Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

4.9.2         Požadavek zákona na jednoznačnou identifikaci držitele certifikátu

Až si budeme popisovat postup při vydávání kvalifikovaného certifikátu (navíc u akreditované certifikační autority), dozvíme se, že ta velmi pečlivě a přesně zjišťuje identitu svého zákazníka, nejméně podle dvou jeho osobních dokladů. Sama tedy velmi přesně ví, o koho jde, a dokáže danou osobu jednoznačně identifikovat.

Problém je ale v tom, že tuto svou „znalost“ nemusí přenášet do samotného certifikátu, ani toho kvalifikovaného. Jak jsme si ukázali v předchozích odstavcích, i do kvalifikovaného certifikátu se někdy dostane jen jméno a příjmení, které k jednoznačné identifikaci nepostačují. A pak již jen „sériové číslo“ držitele certifikátu (rozlišovací jméno), které jednoznačnou identifikaci umožňuje – ale zase jen tomu, kdo má přístup do interní evidence zákazníků certifikační autority. Což je pouze tato autorita sama[81].

Celý problém samozřejmě není nový a je určitým způsobem řešen i v zákoně (č. 227/2000 Sb., o elektronickém podpisu). Ten ve svém paragrafu 11 explicitně požaduje, aby certifikát obsahoval takové údaje, aby „osoba byla jednoznačně identifikovatelná“.

Ovšem jen v kontextu komunikace s orgány veřejné moci, jen u uznávaného elektronického podpisu a s odkazem na to, že konkrétní požadavky stanoví ministerstvo (vnitra):

(§ 11/1) V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (dále jen "uznávaný elektronický podpis"). To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Pokud je uznávaný elektronický podpis užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná. Strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, stanoví ministerstvo prováděcím právním předpisem.

Takovýto prováděcí předpis[82]  byl vydán v roce 2004 a stanovil, že:

Údaj, na jehož základě je možné osobu jednoznačně identifikovat, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295 a je spravován ústředním orgánem státní správy.

Číselně tento rozsah přesně odpovídá rozsahu, v jakém je přidělován identifikátor klienta MPSV (Ministerstva práce a sociálních věcí), používaný primárně v rámci systémů tohoto resortu. V praxi je tento identifikátor také skutečně využíván, byť prováděcí předpis explicitně nezmiňuje, že má jít právě o tento identifikátor.

Možnost blíže identifikovat konkrétní fyzickou osobu podle identifikátoru MPSV (získat další údaje o této osobě, na základě hodnoty identifikátoru) ale mají jen některé orgány státní správy (a také certifikační autority), na základě dohody s MPSV. Ostatní nikoli.

Například na Slovensku se otázka jednoznačné identifikace řeší vkládáním rodného čísla do certifikátu. V ČR by ale takováto praxe nebyla možná, vzhledem k tomu, že rodné číslo je chráněným osobním údajem, zatímco certifikát je ze své podstaty veřejný.


[81] Případně ještě orgány činné v trestním řízení a další orgány veřejné moci, které k tomu mají zákonné zmocnění. 

[82] Vyhláška č. 496/2004 Sb. „o elektronických podatelnách“



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61