Nerad bych působil zbytečně akademicky, ale problematika skrytá za dotazem je komplexní a má mnoho rovin.
Jedna je ta technická. Pokud se bavíme o podepsaných e-mailech, jde zřejmě o nějakou verzi a variantu S/MIME resp. CMS standardu (ne že by neexistovaly jiné exotičtější možnosti, ale ty by patrně podatelna nechroupala tak hezky, jak přikládáte). Ohledně toho, jaká část mailu je kryta podpisem - to standard nepředepisuje. Technicky může být podepsaný celý mail, jen tělo (odhlédneme-li od toho, že v případě zhůvěřilostí typu multipart/alternative těžko říct, co je tím tělem), jen některá příloha či libovolná podmnožina příloh. Mailový klient by teoreticky mohl nad tím uživateli ponechat určitou míru kontroly.
V praxi normální klient navržený někým aspoň trochu příčetným připojí podpis jako nejvíc vnější strukturu (tedy podepsaný hash bude odvozen od celé zprávy, včetně všech příloh). Chcete-li mít jistotu, tak si najděte tu zprávu v odeslaných, zobrazte "zdrojový kód" a uvidíte (MIME resp. S/MIME je v zásadě čitelné i bez udělátek).
Jiná rovina je právní a faktická - tedy co takový podpis znamená a jaký to má dopad např. na povahu dopisu jakožto podání, které nese nějaké právní jednání/úkon vůči adresátovi, a kde hmotné či procesní právo spojuje s podpisem nějaké účinky. Tady je problém v tom, že podpis obecně (ne pouze ten elektronický) má řadu funkcí, a zdaleka to nefunguje 1:1 u různých forem, taky ne všechny formy umožňují ty funkce oddělovat.
Obvyklý význam podpisu pod nějakým textem je zhruba "tohle jsem napsal já", pokud text obsahuje nějaké právní jednání/úkon, pak navíc i "tohle je má vůle, nechť se stane, co platné právo s takovým projevem vůle spojuje". Jenže u toho mailu s přílohami sice technicky podepisuju vše, ale patrně tím o těch přílohách neříkám ani, že jsem autorem, ani, že by obsahovaly nějakou moji vůli - jediná projevená vůle vůči těm přílohám je, že jsem je v dané podobě chtěl přiložit. Akorát, že ten elektronický podpis kromě identifikace a autentizace autora zajišťuje i integritu podepisovaných dat, a to je velmi užitečné i vůči obsahu, ke kterému žádnou zvláštní vůli vyjadřovat nechci, ale nestojím o to, aby ho někdo po cestě nepozorovaně vyměnil. Jiná věc je, jak je zmíněno výše, že prakticky stejně nemám na výběr, typický mailový klient (pokud vůbec umí smysluplně pracovat s podpisy) se nebude ptát, co ten podpis má a nemá zahrnovat.
No a otázka za 10 bludišťáků pak zní, jak takový podpis interpretovat. Vzato technokraticky by takový typický podpis byl ekvivalentní tomu, že jsem se u papírového dopisu podepsal na obálku (resp. že jsem obálku zalepil nějakou křehkou nálepkou, přes kterou se nelze dovnitř dostat bez porušení, a podepsal jsem se přes tuto nálepku). To asi není ekvivalentní tomu, jako bych podepsal vše, co je uvnitř (tj. např. každý list zvlášť).
Další rovina problému je, co se vlastně očekává od toho robota, který podání zpracovává. Když nebude úplně marný, tak postupně rozebere ten mail či jiný nosič na části, ze kterých se skládá, s trochou štěstí identifikuje kontext (např. co je "tělo" a co přílohy), ověří ty podpisy a časová razítka kryptograficky (včetně vlastností a návazností certifikátů, na kterých jsou založeny), ale tím to zhruba končí. Nelze jednoduše odpovědět na otázku, zda jde o náležitě podepsané podání, protože na to potřebuju vědět, co je tím podáním (může být formálně klidně v nějaké příloze), kdo je podatelem (závisí na obsahu, nikoliv na metadatech podpisu) atp. Tedy ve finále by intepretaci § 37 a splnění náležitostí měl dělat živý úředník, ten stroj mu jen připraví částečné podklady. Což je samozřejmě sci-fi, v reálu bába na podatelně ví o el. podpisu jen to, že něco takového existuje, a výše popsanými nuancemi se nezatěžuje (a to pořád kloužeme po povrchu). Stejně tak kvalita softu, který podání kontroluje a podpisy ověřuje, bývá všelijaká (tedy to, že hlásí neplatný podpis, často znamená jen nemožnost ten podpis ověřit - ať už z objektivních příčin jako nedostupnost OCSP pro určitý certifikát, či ze subektivních na straně programátora).
Abych se vrátil k dotazu - pokud samotný úkon byl v těle mailu a podpis byl proveden nějak normálně, mělo by se to hodnotit jako řádně podepsané, i s tou přílohou. Nicméně co říká nějaký automat není nijak závazné. Bez detailního zkoumání navíc ani nezjistíte, jestli mu vadí příloha jako taková, nebo je problém v tom, že tam je vložena nějak chybně (z hlediska standardu, resp. toho, co podatelna předpokládá/očekává).
V praktické rovině, než se o tyhle věci s nějakým úřadem dohadovat (či nedejbůh soudit), doporučuji podání koncipovat tak, že v těle bude jen něco jako "podání v příloze", "viz přílohu" atp., a samotné podání bude v souboru Podani.pdf, a elektronicky podepsané bude přímo toto PDF (tj. v sobě, PAdES, nikoliv v rámci toho mailu). Přílohy, pokud to jen trochu lze, mít jako součást toho podepsaného PDF. Nelze-li, tak připojit samostatně s nějakými samovysvětlujícími názvy (Priloha1.pdf, Priloha2.pdf) a podepsat (kvůli integritě těch příloh) i e-mail jako celek. Ani to nezaručuje, že si na tom podatelna a/nebo úředník nevyláme zuby, ale je to mnohokrát vyzkoušený a nejmíň problematický postup.
Autor
Téma: Podání emailem se zaručeným podpisem s přiloženou nepodepsanou přílohou (Přečteno 3553 krát)