Uwagi do projektu ustawy o podpisie elektronicznym przygotowanego przez MSWiA, wersja z 29 stycznia 2001 (13.II.2001)


Autorzy:

Projekt ustawy o podpisie elektronicznym przygotowany przez MSWiA budził wiele wątpliwości środowiska informatyków w Polsce od czasu udostępnienia jego pierwszej wersji i skierowania do uzgodnień międzyresortowych w listopadzie ub.r. Wersja z dnia 29 stycznia 2001 r. złagodziła wiele z wątpliwych zapisów. Niestety nie konsekwentnie.

Celem ustawy o podpisie elektronicznym jest uznanie w systemie prawa równoważności podpisu elektronicznego z podpisem odręcznym. Kiedy ustawa o podpisie elektronicznym wejdzie w życie, złożenie podpisu pod dokumentem lub oświadczeniem woli możliwe będzie nie tylko - jak do tej pory - odręcznie, ale i drogą elektroniczną, poprzez sieć. Należy pozytywnie ocenić sam fakt przyjęcia przez Radę Ministrów projektu ustawy o podpisie elektronicznym, oczekiwanej od dłuższego czasu jako dającej szanse szybkiego obrotu gospodarczego.

Omawiany projekt prawie w całości poświęcony jest innej sprawie - regulacji intratnie zapowiadającego się rynku usług związanych z podpisem elektronicznym. Autorzy projektu w istocie ograniczają uwagę do podpisu cyfrowego, który jest jednym z rodzajów szerszego pojęcia podpisu elektronicznego i do realizowanej na bazie infrastruktury klucza publicznie znanego sfery usług zarządzania kluczami kryptograficznymi służącymi do składania (generowania) i weryfikacji podpisu cyfrowego, przede wszystkim do rynku usług wydawania zaświadczeń [ang. certification] autentyczności kluczy. Proponują monopolistyczny, de facto, system koncesjonowania rynku tych usług "na rzecz organów władzy publicznej i jednostek sektora publicznego lub banków" (art. 8, ust. 2), w którym centralna rola zarezerwowana jest dla ministra spraw wewnętrznych a głównym instrumentem mają być "akredytacje" podmiotów świadczących usługi poświadczania (certyfikacji). Dla oszacowania rozmiarów tego rynku warto wziąć pod uwagę także powiązana z tymi usługami całą sferę rynku pomocniczych akcesoriów, takich jak na przykład karty z mikroprocesorem oraz reklama umieszczana niejako przy okazji.

Poczuwamy się do obowiązku stwierdzenia, iż znane dziś technologie podpisu cyfrowego, ogólniej podpisu elektronicznego, nie uzasadniają takiej koncepcji. W takim samym sensie jak nie byłoby uzasadnione ustawowe wprowadzenie systemu "akredytacji" kancelarii notarialnych czy banków świadczacych usługi "na rzecz organów ...".

Jeżeli przyjąć założenie, iż omawiana sfera działalności gospodarczej powinna być objęta jakimś szczególnym nadzorem Państwa i regulacjami wykraczającymi poza zwykłe wymagania wpisu do rejestru, ewentualnie uwarunkowanego zapewnieniem standardów zgodności (kompatybilności) oferowanych usług, to i tak nie widać powodu, dla którego miałby to być nadzór jednego wybranego resortu. Powinna raczej zajmować się tym Rada złożona z przedstawicieli kilku zainteresowanych resortów i usytuowana przy Premierze lub przy Sejmie, a nie podlegająca ministrowi spraw wewnętrznych i jego służbom. Jeśli już nadzór ma sprawować jeden minister, to raczej właściwy do tego jest minister łączności, albo minister gospodarki. Ponieważ technologia nie wymaga w ogóle żadnej centralnej "czapy", jedynie zgodności (kompatybilności) normatywnej, więc może lepiej nie kreować omnipotencji monopolistycznej jednego resortu, tylko niechaj poświadczanie na swoje potrzeby organizują, nabywają i nadzorują np. banki, telekomunikacja, ZUS, itp., a wpis do rejestru niechaj będzie uwarunkowany kompatybilnością i opinią fachowców (naukowców i praktyków) o odpowiednio wysokim poziomie przyjmowanych rozwiązań.

Podpis elektroniczny to pojęcie szersze niż podpis cyfrowy. Istnieją bowiem inne sposoby elektronicznej identyfikacji człowieka. Zamiast kluczem cyfrowym, można człowieka identyfikować wykorzystując cechy biometryczne (antropometryczne) - odcisk palca, obraz tęczówki oka, kształt twarzy lub ręki, głos. Już dziś w niektórych bankach i domach maklerskich zlecenia można składać przez telefon. Zlecenie głosem łączy jednoznacznie treść dokumentu z głosem - cechą jednoznacznie identyfikujacą osobę "podpisujacą dokument". Ze względu na bardzo szybki rozwój technologii istotne jest, by sformułowania ustawy nie były zbyt szczegółowe i nie nakładały niepotrzebnych ograniczeń technicznych ani rynkowych. Zapisy amerykańskiej ustawy o podpisie elektronicznym nie ograniczają podpisu elektronicznego jedynie do podpisu cyfrowego. Podobnie, traktuje to Dyrektywa Unii Europejskiej. Co prawda, w Niemczech ustawa mówi jedynie o podpisie cyfrowym, ale można spodziewać się szybkiego dostosowania prawa w tym kraju do wymagań Unii Europejskiej.

Podstawowe definicje

Podstawowym problemem jest ustawowa definicja podpisu elektronicznego. Obecna definicja, art. 4, stara się być dostatecznie ogólna, by nie ograniczać w przyszłości zakresu stosowalności tej ustawy. Dalsze części projektu mówią już tylko o podpisie cyfrowym. Wymaga to jednak sformułowania odpowiednich pojęć. Bez tego ustawa w/g projektu MSWiA nie jest w stanie wymagać, na przykład, zniszczenia klucza prywatnego w wygasającym zaświadczeniu certyfikacyjnym dostawcy.

Nie jest w ogóle rozważana możliwość, że to klient przychodzi do dostawcy certyfikatów ze swoją parą kluczy i wnosi jedynie o potwierdzenie swojej tożsamości. Z technicznego punktu widzenia nie ma potrzeby by dostawca certyfikatów generował te klucze. Możliwość zatwierdzenia gotowej już pary kluczy rozwiązałaby też część problemów z uznawaniem zagranicznych certyfikatów. Obecnie art. 3, ust. 2 mówi o udzieleniu gwarancji przez polskiego dostawcę usług certyfikacyjnych na zagraniczny certyfikat. Nie jest jasne, czym jest gwarancja, jest jasne czym byłaby możliwość podpisania się, po stwierdzeniu tożsamości, przez polskiego dostawcę pod cudzym certyfikatem.

Co gorsza, brak zapisu o parze kluczy asymetrycznych skutkuje koniecznością opisowej definicji istoty podpisu elektronicznego. Np. żąda się, żeby podpis złożyć mogła wyłącznie osoba posiadająca urządzenia do składania podpisu pod swoją kontrolą. Przypuszczać należy, że wspomnianym urządzeniem do składania podpisu ma być klucz prywatny - tylko osoba podpisująca zna ten klucz. Jednakże ustawę można będzie odczytać w ten sposób, że urządzeniem do składania podpisu będzie np. komputer z oprogramowaniem lub terminal w banku. Wówczas postulat posiadania urządzenia pod wyłączna kontrolą może być trudny do spełnienia.

Projekt chyba niepotrzebnie wprowadza nowe byty, oprócz certyfikatu wystawionego przez dostawcę zwykłemu klientowi mamy też zaświadczenie certyfikacyjne (nieudolnie opisane w art. 4, ust. 10 unikając słowa ,,zaświadczenie'' i z niepotrzebnie wklejonym zwrotem ,,poświadczenie elektroniczne") będące niczym innym niż certyfikatem dostawcy. Powstaje problem kto ma takie zaświadczenie wystawiać. Art. 22, ust. 2 zdaje się sugerować, że MSWiA. Pytanie, czy Ministerstwo posiada infrastrukturę, wiedzę i pracowników do wystawiania takich certyfikatów. Kto będzie to kontrolował? Czy można będzie mieć zaufanie do technicznej jakości tych podstawowych przecież certyfikatów?

Poprzedni projekt niedostatecznie akcentował konieczność ustosunkowania się do certyfikatów wydanych przez dostawców zagranicznych. Bieżący projekt próbuje naprawić ten bład, służy temu art. 3. Robi to jednak nieporadnie. I tak ust. 1 mówi o podmiocie, który spełnia warunki niniejszej ustawy i któremu została udzielona akredytacja. Jeśli spełnia warunki, np. złożył po polsku podanie, zapłacił sumę w polskiej walucie itd. i została udzielona akredytacja w Polsce, to po co osobno pisać, że wydane przez niego certyfikaty są ważne. A może nie chodzi tu o akredytację wydana w Polsce? To w takim razie o jaka? Ust. 4 wyraźnie mówi o akredytacji udzielonej za granicą, ale przy warunku spełnienia wymogów polskiej ustawy. Jakich wymogów? złożenia podania po polsku? nie zalegania ze składkami ZUS-u? Może właściwsze byłoby uznanie po prostu akredytacji udzielonej w kraju Unii Europejskiej przez odpowiedni urząd bez żądania spełnienia dodatkowych warunków. W ust. 2 i 5 wspomina się o możliwości udzielenia gwarancji przez podmiot spełniający warunki niniejszej ustawy. Nie pisze się jakie to warunki musi spełniać podmiot udzielający gwarancji. Można by sądzić, że musi być akredytowany, lub co najmniej kwalifikowany. Ale tego się nie żąda. Ust. 7 mówi o możliwości uznania podmiotu w drodze umowy międzynarodowej. Nie jest jasne uznania za co? Jest jasne, że jeśli podmiot na mocy umowy międzynarodowej został uznany za cokolwiek, to nie trzeba osobnego zapisu w ustawie zatwierdzającego to uznanie.

Rodzaje certyfikatów, implikacje podpisu

Jednym z zastrzeżeń środowiska do projektu ustawy przygotowanego przez MSWiA było wyraźne preferowanie certyfikatów wystawianych przez dostawców akredytowanych do tego stopnia, że inne certyfikaty w zasadzie nie miały mocy prawnej. Jako remedium, w wersji obecnej wprowadza się de facto trzy rodzaje certyfikatów: zwykły, kwalifikowany, oraz kwalifikowany wystawiony przez dostawcę posiadającego akredytację. Certyfikaty zwykłe sa znowu traktowane po macoszemu. Np. art. 5, ust. 1 mówi: ,,Podpis elektroniczny weryfikowany przy pomocy certyfikatu wywołuje skutki prawne określone ustawą'' i dalej nie wspomina się jakie to skutki wywołuje dowolny podpis elektroniczny. Już w ust. 2 mówi się tylko o podpisie weryfikowalnym na podstawie certyfikatu kwalifikowanego, choć w ust. 9 zatrzega się, że brak certyfikatu kwalifikowanego nie może być wyłączna przyczyną odmowy ważności podpisu elektronicznego. W zasadzie nadal nie jest tu jasne, jakie skutki ma podpis niekwalifikowany.

Art. 6: ,,Do skutków prawnych podpisu elektronicznego, w zakresie nie uregulowanym w niniejszej ustawie, stosuje się przepisy dotyczące podpisów własnoręcznych'' jest w tym kontekście niesłychanie daleko sięgający. Ponieważ ustawa niemal nie wspomina o skutkach podpisów niekwalifikowanych, należy rozumieć, że są one w ten sposób uznane za równoważne własnoręcznie złożonym.

Jeszcze jedną przewagą dostawców akredytowanych jest obowiązek informowania przez pozostałych dostawców, w tym kwalifikowanych, o istnieniu akredytacji i możliwości otrzymania certyfikatu od takiego dostawcy. Dostawcy akredytowani nie mają obowiązku reklamowania konkurencji.

Art. 4, ust. 1 formułuje definicję podpisu elektronicznego w ogóle, np. żąda żeby nie można było zmienić podpisywanych danych. Później jednak wiele z tych zapisów jest powtarzanych jedynie w kontekście podpisów kwalifikowanych (tzn. weryfikowanych certyfikatem kwalifikowanym). Sprawia to wrażenie, że podpisy niekwalifikowane nie spełniają wymogów ustawy.

Podobnie, wprowadza się odrębne kategorie ,,bezpiecznych urządzeń do składania i do weryfikacji podpisów elektronicznych", wymagane od nich cechy albo sa jałowe (,,podpis musi być weryfikowany rzetelnie, a wynik wykazany prawidłowo" - czym byłaby rzetelna weryfikacja, gdyby potem był wykazywany nieprawidłowy wynik, czy weryfikacja nierzetelna w ogóle zasługuje na nazwę weryfikacji?), albo oczywiste i/lub powtarzające wcześniejsze wymagania (,,urządzenie powinno nie zmieniać podpisywanych danych"). Wymagania te powinny być postawione przed wszystkimi takimi urządzeniami, bez wyróżniania tej kategorii.

Przy tej okazji projekt ustawy nakazuje przestrzeganie Polskich Norm. Po pierwsze, obecnie nie ma norm dotyczących podpisu elektronicznego. Po drugie, obowiązek przestrzegania Polskich Norm nie wynika dopiero z tej ustawy i nie widać powodów przypominania o tym obowiązku.

Tryb udzielania akredytacji

Projekt ustawy nie czyni różnicy pomiędzy procedurą starania się o akredytację a procedurą starania się o wpis na listę kwalifikowanych dostawców usług certyfikacyjnych, oba przypadki obejmuje art. 23, ust. 2. Różnica ujawnia się dopiero w możliwości odmowy akredytacji z powodu podejrzeń o niemożność zapewnienia przez dostawcę usług certyfikacyjnych odpowiedniego poziomu wiarygodności zabezpieczeń (art. 24, ust. 4). Podejrzenia te jednak pozostają dosyć niesprecyzowane, np. co oznacza, że osoby wykonujące czynności związane ze świadczeniem usług certyfikacyjnych nie dają rękojmii należytego wykonywania powierzonych obowiązków? Jest to nieostre kryterium, którego stosowanie pozostaje w gestii resortu spraw wewnętrznych. W dawnym projekcie zdecydowane warunki były formułowane wyłącznie wobec osób reprezentujących dostawcę usług certyfikacyjnych. Obecny projekt (art. 9, ust. 2) mówi o wszystkich osobach zaangażowanych w świadczenie tych usług. Nawet brak wyższego wykształcenia u szeregowych pracowników może być uznany za niespełnienie warunków ustawy.

Projekt, zgodnie z dyrektywą europejską, dopuszcza stosowanie pseudonimów (np. art. 19, ust. 4), ale sformułowanie art. 4, ust. 1 właściwie wyklucza tę możliwość - jeśli sam podpis ma umożliwić identyfikację osoby fizycznej składającej podpis, to nie może opierać się na pseudonimie. Należałoby usunąć passus o identyfikacji i włączyć do wymagań treść ,,pozwalają ustalić dane osobowe lub pseudonim osoby składającej podpis".

Unieważnianie podpisów, znaczniki czasu

Jednym z problemów dotyczących podpisów elektronicznych jest problem unieważniania certyfikatów, nad którymi ich właściciel utracił kontrolę. Projekt ustawy wspomina jedynie, że ,,podmiot świadczący usługi certyfikacyjne zawiesza certyfikat na wniosek osoby składającej podpis elektroniczny'' (art. 20, ust. 3) nie wspomina jednak nic o sposobie przyjmowania tych wniosków. Można wyobrazić sobie sytuacje, w których szybkość przyjmowania i obsługiwania takich wniosków ma znaczenie decydujące. Wydaje się, że dostawca certyfikatów powinien być ustawowo zobowiazany do zorganizowania ,,gorącej linii'' telefonicznej i/lub poczty elektronicznej, tak jak to formułowano w projekcie poselskim.

W art. 4, ust. 17 definiuje się pojęcie znakowania czasem. Pierwsza uwaga nasuwa się w związku z użytym tam pojęciem ,,czas rzeczywisty'', świadczącym o tym, że autorzy nie zdają sobie sprawy z umowności pojęcia czasu. Lepiej byłoby odwołać się do pojęcia czasu urzędowego, być może dopuszczając użycie, wraz z oznaczeniem, czasu z innej strefy czasowej. Ta druga możliwość nie jest taka bezzasadna, biorąc pod uwagę procesy globalizacji gospodarki i potrzebę stworzenia warunków międzynarodowego i międzykontynentalnego obrotu gospodarczego i prawnego drogą elektroniczną. Podpis elektroniczny dotyczyć ma transakcji dokonywanych także w sieci światowej.

Druga uwaga z związku z pojęciem znacznika czasu dotyczy nieszczęśliwego sformułowania tego ustępu, sugerującego, że wykonujący usługę znakowania czasem musi mieć dostęp do podpisywanego dokumentu. Nie jest to konieczne ze względów technicznych, np. w metodzie podpisu opartej na kluczu publicznym wystarczy dołączyć znacznik czasu do skrótu dokumentu, nie do samego dokumentu. Nie jest też chyba intencją ustawodawcy, by dostawcy usług mieli nieskrępowany dostęp do podpisywanych dokumentów.

Ze znakowaniem czasem związany jest też art. 9, ust. 1, pkt 7 narzucający wszystkim dostawcom certyfikatów, w tym niekwalifikowanym, obowiązek używania systemów do znakowania czasem. Obowiązek ten nie ma uzasadnienia technicznego.

Opiniowany projekt słusznie wprowadza możliwość unieważnienia wydanych znaczników czasu (art. 30, ust. 6). Słusznie też daje możliwość systematycznego potwierdzania już złożonego podpisu, zabezpieczając się przed możliwością jego unieważnienia w przyszłości wskutek utraty ważności zaświadczeń certyfikacyjnych samych dostawców znaczników czasu. Wydaje się jednak, że ustawa powinna dopuszczać, a nawet wymagać, by klucze prywatne dostawców tych znaczników były po zakończeniu ich okresu ważności niszczone, w ten sposób gwarantując trwałość wystawionych znaczników czasu, a tym samym gwarantując trwałość podpisów z tymi znacznikami.

Obowiązki prowadzących usługi poświadczania (certyfikacji)

Art. 12, ust. 2 mówi o obowiązku przechowywania przez 50 lat wszelkich dokumentów, w tym elektronicznych, dokumentów bezpośrednio związanych z usługami poświadczania (certyfikacji). W tym sformułowaniu nie jest jasne, jakie konkretnie dokumenty mają być przechowywane, być może określa to osobne zarządzenia. Trudno jednak nie pozbyć się wątpliwości na temat technicznych możliwości tak długiego przechowywania danych w postaci elektronicznej. Albo przepis ten pozostanie martwy, tzn. dostawcy będą posiadać kopie nieczytelnych za kilka lat nośników informacji, spełniając formalnie wymogi ustawy, albo należałoby nałożyć obowiązek kontrolowania co pewien czas stanu przechowywanych dokumentów wraz z obowiązkiem ich ew. przeniesienia na nowe nośniki informacji. Być może ten ostatni obowiązek jest w zamyśle ustawodawcy sposobem wywiązania się z obowiązku przechowywania, należałoby to jednak doprecyzować.

Zaskakująco brzmi art. 11, ust. 5. Otóż zwalnia on z tajemnicy byłych pracowników dostawcy certyfikatów po okresie pięciu lat. Nie do końca jest jasne jakie dane sa chronione tajemnicą, a jakie po prostu niedostępne dla pracowników usługodawcy (dostawcy), jednak ryzyko ujawnienia danych już po pięciu latach budzi niepokój.

Tryb kontroli

Art. 35 pozwala na dokonanie kontroli dostawcy akredytowanego lub wpisanego na listę dostawców kwalifikowanych. Ale przecież od dostawcy kwalifikowanego nie żąda się właściwie niczego, oprócz nie zalegania z podatkami i składkami ZUS-u. Co miałoby być więc przedmiotem tej kontroli?

Całkowitym curiosum jest obecność art. art. 41-57 mówiących o możliwości kontroli pomiotów świadczących usługi poświadczania (certyfikacji). Ustawa o podpisie elektronicznym mówi o obowiązku kontrolera do godnego zachowania się na służbie i poza służbą (art. 55, lit. c). Lepiej byłoby odwołać się do już obowiązujacych ustaw i dać kontrolerom prawa te same, które mają np. kontrolerzy NIK-u.

Problemy z językiem ustawy

Język omawianego projektu ustawy pozostawia wiele do życzenia. Np. art. 9, ust. 1 w wersji dawniejszej zaczynający się od słów ,,zobowiązane sa do'' został przerobiony na ,,sa zobowiązane" z automatycznym przerobieniem przypadków gramatycznych. Zamiast ,,zobowiązane sa do zapewnienia weryfikacji ... autentyczności i ważności" mamy ,,sa zobowiązane zapewnić weryfikację ... autentyczność i ważność certyfikatów" co zmienia zupełnie sens tego warunku (a właściwie pozbawia go sensu, wiadomo, że certyfikaty mają być autentyczne, chodzi o to, że dostawca ma też zapewnić możliwość weryfikacji tego faktu przez rzesze użytkowników). Z kolei w ust. 10 wymaga się, by dane służące do tworzenia podpisu, po zakończeniu procesu tworzenia, wystąpiły tylko raz. Znowu źle, dane mają wystąpić tylko raz właśnie w tym procesie. Po jego zakończeniu nie mają prawa wystąpić wcale.

Innym dowodem nie przygotowania ustawy niech będzie błędne odwołanie się w art. 24, ust. 4, pkt 6 do art. 23, ust. 5, pkt 5 zamiast oczywistego ust. 2, pkt 5.

Niechlujstwo językowe może stać się niebezpieczne. Poprzednio art. 48 mówił o karze, której podlega ,,kto bez akredytacji prowadzi działalność określoną jako akredytowane usługi certyfikacyjne". Teraz, art. 68, karze podlega każdy, ,,kto świadczy usługi certyfikacyjne bez wymaganej akredytacji". Przecież akredytacja nie jest wymagana? Tak więc artykuł ten albo pozostanie martwy, albo może być zastosowany wobec każdego nie akredytowanego dostawcy usług.

Komitet Doradczy występujacy w poprzedniej wersji projektu zmieniono na Radę Akredytacyjna. W ten sposób ozdobny charakter tego ciała jest mniej eksponowany. Nadal jednak nie wiadomo jakie dokładnie ma uprawnienia. Za to, w stosunku do wersji wcześniejszej, lekko to ciało powiększono, robiąc miejsce m.in. dla Wojskowych Służb Informacyjnych.

Vacatio legis

Projekt MSWiA, omawiany już od kilku miesięcy, ciągle proponuje ten sam termin wejścia ustawy w życie: 1 lipca br. Przypuszczać należy, że ustawa wejdzie w życie praktycznie bez vacatio legis. Można się spodziewać, że wejście w życie ustawy spowoduje falę rozporządzeń, np. by wszyscy płatnicy składek ZUS zaopatrzyli się w certyfikat. Wówczas okaże się, że na rynku istnieje jeden czy dwa podmioty oferujące tę usługę i może nastąpić praktyczna monopolizacja rynku. Dostawcy, którzy wejdą z opóźnieniem będą mieli trudności ze znalezieniem klientów na swe usługi. W związku z tym należałoby zaplanować dostatecznie długie vacatio legis, np. pół roku, tak by dać szansę na ukonstytuowanie się większej liczbie podmiotów świadczących usługi na tym rynku.


napisz do nas NAPISZ DO NAS
Twoja opinia może zostać umieszczona na tej stronie... :)

Powrot na poczatek tej strony
©Mateusz Srebrny
ostatnia modyfikacja: 20 marca 2001