Poslední vyhlášku potřebnou pro používání elektronického podpisu schválila vláda v říjnu loňského roku. Padla tak všechna základní právní omezení, která znemožňovala jeho praktické uplatnění.
Hlavním poselstvím zákona je zrovnoprávnění klasického a elektronického podpisu. Jakékoli dokumenty mohou být podepsány buď klasickým způsobem, nebo elektronicky, přičemž oba způsoby mají stejnou právní sílu. Je zřejmé, že nová právní úprava zejména posílí elektronické obchodování, nicméně elektronického podpisu je možno využít i v obvyklých obchodních vztazích.
Jednoduchý princip.
Základní princip elektronického podpisu je poměrně jednoduchý. Osoba, která bude elektronicky podepisovat, má k dispozici dva klíče – soukromý a veřejný. Klíče nejsou nic jiného než datové soubory s určitou strukturou, které jsou uloženy na nějakém fyzickém médiu (disketě, CD, pevném disku v počítači, čipové kartě). Elektronické podepsání je zašifrování dokumentu v elektronické podobě (například ve známém Wordu) soukromým klíčem. Dokument může být podepsán i více osobami, každá z těchto osob postupně zašifruje týž dokument prostřednictvím svého soukromého klíče. Zašifrování umožňuje speciální software. Asi nejznámější je podepisování zpráv elektronické pošty, ale stejně jednoduché je elektronicky podepsat například smlouvu napsanou ve Wordu. Rozšifrování je pak možné prostřednictvím veřejného klíče, který - jak název napovídá - bývá veřejně dostupný.
Dvojici klíčů si vygeneruje zvláštním programem přímo podepisující osoba. Klíče však přiřazuje poskytovatel certifikačních služeb („certifikační autorita – CA“). Ten garantuje, že ověřil totožnost osoby a přiřadil jí dvojici klíčů (tak jako notář ověřuje, že dokument podepsala právě ta osoba, která je na dokumentu uvedena). Toto přiřazení se nazývá certifikát. Zákon rozlišuje dva typy certifikátů – kvalifikovaný a obyčejný. Kvalifikované certifikáty může vydávat pouze poskytovatel, který k tomu má licenci vydanou Úřadem pro ochranu osobních údajů. Licence zaručuje, že poskytovatel splnil kritéria daná zákonem a příslušnou vyhláškou.
Jak s certifikáty.
Může vyvstat otázka, zda používat kvalifikované, nebo obyčejné certifikáty. Kvalifikované certifikáty budou vyžadovány zejména při komunikaci se státní správou. Pro obchodní vztahy to nijak upraveno není a závisí pouze na dohodě stran. Je zřejmé, že například pro vnitropodnikovou komunikaci budou certifikáty vydávány podnikovým poskytovatelem. Stejně tak pro komunikaci banky a klienta bude stačit certifikát vydaný bankou, a to na základě ověření totožnosti. Pokud však budou spolu komunikovat osoby, které se neznají, mohou vzájemně vyžadovat použití kvalifikovaných certifikátů.
Nabídka možností.
Elektronický podpis můžeme použít ve všech případech, v nichž se používá klasický podpis, ovšem některé oblasti se mohou zdát v současné době nevhodné. Uvedu několik příkladů, které se pro použití elektronického podpisu nabízejí:
Možnost podpisu na dálku, což zrychluje celý proces a snižuje náklady. Toto snížení nemusí být bezprostřední, protože zavedení elektronického podpisu ve firmách bude vyžadovat jisté náklady na vybudování infrastruktury (obvyklý název je PKI – public key infrastructure). Tyto náklady by se však měly rychle vracet, protože se ušetří za telefony, faxy, kurýrní služby a tak dále.
Oblast vnitropodnikové komunikace, včetně zpřístupnění firemních databází. Podnik sídlící na rozsáhlejším teritoriu nemusí budovat nákladnou privátní síť, ale využívá veřejné internetové sítě. Může jít i o malé firmy, které „operují“ na větším prostoru, nejen o velké nadnárodní korporace. Prostřednictvím poměrně jednoduché techniky (například nootebook a mobilní telefon) je tak možno zajistit autorizovanou komunikaci (vím, s kým mluvím), respektive získávat informace z podnikových databází. Zde si je třeba uvědomit, že v případě, že je obecně znám veřejný klíč, je možné tuto komunikaci „odposlouchávat“. Aby byla zajištěna i důvěrnost předávaných informací, používá se takzvané křížové podepisování, kdy je dokument podepsán zároveň soukromým klíčem podepisující osoby a veřejným klíčem protistrany.
Uzavírání smluv s rozsáhlou klientelou a následná komunikace. To jsou například banky, pojišťovny, případně další finanční instituce, které denně uzavírají množství standardních smluv a mohou vést elektronickou komunikaci s řadou klientů. Do této kategorie je možno přiřadit i státní správu, kdy klienty jsou vlastně občané.
Uzavírání standardních a opakujících se smluv mezi podniky. Řada podniků potřebuje uzavírat opakovaně standardizované smlouvy. Může být velmi efektivní to provést na dálku prostřednictvím elektronické pošty.
Elektronický podpis může být využíván ke komunikaci firem s externími spolupracovníky nebo prodejci.
Archivace autorizovaných dokumentů. Je velmi jednoduché archivovat elektronicky podepsané dokumenty, (smlouvy, zprávy…). Prakticky za nulové náklady je možné vytvořit libovolný počet „originálů“ elektronicky podepsaných dokumentů, a to prostým zkopírováním zašifrovaného souboru. Náklady na archivaci jsou minimální a přístup k archivu je okamžitý. Pokud jsou tyto archivy dobře zálohovány, jsou prakticky nezničitelné při vynaložení poměrně malých nákladů, a to vzhledem k malému fyzickému objemu datového nosiče (srovnejme budováním ohnivzdorných a vodotěsných klasických trezorů na desítky tisíc papírových smluv, například v bankách, a malou bezpečnostní schránku na uložení magnetické pásky se stejnými autorizovanými informacemi).
Bezpečnost.
Častou otázkou je bezpečnost elektronického podpisu v porovnání s podpisem klasickým. Je potřeba si uvědomit, že charakter elektronického podpisu je úplně jiný. Protože elektronické podepisování je v podstatě šifrování, nedá se elektronický podpis na rozdíl od klasického podpisu napodobit, ale je možno jej zkopírovat a při znalosti vstupní fráze použít. Pak se nedá rozeznat od originálu a byl by pravděpodobně tak posuzován například soudem, pokud by nebylo prokázáno jinak. Z toho plyne jiný typ rizik než při klasickém podpisu. Soukromé klíče a vstupní fráze k nim musí být pod takovou kontrolou, aby se nemohly zneužít. Pokud se firma rozhodne pro elektronický podpis, měla by zároveň stanovit pravidla jeho používání a důsledně poučit své zaměstnance. Každý z nich bude mít svůj vlastní klíč, za který bude zodpovídat. Podpisové vzory firmy mohou mít elektronickou podobu seznamu oprávněných pracovníků spolu s jejich veřejnými klíči. Seznam je podepsán elektronicky členy představenstva. Podepisování by mělo být vhodně zajištěno technicky tak, aby se soukromé klíče nedostaly do nepovolaných rukou, například aby nemohly být zkopírovány na jiný počítač. Jde o to, jak donutit pracovníky, aby jako vstupního hesla do sítě nepoužívali křestního jména své manželky, ale slovo, které je přeci jen obtížnější uhodnout. Důležité je také ověřování veřejných klíčů. Pokud obdržím od protistrany její veřejný klíč, je nutno si u vydávajícího poskytovatele ověřit, že je shodný s tím, který uvedl v certifikátu. To může někdy představovat jistou komplikaci.
Revoluční změna.
Existují některé nejasnosti a legislativní nedotaženosti, které ovšem nemusí mít na používání podpisu zásadní vliv. Nevyjasněný zůstává vztah podpisu elektronického a notářsky ověřeného. Některé typy smluv vyžadují ze zákona notářsky ověřené podpisy, i když systém těchto zákonných požadavků je z obchodního hlediska poněkud nelogický. (Proč například notářsky ověřené podpisy nejsou vyžadovány u úvěrových smluv, a naopak musejí být u zástavních smluv k těmto úvěrovým smlouvám.) V tomto případě bude prozatím nutné podepisovat klasicky a stejně nechat podpisy ověřovat notářem. Principiálně by jako notářsky ověřené podpisy mohly sloužit kvalifikované certifikáty, při nichž je ověřována totožnost stejným způsobem jako při notářském ověření podpisu.
Odborníci diskutují také o otázkách týkajících se správy veřejných klíčů, autentizace certifikačních autorit a seznamu revokovaných certifikátů. Soudím, že tyto problémy souvisejí spíše s tím, že neexistuje a zákonem není nastavena jednotná praxe vydávání a ověřování certifikátů. U kvalifikovaných certifikátů to bude řešit vydavatel akreditací, tedy Úřad pro ochranu osobních údajů. Používání nekvalifikovaných certifikátů by se mohlo řídit účelovostí (banky budou vydávat certifikáty pro své klienty nebo podniky pro své zaměstnance, banka nebo podnik pak budou garantem správy veřejných klíčů).
Elektronický podpis je svým způsobem revoluční změna při autentizaci dokumentů (dalo by se říci po mnoha staletích používání klasického podpisu) a bude pravděpodobně třeba určitého času pro překonání psychologických bariér a vybudování spolehlivé infrastruktury. Myslím si však, že tato fáze bude poměrně rychlá, a poté bude elektronický podpis používán se stejnou samozřejmostí jako internet nebo mobilní telefon.