Pojem uznávaný elektronický podpis, který je naší národní specialitou, má v právu jiný význam, než v běžné praxi. Zjednodušeně: v kontextu práva jde o společné označení pro dva různé druhy elektronických podpisů. Naproti tomu, když v běžné praxi někdo řekne „uznávaný elektronický podpis“, má tím obvykle na mysli jen jeden druh elektronického podpisu.
Rozdíl je v tom, že právní úprava pod pojem „uznávaný elektronický podpis“ zahrnuje také kvalifikované elektronické podpisy, zatímco běžná praxe nikoli.
Bohužel to dlouhodobě způsobuje mnoho nepříjemných nedorozumění, nepochopení až přímo omylů v již tak nepříliš intuitivní terminologii elektronických podpisů. Pojďme si to proto popsat trochu podrobněji.
Různé druhy elektronických podpisů pohledem právní úpravy
Když je řeč o elektronických podpisech, můžeme se setkat s pojmy jako zaručený elektronický podpis, uznávaný elektronický podpis či kvalifikovaný elektronický podpis, které označují jednotlivé druhy elektronických podpisů.
Právo vymezuje tyto pojmy jako do sebe vnořené pojmové kategorie. Tedy takové, kdy obecnější kategorie v sobě zahrnuje konkrétnější kategorii jako svou podmnožinu, resp. jako svůj zvláštní případ. Je to princip, dobře známý například z ruských matrjošek.
Právo začíná u obecné definice toho, co všechno považuje za elektronický podpis. To představuje jakési vytyčení hřiště, na kterém budou moci působit různí hráči, resp. na kterém budou vymezeny jednotlivé druhy elektronických podpisů.
Jako první konkrétní druh elektronického podpisu právní úprava, a to již ta unijní, zavádí zaručený elektronický podpis. To je takový elektronický podpis, který splňuje nejméně přísné požadavky. Jeho podmnožinou, resp. zvláštním případem, je v naší právní úpravě uznávaný elektronický podpis. Tedy takový zaručený podpis, který splňuje další, konkrétnější požadavky.
Uznávané elektronické podpisy vyžadují kvalifikovaný certifikát
Jde vlastně jen o jeden konkrétní požadavek: uznávané elektronické podpisy vyžadují kvalifikovaný certifikát. Jinými, odbornějšími slovy: uznávané elektronické podpisy musí být založeny na kvalifikovaném certifikátu. Naproti tomu zaručené elektronické podpisy mohou být založeny na jakémkoli certifikátu.
Každý uznávaný elektronický podpis je tak z pohledu práva současně i zaručeným elektronickým podpisem. Ale opačně to neplatí: existují takové zaručené elektronické podpisy, které nejsou uznávanými elektronickými podpisy. Jsou to takové zaručené elektronické podpisy, které jsou založeny na jiném než kvalifikovaném certifikátu. Třeba na testovacím certifikátu, který si někdo vystavil sám a napsal si do něj něco, co neodpovídá skutečnosti.
Význam kvalifikovaného certifikátu pro pravost elektronického podpisu
Kvalifikovaný certifikát je takový, u kterého jeho vydavatel ručí za správnost jeho obsahu. Včetně údajů o držiteli certifikátu. To je důležité proto, že u elektronických podpisů dovozujeme to, komu podpis patří, právě z obsahu certifikátu. Zjednodušeně: za podepsanou osobu považujeme držitele certifikátu.
Proto tolik záleží na důvěryhodnosti certifikátu, neboli na tom, zda a do jaké míry se můžeme na jeho obsah spoléhat. Pokud je konkrétní elektronický podpis ověřen jako platný, a je založen na kvalifikovaném certifikátu, nepotřebujeme již nic dalšího – žádné další důkazy, potvrzení či osvědčení a podobně – a z pohledu práva můžeme takový podpis považovat za pravý. Tedy takový, který skutečně vytvořil ten, kdo jej vytvořit měl. A to ten, kdo je uveden v kvalifikovaném certifikátu jako jeho držitel.
No a jelikož uznávané elektronické podpisy jsou vždy založeny na kvalifikovaném certifikátu, můžeme se u nich spoléhat na identitu podepsané osoby. Znovu si ale zdůrazněme: platí to jen v případě, kdy je uznávaný elektronický podpis ověřen jako platný. Teprve pak z něj můžeme dovozovat jeho právní pravost a spoléhat se na to, že patří tomu, kdo je uveden v kvalifikovaném certifikátu.
Kvalifikovaný elektronický podpis jako zvláštní případ uznávaného elektronického podpisu
Připomeňme si znovu, že právo jednotlivé druhy elektronických podpisů postupně „vnořuje do sebe“, na onom principu matrjošky. Takže zaručené elektronické podpisy v sobě obsahují právě popsané uznávané elektronické podpisy, jako svou podmnožinu, resp. zvláštní případ.
No a to samé platí i pro uznávané elektronické podpisy: i ty v sobě obsahují, jako svou podmnožinu, resp. zvláštní případ, další druh elektronických podpisů. Konkrétně kvalifikované elektronické podpisy. To jsou takové uznávané elektronické podpisy, které splňují ještě další, přísnější požadavky. Dalším je u nich požadavek na tzv. kvalifikovaný prostředek pro vytváření elektronických podpisů, což je v reálu certifikovaná čipová karta či USB token.
Takovýto kvalifikovaný prostředek slouží k bezpečnému uložení soukromého klíče – což je to, co je unikátní a charakteristické pro podepisující osobu, resp. držitele certifikátu, a čím by neměl vládnout nikdo jiný. Význam dodatečného požadavku, kladeného na kvalifikované elektronické podpisy, je tedy ve zvýšení bezpečnosti, resp. snížení rizika kompromitace a zneužití soukromého klíče. Protože pokud by jím mohl vládnout někdo jiný, než jeho oprávněný držitel, mohl by se platně podepisovat jeho jménem.
Uznávaný elektronický podpis jako legislativní zkratka
Vraťme se ale zpět k samotným uznávaným elektronickým podpisům: vzhledem k tomu, jak právní úprava vymezuje jednotlivé druhy podpisů – na onom principu matrjošek, resp. do sebe vnořených pojmových kategorií – by správné vymezení pojmu „uznávaný elektronický podpis“ mělo být takové, že jde o zaručený elektronický podpis, založený na kvalifikovaném certifikátu. Tak jsme si jej až dosud popisovali. Přitom si zdůrazněme, že kvalifikované elektronické podpisy jsou v nich již zahrnuty, protože jsou jejich zvláštním případem, resp. podmnožinou.
Naše právní úprava ale kvalifikované podpisy do těch uznávaných znovu a explicitně zahrnuje, jako kdyby v nich ještě zahrnuty nebyly. Konkrétně když § 6 odst. 2 zákona č. 297/2016 Sb. zavádí pojem „uznávaný elektronický podpis“, vymezuje jej jako určitou legislativní zkratku, resp. jako společné označení pro dva různé druhy elektronických podpisů.
První z nich právo vymezuje jako zaručený elektronický podpis, založený na kvalifikovaném certifikátu pro elektronický podpis, a druhý pak jako kvalifikovaný elektronický podpis. Znovu si zdůrazněme že druhý, neboli kvalifikovaný elektronický podpis, je již zahrnut v tom prvním, a zmínka o něm je tedy nejen zbytečná, ale také nesprávná a matoucí.
Když se v praxi řekne „uznávaný elektronický podpis“
Dalším zdrojem mnoha nedorozumění a omylů je to, že technické obory i běžná praxe vnímají jednotlivé druhy elektronických podpisů jinak, než právní úprava: a to jako disjunktní, neboli vzájemně oddělené kategorie. Jinými slovy: když se v praxi řekne „zaručený elektronický podpis“, míní se tím takový, který je pouze zaručeným elektronickým podpisem, a není současně uznávaným elektronickým podpisem.
Obdobně když se v praxi řekne „uznávaný elektronický podpis“, míní se tím takový uznávaný elektronický podpis, který není současně kvalifikovaným elektronickým podpisem. Tedy takový, který je založen na kvalifikovaném certifikátu, ale nesplňuje požadavek týkající se kvalifikovaného prostředku.
Pokud by právo chtělo vyjádřit to samé, co běžná praxe chápe jako uznávaný elektronický podpis, mělo by na to jít opisem a říkat: „uznávaný elektronický podpis, který není současně kvalifikovaným elektronickým podpisem“. Případně ještě složitěji jako „zaručený elektronický podpis, který je založen na kvalifikovaném certifikátu, ale nesplňuje podmínku týkající se kvalifikovaného prostředku“. Protože kdyby ji splňoval, již by se jednalo o kvalifikovaný elektronický podpis.
Nestačí tedy říkat jen „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“, jak by mohlo vyplývat z právní úpravy v § 6 odst. 2, protože to zahrnuje i kvalifikované elektronické podpisy.
Ostatně, stejně by právo mělo postupovat i v případě, kdy běžná praxe říká „zaručený elektronický podpis“ – mělo by říkat „zaručený elektronický podpis, který není současně uznávaným elektronickým podpisem“. Případně: „zaručený elektronický podpis, který je založen na jiném než kvalifikovaném certifikátu“.
Uznávané elektronické podpis jsou naší specialitou
K uznávaným elektronickým podpisům si znovu připomeňme, že jsou naší národní specialitou. Unijní právní úprava je nezná. Nepočítá totiž s tím, že by soukromý klíč od kvalifikovaného certifikátu mohl být uložen nějak méně bezpečně, než v kvalifikovaném prostředku, neboli v certifikované čipové kartě či USB tokenu, ze které nejde dostat ven. Proto unijní právní úprava rozlišuje jen dva konkrétní druhy elektronických podpisů: zaručené a kvalifikované.
U nás necháváme uživatele, aby sami posoudili, jaký způsob uložení soukromého klíče je pro ně dostatečně bezpečný. Proto jsme si již v roce 2000, v rámci našeho tehdejšího zákona č. 227/2000 Sb. o elektronickém podpisu, zavedli naše uznávané elektronické podpisy, které bezpečné uložení soukromého klíče nevyžadovaly. Původně, v rámci dnes již zrušeného zákona o elektronickém podpisu, ale tento pojem měl jen jeden význam. A správně označoval všechny zaručené elektronické podpisy, založené na kvalifikovaném certifikátu, bez ohledu na kvalifikovaný prostředek.