Elektronické pečeti mají s elektronickými podpisy mnoho společného. Po technické stránce se vlastně vůbec neliší. Liší se v tom, kdo je může vytvářet, a komu tedy patří. A v návaznosti na to se liší i ve svých právních účincích.
Podepisovat se mohou pouze fyzické osoby. Takže elektronické podpisy mohou patřit pouze fyzickým osobám, a představují projev jejich vůle vůči podepisovanému obsahu.
Naproti tomu elektronické pečeti patří právnickým osobám, včetně orgánů veřejné moci. A v praxi také třeba podatelnám, spisovým službám, či agendám a podobně. A jelikož právnické osoby a takovéto další subjekty nemohou projevovat svou vůli, jsou pečeti vyjádřením původu. Takže by neměly být připojovány k cizím dokumentům, pocházejícím od někoho jiného.
Elektronické pečeti zajišťují také integritu dat
Kromě vyjádření původu mají elektronické pečeti ještě jeden úkol, a to je zajištění integrity dat. Tím se rozumí možnost detekovat jakoukoli změnu dat, opatřených elektronickou pečetí. Jde o stejnou a stejně fungující vlastnost, jakou mají i zaručené, uznávané a kvalifikované elektronické podpisy. Pokud by od podepsání či připojení pečeti došlo k jakékoli změně podepsaných dat či dat opatřených pečetí, projeví se to tím, že podpis, resp. pečeť budou vyhodnoceny jako neplatné, právě z důvodu porušení integrity, resp. změny.
Kvalifikované, uznávané a zaručené elektronické pečeti
Právní úprava zavádí určitou škálu, resp. hierarchii elektronických pečetí, a to opět stejně jako u elektronických podpisů. Nejvýše stojí kvalifikované elektronické pečeti, které jsou obsažené v uznávaných elektronických pečetích, jako jejich zvláštní případ. A uznávané elektronické pečeti jsou zase obsaženy v zaručených elektronických pečetích, a jsou jejich zvláštním případem.
Kvalifikované elektronické pečeti, podobně jako kvalifikované elektronické podpisy, musí splňovat dvě podmínky, a to současně. Musí být založeny na kvalifikovaném certifikátu, a musí být vytvořeny kvalifikovaným prostředkem. To pro uznávané elektronické pečeti stačí jen to, aby byly založeny na kvalifikovaném certifikátu. No a zaručené elektronické pečeti mohou být založené na jakémkoli certifikátu.
Čím je dán rozdíl mezi elektronickými pečetěmi a elektronickými podpisy
Rozdíl mezi elektronickými pečetěmi a elektronickými podpisy je dán tím, na jakém druhu certifikátu jsou založeny: zda na certifikátu pro elektronickou pečeť, nebo na certifikátu pro elektronický podpis. Zjednodušeně: to, že jde o elektronickou pečeť nebo o elektronický podpis, se pozná právě podle druhu certifikátu. To by měl správně rozpoznat ten program či ta služba, kterou pro práci s elektronickými podpisy a elektronickými pečetěmi používáme.
Orientačně ale lze rozdíl mezi elektronickou pečetí a elektronickým podpisem poznat podle toho, komu patří. Pokud fyzické osobě, mělo by jít o podpis. Pokud právnické osobě, nebo nějaké agendě, či spisové službě a podobně, mělo by jít o elektronickou pečeť.
Kvalifikované prostředky pro vytváření elektronických pečetí a HSM moduly
Připomeňme si znovu, že kvalifikované elektronické pečeti, na rozdíl od těch uznávaných, vyžadují kromě kvalifikovaného certifikátu také použití kvalifikovaného prostředku. A to kvalifikovaného prostředku pro vytváření elektronických pečetí, v angličtině Qualified Seal Creation Device. Zkratkou QSCD, což je ale stejná zkratka jako u kvalifikovaných prostředků pro vytváření elektronických podpisů.
Kvalifikovaným prostředkem pro vytváření elektronických pečetí může být, stejně jako u elektronických podpisů, certifikovaná čipová karta či USB token. Ale takový prostředek je relativně pomalý a nehodí pro intenzivní pečetění, neboli pro vytváření velkého počtu elektronických pečetí během co nejkratší doby. Pro takovéto účely se používá specializované a výkonné zařízení, zvané HSM modul, od Hardware Security Module. Jeho výkonnosti ovšem odpovídá i velmi vysoká cena.
Pečeti se připojují nejčastěji strojově, ale mohou se připojovat i ručně
Mezi elektronickými podpisy a elektronickými pečetěmi existuje ještě jeden zajímavý rozdíl. Týká se způsobu, jakým vznikají. Elektronické podpisy jsou typicky vytvářeny „ručně“, přesněji: na přímý popud podepisující osoby. Ale není vyloučeno, aby vznikaly strojově, resp. automaticky, podle nějakého předem naprogramovaného postupu, bez přímého popudu člověka.
To u elektronických pečetí je tomu obráceně: typicky vznikají strojově, resp. autonomně, bez přímého popudu člověka. Obvykle pomocí oněch HSM modulů, které zvládají i velkou zátěž. Příkladem může být hromadné vystavování faktur v elektronické podobě či generování různých online výpisů, které si někdo vyžádá třeba uprostřed noci po Internetu, a jsou ihned a automaticky opatřeny elektronickou pečetí. Ale nic nebrání tomu, aby i elektronické pečeti byly připojovány na konkrétní dokumenty „ručně“, na přímý popud člověka. Například když určitá organizace či firma vydává jednou za čas nějakou tiskovou zprávu, a v elektronické podobě ji opatří svou elektronickou pečetí.
Jak poznat elektronickou pečeť v programu Adobe Acrobat Reader?
Jak jsme si již uvedli, směrodatné rozlišení mezi elektronickými pečetěmi a elektronickými podpisy musí vycházet z druhu certifikátu. Ne každý program či služba ale dokáže podpisy a pečeti vždy správně rozlišit.
Třeba zdarma dostupný a hojně používaný program Adobe Acrobat Reader dokáže správně rozpoznat kvalifikovanou elektronickou pečeť. Jeho česká lokalizace ale má jednu kuriózní chybu: když v zámoří překládali anglický výraz pro pečeť, místo správného českého ekvivalentu použili jiný možný význam anglického slova seal: přeložili jej jako razítko. Takže když česká verze programu Adobe Acrobat Reader zjistí, že jde o kvalifikovanou elektronickou pečeť, svému uživateli sdělí, že jde o kvalifikované elektronické razítko. Naštěstí nikoli časové razítko.
Jinak je tomu ale v případě takové pečeti, která je pouze uznávanou elektronickou pečetí, a nikoli současně kvalifikovanou elektronickou pečetí. A také v případě, kdy jde pouze o uznávaný elektronický podpis, který není současně kvalifikovaným elektronický podpisem. Takovéto pečeti a podpisy, které jsou naší národní specialitou, program Adobe Acrobat Reader nezná, a tak je ani nedokáže rozpoznat a odlišit od zaručených elektronických podpisů a pečetí, které jsou pouze zaručenými.
V těchto případech, tedy když se nejedná ani o kvalifikovanou pečeť, ani o kvalifikovaný elektronický podpis, nám program Adobe Acrobat Reader neřekne, o co jde. Mluví jen o podpisu, a to i v případě, kdy podle držitele již na první pohled můžeme tušit, že ve skutečnosti jde o pečeť.
Nařízení eIDAS a jeho přílohy I a III
Pak nezbývá, než se podívat do detailů certifikátu. V programu Adobe Acrobat Reader se kvalifikovaný certifikát pozná podle evropské značky důvěry, symbolizované ikonou modrého zámečku s hvězdičkami. A rozlišení mezi kvalifikovaným certifikátem pro elektronický podpis a pro elektronickou pečeť se pozná podle zmínky o příloze I, resp. III. Jde o odkaz na přílohy unijního nařízení 910/2014, známějšího jako nařízení eIDAS. To ve své příloze I popisuje požadavky, kladené na kvalifikované certifikáty pro elektronický podpis, zatímco v příloze III popisuje požadavky, kladené na kvalifikované certifikáty pro elektronickou pečeť.
Takže pokud je v náhledu certifikátu v programu Adobe Acrobat Reader zmínka o příloze I, jde o kvalifikovaný certifikát pro elektronický podpis, a celkově tak jde o elektronický podpis. V případě zmínky o příloze III jde o pečeť.
A ještě si řekněme, že rozdíl mezi kvalifikovanou elektronickou pečetí a takovou, která je pouze uznávanou a nikoli kvalifikovanou, je v přítomnosti zmínky o umístění soukromého klíče na kvalifikovaném prostředku. Podobně pro elektronické podpisy. Pokud takováto zmínka uvedena není, pak se jedná pouze o uznávaný, nikoli současně kvalifikovaný elektronický podpis nebo pečeť.
Před elektronickými pečetěmi byly elektronické značky
Za zmínku ještě stojí, že elektronické podpisy byly do unijní právní úpravy zavedeny již v roce 1999, a to unijní směrnicí. Naproti tomu elektronické pečeti jsou výrazně mladší, protože s nimi přišlo až v roce 2016 unijní nařízení eIDAS, které původní směrnici nahradilo.
Nicméně v naší národní právní úpravě jsme si ještě dříve, konkrétně v roce 2004, zavedli elektronické značky. Důvodem pro jejich vznik byla potřeba opatřovat nejrůznější strojově, resp. programem generované výpisy, například z obchodních či jiných rejstříků, vhodnou alternativou elektronického podpisu. Ale tak, aby k tomu nebylo nutné přímé zapojení člověka. Takže elektronická značka byla vlastně jakýmsi strojově generovaným elektronickým podpisem, zatímco u skutečného elektronického podpisu se předpokládalo, že naopak vzniká „ručně“, na přímý popud člověka. A zatímco podpis mohl patřit nadále pouze fyzické osobě, elektronická značka mohla patřit všem osobám, včetně těch právnických. Nejčastěji ale elektronické značky používaly orgány veřejné moci, a to právě pro nejrůznější strojově generované výpisy.
Jinými slovy: pomyslná dělící čára mezi elektronickými podpisy a elektronickými značkami vedla přes způsob jejich vzniku. Podpisy vznikaly ručně, značky strojově. Dnes mezi elektronickými podpisy a elektronickými pečetěmi vede pomyslná dělící čára jinudy: přes to, komu co patří. Podpisy patří fyzickým osobám, pečeti právnickým osobám.
Co se nezměnilo, je způsob rozlišení mezi elektronickým podpisem a elektronickou značkou, resp. pečetí: je to dáno druhem certifikátu, na kterém je příslušný prvek založen. Takže zatímco elektronické podpisy jsou dodnes založeny na certifikátech pro elektronický podpis, a pečeti na certifikátech pro elektronické pečeti, dřívější elektronické značky byly založeny na tzv. systémových certifikátech. Podle toho se poznalo, že jde o elektronickou značku.