4.9        Komu patří elektronický podpis?

Zajímavou otázkou kolem elektronických podpisů, která má spíše právní než technický charakter, je otázka toho, komu „patří“ konkrétní elektronický podpis. Neboli: kdo je podepsanou osobou?

Na první pohled ale tato otázka nepůsobí příliš logicky: v certifikátu jsou přeci obsaženy údaje, identifikující jeho držitele. A pokud je certifikát dostatečně „kvalitní“ a důvěryhodný (například je kvalifikovaný), můžeme se na jeho obsah spolehnout. Protože ten, kdo certifikát vydal, nám ručí za jeho obsah a tím i za identitu toho, komu certifikát vydal.

Podstata problému je ale někde jinde. Není to o tom, že by v dostatečně důvěryhodném certifikátu byla identita jeho držitele (a tím i podepsané osoby) zfalšována. Je to o tom, že tato identita nemusí být v certifikátu vyjádřena v dostatečném rozsahu na to, aby to stačilo pro jednoznačnou a přesnou identifikaci konkrétní osoby někým, kdo má k dispozici právě a pouze daný certifikát. V tom smyslu, že údaje v certifikátu mohou „pasovat“ na více osob, a my mezi nimi nedokážeme spolehlivě rozlišit skutečného držitele.

Zákon (č. 227/2000 Sb., o elektronickém podpisu) je totiž v požadavcích na identifikaci držitele certifikátu poměrně minimalistický, když požaduje – a to i od kvalifikovaného certifikátu – jen jméno a příjmení. Místo nich dokonce připouští i pseudonym (viz část 4.9.3), ale naštěstí s povinným upozorněním na to, že jde o pseudonym a nikoli o skutečné jméno či příjmení. Zmiňuje také „zvláštní znaky podepisující osoby“, které musí být v certifikátu obsaženy - ale ty váže jen na případy, kdy to vyžaduje účel certifikátu (jako například u tzv. zaměstnaneckých certifikátů, viz část 4.9.4).

V praxi se pak skutečně můžeme setkat i s takovými (kvalifikovanými) certifikáty, které obsahují pouze jméno a příjmení svého držitele, eventuálně i jeho tituly, ale nic víc. Takový certifikát pak může „pasovat“ na mnoho lidí současně, protože i v České republice, s obyvatelstvem v řádu 10 milionů lidí, existují lidé stejného jména a příjmení.