Názory k článku Využívání komerčních poskytovatelů prostých elektronických podpisů

V článku mi chybí jeden důležitý aspekt, týkající se samotné podstaty prostých elektronických podpisů, vytvářených na dálku v rámci komerčních služeb jako je DocuSign, DigiSign, Podpisovna, Signi (neboli: "poskytovaných komerčními subjekty"). Jsou to totiž "dosvědčené" podpisy: to, koho bychom měli považovat za podepsanou osobu, nám říká (a dosvědčuje) nějaká třetí strana. Je to obdobný princip, jako u úředně ověřeného podpisu, kde o identitě podepsané osoby vypovídá (a ručí za ni) ověřující osoba, resp. jí vyplněný obsah ověřovací doložky, a vše je ukotveno v právní úpravě legalizace (úředního ověřování). Včetně toho, jak má ověřující osoba při ověřování postupovat, jak důkladně musí ověřovat skutečnou identitu žadatele o ověření, i co má být uvedeno v ověřovací doložce. Stejně tak právní úprava legalizace stanovuje právní účinky výstupů (úředně ověřených podpisů).

Zde, u prostých elektronických podpisů vytvářených na dálku komerčními službami, se pohybujeme mimo právní úpravu legalizace, bez předepsaných postupů i výstupů a stanovených právních účinků. Roli ověřující osoby zde plní komerční subjekty, které vesměs nejsou kvalifikovanými poskytovateli služeb dle nařízení eIDAS. Proto velmi záleží na tom, zda a do jaké míry těmto subjektům důvěřujeme, i z čeho tuto důvěru dovozujeme. Stejně tak velmi záleží na tom, jaké postupy tyto komerční subjekty používají a jaké výstupy produkují. Zejména jak důkladně zkoumají identitu svého zákazníka, resp. uživatele (jehož podpis vytváří). Zda se například spokojí jen s tvrzenou (deklarovanou) identitou, což uživatelům služby umožňuje vydávat se za někoho jiného, nebo zda ji také nějak ověřují (a do jaké míry).

V neposlední řadě jde o to, jak je o použitých postupech a jejich výsledcích informován příjemce dokumentu, opatřeného takto vytvářeným prostým elektronickým podpisem. Tedy jaký je konkrétní obsah onoho "dosvědčení" od komerční služby o tom, kdo by měl být považován za podepsanou osobu.

Příslušné služby obvykle připojují k podepisovanému dokumentu svůj vlastní záznam, ve kterém popisují relevantní skutečnosti a události, které se odehrály v rámci jejich systému. Mělo by zde být vyjádřeno např. to, jakým způsobem byla zjišťována identita uživatele služby, a zda byla nějak ověřována (i jak). Teprve podle tohoto záznamu, který je obdobou ověřovací doložky, pak má smysl hodnotit samotný prostý elektronický podpis i to, komu vlastně patří. Nezapomínejme, že samotným prostým elektronickým podpisem může být úplně cokoli "elektronického", a tedy třeba i pouhý smajlík či jiný emotikon, který není nijak specifický pro konkrétní podepisující osobu a o její identitě nic nevypovídá.