Vysvětlení tvorby a ověřování elektronických podpisů: Jaká je jejich právní síla?
Při komunikaci na internetu není nutné se setkat tváří v tvář, a proto je nezbytné ověřit, zda jsou odesílatel a příjemce informací skutečně oni sami a zda nebyly informace upraveny během přenosu.
Zde vysvětlíme vytváření elektronických podpisů pomocí kryptografických technologií, což je účinný způsob, jak toho dosáhnout, a také ověřování.
Co je elektronický podpis
“Zákon o elektronickém podpisu (Zákon o elektronickém podpisu a ověřovacích službách)” je zákon, který definuje a upravuje “elektronický podpis” používaný v elektronických dokumentech, a také reguluje podnikání, které provádí jeho ověřování, a stanovuje jeho právní platnost.
V tomto zákoně o elektronickém podpisu se “elektronický podpis” vztahuje na opatření provedené na informacích, které lze zaznamenat do elektromagnetického záznamu, a to:
- Ukazuje, že daný elektronický podpis byl vytvořen danou osobou (autenticita)
- Umožňuje ověřit, zda nebyly provedeny žádné změny v daném elektronickém podpisu (neměnitelnost)
Je považován za platný, pokud splňuje obě tyto požadavky (článek 2 odstavec 1 zákona o elektronickém podpisu). Pokud je proveden elektronický podpis, který může provést pouze daná osoba, předpokládá se, že je stejně platný jako dokument podepsaný nebo opatřený pečetí danou osobou (článek 3 zákona o elektronickém podpisu).
Právní účinnost elektronické smlouvy
Smlouva je uzavřena, když jedna strana projeví vůli uzavřít smlouvu, která ukazuje obsah smlouvy, a druhá strana souhlasí (článek 522 občanského zákoníku). Není nutné vytvářet písemný dokument. Nicméně, pokud dojde k sporu ohledně smlouvy, je nutné mít důkaz, který lze předložit u soudu.
Podle článku 228 odstavec 1 zákona o občanském soudním řádu, “dokument musí prokázat, že byl řádně vytvořen”, pokud chcete použít smlouvu jako důkaz u soudu. Pokud předkládáte dokument v papírové podobě jako důkaz, předpokládá se, že dokument byl řádně vytvořen (vytvořen vůlí dané osoby), pokud na něm je podpis dané osoby nebo jejího zástupce (článek 228 odstavec 4 zákona o občanském soudním řádu).
Na druhou stranu, pro elektronické dokumenty byla právní platnost elektronických smluv upravena zákonem o elektronickém podpisu.
Ověřovací služby pro elektronický podpis
Aby byla elektronická smlouva považována za důkaz u soudu, je nutné splnit požadavek, že “byla vytvořena danou osobou”. Na rozdíl od podpisu na papíře, který lze ověřit pohledem, je pro elektronický podpis, který je elektronickými daty, nutné mít prostředek pro prokázání, že byl vytvořen danou osobou.
V tomto ohledu článek 2 zákona o elektronickém podpisu stanoví:
Zákon o elektronickém podpisu (definice) článek 2
Odstavec 2 V tomto zákoně se “ověřovací služba” vztahuje na službu, která prokazuje, že daný uživatel (dále jen “uživatel”) vytvořil elektronický podpis na žádost uživatele nebo jiné osoby, která využívá tuto službu.
Odstavec 3 V tomto zákoně se “specifická ověřovací služba” vztahuje na ověřovací službu, která se provádí pro elektronický podpis, který může vytvořit pouze daná osoba podle způsobu stanoveného v nařízení ministerstva.
Jak je uvedeno výše, zákon o elektronickém podpisu předpokládá, že třetí strana prokáže, že elektronický podpis byl vytvořen danou osobou, a tuto službu nazývá “ověřovací služba”. Z těchto ověřovacích služeb se “specifická ověřovací služba” vztahuje na ověřovací službu, která se provádí pro elektronický podpis, který může vytvořit pouze daná osoba podle způsobu stanoveného v nařízení ministerstva.
Aktuálně je jako standard pro “specifickou ověřovací službu” používána ověřovací technologie založená na kryptografii s veřejným klíčem, známá jako PKI (Public Key Infrastructure) (článek 2 prováděcího nařízení k zákonu o elektronickém podpisu). “Specifická ověřovací služba” je služba, která využívá tuto technologii k šifrování elektronických dokumentů a ověřování identity, a vydává elektronický certifikát prokazující, že elektronický podpis patří dané osobě. Tuto ověřovací službu mohou provádět soukromé společnosti a třetí strana provádějící tuto ověřovací službu se nazývá “elektronická certifikační autorita”, a její akreditační kritéria jsou stanovena v článku 4 a následujících zákona o elektronickém podpisu.
Elektronický podpis a časové razítko
Elektronický podpis a časové razítko jsou v internetové společnosti “důkazem”, který zaručuje “kdy”, “co” a “kdo”. Jsou to silné nástroje pro ověření původnosti elektronických dokumentů.
Vytvoření a odeslání elektronického podpisu
Vytváření a odesílání elektronických podpisů se v současné době provádí pomocí metody “veřejného klíčového šifrování”, která využívá páru soukromého a veřejného klíče, a metody využívající hash funkci, a to následujícím způsobem:
- Tvůrce se přihlásí k použití elektronického certifikátu u certifikační autority.
- Certifikační autorita provede ověření identity, potvrdí odpovídající párování soukromého a veřejného klíče a poté vygeneruje soukromý klíč pro šifrování dokumentu a veřejný klíč pro dešifrování dokumentu.
- Certifikační autorita vydá elektronický certifikát veřejného klíče, který tvůrce zaregistroval.
- Tvůrce přijme elektronický certifikát od certifikační autority.
Poté odesílatel využije elektronický certifikát k odeslání elektronických dat.
- Odesílatel převede elektronická data pomocí hash funkce a vygeneruje hash hodnotu (také známou jako zpráva digest). Hash funkce je funkce, která převádí data (vstupní hodnoty), jako jsou písmena nebo čísla, na nějakou číselnou hodnotu (výstupní hodnotu).
- Tuto hash hodnotu zašifruje soukromým klíčem, který odpovídá veřejnému klíči ověřenému elektronickým certifikátem. Tento akt se nazývá “elektronický podpis”.
- Odesílatel spojí elektronická data (plaintext) a elektronický podpis a odesílá je příjemci spolu s elektronickým certifikátem.
- Příjemce rozdělí přijatá data na elektronická data (plaintext) a elektronický podpis a vygeneruje hash hodnotu z elektronických dat (plaintext) pomocí stejné hash funkce, kterou použil odesílatel.
- Příjemce dešifruje elektronický podpis pomocí veřejného klíče odesílatele a získá hash hodnotu.
- Příjemce porovná hash hodnoty získané v krocích 4 a 5. Pokud se shodují, potvrdí se, že elektronická data pocházejí od odesílatele a nebyla upravena.
Vzhledem k charakteristikám hash hodnoty, pokud je obsah elektronického dokumentu přesně stejný jako v době elektronického podpisu, hash hodnota vytvořená při vytváření a dešifrovaná hash hodnota budou mít přesně stejnou hodnotu. Pokud se liší i o jediný znak, výsledná hash hodnota bude zcela odlišná.
Tím, že se ověří shoda dvou hash hodnot, lze potvrdit, že daný elektronický dokument nebyl upraven.
Časová razítka
Je možné ověřit, že obsah dokumentu nebyl pozměněn, porovnáním hash hodnot elektronického dokumentu a podepsaného dokumentu. K tomu se přidává “kdy” tento dokument existoval (důkaz existence) a že obsah dokumentu nebyl pozměněn po tomto čase (důkaz nezměněnosti), což se nazývá “časové razítko” (TS). Časová razítka jsou považována za účinný prostředek pro ověření původnosti elektronických dokumentů spolu s elektronickým podpisem.
Uživatelé odesílají hash hodnoty původních dat do časové certifikační autority (TSA: Time-Stamping Authority), která přidává informace o čase k těmto hash hodnotám a odesílá TS uživatelům. Ověřením shody hash hodnot elektronického dokumentu a časového razítka je možné prokázat, že obsah nebyl pozměněn.
Ukládání dat
Společnosti a samostatní podnikatelé jsou povinni uchovávat účetní dokumenty, jako jsou objednávky a smlouvy, po dobu 7 let (nebo 10 let). Podle japonského zákona o elektronickém uchovávání účetních knih (zákon o zvláštních pravidlech pro uchovávání účetních knih týkajících se daní vytvořených pomocí počítače) je povinné uchovávat informace o transakcích i v případě elektronických transakcí (článek 10 japonského zákona o elektronickém uchovávání účetních knih).
Co se týče dlouhodobého uchovávání těchto elektronických dokumentů, podle prováděcích předpisů japonského zákona o elektronickém uchovávání účetních knih je nutné, aby tyto elektronické dokumenty obsahovaly “časové razítko týkající se činnosti, kterou certifikovala Japonská asociace pro datové komunikace” (článek 3, odstavec 5, bod 2 prováděcích předpisů japonského zákona o elektronickém uchovávání účetních knih) a je požadováno, aby “informace týkající se osoby, která uchovává daný elektronický záznam, nebo osoby, která tuto osobu přímo dohlíží, byly snadno ověřitelné” (článek 8 prováděcích předpisů japonského zákona o elektronickém uchovávání účetních knih).
Shrnutí
Elektronizace dokumentů se stává základem pro zlepšení pracovních procesů, zlepšení služeb zákazníkům a další efektivizaci práce. Důležitost záznamů a správy pomocí elektronizace dokumentů se každým dnem zvyšuje.
Platnost smlouvy je uznána i v případě elektronické smlouvy a v soudních řízeních lze elektronickou smlouvu použít jako důkaz. Trend elektronizace smluv mezi podniky se rychle rozvíjí. Je třeba porozumět různým zákonům a nařízením týkajícím se elektronických smluv a řádně na ně reagovat.
Představení opatření naší kanceláře
Právnická kancelář Monolis je odborníkem na IT, zejména na internet a právo. V posledních letech se stále více využívá elektronický podpis, a tak roste i potřeba právní kontroly. Naše kancelář analyzuje právní rizika související s již zahájenými nebo plánovanými podnikatelskými aktivitami na základě různých právních předpisů a usiluje o jejich legalizaci bez nutnosti zastavit podnikání. Podrobnosti naleznete v následujícím článku.