti mému obezřetnému názoru, bylo prosazeno do zákona, že KvCt mohou vydávat i neakreditovaní PCS. Musejí ale ohlásit Úřadu nejméně 30 dnů před vydáním prvního kvalifikovaného certifikátu, že budou vydávat kvalifikované certifikáty. Úřad vykonává dozor nad činností akreditovaných poskytovatelů certifikačních služeb a poskytovatelů certifikačních služeb vydávajících kvalifikované certifikáty, ukládá jim opatření k nápravě a pokuty za porušení povinností podle tohoto zákona. Znamená to tedy, že nad PCS vydávajícími "obyčejné" certifikáty nebude mít prakticky pravomoc; to je ale v pořádku, protože to umožní provozovat certifikační systémy na bázi soukromoprávního ujednání, tedy ze smlouvy, ale samozřejmě bez záruk vyplývajících z tohoto zákona. Jde tedy o jistý kompromis mezi požadavkem liberalizace a požadavkem státního dozoru za účelem zvýšení důvěryhodnosti a bezpečnosti systému elektronického podepisování. 23. otázka Ti, co Úřadu oznámí, že budou vydávat kvalifikované certifikáty tedy nemusí čekat na to, že Úřad ověří, že používají bezpečné nástroje elektronického podpisu (podle § 6 odst. 1, písm. j)? VS: Mají dvě možnosti: buď použijí to, co je již Úřadem ověřeno (podobně jako různí prodejci mohou prodávat jednou homologované telefony), nebo si požádají o ověření vlastních nástrojů (a pak budou muset počkat). 24. otázka Jaké pravomoce bude mít Úřad na PCS, kteří vydávají certifikáty, ale ne kvalifikované certifikáty? VS: Žádné - viz výše. 25. otázka V § 9 odst.1 zákona je ale uvedeno, že Úřadu náleží "dozor nad dodržováním tohoto zákona". Mělo by to platit i o PCS, vydávajících "obyčejné" certifikáty. VS: Opomíjíte následné ustanovení tamtéž v § 2 písm. b), podle kterého Úřad vykonává dozor nad činností akreditovaných poskytovatelů certifikačních služeb a poskytovatelů certifikačních služeb vydávajících kvalifikované certifikáty. Toto ustanovení upřesňuje obsah dozoru Úřadu. 26. otázka Musí se zahraniční společnost vydávající certifikáty stát právnickou osobou (založit si zde pobočku), aby mohla vydávat KvCt v ČR? Musí je generovat tady nebo je může generovat jinde a sem je jen elektronicky přenášet pro potřeby jejich vydání (podle zákona má být KvCt vydán na území ČR)? VS: Musí se jednat o subjekt podle českého práva, který musí mít sídlo na území České republiky. Server může samozřejmě mít, kde chce, ale vydávat je musí v ČR. Obtížně však bude v tomto případě zajišťovat požadavky na bezpečnost. 27. otázka Co by bránilo třeba pobočce nadnárodní společnosti BigCA mít certifikační server v USA a kancelář v Praze, přičemž v kanceláři by se ověřovaly osobní doklady, certifikát by se generoval na serveru v zahraničí a promptně by se odeslal do Prahy. Bylo by splněno vše z hlediska zákona? VS: Šlo by to v případě, kdyby tato nadnárodní společnost měla sídlo v ČR. Otázkou pro další zkoumání je, zda by to řešil zápis její organizační složky do obchodního rejstříku. 28. otázka Je možné, že 2.10.2000 oznámí Úřadu několik společností, že od 1.11. začíná vydávat KvCt (někteří si možná pospíší s faxem už v neděli 1.10.). Úřad bude mít 30 dnů čas na vyloučení případných nedůvěryhodných subjektů. Když Úřad nestihne vše ověřit (podle bodu § 6, odst.1, písm.j) třeba proto, že do té doby nestihne vydat potřebné vyhlášky nebo nebude mít lidské zdroje, mohou tyto společnosti vydávat KvCt nebo musí čekat na povolení Úřadu? VS: Je třeba rozlišit akreditaci a oznamovací povinnost vydavatelů KvCt; ti po uplynutí 30denní lhůty mohou začít vydávat KvCt a nemusí čekat na žádné povolení Úřadu. Akreditaci ale obdrží od Úřadu až po provedení správního řízení ti PCS, kteří o ni požádali. 29. otázka To znamená, že firmy nemusí čekat na potvrzení úřadu (podle § 6 odst. 1, písm. j), že používají bezpečné prostředky, a mohou vydávat kvalifikované certifikáty. Jestli tomu dobře rozumím, je jim to ale málo platné, protože se pak nemohou opřít o § 3 odst. 2 (podmínkou jsou bezpečné prostředky), takže jejich kvalifikované certifikáty mají stejný význam jako nekvalifikované. VS: Viz odpověď k otázce č.22 a 23. 30. otázka Bude možné Bedřichu Novákovi vydat certifikát na jméno "Bedrich Novak" (tj. bez háčků a čárek)? Jedná se zde o kompatibilitu s některými zahraničními prostředky, které nemusí být schopny rozeznat taková písmena v našich certifikátech. VS: Domnívám se, že ano, ale bude to muset být v certifikátu uvedeno. 31. otázka Obávám se, že některé zahraniční certifikační autority nemusí být schopné pracovat s češtinou. Pokud by tedy nebylo uvedeno, že jméno je bez háčků a čárek, je možné uvažovat o jeho spojení s dalšími údaji tak, aby to vyhovělo kvalifikovanému certifikátu? Jedná se například o spojení s některými údaji jako je datum narození, adresa firmy, bydliště, rodné číslo apod. VS: Pozdní upálení Mistra Jana Husa bylo opravdu závažnou chybou. Teď budu ale fabulovat: pokud bych chtěl mít jistotu, že nedojde k problémům, nechal bych si napsat do certifikátu obě varianty, tomu zákon nebrání, protože nepovinných údajů tam může být více. 32. otázka Změněný občanský zákoník nyní zní: "Je-li právní úkon učiněn elektronickými prostředky, může být podepsán elektronicky podle zvláštních předpisů." Je EP, který není ZEP, uznán jako "podepsání elektronickými prostředky"? Je tedy například podpis "Jan Novák" pod e-mailem nebo bankovním převodem platný? Proč by tam musel být ZEP? VS: Protože "obyčejný" EP nesplňuje požadavek § 40 odst. 4 ObčZ na "určení osoby, která právní úkon učinila". 33. otázka Můžete to prosím ještě upřesnit? VS: § 40 odst. 4 ObčZ říká: "Písemná forma je zachována, je-li právní úkon učiněn telegraficky, dálnopisem nebo elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila." EP nesplňuje tento požadavek, protože podle ZoEP neposkytuje jednoznačnou záruku určení této osoby. Ale i zde bude třeba počkat na soudní praxi. 34. otázka Ze změny zákona o správě daní a poplatků (ZoDP) vyplývá, že pokud bude tiskopis daňového přiznání zveřejněn v elektronické podobě (musí tiskopis zveřejnit správce daně?), lze ho podepsat elektronicky. Vyplývá odněkud, že tento EP musí být ZEP a když ZEP, tak ZEP, založený na KvCt? VS: § 21 odst. 2 ZoDP říká, že "stanoví-li tak tento nebo zvláštní zákon, podávají daňové subjekty o své daňové povinnosti příslušnému správci daně přiznání, hlášení a vyúčtování na předepsaných tiskopisech". Podle mého názoru tedy musí tiskopis zveřejnit správce daně nebo jím pověřená osoba. A samozřejmě ze znění § 11 vyplývá, že to musí být pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb. 35. otázka Lze vzhledem k § 2, písm.b, bod 3 realizovat EP (ZEP) pomocí symetrické kryptografie bez existence asymetrických klíčů a certifikátů? VS: Zákon nepředepisuje žádnou technologii, ani kryptografickou metodu. V některých případech ale požaduje existenci "důvěryhodné třetí strany" a tedy i certifikáty. 36. otázka Co všechno se musí udělat, než bude možné zákon využít pro elektronické obchody? VS: Vydat prováděcí předpisy k zákonu a zahájit činnost Úřadu a poskytovatelů certifikačních služeb. 37. otázka Můžeme například vydat zahraničnímu občanu certifikát, aby mohl u nás nakupovat elektronicky? Donutí ho něco dodržovat tento zákon a kdo ponese zodpovědnost za eventuální zneužití jeho podpisového klíče? Bude škoda vymahatelná? VS: Certifikát může mít kdokoliv a bude podléhat tomuto zákonu. Náhrada škody je obecným právním principem na celém světě, takže pokud by se prokázalo, že ji způsobil on, bude žalovatelný. 38. otázka Co to znamená uznání zahraničního certifikátu z technického hlediska? V zahraničním certifikátu například bude chybět označení podle § 12 "byl vydán v ČR" a "byl vydán jako KvCt podle zákona o EP". Musí být toto "označení" součástí certifikátu nebo k němu může být jen přiloženo? VS: To bude stanoveno v prováděcím předpisu. 39. otázka Bude podle zákona možné vydávat křížové certifikáty mezi (nebo vytvářet certifikační cestu s) jednotlivými PCS-KvCt (všichni na našem území) s tím, že certifikáty jednoho PCS budou tímto považovány za uznané druhým PCS podle tohoto zákona? VS: Uznávání certifikátů na našem území nemá smysl dávat do zákona; to je možné na základě smlouvy mezi nimi, přičemž se uznávající strana dostane do situace, kdy bude odpovídat za škodu u certifikátů, o kterých neví, jak věrohodně byly vystaveny. A co se akreditovaných PCS týká, podle zákona je součástí rozhodnutí Úřadu o akreditaci ověření kvalifikovaného certifikátu poskytovatele certifikačních služeb Úřadem. 40. otázka Měl jsem na mysli tuto situaci: Předpokládejme, že hovoříme jen o kvalifikovaných certifikátech, vydávaných akreditovanými PCS (APCS-KvCt) a občan Kudrna získá certifikát u "certifikační autority" PCS1 (která je APCS-KvCt). Ve skutečnosti to znamená, že Kudrnův certifikát elektronicky podepíše fyzická osoba "Jan Novák - ředitel PCS1". Dále Jan Novák - ředitel PCS1 požádá o to, aby mu PCS2 (která je také APCS-KvCt) vydala certifikát na jeho podpisový klíč ("Jan Novák - ředitel PCS1" pro PCS1) a PCS2 to učiní. Ručí tím PCS2 za všechny certifikáty, které vydal PCS1, konkrétně za certifikát občana Kudrny? VS: Domnívám se, že PCS2 ručí pouze za certifikát Jana Nováka. Nemůže ručit za to, co Jan Novák, v rámci působení PCS1 podepsal poté, co zešílel. 41. otázka Jinými slovy křížové certifikáty i certifikační cesty (blíže viz doprovodný článek k ZoEP v Chipu 10/00) jsou sice možné, ale bez dalších smluv nemají žádný praktický význam. Každý PCS ručí jen za svůj vydaný certifikát a je jedno, zda to je certifikát na jméno "Jan Novák, Luční 1, Brno - ředitel PCS1" nebo " Jan Novák, Luční 1, Brno". Je tomu tak? VS: Vydání kvalifikovaného certifikátu je možné pouze na základě smlouvy, dokonce písemné. Pak samozřejmě smlouva musí existovat i o vydání křížového certifikátu. Jinak zákon umožňuje za určitých podmínek převzít ručení za zahraniční certifikáty, ale nemá smysl, aby jeden český PCS ručil za certifikáty jiného PCS. Potom nechť si agendu certifikátů mezi sebou převedou. Ještě by snad mohla existovat (podle mého názoru ale nepříliš vhodná) cesta, kdy by smluvní vztah mezi PCS1, PCS2 a žadatelem o certifikát byl trojstranný a oba PCS by poskytovali žadateli stejnou záruku. 42. otázka Dejme tomu, že se vybudují informační kiosky, například na poštách nebo státních úřadech. Občan by na nich mohl elektronicky komunikovat s úřady. K tomu by měl s sebou dejme tomu nějakou čipovou kartu se svými klíči a certifikáty, která mu umožní vytvářet ZEP a podepisovat tak různá podání, žádosti nebo dotazy. Zdá se, že podle zákona to ale nepůjde, protože PC v kiosku nemůže občan udržet pod svojí výhradní kontrolou podle § 2, písm. b, bod 3. Podobně by tomu bylo i u bankovních terminálů a při platbách na veřejných místech, terminálech a kioscích. VS: To je výkladová otázka, ale nevylučuji, že až se "rozjede" systém veřejných míst, bude třeba zákon zpřesnit. Ale s tím počítá i směrnice EU, která říká, že za tři a půl roků bude přezkoumána. 43. otázka V čem si občan polepšil, když platí zákon o EP, oproti situaci, kdy neplatil? VS: Zákon poskytuje oběma stranám elektronické komunikace jisté záruky, kterých se mohou dovolávat, pokud postupují podle tohoto zákona. Novelizuje procesní normy tak, aby umožňovaly elektronickou komunikaci s úřady. A "donutí" veřejnou správu, aby zavedla alternativní možnost elektronické komunikace ke komunikaci papírové. Závěr Na závěr bych chtěl Doc. Ing. Vladimíru Smejkalovi, CSc. za odpovědi na otázky poděkovat a současně vás požádat o vaše další dotazy. Můžete je zasílat na níže uvedenou adresu (v předmětu e-mailu uveďte prosím FAQ-ZoEP-Chip) nebo do redakce. Pokusíme se na ně najít odpověď a s nejzajímavějšími vás seznámit. Budeme vás také informovat o dalším dění na tomto poli. Vlastimil Klíma, v.klima@decros.cz |