Czas na zmiany

Polska ustawa, podobnie jak ustawodawstwa państw Unii Europejskiej, jest neutralna technologicznie, tzn. nie wskazuje żadnej konkretnej technologii, która powinna być stosowana do składania podpisów elektronicznych. Takie założenie spowodowane jest geometrycznym postępem w dziedzinie technologii informatycznych. Wprowadzenie do ustawy zapisów dotyczących konkretnej technologii musiałoby oznaczać konieczność jej częstych nowelizacji w sytuacji poszukiwania i wdrażania coraz nowszych ibezpieczniejszych rozwiązań informatycznych.

Najpowszechniej stosowana obecnie technologia jest oparta na asymetrycznej parze kluczy.

PKI wprowadzana została do porządku prawnego za pośrednictwem rozporządzeń wykonawczych do ustawy a w szczególności zawarta jest w rozporządzeniu Rady Ministrów z 7.08.2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów...

Polskie prawo na tle

regulacji innych państw

Problematyka podpisu elektronicznego należy do stosunkowo nowych zjawisk legislacyjnych. Pierwsze regulacje prawne pojawiły się w USA jako regulacje stanowe w 1995 roku (prawo o podpisie cyfrowym stanu Utah). Amerykańska ustawa federalna weszła w życie dopiero w 2000 r. Podejmowane przez wiele lat w Unii Europejskiej wysiłki legislacyjne zakończyły się przyjęciem 13.12.1999 r. Dyrektywy Parlamentu i Rady UE w sprawie wspólnotowych warunków ramowych dla podpisu elektronicznego nr 1999/93/EC. Dyrektywa ta tworzy ogólne ramy prawne do przyjęcia odpowiednich regulacji w poszczególnych państwach członkowskich. W ciągu 2 lat wszystkie państwa członkowskie UE dostosowały swoje ustawodawstwa do wymagań Dyrektywy. Zasadniczym skutkiem tej regulacji jest uznanie, że pewien rodzaj podpisu elektronicznego, zwany w Dyrektywie zaawansowanym podpisem elektronicznym ("advanced electronic signature" - art. 2 pkt 2 Dyrektywy), wywiera w każdym z nich taki skutek prawny, jak podpis własnoręczny.

Podobnie podejmowane wysiłki w skali światowej, przez ONZ, w ramach Międzynarodowej Komisji ONZ ds. Prawa Handlowego "UNICTRAL", doprowadziły do powstania kolejnych wersji tzw. prawa modelowego o podpisie elektronicznym ("UNICTRAL Model Law on Electronic Signatures"). Prawo modelowe UNICTRAL nie ma jednak charakteru prawnie wiążącego, a stanowi jedynie rodzaj wytycznych, zaleceń legislacyjnych kierowanych do państw członkowskich. Jego celem jest stymulowanie legislacji państwowej i tworzenie sprzyjających warunków do zawierania umów międzynarodowych.

Nie istnieje obecnie w skali ogólnoświatowej żadna umowa międzynarodowa o wzajemnym uznawaniu podpisów elektronicznych. Znaczenie podpisu elektronicznego uzależnione jest zatem, poza UE, od regulacji przyjmowanych w poszczególnych państwach.

Jednym z zasadniczych motywów podjęcia prac nad projektem polskiej ustawy była potrzeba dostosowania naszego prawa do wymagań UE. Czy cel ten został w pełni osiągnięty? W tej sferze można by mieć wiele wątpliwości, choćby wskazując na art. 23 ust. 5, co do którego, jeszcze w trakcie prac legislacyjnych, UKiE wydał opinię o niezgodności z prawem UE, czy brak w polskiej ustawie instytucji dobrowolnej akredytacji podmiotów świadczących usługi certyfikacyjne, niezgodności w definicjach czy nienadążanie polskich rozporządzeń za zmianami międzynarodowych norm technicznych. Przeglądowi stanu implementacji Dyrektywy i praktyki w krajach członkowskich i kandydujących poświęcony został, powstały na zlecenie Komisji Europejskiej, Raport Katolickiego Uniwersytetu w Louven, opublikowany na stronach KE. Jest on generalnie krytyczny tak w stosunku do naszych regulacji, jak i innych państw członkowskich UE. Niemniej polskie prawo podobnie jak prawo austriackie zostało zaliczone do najbardziej restrykcyjnych w UE.

Rodzaje e-podpisu

Polska ustawa wymienia dwa rodzaje podpisów elektronicznych: bezpieczny podpis elektroniczny i po prostu podpis elektroniczny zwany, dla odróżnienia od pierwszego, zwykłym. Pierwszym z nich jest tzw. bezpieczny podpis elektroniczny. Jest on odpowiednikiem "zaawansowanego", z Unii Europejskiej. Co to jest bezpieczny podpis elektroniczny?

1. Bezpieczny podpis elektroniczny jest związany z konkretną jedną osobą fizyczną, tzn. niedopuszczalne jest np. "wypożyczanie danych do składania podpisu" albo "w przypadku zmiany osoby, w obrębie tej samej firmy, na stanowisku np. prezesa, jego następca nie może posługiwać się bezpiecznym podpisem poprzednika". W obydwu przypadkach należy zawrzeć nową umowę z podmiotem świadczącym usługi certyfikacyjne, obejmującą możliwość składania bezpiecznych podpisów przez "nowe" osoby.

2. Bezpieczny podpis elektroniczny musi być składany za pomocą tzw. bezpiecznych urządzeń do składania podpisów, tj. takich, które spełniają wymagania ustawy i przepisów wykonawczych oraz posiadają stosowny certyfikat. Użytkownik nie musi być właścicielem komputera. Wystarczy, że bezpieczne urządzenia oraz dane do składania podpisu znajdują się pod jego wyłączną kontrolą (w praktyce najczęściej karta z mikroprocesorem zawierająca owe dane).

3. Powiązanie bezpiecznego podpisu elektronicznego z elektronicznie zapisaną treścią zawsze powinno zapewnić możliwość rozpoznania zmian w już podpisanej treści. Do tego celu służy certyfikat kwalifikowany, używany w procesie weryfikacji bezpiecznego podpisu elektronicznego, który może być wydany wyłącznie przez tzw. kwalifikowany podmiot świadczący usługi certyfikacyjne, tj. wpisany do rejestru prowadzonego przez ministra gospodarki i pracy.

Certyfikat to pewien rodzaj elektronicznego zaświadczenia pozwalającego, w szczególności, na zdalne ustalenie: kto złożył podpis oraz czy podpisana treść nie została zmieniona. Jego stosowanie służy do weryfikacji podpisów elektronicznych. Weryfikacja zapobiega więc przerabianiu lub wręcz fałszowaniu podpisanej treści w taki sposób, że każda zmiana oryginalnie podpisanej treści jest ujawniana poprzez wskazanie certyfikatu.

Ustawa nie limituje także ilości certyfikatów kwalifikowanych, które może posiadać każdy podmiot, np. osoba fizyczna lub firma. Oznacza to, że każdy może używać nieograniczoną liczbę bezpiecznych podpisów elektronicznych, tym bardziej że mogą one służyć zupełnie różnym celom i być związane z różnymi rolami osoby fizycznej w społeczeństwie.

Skutki prawne bezpiecznego podpisu elektronicznego mogą wystąpić jedynie w okresie ważności związanego z nim kwalifikowanego certyfikatu. Certyfikat jest ważny, jeżeli nie został unieważniony ani nie został zawieszony, a także jeżeli nie upłynął okres, na jaki został wystawiony. Rozporządzenie wykonawcze przewiduje, że okresy ważności certyfikatów kwalifikowanych określają podmioty je wydające w tzw. polityce certyfikacyjnej, ale nie może być on dłuższy niż dwa lata (par. 12 Rozp. RM z 7.08.2002 r. w sprawie określenia warunków technicznych). Można łatwo sprawdzić w rejestrze k.p., czy podmiot, który oferuje nam swoje usługi, jest rzeczywiście kwalifikowanym podmiotem mającym prawo wydawania kwalifikowanych certyfikatów.

Każdy kwalifikowany podmiot ma obowiązek publikowania elektronicznie listy wydanych, zawieszonych i unieważnionych certyfikatów oraz dokonywania w nich zmian (tzw. lista CRL). Zawieszenie lub unieważnienie kwalifikowanego certyfikatu powinno następować szybko. Dlatego ustawa nakazuje, aby aktualizowanie listy CRL odbywało się w ciągu, co najwyżej, 1 godziny. Każdy z kwalifikowanych podmiotów może, w ramach konkurencji, skrócić ten czas w swojej polityce certyfikacji. Publikacja list wydanych oraz zawieszonych i unieważnionych certyfikatów kwalifikowanych umożliwia każdemu sprawdzenie, czy jego partner gospodarczy posiada ważny certyfikat, a więc, czy może skutecznie zawrzeć umowę za pośrednictwem sieci. Od momentu opublikowania listy zawieszonych lub unieważnionych certyfikatów kwalifikowanych powstają skutki prawne, a w szczególności ten, iż certyfikaty przestają móc wywierać skutki prawne, tzn., że nie można bezpiecznym podpisem, towarzyszącym temu certyfikatowi, skutecznie się posługiwać.

Bezpieczny podpis elektroniczny, złożony w okresie ważności kwalifikowanego certyfikatu, wywołuje taki sam skutek prawny, jak podpis własnoręczny. Skutek ten nie wystąpi, jeżeli certyfikat jest nieważny. Jeżeli certyfikat jest zawieszony, skutek ten następuje z chwilą jego odwieszenia. Nie nastąpi, jeżeli w następstwie zawieszenia certyfikat kwalifikowany zostanie następnie unieważniony. Jeżeli napiszemy za pomocą komputera podanie, oświadczenie woli czy inny dokument i opatrzymy go bezpiecznym podpisem elektroniczny złożonym w okresie ważności kwalifikowanego certyfikatu, to wywiera on taki sam skutek prawny, jakbyśmy zrobili to na kartkach papieru i podpisali się własnoręcznie.

Zwykły podpis elektroniczny nie ma takiej wagi, jak podpis odręczny, ale nie można mu odmówić mocy dowodowej. Istotnym atutem zwykłego podpisu elektronicznego może być jego cena nie obarczona obowiązkowymi opłatami, które muszą ponosić kwalifikowane podmioty np. z tytułu wpisu określonej polityki do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Rozporządzenie ministra gospodarki ustaliło wysokość opłaty za rozpatrzenie wniosku o wpis do rejestru kwalifikowanych podmiotów na równowartość

10 tys. euro, co w polskich warunkach, przy raczkującym systemie podpisu wydaje się przesadzone i wpłynie zapewne w istotny sposób na koszty (cenę) wydawania kwalifikowanych certyfikatów, a tym samym i ich powszechność.

Bezpieczny i bezużyteczny?

Któż z nas nie marzy o tym, by maksymalnie ograniczyć konieczność przychodzenia do urzędów albo odstawania w kolejkach na poczcie po to, by nadać pismo urzędowe.

Ustawa pozwala także na komunikowanie się z organami administracji publicznej. Powinny one przystosować swoje systemy do kontaktu z obywatelami i przedsiębiorstwami oraz innymi podmiotami w ciągu czterech lat od wejścia ustawy. Od sierpnia 2006 roku będą miały obowiązek przyjmowania podań, deklaracji w postaci elektronicznej z użyciem bezp. podpisu elektronicznego, np. formularzy takich jak PIT, CIT czy SAD. Niestety, termin ten może zostać przesunięty na 2007 r. przy okazji uchwalania znajdującej się w Sejmie ustawy o informatyzacji podmiotów wykonujących zadania publiczne (obecnie projekt znajduje się w obróbce legislacyjnej komisji sejmowych) oraz wydane zostaną przepisy wykonawcze do ustawy. Regulacja dotycząca sektora publicznego jest szczątkowa i nie obejmuje wielu kwestii związanych z utrwalaniem dokumentów urzędowych, potwierdzaniem doręczenia pism elektronicznych, standardów e-faktury etc., a jest kluczowa dla upowszechniania się nowoczesnych technik informacyjnych w całym obrocie prawnym.

Bardzo wolno na podpis elektroniczny reaguje cały system prawa przez wieki przyzwyczajony do obrotu papierowego. Nawet tak banalny problem jak brak znaczka opłaty skarbowej, mimo nowelizacji przepisów o opłacie skarbowej, nie został należycie rozwiązany. W niektórych państwach problem ten jest rozwiązywany w oparciu o system "pre-paid". Prawo jest znacznie bardziej konserwatywne niż postęp w dziedzinie technologii. Zasadniczym powodem, dla którego bezpieczny podpis elektroniczny w Polsce nie jest powszechny, jest postawa państwa, które mimo że stworzyło restrykcyjne warunki uzyskiwania statusu kwalifikowanego podmiotu, nie daje obywatelom możliwości jego wykorzystywania w urzędach. Co z tego, że kupimy sobie certyfikat kwalifikowany u jednego z czterech wpisanych na listę ministra gospodarki podmiotów (PWPW SA, TP Internet, Unizeto Szczecin lub KIR SA), kiedy praktycznie żaden urząd w Polsce nie jest w stanie elektronicznie go odebrać i obrobić?. Mało tego, administracja nie chce używać bezpiecznych podpisów i przy każdej okazji buduje, na koszt podatnika, czyli za publiczne pieniądze, własne wewnętrzne centra certyfikacji, jak ostatnio na potrzeby CEPiK. Nic więc dziwnego, że ogółem wydanych jest tylko kilkaset kwalifikowanych certyfikatów, a więc taka mniej więcej liczba osób może składać bezpieczne podpisy elektroniczne. Wygląda na to, że państwo stworzyło system, prywatni inwestorzy wyłożyli duże pieniądze, a teraz państwo temu systemowi przestało ufać.

W wielu państwach UE technologie oparte o PKI upowszechnia się poprzez implementowanie podpisu elektronicznego do dowodów osobistych i rozwój usług publicznych on-line (Włochy, Estonia, Finlandia, Belgia, Holandia). W innych poszukuje się prostszych dla użytkownika rozwiązań, opartych o oprogramowanie i prywatny PIN, który jak w Danii, dystrybuowany jest w zasadzie za darmo. Co ciekawe, to rozwiązanie jest wprowadzane, mimo że nie może być uznawane za w pełni bezpieczny rodzaj podpisu elektronicznego w rozumieniu standardów UE, dotyczących zaawansowanego podpisu elektronicznego, a może być z powodzeniem używane w duńskich urzędach. Chodzi o to, by system komunikacji obywatela z państwem mógł być jak najbardziej przyjazny i dostępny dla każdego.

Pora wreszcie na nowelizację polskiej ustawy o podpisie elektronicznym i poluzowanie jarzma wielu absurdalnych ograniczeń, o co od dawna zabiegają organizacje branżowe (Polska Izba Informatyki i Telekomunikacji i Polskie Towarzystwo Informatyczne), np. w stosowaniu zwykłego podpisu elektronicznego. Według polskiej ustawy, nawet stosowanie zwykłego podpisu musi być poprzedzone zawarciem umowy na piśmie, choćby miał on być stosowany tylko do celów wewnątrzkorporacyjnych lub w stosunkach uczelnia-student. Panie Marszałku! Wysoka Izbo! Czas na zmiany.