Čekejte, prosím...
A A A
[Právní rozhledy 10/2019, s. 343]
Kryptografický a dynamický biometrický podpis podle platné právní úpravy

Po šestnácti letech skončila v české legislativě platnost právní úpravy elektronického podpisu zavedená zákonem č. 227/2000 Sb., o elektronickém podpisu, který zahájil první (a na dlouho také poslední) intenzivní etapu budování českého e-governmentu, jež proběhla v první dekádě nového tisíciletí. Neznamená to ale konec elektronického podepisování jako takového, přičemž dnes vedle sebe leží dvě zásadně odlišné možnosti důvěryhodného podepisování podle nařízení eIDAS a dalších předpisů: kryptografický a biometrický podpis.

prof. Ing. Vladimír Smejkal, CSc., LL.M., DrSc., Brno*

I. Písemnosti a podpisy

Lidé se mezi sebou dorozumívají od počátku vzniku lidské společnosti. Komunikaci chápeme jako výměnu významů mezi lidmi, která se uskutečňuje prostřednictvím symbolů, verbálním a neverbálním způsobem, tedy mluvenou a psanou řečí v prvním, a mimikou a gesty ve druhém případě. Je to jazyk, který umožňuje lidem vzájemnou výměnu názorů a zkušeností, umožňuje jim utvářet pevnou společnost a vytvářet, ale také předávat kulturní odlišnosti.1 Od epochy znamení a signálů, přes epochu mluvení a jazyka, epochu psaní, epochu tisku a epochu masové komunikace se lidstvo dostalo do epochy počítačů a internetu.2 Těmito nástroji či nosiči si lidé sdělují obsah, který ovlivňuje jejich názory, postoje a jednání, přičemž pro vnímání a dopad obsahu sdělení je důležité i to, kdo je vyslovil, resp. odeslal k příjemci.

Předávané, a především zaznamenávané zprávy – písemnosti slouží pro realizaci právních úkonů (právních jednání) a osvědčování právních skutečností. Právním jednáním rozumíme takové chování subjektu práva (neboli osoby), jež je podle ustanovení zákona způsobilé vyvolat právní následky. Právními následky (neboli účinky) jsou vznik a/nebo změna a/nebo zánik práv a/nebo povinností.3 Proto je vhodné použití písemné formy, aby byl trvalým a (teoreticky) nezpochybnitelným způsobem zachycen obsah právního jednání, kdy a kdo je učinil (a podepsal). V některých případech je písemná forma právního jednání zákonem předepsána (viz např. § 560 ObčZ), v mnoha případech ale účastníci mají zájem na písemném stvrzení skutečností či závazků za účelem zvýšení jejich právní jistoty. Ve všech těchto případech tedy vznikají písemnosti neboli dokumenty. Zatímco po dlouhou dobu historie lidstva převládaly písemnosti na hmotném substrátu (zejména na listině), dnes již náš právní řád nemá problém s akceptací písemnosti v podobě elektronické (viz zejm. § 5623026 ObčZ).

Pro písemnost je charakteristické:

1.

jde o hmotný nosič (substrát), obsahující určitou informaci;

2.

informace byla na onen hmotný substrát někým zapsána,

3.

informace je zapsána tak, aby mohla být následně přečtena libovolnou, resp. k tomu určenou (oprávněnou) osobou,

4.

přičemž je, a i s odstupem času bude zřejmé, kdo tuto informaci na nosič zaznamenal či ji podepsal, pokud se nejedná o anonymní písemnost.4

Zásadním přelomem v historii lidstva bylo oddělení obsahu zprávy od mluvčího (posla), což umožnil přechod od orální komunikace ke komunikaci písemné, ať již výrazně individuálním a nepřenosným způsobem (vytesáním nápisu do skály), přes dokumenty nacházející se na přenositelném hmotném substrátu (kůra, papyrus, pergamen, papír5, až po jejich šíření v nehmotné podobě (od zprvu analogového, dnes již prakticky výlučně digitálního záznamu).

Za analogový záznam se obecně považuje každý záznam prováděný signálem se spojitě proměnlivým průběhem; v archivnictví se za analogový záznam považuje záznam zapsaný na nějakém hmotném nosiči (papír, kůže, kámen atd.), který je vnímatelný zrakem.6 Digitální záznam je oproti tomu reprezentován posloupností bitů (stavy 0 a 1 ve dvojkové soustavě) a je principiálně nezávislý na konkrétním nosiči, který tak přestává plnit svou původní roli prostředku k časoprostorovému transferu informací, takže informace takto zachycené jako by z pohledu uživatele ztratily „hmotnou“ podobu.7

Coby důsledek vzniku písemné komunikace se objevil požadavek na identifikaci a autentizaci obsahu nosiče informací, tj. dokumentu, který ještě více zesílil v době distanční komunikace prostřednictvím elektronických nosičů informací, resp. počítačových sítí. Identifikaci lze stručně definovat jako zjištění identity (totožnosti) subjektu, které se provádí porovnáváním osobních údajů nebo projevů osobní povahy fyzické osoby, zatímco autentizaci jako ověření, že subjekt je tím, za koho se prostřednictvím této identity vydává.8 V praxi se identifikace osoby v dokumentu provádí nejčastěji uvedením jména, příjmení, adresy, případně jiných údajů o dotčené osobě tak, aby nedošlo k zaměnitelnosti. Autentizačním nástrojem, umožňujícím ověření, že dokument skutečně podepsala uvedená osoba, je na papíru vlastnoruční podpis, podpis před svědky, úředně ověřený podpis nebo notářský či exekutorský zápis.9

Důvěryhodnost kryptografického podpisu se odvozuje od certifikátu, tedy od důvěryhodnosti poskytovatele certifikačních služeb (podle nařízení elDAS nyní poskytovatele služeb vytvářejících důvěru). Dynamický biometrický podpis („DBP“) funguje jako vlastnoruční podpis s možnou následnou vysoce spolehlivou verifikací díky biometrickým datům, neboť sestává z „obrázku“, doplněného o „neviditelná“ biometrická data. Jeho důvěryhodnost je vyšší nežli u klasického vlastnoručního podpisu, neboť jeho pravost lze ověřit na podstatně vyšším stupni důvěryhodnosti (viz níže).

Za vyšší úroveň důvěryhodnosti se považuje tzv. institucionální ověření, kdy důvěra v pravost podpisu se odvozuje od důvěry v orgán, který provedl identifikaci podepisující osoby, jakkoliv je známa řada případů zneužití tohoto postupu (viz také níže). Pravost vlastnoručního podpisu je v případě sporu prokazována následně znalecky, tj. znalcem z oboru písmoznalectví, přičemž u DBP má písmoznalec k dispozici data vytvářející tzv. biometrickou stopu, což poskytuje možnost ověření pravosti podpisu s daleko vyšší mírou jistoty nežli u podpisů na papíru.

Pro úkon učiněný vůči orgánům veřejné moci se vyžaduje různý stupeň ověření vlastnoručního podpisu, přičemž – vzhledem k tomu, že v řízení jde o práva a povinnosti fyzických i právnických osob – se v drtivé většině případů předepisuje úředně ověřený podpis, případně podání učiněné datovou schránkou (viz níže).

Ale ani získání úředně ověřeného podpisu s využitím odcizeného či padělaného občanského průkazu, případně jeho nepravdivé ověření, získané na základě nelegálního jednání úřední osoby, není absolutně vyloučeno, stejně jako se nelze stoprocentně spolehnout na to, že obsah listiny po jejím ověření notářem nebyl následně změněn (padělán). Příklady lze snadno najít v trestní praxi. Také jsou všeobecně známy spory o pravost podpisu, kdy různí písmoznalci přicházejí s protichůdnými výsledky svých znaleckých zkoumání, což při nereprezentativních vzorcích zkoumaného písma jim nelze mít vždy za zlé. Z těchto důvodů je třeba absolutizování podepsaných papírových dokumentů s úředně ověřeným podpisem a nezlomnou víru v jejich nedotknutelnost odmítnout.10

Pojmy „podpis“ a „vlastnoruční podpis“ jsou z hlediska českého práva, ba dokonce i z hlediska obecných slovníků naučných, považovány za notorietu a nejsou definovány. To platí i pro české právnické slovníky. Naproti tomu Blackův právnický slovník11 o podpisu a podepisování praví:

„1.

Sign. Podepsat. Napsat jméno na listinu a tím ověřit její pravost nebo potvrdit její platnost. Poznačit jméno na písemnost jakýmkoli známým způsobem. Připojit podpis k něčemu, ratifikovat ručně nebo pečetí, vlastnoručně podepsat. Udělat jakýkoli znak na dokument na důkaz toho, že byl vzat na vědomí, schválen apod.

2.

Signature. Podpis. Umístění jména na konec listiny, s cílem potvrdit její platnost. Jméno napsané na konci listiny. Podpis může být vlastnoruční, vytištěný, vyražený na razítku, napsaný psacím strojem, vyrytý, ofotografovaný, vyříznutý z jedné listiny a připojený ke druhé. Rovněž litografovaný podpis na listině postačuje k potvrzení její platnosti, přičemž je nepodstatné, jakým nástrojem se podpis udělá. Osoba si může za svůj podpis zvolit jakýkoli znak, symbol nebo kresbu. Vlastnoručně napsané jméno nebo značka osoby. V komerčním právu je podpis jakékoli jméno, slovo nebo značka, napsaná s cílem ověřit platnost.“

Jak je vidět, definice uvedená Blackem neřeší pravost či verifikovatelnost podpisu, pouze konstatuje, jak může podle něj takový podpis vypadat, přičemž (vzhledem k datu 1. vydání originálu v r. 1891, byť ve znění posledního doplnění z r. 1990) nepřekvapivě neuvažuje podpis elektronický.

Ještě podstatnější je ale to, že podpis je konvence. Neboli jde o dohodu (několika stran, určité skupiny obyvatel či celospolečenskou, která může mít formu zvyklostí, ale i technické nebo právní normy), jak vyjádřit souhlas s obsahem dokumentu či zprávy. Tímto souhlasem může být v podstatě cokoliv – otisk prstu, kapka krve, ale i několik čar na papíru, které nazveme podpisem. I zavedený, leč právně nedefinovaný pojem „vlastnoruční podpis“ by klidně mohl být nahrazen pojmem „vlastnonožní podpis“ či čímkoliv jiným, co by dané skupině obyvatel připadalo vhodné a užitečné. A je smutné sledovat, jak pro (ve skutečnosti daleko bezpečnější) variantu podpisu elektronického jsou vymýšleny zákonodárci v jednotlivých předpisech složité postupy, ačkoliv bezpečnost EP v neskutečné míře předčí bezpečnost podpisů na papíru. Pravděpodobně proto, že podpis na papíru si každý z nich představit umí, zatímco elektronický ve většině nikoliv, a tudíž mu a priori nedůvěřuje.

Podpis elektronického dokumentu je možné realizovat následujícími způsoby jako:

a)

kryptografický podpis, což je podpis vytvořený pomocí dat určených k podepisování (tzv. tajný neboli soukromý klíč), která jsou s využitím kryptografických algoritmů zkombinována s obsahem podepisovaného dokumentu. Ověřit jeho pravost lze pomocí komplementárních dat (veřejného klíče), který se nachází na certifikátu, jenž je vystaven důvěryhodnou třetí osobou (certifikační autoritou neboli poskytovatelem certifikačních služeb);

b)

biometrický podpis (viz dále);

c)

jiný podpis, spočívající ve smyslu výše cit. definice dle Blacka v připojení jakýchkoliv dat (písemné, obrazové, zvukové nebo jiné zaznamenané informace), která nejsou výsledkem procesu ad a) nebo b).

DBP požadavky Blackovy definice zcela splňuje na první pohled, u kryptografického podpisu bychom zřejmě mohli říci, že takový podpis, byť je vytvořený strojem, je onou značkou podepisující osoby.

II. Zákon o elektronickém podpisu

V r. 2000 Česká republika jako jedna z prvních zemí EU přijala zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů („ElPod“), který zohlednil směrnici o zásadách Společenství pro elektronické podpisy.12 Tento zákon prošel několika novelizacemi – někdy k lepšímu, někdy k horšímu – a byl jedním ze základních kamenů budování e-governmentu v ČR. Kodifikoval také instituty, které směrnice neznala (elektronická značka, časové razítko), a založil vznik několika dodnes funkčních certifikačních autorit. Zavedl tři stupně elektronického podpisu: „obyčejný“, „zaručený“ a „uznávaný“:

1.

Podle § 2 písm. a) ElPod „obyčejným“ elektronickým podpisem jsou údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě. Neříká se zde nic o tom, jakou technologií mají být tyto údaje vytvořeny a jak se má postupovat při zmíněném ověření totožnosti, které může být provedeno i zcela mimo kyberprostor, např. v rámci úředního jednání. (O tom, že prohlásit údaje za metodu, je ze systémového hlediska poněkud pochybné, ani nemluvě.)

2.

Podle § 2 písm. b) ElPod zaručeným elektronickým podpisem se rozumí elektronický podpis, který splňuje následující požadavky: a) je jednoznačně spojen s podepisující osobou, b) umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, c) byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, d) je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. Tento podpis poskytuje řadu funkcí, které na papíře nemůžeme nikdy dosáhnout: 1. identifikuje původce podpisu (příjemce zprávy bezpečně ví, kdo je autorem či odesilatelem elektronické zprávy), 2. zaručuje integritu zprávy (příjemce má jistotu, že zpráva nebyla změněna) a 3. zaručuje nepopiratelnost (osoba nemůže popřít, že danou zprávu s daným obsahem vytvořila), a to především proto, že 4. je vytvořen pomocí prostředků, které podepisující osoba může mít pod svou výhradní kontrolou. Zde se ještě nic o certifikátu, a tedy o kryptografické realizaci zaručeného elektronického podpisu nehovoří, ale z § 3 ElPod již vyplývá, že se použití certifikátu předpokládá:

„Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.“

3.

Zákon o elektronickém podpisu pak v § 11 zavedl tzv. „uznávaný elektronický podpis“, kterým je zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném důvěryhodnou, státem „posvěcenou“ osobou, tzv. akreditovaným poskytovatelem certifikačních služeb. Jde o institucionální úroveň důvěryhodnosti, nikoliv – na rozdíl od předchozích variant ad 1 a 2 – o úroveň technologickou.13

Po r. 2000 tedy v ČR, resp. v EU, existovala prakticky jediná akceptovatelná (důvěryhodná) forma elektronického podpisu, a tou se stal podpis kryptografický, využívající certifikáty.

Elektronický podpis podle zákona o elektronickém podpisu se v masovém měřítku neprosadil, a to pro vyšší uživatelskou složitost a malou podporu aplikační praxe. Další „ránu“ mu zasadil velmi úspěšný projekt datových schránek. Navíc se v posledních letech začal stále více objevovat dynamický biometrický podpis, který používá zavedenou a zcela přirozenou podepisovací techniku vlastnoručního podpisu a není spojen s časově omezeným certifikátem kryptografického elektronického podpisu.

III. Datové schránky

Mezitím ve snaze odstranit katastrofický stav doručování úředních písemností14 vznikl fenomén unikátní prakticky ve světovém měřítku: datové schránky. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů („ElÚkon“), nabyl účinnosti dnem 1. 7. 2009, a to současně s tzv. „souhrnnou novelou“ občanského soudního řádu.15 Tím byl zaveden převratný způsob podávání a doručování písemností v elektronické podobě prostřednictvím informačního systému datových schránek („ISDS“) – dílem povinně, dílem dobrovolně.

Datové schránky fungují jako důvěryhodné krátkodobé úložiště datových zpráv a poskytují nástroj, umožňující bezpečné činění právních úkonů a doručování informací způsobem, který vysoce přesahuje bezpečnost a důvěryhodnost jiných doručovacích cest. ISDS zjišťuje přenos zpráv mezi fyzickými a právnickými osobami a orgány veřejné moci navzájem, přičemž umožňuje nade vši pochybnost prokázat: kdy, kým, komu a co bylo odesláno, stejně jako kdy, komu, od koho a co bylo doručeno.16

Z hlediska identifikace a autentizace při provádění právních úkonů prostřednictvím datové schránky je nejdůležitější § 18 odst. 2 ElÚkon, podle kterého

„Úkon učiněný osobou uvedenou v § 8 odst. 1 až 4 nebo pověřenou osobou, pokud k tomu byla pověřena, prostřednictvím datové schránky má stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob.“

Je třeba zdůraznit, že v takovém případě (při úkonu jedné osoby) není již třeba opatřovat datovou zprávu elektronickým podpisem. Nejvyšší správní soud k tomu konstatoval, že u takových podání nastává přímo ze zákona fikce písemného a podepsaného úkonu.17 Ke stejnému závěru dospěla i řada dalších rozhodnutí Nejvyššího soudu a Ústavního soudu.18

Tím je doručování dokumentů prostřednictvím ISDS na několikanásobně vyšším stupni bezpečnosti a důvěryhodnosti nežli jakékoliv doručování listin, snad s výjimkou osobního předání účastníkům řízení v soudní síni.

IV. Nařízení eIDAS

Dne 23. 7. 2014 bylo vydáno nařízení o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu,19 známější pod zkratkou „nařízení eIDAS(electronic Identification and Services), které je – s určitými výjimkami – účinné od 1. 7. 2016. Zaměřuje se na více aspektů budování důvěryhodnosti v online prostředí. Jeho hlavním mottem je zajištění interoperability na bázi kvalifikovaných služeb vytvářejících důvěru vykazujících srovnatelnou úroveň bezpečnosti a odpovědnosti v rámci EU.

Jde o dokument, který odstraňuje řadu nepřesností vyplývajících v oblasti elektronického podpisu ze směrnice 1999/93 a jejích národních implementací, které nebyly vždy konzistentní, a to ani vůči směrnici, ani mezi sebou.20 Nařízení elDAS se snaží integrovat vše, co nějakým způsobem souvisí s elektronickou identifikací a autentizací. Za tímto účelem vystavělo poměrně složitou strukturu nástrojů o různých úrovních co do požadavků na ně kladených. Je ovšem s podivem, že pod heslem „budování důvěryhodnosti“ nařízení elDAS ponechává možnost používání pseudonymů v certifikátech, když poněkud licoměrně říká, že

„Ustanovení o používání pseudonymů v certifikátech by neměla členským státům bránit v tom, aby vyžadovaly identifikaci osob podle práva Unie nebo podle vnitrostátního práva.“21

Co se týká elektronických podpisů, uvádí se zde, že

„… nařízení by mělo zavést zásadu, že elektronickému podpisu by neměly být upírány právní účinky na základě skutečnosti, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikovaný elektronický podpis. Ačkoliv k zajištění vzájemného uznávání elektronických podpisů je zapotřebí vysoká úroveň bezpečnosti, měly by být ve zvláštních případech, například v kontextu rozhodnutí Komise 2009/767/ES 10, přijímány rovněž elektronické podpisy s nižší zárukou bezpečnosti. Právní účinky elektronických podpisů v členských státech by však měly být vymezeny vnitrostátním právem, s výjimkou požadavků stanovených v tomto nařízení, podle něhož by měl mít kvalifikovaný elektronický podpis rovnocenný právní účinek jako podpis vlastnoruční.“22

Nařízení elDAS – na rozdíl od směrnice 1999/93 – kodifikuje také to, co již známe z českého zákona o elektronickém podpisu: elektronické značky a časová razítka. Zavádí elektronickou pečeť a elektronické časové razítko.

Čl. 46 nařízení elDAS proklamuje něco, co je např. u nás tvrzeno různým způsobem již přes 20 let,23 tj. že

„Elektronickému dokumentu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu.“

Je otázkou, zda je toto dnes ještě třeba uvádět, protože za posledních 20 let diskuse, zpočátku značně bouřlivá, o uznávání tzv. elektronických důkazů v podstatě utichla a všeobecně se nepochybuje o možnosti použít k dokazování i elektronické stopy.24

V našich podmínkách pak lze poukázat na dikci § 3026 odst. 1 ObčZ, podle kterého

„Nevylučuje-li to povaha písemnosti, platí ustanovení tohoto zákona o listině obdobně i pro jinou písemnost bez zřetele na její podobu.“

Stejně tak lze zmínit i relevantní ustanovení procesních předpisů o dokazování. V procesních předpisech není forma důkazu omezována. Lze odkázat na dikci § 125 OSŘ a nález ÚS, podle kterého

„V českém právním systému neplatí tzv. zákonná teorie průvodní, vyžadující, aby určitá skutečnost byla prokázána právě jen určitým druhem důkazu. Naopak podle § 125 OSŘ platí obecná zásada, že ‚za důkaz mohou sloužit všechny prostředky, jimiž lze zjistit stav věci‘.“25

Podobně lze odkázat i na § 89 odst. 2 TrŘ, § 51 odst. 1 SpŘ, § 49 odst. 1 zákona č. 182/1993 Sb․, o Ústavním soudu, atd. Na druhou stranu text čl. 46 nařízení elDAS ničemu nezaškodí; jeho smysl může spočívat ve snaze unifikovat právní úpravy dokazování napříč členskými státy.

V rámci nově formulovaných definic v nařízení elDAS dochází k celé řadě změn, mnohé z nich mají pouze formální či upřesňující charakter, je však i nemálo těch, které jsou zásadní. Následující tabulka porovnává definice podle zákona o elektronickém podpisu a nařízení eIDAS (podstatné odlišnosti jsou uvedeny kurzívou).26

 

Pojem

Podle dosavadního zákona o elektronickém podpisu

Podle nařízení eIDAS

podepisující osoba

fyzická osoba, která je držitelem prostředku pro vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či právnické osoby

fyzická osoba, která vytváří elektronický podpis

elektronický podpis

údaje v elektronické podobě, které jsou připojeny k datové zprávě nebo jsou s ní logicky spojeny akteré slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě

data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání

zaručený elektronický podpis

elektronický podpis, který splňuje následující požadavky:

1.

je jednoznačně spojen s podepisující osobou,

2.

umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě,

3.

byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou,

4.

je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat

zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy

kvalifikovaný elektronický podpis

není výslovně definován, nicméně je opisován frází „použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu“ – viz § 3 ElPod

elektronický podpis, který splňuje požadavky stanovené v čl. 26:

a)

je jednoznačně spojen s podepisující osobou;

b)

umožňuje identifikaci podepisující osoby;

c)

je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a

d)

je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat

certifikát pro elektronický podpis

datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování s označující osobou a umožňuje ověřit její identitu

elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby

data pro vytváření elektronických podpisů

jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu

jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu

kvalifikovaný certifikát pro elektronický podpis

certifikát, který má náležitosti podle § 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb

Podle § 12:

(1)

Kvalifikovaný certifikát musí obsahovat

a)

označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona,

b)

v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen,

c)

jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym,

d)

zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu,

e)

data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby,

f)

elektronickou značku poskytovatele certifikačních služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává,

g)

číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb,

h)

počátek a konec platnosti kvalifikovaného certifikátu,

i)

případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití,

j)

případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít.

(2)

Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm. i) a j) musí být zjevná třetím stranám.

(3)

Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby.

certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I:

Kvalifikované certifikáty pro elektronické podpisy obsahují

a)

označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronický podpis;

b)

soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a

-v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

-v případě fyzické osoby: jméno osoby;

c)

alespoň jméno podepisující osoby nebo pseudonym. Je‐li použit pseudonym, musí být tato skutečnost jasně vyznačena;

d)

data pro ověřování platnosti elektronických podpisů, která odpovídají datům pro vytváření elektronických podpisů;

e)

označení začátku a konce doby platnosti certifikátu;

f)

identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

g)

zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

h)

údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);

i)

údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;

j)

pokud jsou data pro vytváření elektronických podpisů spojená s daty pro ověřování platnosti elektronických podpisů obsažena v kvalifikovaném prostředku pro vytváření elektronických podpisů, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.

data pro ověřování platnosti

daty pro ověřování elektronických podpisů serozumí jedinečná data, která se používají proověření elektronického podpisu,daty pro ověřování elektronických značek serozumí jedinečná data, která se používají proověření elektronických značek

data, která se používají k ověření platnosti elektronickéhopodpisu nebo elektronické pečeti

 

Nařízení eIDAS činí zásadní posun oproti dřívější definici podpisu, když říká, že elektronický podpis jsou

„data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání“.27

Nehovoří se již o následné možnosti ověření pravosti podpisu či identity osoby pomocí dat nazvaných „elektronický podpis“, jak vyplývá z definice podle dřívější právní úpravy zákona o elektronickém podpisu a směrnice 1999/93,28 a k níž dojít ve skutečnosti může, ale také nemusí. Podle nařízení elDAS je nyní jednoznačně položeno rovnítko mezi elektronický podpis a data, „která podepisující osoba používá k podepsání“, což je rozhodně pozitivní změna a nařízení eIDAS tímto uvedlo na pravou míru předchozí nevhodnou definici elektronického podpisu dle směrnice 1999/93. Tím totiž nyní dochází k chápání podpisu podle jeho primární funkce, tj. jako doložení skutečnosti, že určitá osoba projevila svoji vůli, případně že se v určitou dobu nacházela na určitém místě, popř. že stvrzuje platnost určitého dokumentu.29

Někdy se objevují námitky především ze strany „ajťáků“, kteří doposud nevnímali jiný druh elektronických podpisů než kryptografických, že „elektronický podpis je výsledek aplikace algoritmu na nějaké datové položky“, někdy dokonce, že je funkcí samou, nikoliv daty. Není tomu tak, protože elektronický podpis podle nařízení elDAS, ale i podle elementární logiky je podpis daty, která podepisující osoba používá k podepsání, bez ohledu na to, zda na ně byl či nebyl aplikován nějaký algoritmus, a už vůbec není podpis funkcí samotnou.

Pokud podepisující osoba používá k podepsání elektronickým podpisem data dle bodu 13 čl. 3 nařízení elDAS, podle kterého

„daty pro vytváření elektronických podpisů jsou jedinečná data, která podepisující osoba používá k vytváření elektronických podpisů“,

pak při použití metody asymetrické kryptografie je těmito daty tajný (soukromý) klíč. U DBP jsou data dvojího druhu: „obrázek“ podpisu a současně biometrická data vypovídající o tom, jak podpis vznikl, resp. jaké má parametry.

Pokud tedy má mít osoba nějaká data (elektronická), jež může použít k podepsání, znamená to, že elektronickým podpisem jsou jakákoliv data v elektronické podobě, která jsou schopna být

„připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena“.30

Čili vlastně cokoliv, co můžeme zdigitalizovat. Elektronickým podpisem (prostým) podle nařízení elDAS je tedy PIN, heslo, fráze, obrázek atd., tedy jakýkoliv digitální záznam, který má podobu nul a jedniček a který připojíme k podepisovanému dokumentu.31 Lze si ale představit i zvukovou nebo audiovizuální nahrávku či jinou formu podpisu.

V. Zákon o službách vytvářejících důvěru pro elektronické transakce

Jak je v ČR poměrně běžné, legislativní proces nedokázal přiměřeně zareagovat ani na vydání, ale dokonce ani na nabytí účinnosti přímo působícího nařízení eIDAS. Tato dvojkolejnost byla ukončena až 19. 9. 2016 zákonem č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce („SlužET“), který zrušil zákon o elektronickém podpisu a navázal na nařízení elDAS dalšími ustanoveními, která v podstatě doplňují kogentní ustanovení nařízení elDAS dalšími, národními pravidly. Bohužel tak činí ne vždy šťastně. Součástí změny legislativy bylo také vydání doprovodného, tzv. změnového zákona č. 298/2016 Sb., který přizpůsobuje desítky stávajících zákonů tak, aby byly v souladu s nařízením elDAS a zákonem č. 297/2016 Sb.

Pro účely podepisování dokumentů nastavil zákon č. 297/2016 Sb. použití jednotlivých druhů podpisů uvedených v nařízení eIDAS (viz výše) takto:

a)

orgány veřejné moci (definované v § 5 SlužET) používají pouze kvalifikovaný elektronický podpis;

b)

úkony činěné vůči těmto orgánům pak osoba, která není při právním jednání vůči těmto subjektům v rovném postavení (soukromoprávní subjekt), musí podle § 6 SlužET podepsat uznávaným elektronickým podpisem, přičemž podle tohoto zákona se uznávaným elektronickým podpisem rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis;

c)

obecně ale podle § 7 SlužET platí, že k podepisování elektronickým podpisem lze použít zaručený elektronický podpis, uznávaný elektronický podpis, případně jiný typ elektronického podpisu, podepisuje-li se elektronický dokument, kterým se právně jedná jiným způsobem než způsobem uvedeným v § 5 nebo 6 – viz výše ad a) a b).

„Rozumný, byť ne příliš jasně formulovaný přístup zvolil zákonodárce ohledně jednání v soukromoprávních vztazích, v nichž staví na úroveň vlastnoručního podpisu i jakýkoli další typ elektronického podpisu – jinými slovy, téměř jakákoli data v elektronické podobě (např. e-mailovou patičku), obdobně jako to činí občanský zákoník.“32

Jak uvádí důvodová zpráva k zákonu o službách vytvářejících důvěru pro elektronické transakce:33

„… je potřeba zdůraznit, že uvedené ustanovení neodnímá, jak ostatně požaduje nařízení eIDAS, jiným typům elektronických podpisů jejich právní účinky. Veřejný sektor tak bude muset respektovat jejich účinky inter partes (např. budou-li užity v soukromoprávních smlouvách), připouštět je jako důkaz v řízeních apod. Pouze nebudou dostačující k podpisu právního jednání činěného vůči veřejnému sektoru ve vrchnostenském postavení.“34

VI. Dynamický biometrický podpis

„Vlastnoruční podpis je výsledkem uplatnění návyku psaní, získaného v podobě individuálního a relativně stálého písemného projevu člověka. Vznik individuálnosti písma je důsledkem vytvoření dynamického stereotypu psaní, tedy vypracování složitého systému podmíněných reflexů, které jsou závislé na stupni procvičování. Při vytvoření konkrétního písemného projevu – tedy např. podpisu – se uplatňují ale i aktuální vnější a vnitřní podmínky, za kterých psaní probíhá a v jejichž důsledku může být získaný dynamický stereotyp narušen. Zkoumání pravosti písma (podpisu), které je zaměřeno na grafickou stránku směřující k identifikaci pisatele, je prováděno pomocí různých metod. Jak u podepisování, tak u zkoumání pravosti (ověřování) podpisu jde tedy o procesy převážně subjektivního charakteru, v nichž se promítají obecné a individuální vlastnosti zúčastněných osob. Tyto vlastnosti se dnes využijí i při ověřování pravosti tzv. dynamického biometrického podpisu, který kombinuje vlastnosti jak grafického, tak elektronického podpisu.“35

U vlastnoručního podpisu jde o tzv. biomechanický proces vzniku lidského podpisu, který není nikterak jednoduchý. Primární vzruch vzniká v centrálním nervovém systému – v lidském mozku s předem definovanou intenzitou a trváním. Nervový systém pak aktivuje příslušné svaly v definovaném pořadí. Pohyb pera po papíru, což je výsledek stahování a uvolňování svalů, zanechává stopu hrotu psacího nástroje.

Pokud se osoba vlastnoručně podepisuje, existují v zásadě dvě možnosti:

a)

podepisuje se na nějakém fyzickém nosiči nástrojem (tužka, pero), který zanechává grafickou stopu – obraz podpisu (statický obraz) typicky na papíru, ale v podstatě na jakémkoliv hmotném nosiči;

b)

podepisuje se na zařízení (tzv. padu), které kromě obrázku snímá i neviditelné dynamické vlastnosti tohoto podpisu, spojené s typickým chováním podepisující se osoby – časy, rychlosti, zrychlení apod. u jednotlivých fragmentů, z nichž podpis sestává. Tím vzniká dynamický biometrický podpis.36 V obou případech jsou nicméně data DBP těmi daty, která podepisující osoba používá k podepsání,37 a současně jsou daty, která nám umožní ověřit pravost podpisu na základě identifikace osoby, která jej učinila. Nedochází zde proto ke zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby, které je limitováno čl. 9 odst. 1 nařízení GDPR, neboť identifikace podepsané osoby je předem známa.38

Při vytvoření DBP vzniknou současně obě formy podpisu (obrázek a biometrická stopa), kdy elektronická data vznikající v procesu podepisování jsou snímána 3D snímačem a mohou být jak uložena, tak v případě nutnosti jejich následné verifikace zobrazena prostřednictvím auditního programu a za striktně definovaných podmínek. Dochází tedy k tomu, co je dnes požadováno pro vyšší stupeň bezpečnosti v informačních systémech – vícefaktorové autentizaci.39

Data DBP vytvořená vlastnoručním podpisem nejsou absolutně konstantní a neměnná, jako tomu je v případě soukromého klíče při asymetrické kryptografii, ale jsou dostatečně komplexní a přesná pro to, abychom je strojově, případně s pomocí písmoznalce ověřili. Ověření pravosti DBP může proběhnout ve většině případů automaticky – pomocí auditního (validačního) programu, nebo v případě pochybností či sporu písmoznalecky. V takovém případě jsou biometrická data pro písmoznalce ideálním zdrojem informací ve srovnání se situací, kdy musí obvykle vycházet pouze z porovnávání dvou krátkých textů, tj. podpisů na papíru. Verifikující osoby (písmoznalci) mohou u DBP v auditním programu přímo vidět, jak je podpis danou osobou vytvářen (napsán), a detailně zkoumat jednotlivé fragmenty podpisu vzorkované po milisekundách. Bylo prokázáno, že bez znalosti skutečného průběhu vytváření podpisu je DBP nepadělatelný40 a po jeho zobrazení za účelem možnosti dlouhotrvajícího nácviku konkrétního podpisu byl úspěch při napodobování zcela ojedinělý.41

Výhodou oproti kryptografickému elektronickému podpisu je implicitní existence oné „vlastnoručnosti“, která je u kryptografického elektronického podpisu zajišťována pouze právním prohlášením podle čl. 25 odst. 2 nařízení eIDAS, podle kterého

„Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.“

Zastánci kryptografického elektronického podpisu tvrdí, že právě on a pouze on může být za určitých okolností dán na roveň vlastnoručnímu podpisu, což ovšem není přesné a objektivní, neboť tím popírají nezpochybnitelný prvek „vlastnoručnosti“ při podepisování formou DBP.42

Podpis coby součást písemných právních úkonů byl v našem právním řádu upraven dříve v § 40 odst. 3 a 4 ObčZ 1964, nyní v § 561–562 ObčZ. Tomu odpovídala i dikce zákona o elektronickém podpisu, jenž vycházel ze směrnice 1999/93. Nařízení eIDAS v tomto nepřináší žádnou změnu, neboť jak kryptografický elektronický podpis, tak dynamický biometrický podpis jsou vlastnoručním podpisem ve smyslu § 561 odst. 1 věty první ObčZ a vyhovuje požadavkům na písemnost podle § 562 odst. 1 ObčZ. Oba jsou elektronickým podpisem podle nařízení elDAS. Vyplývá to jak z výše citovaných definic, tak z principů, které se nacházejí v bodech 48 až 65 nařízení elDAS a které se týkají přijímání elektronických podpisů s nižší zárukou bezpečnosti, jež nesplňují požadavky na kvalifikovaný elektronický podpis.43 Tento princip je v čl. 25 odst. 1 nařízení elDAS formulován následovně:

„Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.“

Jedním z rozdílů mezi kryptografickým a vlastnoručním podpisem (ať již s biometrickými daty nebo bez biometriky) je skutečnost, že soukromý klíč není chráněn proti porušování právních a bezpečnostních opatření jeho vlastníkem. Typickou situací, s níž se lze běžně setkat, je použití soukromého klíče určité osoby (manažera, advokáta) jinou osobou (sekretářkou, asistentem), a to s jeho vědomím a na jeho výslovný pokyn. Pak ovšem ve skutečnosti nedochází k podpisu, který by byl podpisem vlastnoručním, neboť je učiněn jinou osobou, ale takový „nepodpis“ má charakter razítka či podpisu „nahrazeného mechanickými prostředky“, jak hovoří věta druhá § 561 odst. 1 ObčZ.

Statická biometrie, kterou by v určitých případech rovněž bylo možno použít pro vyjádření vůle (např. otiskem prstu ve smyslu § 563 odst. 1 ObčZ), není sice také zcela chráněna před neoprávněným použitím jinou osobou, ale s „propůjčením identity“ pomocí např. otisku prstu vytvořeného z vhodné umělé hmoty se v běžné praxi nesetkáváme, byť ji zcela vyloučit nelze. Ovšem zločinný útok na identitu je u statické biometrie využívající nástrojů jako otisk prstu, dlaně, snímek obličeje, ucha, duhovky oka apod., např. u metod pro kontrolu přístupu (do objektu, k počítači apod.) snazší nežli u biometrie dynamické.44 Proto také lze považovat dynamické biometrické metody, a tedy i DBP, za bezpečnější proti padělání nebo zneužití nežli klasický vlastnoruční podpis a podpis elektronický kryptografický.45

DBP není náhradou kryptografického elektronického podpisu, ale významnou alternativou, kterou lze použít v případech, kdy je třeba kontrolovat, jak se daná osoba podepsala (např. při podepisování smlouvy apod.), a kdy implementování certifikátů, bezpečné ukládání a „hlídání“ soukromých klíčů apod. by významným způsobem narušilo rutinní a ustálené procesy, případně působilo jako bariéra odrazující běžné uživatele (smluvní strany).46 O nákladech na vybudování vlastní certifikační autority, resp. celé infrastruktury veřejných klíčů (PKI),47 nemluvě.

DBP není pouze „obyčejným elektronickým podpisem“ podle čl. 3 bodu 10 nařízení eIDAS, ale zaručeným elektronickým podpisem podle čl. 26 nařízení elDAS, neboť pokud je vhodně implementován, splňuje požadavky na tento druh podpisu, jak jsou uvedeny výše. Přináší výhodu nemožnosti jeho vytvoření jinou osobou, na rozdíl od kryptografického elektronického podpisu, kdy může použít podpisová data jiná osoba, lhostejno zda s vědomím jejich vlastníka nebo na základě nějakého protiprávního činu. Současně umožňuje verifikaci pravosti podpisu díky dynamickým biometrickým datům na daleko vyšší úrovni důvěry než u klasického vlastnoručního podpisu, aniž by je bylo možno odcizit a podvrhnout, jak tomu je u statických biometrik typu otisk prstu, obrázek tváře apod.

VII. Závěr

Z výše uvedeného přehledu lze dospět k několika závěrům, které mohou být dobrým vodítkem pro rozhodování o metodě elektronické identifikace a autentizace především ve vztahu k podepisovaným dokumentům či podáním:

1.

Pro komunikaci s orgány veřejné moci se jako ideální jeví používání datových schránek, kde neřešíme ani elektronický podpis a jeho formu, ani dokazování, kdy, co a komu bylo odesláno, resp. doručeno. ISDS to vše udělá za nás. Výjimkou je dokument, který má být podepsán více osobami; pak je použití elektronického podpisu nezbytné i při jeho zaslání datovou schránkou.

2.

Pro soukromoprávní užívání (smlouvy všeho druhu, stvrzenky a jiné dokumenty užívané např. v obchodním, resp. spotřebitelském styku) se jako nejvhodnější jeví používání dynamického biometrického podpisu, a to pro jeho jednoduchost jak z hlediska implementace, tak užívání.

3.

Samozřejmě nic nám nebrání používat v obou případech jakoukoliv formu kryptografického elektronického podpisu, a to jak navenek, tak uvnitř organizace – vytvořením vlastní infrastruktury veřejných klíčů (PKI) nebo s využitím externí služby. Se všemi výše zmíněnými výhodami a nevýhodami. Pro komunikaci s orgány veřejné moci to ovšem musí být podpis ve smyslu § 6 SlužET.

4.

Pokud se bude jednat o požadavek úředního ověření podpisu, který je vyžadován mnoha předpisy, pak tento požadavek obecně vylučuje možnost využití elektronického podpisu jakéhokoliv druhu, neboť v našem právu dosud chybí úprava úředního ověření elektronického podpisu.

„Nicméně tento nedostatek je často prolamován výslovnými ustanoveními jednotlivých právních předpisů, které v různých případech umožňují nahradit úředně ověřený podpis zaručeným elektronickým podpisem. Tak tomu je např. při úkonech učiněných při elektronické dražbě, při podání insolvenčního návrhu nebo při podání návrhu na zápis do veřejného rejstříku osob. V tomto případě je úřednímu ověření podpisu postaveno na roveň i fakticky nepodepsané podání učiněné prostřednictvím datové schránky, a to proto, že smysl ověření, jímž je zajištění vyšší průkaznosti identifikace podatele, je v takovém případě zaručen již jeho přihlašovacími údaji do datové schránky a využitím zabezpečeného informačního systému datových schránek.“48

Dle mého názoru nic nebrání takové změně legislativy, která by byla v souladu s právem EU a umožnila postavit na roveň nejvyšší stupeň podpisu elektronického, jakým je kvalifikovaný elektronický podpis podle nařízení elDAS, s podpisem úředně ověřeným.



Poznámky pod čarou:

Autor je profesorem na Fakultě podnikatelské Vysokého učení technického v Brně.

Krech, D., Crutchfield, R. S., Ballachey, E. L. Človek v spoločnosti. Bratislava: Vydavateľstvo Slovenskej akadémie vied, 1968, s. 313.

Defleur, M. L., Ball-Rokeach, S. J. Teorie masové komunikace. 1. české vyd. Praha: Karolinum, 1996. Cit. podle http://mediagram.cz/dejepis/jak-spolecnost-komunikovala.

Zuklínová, M. Právní jednání podle občanského zákoníku č. 89/2012 Sb. Komentář, srovnání se zahraničím a vybraná platná judikatura. 1. vyd. Praha: Linde, 2013.

Mates, P., Smejkal, V. E-government v České republice. Právní a technologické aspekty. 2. vyd. Praha: Leges, 2012, s. 249.

Hmotným substrátem je samozřejmě i magnetický či optický nosič informací, ale digitální záznam není s tímto nosičem pevně spojený, případně pokud ano (nepřepisovatelné médium typu CD/DVD), pak každé další vyhotovení tohoto nosiče obsahuje původní informace v nijak nezměněné podobě.

Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů v § 2 písm. e) uvádí, že dokumentem se rozumí „každá písemná, obrazová, zvuková nebo jiná zaznamenaná informace, ať již v podobě analogové či digitální, která byla vytvořena původcem nebo byla původci doručena“, a nadále pracuje s pojmy „analogový a digitální dokument“ jako s notorietami bez nějaké další specifikace.

Mates, P., Smejkal, V., op. cit. sub 4, s. 250–251.

Tamtéž, s. 272.

Viz zákon č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád), a zákon č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád).

Mates, P., Smejkal, V., op. cit. sub 4, s. 272.

Black, H. C. Blackův právnický slovník. Praha: Victoria Publishing, 1993, s. 1268.

Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. 12. 1999 o zásadách Společenství pro elektronické podpisy.

Více viz Mates, P., Smejkal, V., op. cit. sub 4, s. 281 a násl.

O tom např. Smejkal, V. Doručování v českém právním řádu. Justiční praxe, 2002, č. 10, s. 572–603.

Viz např. Korbel, F., Prudíková, D. Změny v systému doručování po 1. červenci 2009. Právni rozhledy, 2009, č. 17, mimořádná příloha, s. 1–12.

K datovým schránkám viz dále Smejkal, V. Datové schránky v právním řádu ČR. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, s komentářem. Praha: ABF, a. s., 2009, nebo Smejkal, V., Valášek, M. A. Jak na datové schránky. Praktický manuál pro každého. Praha: Linde, 2012.

Rozhodnutí NSS ze 17. 2. 2012, sp. zn. 8 As 89/2011.

Souhrnně stanovisko NS z 5. 1. 2017, sp. zn. Plsn 1/2015 „K podáním činěným v elektronické podobě a k doručování elektronicky vyhotovených písemností soudem, prováděnému prostřednictvím veřejné datové sítě“.

Nařízení Evropského parlamentu a Rady č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. Official Journal of the European Union, L 257, 28. 8. 2014, s. 73–114, a L 327, 12. 11. 2014, s. 9.

Dumortier, J. a kol. Study on legal and market aspects of the application of Directive 1999/93/EC laying down a Community framework for electronic signatures and on the practical applications of the electronic signature. Catholic Univestity of Leuven, Belgie, zpracováno pro European Commission, Directorate General Information Society, Brusel 2003.

Bod 33 Preambule nařízení eIDAS.

Body 48 a 49 Preambule nařízení eIDAS.

Viz např. Smejkal, V., Sokol, T., Vlček, M. Počítačové právo. 1. vyd. Praha: C. H. Beck, 1995.

Ke stopám viz např. Smejkal, V. Metodika vyšetřování kybernetické kriminality, in Porada, V., Straus, J. et al. Kriminalistika (výzkum, pokroky, perspektivy). Plzeň: Ales Čeněk, 2013, nebo Porada, V. a kol. Kriminalistika. Technické, forenzní a kybernetické aspekty. 2. vyd. Plzeň: Aleš Čeněk, 2019.

Nález ÚS z 16. 12. 2004, sp. zn. III. ÚS 107/04.

Převzato z textu Smejkal, V., Kodl, J., Uřičař, M. Elektronický podpis podle nařízení elDAS. Revue pro právo a technologie, 2015, č. 11, s. 189–235.

Čl. 3 bod 10 nařízení eIDAS.

Směrnice 1999/93 zřejmě převzala definici EP podle Vzorového zákona o elektronickém podpisu vydaného Komisí OSN pro mezinárodní obchodní právo UNICTRAL, „UNCITRAL Model Law on Electronic Signatures“. New York: UNITED NATIONS, 2002.

Mates, P., Smejkal, V., op. cit. sub 4, s. 271 a násl.

Čl. 3 bod 13 nařízení eIDAS.

Smejkal, V., Kodl, J., Uřičař, M., op. cit. sub 26.

Korbel, F., Kovář, D. Nařízení eIDAS konečně adaptováno do českého práva, zákon o elektronickém podpisu končí. Právní prostor, 13. 10. 2016. https://www.pravniprostor.cz/.

Sněm. tisk č. 763 sedmého volebního období Poslanecké sněmovny Parlamentu ČR.

Podobně Donát, J., Maisner, M., Piffl, R. Nařízení eIDAS. Komentář. Praha: C. H. Beck, 2017, s. 130. K jednání vůči orgánu veřejné moci pak viz Stanovisko č. 2/2017 Ministerstva vnitra ze dne 14. 2. 2017 „Vyřizování elektronicky učiněných podání občanů obce směřujících do samostatné působnosti obce bez uznávaného elektronického podpisu“.

Mates, P., Smejkal, V., op. cit. sub 4, s. 271.

Viz Smejkal, V., Kodl, J. Strong authentication using dynamic biometric signature, in Proceedings of 45th Annual 2011 IEEE International Carnahan Conference on Security Technology (ICCST), 18–21 October 2011, Tecnocampus Mataró Maresme, Barcelona, Španělsko, s. 340–344, a Smejkal, V., Kodl, J., Kodl, J. Jr. Implementing Trustworthy Dynamic Biometric Signature according to the Electronic Signature Regulations, in Proceedings of 47th Annual 2013 IEEE International Carnahan Conference on Security Technology (ICCST), 9–11 October 2013, Medellín, Colombia, s. 165–170.

Čl. 3 bod 10 nařízení eIDAS.

Smejkal, V. Dynamický biometrický podpis a nařízení GDPR. Revue pro právo a technologie, 2017, č. 16, s. 89–112.

Smejkal, V., Kodl, J. Vícefaktorová autentizace a dynamický biometrický podpis, in Sborník 16. ročníku mezinárodní konference Information Security Summit (IS2), 27.–28. 5. 2015. Praha: TATE International, s. r. o., 2015, s. 107–119.

Smejkal, V., Kodl, J. Assessment of the authenticity of Dynamic Biometric Signature. The results of experiments, in Proceedings of 48th Annual 2014 IEEE International Carnahan Conference on Security Technology (ICCST), 13–16 October 2014, Roma, Italia, s. 45–49.

Viz Smejkal, V., Kodl, J., Hortai, F., Tesař, P. About the Abuse Options of the Dynamic Biometric Signature, in Rich, B. (ed.) Proceedings of 52th Annual 2018 International Carnahan Conference on Security Technology (ICCST), Montréal, Canada, s. 42–47, nebo Zimmer, J. Current State of Digital Handwritten Signatures examination in the Czech Republic. European Network of Forensic Handwriting Experts. Zurich, 2015.

K tomu viz Smejkal, V., Kodl, J. Dynamický biometrický podpis – místo mýtů fakta. Data Security Management, 2012, č. 2, s. 20–23.

Viz rozhodnutí Komise 2009/767/ES ze dne 16. 10. 2009, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím „jednotných kontaktních míst“ podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 274, 20. 10. 2009, s. 36).

Smejkal, V., Kodl, J., Uřičař, M., op. cit. sub 26.

Viz také výsledky pokusů popsaných v textu Smejkal, V., Kodl, J., Hortai, F., Tesař, P., op. cit. sub 41.

Smejkal, V., Kodl, J., op. cit. sub 39.

PKI – infrastruktura veřejných klíčů (Public Key Infrastructure) je soustava technologických a organizačních opatření spojených s vydáváním, správou, používáním a odvoláváním platnosti kryptografických klíčů a certifikátů, tedy jako souhrn hardware, software, lidí, metod a procesů potřebných k použití kryptografie veřejných klíčů pro určitou množinu osob. Podle Mates, P., Smejkal, V., op. cit. sub 4, s. 314.

Korbel, F., Melzer, F. Písemnost, elektronický a biometrický podpis v elektronickém právním jednání. Bulletin advokacie, 2014, č. 12, s. 31–36.

Poznámky pod čarou:
*

Autor je profesorem na Fakultě podnikatelské Vysokého učení technického v Brně.

1

Krech, D., Crutchfield, R. S., Ballachey, E. L. Človek v spoločnosti. Bratislava: Vydavateľstvo Slovenskej akadémie vied, 1968, s. 313.

2

Defleur, M. L., Ball-Rokeach, S. J. Teorie masové komunikace. 1. české vyd. Praha: Karolinum, 1996. Cit. podle http://mediagram.cz/dejepis/jak-spolecnost-komunikovala.

3

Zuklínová, M. Právní jednání podle občanského zákoníku č. 89/2012 Sb. Komentář, srovnání se zahraničím a vybraná platná judikatura. 1. vyd. Praha: Linde, 2013.

4

Mates, P., Smejkal, V. E-government v České republice. Právní a technologické aspekty. 2. vyd. Praha: Leges, 2012, s. 249.

5

Hmotným substrátem je samozřejmě i magnetický či optický nosič informací, ale digitální záznam není s tímto nosičem pevně spojený, případně pokud ano (nepřepisovatelné médium typu CD/DVD), pak každé další vyhotovení tohoto nosiče obsahuje původní informace v nijak nezměněné podobě.

6

Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů v § 2 písm. e) uvádí, že dokumentem se rozumí „každá písemná, obrazová, zvuková nebo jiná zaznamenaná informace, ať již v podobě analogové či digitální, která byla vytvořena původcem nebo byla původci doručena“, a nadále pracuje s pojmy „analogový a digitální dokument“ jako s notorietami bez nějaké další specifikace.

7

Mates, P., Smejkal, V., op. cit. sub 4, s. 250–251.

8

Tamtéž, s. 272.

9

Viz zákon č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád), a zákon č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád).

10

Mates, P., Smejkal, V., op. cit. sub 4, s. 272.

11

Black, H. C. Blackův právnický slovník. Praha: Victoria Publishing, 1993, s. 1268.

12

Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. 12. 1999 o zásadách Společenství pro elektronické podpisy.

13

Více viz Mates, P., Smejkal, V., op. cit. sub 4, s. 281 a násl.

14

O tom např. Smejkal, V. Doručování v českém právním řádu. Justiční praxe, 2002, č. 10, s. 572–603.

15

Viz např. Korbel, F., Prudíková, D. Změny v systému doručování po 1. červenci 2009. Právni rozhledy, 2009, č. 17, mimořádná příloha, s. 1–12.

16

K datovým schránkám viz dále Smejkal, V. Datové schránky v právním řádu ČR. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, s komentářem. Praha: ABF, a. s., 2009, nebo Smejkal, V., Valášek, M. A. Jak na datové schránky. Praktický manuál pro každého. Praha: Linde, 2012.

17

Rozhodnutí NSS ze 17. 2. 2012, sp. zn. 8 As 89/2011.

18

Souhrnně stanovisko NS z 5. 1. 2017, sp. zn. Plsn 1/2015 „K podáním činěným v elektronické podobě a k doručování elektronicky vyhotovených písemností soudem, prováděnému prostřednictvím veřejné datové sítě“.

19

Nařízení Evropského parlamentu a Rady č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. Official Journal of the European Union, L 257, 28. 8. 2014, s. 73–114, a L 327, 12. 11. 2014, s. 9.

20

Dumortier, J. a kol. Study on legal and market aspects of the application of Directive 1999/93/EC laying down a Community framework for electronic signatures and on the practical applications of the electronic signature. Catholic Univestity of Leuven, Belgie, zpracováno pro European Commission, Directorate General Information Society, Brusel 2003.

21

Bod 33 Preambule nařízení eIDAS.

22

Body 48 a 49 Preambule nařízení eIDAS.

23

Viz např. Smejkal, V., Sokol, T., Vlček, M. Počítačové právo. 1. vyd. Praha: C. H. Beck, 1995.

24

Ke stopám viz např. Smejkal, V. Metodika vyšetřování kybernetické kriminality, in Porada, V., Straus, J. et al. Kriminalistika (výzkum, pokroky, perspektivy). Plzeň: Ales Čeněk, 2013, nebo Porada, V. a kol. Kriminalistika. Technické, forenzní a kybernetické aspekty. 2. vyd. Plzeň: Aleš Čeněk, 2019.

25

Nález ÚS z 16. 12. 2004, sp. zn. III. ÚS 107/04.

26

Převzato z textu Smejkal, V., Kodl, J., Uřičař, M. Elektronický podpis podle nařízení elDAS. Revue pro právo a technologie, 2015, č. 11, s. 189–235.

27

Čl. 3 bod 10 nařízení eIDAS.

28

Směrnice 1999/93 zřejmě převzala definici EP podle Vzorového zákona o elektronickém podpisu vydaného Komisí OSN pro mezinárodní obchodní právo UNICTRAL, „UNCITRAL Model Law on Electronic Signatures“. New York: UNITED NATIONS, 2002.

29

Mates, P., Smejkal, V., op. cit. sub 4, s. 271 a násl.

30

Čl. 3 bod 13 nařízení eIDAS.

31

Smejkal, V., Kodl, J., Uřičař, M., op. cit. sub 26.

32

Korbel, F., Kovář, D. Nařízení eIDAS konečně adaptováno do českého práva, zákon o elektronickém podpisu končí. Právní prostor, 13. 10. 2016. https://www.pravniprostor.cz/.

33

Sněm. tisk č. 763 sedmého volebního období Poslanecké sněmovny Parlamentu ČR.

34

Podobně Donát, J., Maisner, M., Piffl, R. Nařízení eIDAS. Komentář. Praha: C. H. Beck, 2017, s. 130. K jednání vůči orgánu veřejné moci pak viz Stanovisko č. 2/2017 Ministerstva vnitra ze dne 14. 2. 2017 „Vyřizování elektronicky učiněných podání občanů obce směřujících do samostatné působnosti obce bez uznávaného elektronického podpisu“.

35

Mates, P., Smejkal, V., op. cit. sub 4, s. 271.

36

Viz Smejkal, V., Kodl, J. Strong authentication using dynamic biometric signature, in Proceedings of 45th Annual 2011 IEEE International Carnahan Conference on Security Technology (ICCST), 18–21 October 2011, Tecnocampus Mataró Maresme, Barcelona, Španělsko, s. 340–344, a Smejkal, V., Kodl, J., Kodl, J. Jr. Implementing Trustworthy Dynamic Biometric Signature according to the Electronic Signature Regulations, in Proceedings of 47th Annual 2013 IEEE International Carnahan Conference on Security Technology (ICCST), 9–11 October 2013, Medellín, Colombia, s. 165–170.

37

Čl. 3 bod 10 nařízení eIDAS.

38

Smejkal, V. Dynamický biometrický podpis a nařízení GDPR. Revue pro právo a technologie, 2017, č. 16, s. 89–112.

39

Smejkal, V., Kodl, J. Vícefaktorová autentizace a dynamický biometrický podpis, in Sborník 16. ročníku mezinárodní konference Information Security Summit (IS2), 27.–28. 5. 2015. Praha: TATE International, s. r. o., 2015, s. 107–119.

40

Smejkal, V., Kodl, J. Assessment of the authenticity of Dynamic Biometric Signature. The results of experiments, in Proceedings of 48th Annual 2014 IEEE International Carnahan Conference on Security Technology (ICCST), 13–16 October 2014, Roma, Italia, s. 45–49.

41

Viz Smejkal, V., Kodl, J., Hortai, F., Tesař, P. About the Abuse Options of the Dynamic Biometric Signature, in Rich, B. (ed.) Proceedings of 52th Annual 2018 International Carnahan Conference on Security Technology (ICCST), Montréal, Canada, s. 42–47, nebo Zimmer, J. Current State of Digital Handwritten Signatures examination in the Czech Republic. European Network of Forensic Handwriting Experts. Zurich, 2015.

42

K tomu viz Smejkal, V., Kodl, J. Dynamický biometrický podpis – místo mýtů fakta. Data Security Management, 2012, č. 2, s. 20–23.

43

Viz rozhodnutí Komise 2009/767/ES ze dne 16. 10. 2009, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím „jednotných kontaktních míst“ podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 274, 20. 10. 2009, s. 36).

44

Smejkal, V., Kodl, J., Uřičař, M., op. cit. sub 26.

45

Viz také výsledky pokusů popsaných v textu Smejkal, V., Kodl, J., Hortai, F., Tesař, P., op. cit. sub 41.

46

Smejkal, V., Kodl, J., op. cit. sub 39.

47

PKI – infrastruktura veřejných klíčů (Public Key Infrastructure) je soustava technologických a organizačních opatření spojených s vydáváním, správou, používáním a odvoláváním platnosti kryptografických klíčů a certifikátů, tedy jako souhrn hardware, software, lidí, metod a procesů potřebných k použití kryptografie veřejných klíčů pro určitou množinu osob. Podle Mates, P., Smejkal, V., op. cit. sub 4, s. 314.

48

Korbel, F., Melzer, F. Písemnost, elektronický a biometrický podpis v elektronickém právním jednání. Bulletin advokacie, 2014, č. 12, s. 31–36.