dnes je pátek 4. 10. 2024

Aktuality a zprávy
Slovník základních pojmů
E-obchod
IT a média
Odpovědnost a delikty
Ochrana osobních údajů a dat
Autorská a průmyslová práva
Ochrana doménových jmen
Elektronický podpis
a podání
Mezinárodněprávní aspekty
Další právní aspekty Internetu
Související oblasti
Judikatura
Odkazy a zdroje
Diskuzní fórum
Najdi:


Komparace českého zákona o elektronickém podpisu a slovenského zákona o elektronickom podpise s přihlédnutím k plnění požadavků Směrnice 1999/93/ES (I.část) <28. 8. 2002> <Hobza Jan>
Tento článek se zabývá především analýzou slovenského zákona se zaměřením na odlišnosti v české a slovenské úpravě elektronického podpisu. Cílem je poukázat na rozdíly v přístupu obou předpisů k dané problematice a upozornit na možné důsledky těchto odlišností. Úmyslem autora v žádném případě není kritizovat ten či onen právní předpis ale pokusit se o objektivní zhodnocení.

V březnu tohoto roku přijala slovenská Národní rada zákon č. 215/2002 Z. z. o elektronickom podpise [1]. Prvotním motivem pro přijetí zákona byla především snaha zavést do slovenského právního řádu institut elektronického podpisu a následovat tak trend evropských států. Důvodová zpráva k zákonu dále deklaruje snahu o harmonizaci právního řádu s požadavky Směrnice 1999/93/ES o elektronických podpisech [2]. Bylo tedy možné předpokládat, že slovenský zákon bude velmi podobný svým evropským předchůdcům. Realita je však poněkud jiná a některá ustanovení slovenského zákona jsou dosti odlišná i od českého zákona o elektronickém podpisu [3].

Subjektivní působnost slovenského zákona o elektronickém podpisu je upravena v § 1. Zatímco český zákon upravuje především práva a povinnosti subjektů při vydávání, používání a správě kvalifikovaných certifikátů (tedy akreditovaných poskytovatelů, poskytovatelů podle § 6 českého zákona a podepisující a spoléhající se strany, když odhlédneme od pravomocí Úřadu), slovenský zákon vymezuje svou subjektivní působnost negativně. Tj. upravuje práva a povinnosti při vydávání všech certifikátů pro elektronické podpisy, kromě certifikačních služeb v uzavřených systémech a kromě používání elektronického podpisu v rámci zákona o utajovaných skutečnostech. Důsledkem toho je, že veškeré certifikační autority (tedy i neakreditované), které vydávají na Slovensku certifikáty v otevřených systémech, musí splňovat podmínky slovenského zákona o elektronickém podpisu. Poskytování certifikačních služeb je podnikatelskou činností ve smyslu obchodního zákoníku. Kromě z toho vyplývajících povinností musí tedy certifikační autorita splnit ještě další povinnosti stanovené tímto zákonem, kterými jsou mimo jiné i podrobení se kontrole Úřadu (Národný bezpečnostný úrad), vypracování bezpečnostních pravidel pro výkon certifikačních činností, archivace dokumentace a další. Zákon nestanoví, že výše uvedené postupy a povinnosti (pro neakreditované certifikační autority) by měl konkretizovat prováděcí předpis. Zda tedy bude pro běžné certifikační autority splnění těchto nových povinností pouze formální záležitostí, či zda se bude jednat o zásadní zásah do fungování podniku, bude záležet především na jejich výchozích podmínkách a schopnostech. V každém případě jejich nesplnění může mít za následek i ukončení činnosti či vysoké pokuty udělené Úřadem.

Výše uvedený přístup bude mít jistě pozitivní vliv na míru důvěryhodnosti veškerých slovenských certifikačních autorit. Motivací pro takovou zákonnou úpravu zřejmě mohl být článek 5.2 Směrnice, který ukládá členským státům nediskriminovat v soudní praxi elektronické podpisy pouze z důvodu, že se jedná o nekvalifikované certifikáty, nezaručené podpisy či z důvodu jejich elektronické formy. Směrnice však již neupravuje náležitosti těchto nekvalifikovaných služeb a po členských státech již nevyžaduje, aby i tyto služby omezily technickými regulacemi. Negativním důsledkem takového opatření může být i odchod některých poskytovatelů ze slovenského trhu pro nemožnost splnění zákonných podmínek. V každém případě je takto nastavená úroveň bezpečnosti ojedinělá a pravděpodobně jde ještě nad rámec Směrnice 1999/93/ES.

V nově vznikajících dokumentech skupin CEN/ISSS a ETSI ESI je zřejmá snaha upravit i zmíněnou oblast nekvalifikovaných certifikátů (Např. [4, 5]). Přístup je ovšem z jiného úhlu, než který zvolil slovenský zákonodárce. Úprava tzv. nekvalifikované oblasti se týká akreditovaných poskytovatelů certifikačních služeb, kteří již vydávají kvalifikované certifikáty a zároveň vydávají i nekvalifikované certifikáty. Účelem je bezpečné oddělení obou služeb, které se ve svém fyzickém i režimovém zabezpečení mohou lišit a je tedy třeba zajistit bezpečnost postupů při vydávání kvalifikovaných certifikátů ve vztahu k prostředí. Jelikož se tyto dokumenty (zatím technické specifikace, technické regulace apod.) vztahují pouze na oblast definovanou v příloze II Směrnice, nedají se jednoduše aplikovat na všechny poskytovatele certifikačních služeb.

Slovenský zákon definuje v § 4 pojem zaručený elektronický podpis. Jedná se o elektronický podpis (tedy je vytvořený soukromým klíčem a veřejným klíčem se dá ověřit integrita zprávy), který je možné vytvořit pouze pomocí bezpečného zařízení pro vytváření podpisu, způsob jeho vytvoření umožňuje určit podepisující osobu a je založený na kvalifikovaném certifikátu. Kvalifikované certifikáty je oprávněn vydávat pouze akreditovaný poskytovatel a bezpečné zařízení musí splňovat podmínky prováděcího předpisu, který vydá NBÚ. Zákon definuje i platnost zaručeného elektronického podpisu. Ten je platný, pokud existuje kvalifikovaný certifikáty pro daný soukromý klíč, dále pokud je prokazatelné, že tento certifikát byl platný v době podpisu a dále pokud podepisovaná zpráva nebyla změněna. NBÚ stanoví způsob vytváření (algoritmy a parametry) zaručeného elektronického podpisu ve zvláštním prováděcím předpisu.

Výše uvedené vlastnosti popisují v dokumentech ETSI ESI tzv. kvalifikovaný elektronický podpis [4, 6], tj. podpis podle článku 5.1 Směrnice. Pro takový elektronický podpis mají členské státy vytvořit právní podmínky, aby měl stejné účinky vůči elektronickým podepisovaným datům, jako má vlastnoruční podpis ve vztahu k textu na papíře. Nejedná se ovšem o požadavek na "zrovnoprávnění" vlastnoručních a elektronických podpisů, jak se často mylně prezentuje (o tom více v příštím dílu).

Český zákon o elektronickém podpisu definuje zaručený elektronický podpis stejně jako Směrnice ES. Tedy nezávisle na certifikátu, nezávisle na prostředku pro vytváření a jeho platnost výslovně neodvozuje od prokazatelnosti času jeho vytvoření.

Rozdílnost českého a slovenského přístupu k zaručenému elektronickému podpisu má na každé straně řadu výhod a řadu nevýhod a pouze podtrhuje odlišnost v přístupu k danému problému. Český zákon nevyžaduje použití bezpečných prostředků pro vytváření podpisu v žádné situaci. Vzhledem k výši nákladů na pořízení takového prostředku se umožňuje poměrně široké skupině uživatelů používat elektronický podpis podle zákona o elektronickém podpisu. Na druhé straně zde chybí kompatibilita se článkem 5.1 Směrnice. Slovenský zaručený podpis pak může být velmi náročný na finanční prostředky uživatelů. To bude záviset na úrovni bezpečnosti bezpečných zařízení pro elektronické podpisy, kterou nastaví NBÚ svými předpisy. Pokud se však bude snažit držet krok s EU, pak tato úroveň bude odpovídat EAL 4 [7] či EAL 4+ [8]. Dále bude záležet na konkretizaci požadavku na určení času vytvoření podpisu. Pokud se za prokazatelné bude považovat pouze časové razítko k podepsanému dokumentu, pak zde může vzniknout i technologický problém pro poskytovatele certifikačních služeb.

Slovenský zákon je v plnění požadavku článku 5.1 Směrnice velmi důsledný. Naopak svou definicí běžného elektronického podpisu, která nezmiňuje autentizaci podepisující osoby (tedy hlavní požadavek Směrnice 1999/93/ES na elektronické podpisy), opomíjí požadavky článku 5.2 Směrnice ES. Můžeme samozřejmě předpokládat, že při volném hodnocení důkazů soud přihlédne i běžnému elektronickému podpisu daného dokumentu, ovšem pouze za účelem ověření jeho integrity, nikoli autenticity podepisující osoby. K tomu přispívají i provedené novely hlavních právních předpisů a především novela občanského zákoníku. K tomuto tématu se vrátíme v příštím dílu.

Poznámky:
[1] Zákon č. 215/2002 Z.z.,o elektronickom podpise a o zmene a doplnení niektorých zákonov http://www.zbierka.sk/zz02/02-z215.pdf
[2] Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures http://www.volny.cz/honzahobza/Directive.pdf
[3] Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů ve znění zákona č. 226/2002 Sb. http://www.volny.cz/honzahobza/227-2000.htm
[4] Policy requirement for certification authorities issuing qualified certificates TS 101 456
[6] CWA 14167-1 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures
[6] Final Report of the EESSI Expert Team 20th July 1999
[7] CWA 14168 Secure Signatur-Creation Devices, version 'EAL 4'
[8] CWA 14169 Secure Signatur-Creation Devices, version 'EAL 4+'
Rubrika: Elektronický podpis a podání Čtenost: 5870 Počet reakcí: 0

Diskuse - komentáře:
ITprávo.cz - Server o internetovém a počítačovém právu; ISSN:1801-4089
Provozovatel: Společnost pro právo informačních technologií (SPIT)
e-smlouvy, nekalá soutěž, daňové aspekty...
rozhlasové a televizní vysílání, e-ziny, reklama...
odpovědnost providerů, internetová kriminalita...
monitorování komunikace na Internetu, ochrana osobních údajů a soukromí, hacking...
ochrana díla na Internetu, ochrana software, ochranné známky, patenty...
postavení NIC.cz, právní povaha doménových jmen, cybersquatting...
odpodvědnost subjektů el. podpisu, aspekty e-podání, dokazování...
rozhodné právo, jurisdikce, vybrané zahraniční a mezinárodní normy...
odkazy, rámy, peer to peer technologie, meta tags, spamming...
cenzura a svoboda projevu, ochrana osobnosti...
rozhodnutí domácích a zahraničních soudů v oblasti práva IT a telekomunikací...
Úvodem
Naše cíle
Co zde najdete...
Hledáme autory
O nás
Čermák Jiří
Hrádek Jiří Matejka Ján Pospíšil Martin Sehnalová Jana Smejkal Ladislav Štědroň Bohumír
Ústav státu a práva AV ČR
Právnická fakulta ZČU
Autorský zákon
Zákon o el. podpisu
Nařízení vl. k el. podpisu
Vyhlášky k el. podpisu
Občanský zákoník
Obchodní zákoník
Z. o mez. právu soukromém
Trestní zákon
Zákoník práce
Telekomunikační zákon
Z. o ochr. osobních údajů
Z. o inf. systémech veř. správy _______________________
Aktuální znění k 1.1.2002
Seřadit dle autora
Seřadit dle data publikace Seřadit dle čtenosti
Seřadit dle počtu reakcí ________________________
Nastavit jako výchozí stránku
Přidat k oblíbeným položkám ________________________
Zobrazit pro tisk
Technická správa
Redakce