Uwagi do projektów poselskiego i rzadowego ustawy o podpisie elektronicznym (17.III.2001)


Autorzy:

Obecnie Sejm Rzeczpospolitej Polskiej rozpatruje dwa projekty ustawy o podpisie elektronicznym. Projekt poselski, druk sejmowy nr 2594, wpłynał do laski marszałkowskiej 7 grudnia 2000, opinia Biura Studiów i Analiz dołaczona została do wniosku 24 stycznia br. Projekt rzadowy, druk sejmowy nr 2651, przygotowany w MSWiA, wpłynał 22 lutego br. Oba projekty, na wcześniejszych etapach ich przygotowywania nie były odpowiednio konsultowane ze środowiskiem informatyków, naukowców i praktyków, choć do pewnego stopnia znane były z rozmaitych przecieków. Oba projekty budziły, i nadal budza, wiele watpliwości.

Celem ustawy o podpisie elektronicznym jest uznanie w systemie prawa równoważności podpisu elektronicznego z podpisem własnoręcznym. Po wejściu w życie ustawy o podpisie elektronicznym złożenie podpisu pod dokumentem lub oświadczeniem woli możliwe będzie nie tylko - jak do tej pory - odręcznie, ale i droga elektroniczna, poprzez sieć. Należy pozytywnie ocenić sam fakt istnienia projektów ustawy o podpisie elektronicznym, oczekiwanej od dłuższego czasu jako dajacej szanse nowoczesnego, szybkiego obrotu gospodarczego i dotrzymania kroku gospodarkom innych krajów.

Omawiane projekty prawie w całości poświęcone sa innej sprawie - regulacji intratnie zapowiadajacego się rynku usług zwiazanych z podpisem elektronicznym. Autorzy obu projektów w istocie koncentruja uwagę na sferze usług t.zw. infrastruktury zarzadzania danymi kryptograficznymi służacymi do składania (generowania) i weryfikacji podpisu elektronicznego, przede wszystkim do rynku usług wydawania zaświadczeń [ang. certification] autentyczności tych danych. Projekt poselski ogranicza uwagę do podpisu cyfrowego, który jest jednym z rodzajów szerszego pojęcia podpisu elektronicznego, opartego na kryptografii z asymetryczna para kluczy - prywatnym i publicznie znanym. Oba projekty proponuja monopolistyczny, de facto, system koncesjonowania rynku tych usług "na rzecz lub przez organy władzy publicznej i jednostki sektora publicznego, z wyjatkiem Narodowego Banku Polskiego" (art. 8, ust. 2 projektu MSWiA, i podobne zapisy art. 5, ust. 5 oraz art. 13 ust. 1 projektu poselskiego).Centralna rola zarezerwowana jest dla ministra spraw wewnętrznych w projekcie MSWiA lub Łaczności wg projektu poselskiego, a głównym instrumentem maja być "akredytacje" podmiotów świadczacych usługi poświadczania (certyfikacji). W wersji z 29 stycznia b.r. art. 8, ust. 2 projektu MSWiA obejmował też "banki". Przypomnienie tego szczegółu wskazywać może nieco pełniej intencje autorów tego projektu i - co ważniejsze - skalę zagrożeń, jakie niesie obecna debata o projektach ustawy o podpisie elektronicznym dla fundamentalnych zasad i mechanizmów wolnej gry rynkowej w dziedzinie o ogromnym znaczeniu dla przyszłości Kraju

Dla oszacowania rozmiarów tego rynku warto wziać pod uwagę także powiazana z tymi usługami cała sferę rynku pomocniczych akcesoriów, takich jak na przykład karty z mikroprocesorem oraz reklama umieszczana niejako przy okazji.

Poczuwamy się do obowiazku stwierdzenia, iż znane dziś technologie podpisu cyfrowego, ogólniej podpisu elektronicznego, nie uzasadniaja takiej koncepcji. W takim samym sensie jak nie byłoby uzasadnione ustawowe wprowadzenie systemu "akredytacji" kancelarii notarialnych czy banków świadczacych usługi "na rzecz organów ...". Nie podniosłoby to stopnia wiarygodności i zaufania do jakości świadczonych usług.

Oba projekty, niestety, przyjmuja założenie, iż omawiana sfera działalności gospodarczej powinna być objęta jakimś szczególnym nadzorem Państwa i regulacjami wykraczajacymi poza zwykłe wymagania wpisu do rejestru, ewentualnie uwarunkowanego zapewnieniem standardów zgodności (kompatybilności) oferowanych usług. Jesli nawet dopuścimy takie założenie to i tak nie widać powodu, dla którego miałby to być nadzór jednego wybranego resortu. Powinna raczej zajmować się tym Rada złożona z przedstawicieli kilku zainteresowanych resortów i usytuowana przy Premierze lub przy Sejmie, a juz na pewno nie podlegajaca ministrowi spraw wewnętrznych i jego służbom. Jeśli już nadzór ma sprawować jeden minister, to raczej właściwy do tego jest minister łaczności, albo minister gospodarki. Sama technologia nie wymaga w ogóle żadnej centralnej "czapy", jedynie zgodności (kompatybilności) normatywnej. Nie widać więc powodu kreowania omnipotencji monopolistycznej jednego resortu, raczej należałoby wyobrażać sobie sytuację, w której poświadczanie na swoje potrzeby organizuja i nadzoruja np. banki, telekomunikacja, ZUS, itp., a wpis do rejestru będzie uwarunkowany kompatybilnościa i opinia fachowców (naukowców i praktyków) o odpowiednio wysokim poziomie wiarygodności przyjmowanych rozwiazań.

Podpis elektroniczny to pojęcie szersze niż podpis cyfrowy. Istnieja bowiem inne sposoby elektronicznej identyfikacji człowieka. Zamiast kluczem cyfrowym, można człowieka identyfikować wykorzystujac cechy biometryczne (antropometryczne) - odcisk palca, obraz tęczówki oka, kształt twarzy lub ręki, głos. Już dziś w niektórych bankach i domach maklerskich zlecenia można składać przez telefon. Zlecenie głosem łaczy jednoznacznie treść dokumentu z głosem - cecha jednoznacznie identyfikujaca osobę "podpisujaca dokument". Ze względu na bardzo szybki rozwój technologii istotne jest, by sformułowania ustawy nie były zbyt szczegółowe i nie nakładały niepotrzebnych ograniczeń technicznych ani rynkowych. Zapisy amerykańskiej ustawy o podpisie elektronicznym nie ograniczaja podpisu elektronicznego jedynie do podpisu cyfrowego. Podobnie, traktuje to Dyrektywa Unii Europejskiej. Co prawda, ustawa niemiecka mówi jedynie o podpisie cyfrowym, ale można spodziewać się szybkiego dostosowania prawa w tym kraju do wymagań Unii Europejskiej.

Podstawowe definicje

Podstawowym problemem jest ustawowa definicja podpisu elektronicznego. Definicja w projekcie rzadowym, art. 4, stara się być dostatecznie ogólna, by nie ograniczać w przyszłości zakresu stosowalności tej ustawy. Jednak bez sformułowania odpowiednich pojęć ustawa w/g projektu MSWiA nie jest w stanie wymagać, na przykład, zniszczenia klucza prywatnego w wygasajacym zaświadczeniu certyfikacyjnym dostawcy. Żadania takiego nie stawia się też w projekcie poselskim, mimo zdefiniowania koniecznych do tego pojęć.

W projekcie rzadowym nie rozważa się w ogóle możliwości, że to klient przychodzi do dostawcy certyfikatów ze swoja para kluczy i wnosi jedynie o potwierdzenie swojej tożsamości. Z technicznego punktu widzenia nie ma potrzeby by dostawca certyfikatów generował te klucze. Możliwość zatwierdzenia gotowej już pary kluczy rozwiazałaby też część problemów z uznawaniem zagranicznych certyfikatów. Obecnie art. 3, ust. 2 mówi o udzieleniu gwarancji przez polskiego dostawcę usług certyfikacyjnych na zagraniczny certyfikat. Ustawa nie definiuje, czym jest gwarancja, jest jasne czym byłaby możliwość podpisania się, po stwierdzeniu tożsamości, przez polskiego dostawcę pod cudzym certyfikatem.

Projekt rzadowy chyba niepotrzebnie wprowadza nowe byty, oprócz certyfikatu wystawionego przez dostawcę zwykłemu klientowi mamy też zaświadczenie certyfikacyjne będace niczym innym niż certyfikatem dostawcy. Powstaje problem kto ma takie zaświadczenie wystawiać. Art. 22, ust. 2 stwierdza, że MSWiA. Pytanie, czy Ministerstwo posiada infrastrukturę, wiedzę i pracowników do wystawiania takich certyfikatów. Na szczęście ust. 4 pozwala ministerstwu na przekazanie tego obowiazku w bardziej kwalifikowane ręce. Projekt poselski jest wolny od tej wady - akredytowany dostawca certyfikatów sam posiada certyfikat wystawiony przez Krajowy Urzad Certyfikacji.

Projekt rzadowy we wcześniejszej wersji niedostatecznie akcentował konieczność ustosunkowania się do certyfikatów wydanych przez dostawców zagranicznych. Projekt złożony w Sejmie próbuje naprawić ten bład, służy temu art. 3. Robi to jednak nieporadnie. I tak ust. 1 mówi o podmiocie, który spełnia warunki niniejszej ustawy i któremu została udzielona akredytacja. Jeśli spełnia warunki, np. złożył po polsku podanie, zapłacił sumę w polskiej walucie itd. i została udzielona akredytacja w Polsce, to po co osobno pisać, że wydane przez niego certyfikaty sa ważne. A może nie chodzi tu o akredytację wydana w Polsce? To w takim razie o jaka? Ust. 4 wyraźnie mówi o akredytacji udzielonej za granica, ale przy warunku spełnienia wymogów polskiej ustawy. Jakich wymogów? złożenia podania po polsku? niezalegania ze składkami ZUSu? Może właściwsze byłoby uznanie po prostu akredytacji udzielonej w kraju Unii Europejskiej przez odpowiedni urzad bez żadania spełnienia dodatkowych warunków. W ust. 2 i 5 wspomina się o możliwości udzielenia gwarancji przez podmiot spełniajacy warunki niniejszej ustawy. Nie pisze się jakie to warunki musi spełniać podmiot udzielajacy gwarancji. Można by sadzić, że musi być akredytowany, lub co najmniej kwalifikowany. Ale tego się nie żada. A więc certyfikaty gwarantowane przez nieznanych dostawców zagranicznych nagle zyskuja status certyfikatów kwalifikowanych w Polsce - jest to jawna dyskryminacja dostawców polskich. Ust. 7 mówi o możliwości uznania podmiotu w drodze umowy międzynarodowej. Nie jest jasne uznania za co? Jest jasne, że jeśli podmiot na mocy umowy międzynarodowej został uznany za cokolwiek, to nie trzeba osobnego zapisu w ustawie zatwierdzajacego to uznanie.

Rodzaje certyfikatów, implikacje podpisu

Jednym z zastrzeżeń środowiska do projektu ustawy przygotowanego przez MSWiA było wyraźne preferowanie certyfikatów wystawianych przez dostawców akredytowanych do tego stopnia, że inne certyfikaty w zasadzie nie miały mocy prawnej. Jako remedium, w wersji obecnej wprowadza się de facto trzy rodzaje certyfikatów: zwykły, kwalifikowany, oraz kwalifikowany wystawiony przez dostawcę posiadajacego akredytację. Certyfikaty zwykłe sa znowu traktowane po macoszemu. Np. art. 5, ust. 1 projektu rzadowgo mówi: ,,Podpis elektroniczny weryfikowany przy pomocy certyfikatu wywołuje skutki prawne określone ustawa'' i dalej nie wspomina się jakie to skutki wywołuje dowolny podpis elektroniczny. Już w ust. 2 mówi się tylko o podpisie weryfikowalnym na podstawie certyfikatu kwalifikowanego, choć w ust. 9 zastrzega się, że brak certyfikatu kwalifikowanego nie może być wyłaczna przyczyna odmowy ważności podpisu elektronicznego. W zasadzie nadal nie jest tu jasne, jakie skutki ma podpis niekwalifikowany.

Co więcej, ponieważ Dyrektywa europejska wyraźnie wskazuje na dwa typy certyfikatów, przyjęcie rozwiazań z projektu rzadowego narazi nas natychmiast na nieporównywalność naszych certyfikatów z europejskimi.

Art. 6 w w/w projekcie: ,,Do skutków prawnych podpisu elektronicznego, w zakresie nie uregulowanym w niniejszej ustawie, stosuje się przepisy dotyczace podpisów własnoręcznych'' jest w tym kontekście niesłychanie daleko sięgajacy. Ponieważ ustawa niemal nie wspomina o skutkach podpisów niekwalifikowanych, należy rozumieć, że sa one w ten sposób uznane za równoważne własnoręcznie złożonym.

Art. 4, ust. 1 formułuje definicję podpisu elektronicznego w ogóle, np. żada żeby nie można było zmienić podpisywanych danych. Później jednak wiele z tych zapisów jest powtarzanych jedynie w kontekście podpisów kwalifikowanych (tzn. weryfikowanych certyfikatem kwalifikowanym). Sprawia to wrażenie, że podpisy niekwalifikowane nie spełniaja wymogów ustawy.

Podobnie, wprowadza się odrębne kategorie ,,bezpiecznych urzadzeń do składania i do weryfikacji podpisów elektronicznych", wymagane od nich cechy albo sa jałowe (,,podpis musi być weryfikowany rzetelnie, a wynik wykazany prawidłowo" - czym byłaby rzetelna weryfikacja, gdyby potem był wykazywany nieprawidłowy wynik, czy weryfikacja nierzetelna w ogóle zasługuje na nazwę weryfikacji?), albo oczywiste i/lub powtarzajace wcześniejsze wymagania (,,urzadzenie powinno nie zmieniać podpisywanych danych"). Wymagania te powinny być postawione przed wszystkimi takimi urzadzeniami, bez wyróżniania tej kategorii.

Oba projekty, zgodnie z dyrektywa europejska, dopuszczaja stosowanie pseudonimów (np. art. 19, ust. 4 w projekcie rzadowym, art. 9, ust. 1, pkt 3 w projekcie poselskim), ale jednocześnie żadanie możliwości jednoznacznej identyfikacji tożsamości podpisujacego obecne w obu projektach (art. 4, ust. 1 oraz art. 4, ust. 2, pkt 2 odp.) właściwie wyklucza tę możliwość - jeśli sam podpis ma umożliwić identyfikację osoby fizycznej składajacej podpis, to nie może opierać się na pseudonimie. Należałoby usunać passus o identyfikacji i właczyć do wymagań treść ,,pozwalaja ustalić dane osobowe lub pseudonim osoby składajacej podpis".

Jednym z problemów podpisu elektronicznego jest pytanie, czy podpis może przysługiwać osobie prawnej. Obecna wersja projektu rzadowego stawia sprawę jasno - nie. Możliwość składania podpisu przysługuje jedynie osobie fizycznej, być może umocowanej do reprezentowania osoby prawnej. Projekt poselski jest trochę niejasny. Z jednej strony częścia certyfikatu jest imię i nazwisko podpisujacego (art. 9, ust. 1, pkt 3), atrybuty te przysługuja wyłacznie osobom fizycznym. We wcześniejszej wersji projektu dopuszczano nazwę właściciela certyfikatu, a więc osobę prawna. W całym projekcie poselskim starannie unika się używania form osobowych mówiac o właścicielach certyfikatów. Zamiast tego używa się słowa ,,podmiot'', choćby art. 17, ust. 1. Może to zostać zinterpretowane w ten sposób, że podmiotem może być osoba prawna, a zamiast żadanych imiona i nazwiska podana zostanie nazwa. Wyrostkiem robaczkowym jest chyba brzmienie art. 10, ust. 4, pkt 4 projektu poselskiego, w którym mówi się o unieważnieniu certyfikatu po otrzymaniu aktu zgonu lub wykreśleniu z rejestru firm.

Z technicznego punktu widzenia, istnieje możliwość stosowania podpisów innych niż tylko ściśle analogicznych do odręcznych. Np. podpisów osób prawnych, które z punktu widzenia weryfikujacych nie ujawniaja tożsamości osób podpisujacych się, ale których tożsamość może zostać ustalona przez podmioty upoważnione, np. zarzad firmy/banku. Być może celowe byłyby sformułowania ustawy dopuszczajace takie możliwości.

Wystawianie certyfikatów

Projekt poselski, mówiacy wyraźnie o parze kluczy kryptograficznych, rozważa źródło pochodzenia tych kluczy. I tak, art. 25 ust.1 czy art. 18 mówia wyraźnie o sytuacji, gdy klucze kryptograficzne generuje dostawca certyfikatów. Z kolei art. 8, ust. 1 dopuszcza sytuację, w której klient prosi dostawcę o potwierdzenie posiadanych już kluczy. Sytuacja taka może być całkiem częsta w praktyce i pożadana przez klientów. W tym kontekście jednak niejasne jest sformułowanie art. 9, ust. 1 pkt 5 o zawartości kwalifikowanego certyfikatu. Jakie jest znaczenie słowa ,,klucz przydzielony''? Czy ma oznacza to, że dostawca certyfikatu go wygenerował?

Projekt rzadowy, wskutek wspomnianej wcześniej ogólności, nie mówi w ogóle o kluczach kryptograficznych. Nie może więc dopuścić wspomnianej możliwości potwierdzania gotowej już pary kluczy. Art. 13 mówiacy o ,,wydawaniu certyfikatu'' należy rozumieć w tym kontekście, że dostawca usług certyfikacyjnych generuje wszelkie dane certyfikatu. Choć sformułowanie art. 9, ust.9 dopuszcza jakby możliwość, że dane do składania podpisu nie sa tworzone przez samego wystawcę certyfikatu. Ze względu na wygodę klientów należałoby dopuścić możliwość podpisania się dostawcy usług pod certyfikatem wystawionym przez innego dostawcę.

Tryb udzielania akredytacji

Projekt ustawy przygotowany przez MSWiA nie czyni różnicy pomiędzy procedura starania się o akredytację a procedura starania się o wpis na listę kwalifikowanych dostawców usług certyfikacyjnych, oba przypadki obejmuje art. 23, ust. 2. Różnica ujawnia się dopiero w możliwości odmowy akredytacji z powodu podejrzeń o niemożność zapewnienia przez dostawcę usług certyfikacyjnych odpowiedniego poziomu wiarygodności zabezpieczeń (art. 24, ust. 4). Podejrzenia te jednak pozostaja dosyć niesprecyzowane, np. co oznacza, że osoby wykonujace czynności zwiazane ze świadczeniem usług certyfikacyjnych nie daja rękojmii należytego wykonywania powierzonych obowiazków? Jest to nieostre kryterium, którego stosowanie pozostaje w gestii resortu spraw wewnętrznych. W projekcie rzadowym we wcześniejszej wersji kategoryczne warunki były formułowane wyłacznie wobec osób reprezentujacych dostawcę usług certyfikacyjnych. Obecny projekt rzadowy (art. 9, ust. 2) mówi o wszystkich osobach zaangażowanych w świadczenie tych usług. Nawet brak wyższego wykształcenia u szeregowych pracowników może być uznany za niespełnienie warunków ustawy. Wymagania w/g projektu poselskiego sa bardziej realistyczne. Po pierwsze, dotycza wyraźnie tylko osób, którym powierzono wykonywanie usług certyfikacyjnych, a nie np. personelu administracyjnego. Po drugie, oprócz oczywistego z kontekstu wymogu niekaralności, wymaga się od nich wykształcenia średniego i praktyki.

Unieważnianie certyfikatów, znaczniki czasu

Jednym z problemów dotyczacych podpisów elektronicznych jest problem unieważniania certyfikatów, nad którymi ich właściciel utracił kontrolę. Projekt rzadowy ustawy wspomina jedynie, że ,,podmiot świadczacy usługi certyfikacyjne zawiesza certyfikat na wniosek osoby składajacej podpis elektroniczny'' (art. 20, ust. 3) nie wspomina jednak nic o sposobie przyjmowania tych wniosków. Można wyobrazić sobie sytuacje, w których szybkość przyjmowania i obsługiwania takich wniosków ma znaczenie decydujace. Wydaje się, że dostawca certyfikatów powinien być ustawowo zobowiazany do zorganizowania ,,goracej linii'' telefonicznej i/lub poczty elektronicznej, tak jak to sformułowano w projekcie poselskim (art. 10, ust.6). Z drugiej strony, powstaje pytanie, czemu projekt poselski tak bardzo polega na telefonach, a nie żada możliwości unieważniania certyfikatów elektronicznie. Przecież głównymi użytkownikami certyfikatów będa internauci, bez tego założenia cała ustawa byłaby zawieszona w próżni.

W art. 4, ust. 17 projektu rzadowego definiuje się pojęcie znakowania czasem. Pierwsza uwaga nasuwa się w zwiazku z użytym tam pojęciem ,,czas rzeczywisty'', świadczacym o tym, że autorzy nie zdaja sobie sprawy z umowności pojęcia czasu. Lepiej byłoby odwołać się do pojęcia czasu urzędowego, być może dopuszczajac użycie, wraz z oznaczeniem, czasu z innej strefy czasowej (art. 3 pkt 6, a w szczególności art. 21, ust. 8, projektu poselskiego jest sformułowany nieco dokładniej). Ta druga możliwość nie jest taka bezzasadna, biorac pod uwagę procesy globalizacji gospodarki i potrzebę stworzenia warunków międzynarodowego i międzykontynentalnego obrotu gospodarczego i prawnego droga elektroniczna. Podpis elektroniczny dotyczyć ma transakcji dokonywanych także w sieci światowej.

Druga uwaga z zwiazku z pojęciem znacznika czasu dotyczy nieszczęśliwego sformułowania ustępu, sugerujacego, że wykonujacy usługę znakowania czasem musi mieć dostęp do podpisywanego dokumentu. Nie jest to konieczne ze względów technicznych, np. w metodzie podpisu opartej na kluczu publicznym wystarczy dołaczyć znacznik czasu do skrótu dokumentu, nie do samego dokumentu. Nie jest też chyba intencja ustawodawcy, by dostawcy usług mieli nieskrępowany dostęp do podpisywanych dokumentów.

Ze znakowaniem czasem zwiazany jest też art. 9, ust. 1, pkt 7 narzucajacy wszystkim dostawcom certyfikatów, w tym niekwalifikowanym, obowiazek używania systemów do znakowania czasem. Obowiazek ten nie ma uzasadnienia technicznego.

Projekt rzadowy słusznie wprowadza możliwość unieważnienia wydanych znaczników czasu (art. 30, ust. 6). Słusznie też daje możliwość systematycznego potwierdzania już złożonego podpisu, zabezpieczajac się przed możliwościa jego unieważnienia w przyszłości wskutek utraty ważności zaświadczeń certyfikacyjnych samych dostawców znaczników czasu. Wydaje się jednak, że ustawa powinna dopuszczać, a nawet wymagać, by klucze prywatne dostawców tych znaczników były po zakończeniu ich okresu ważności niszczone, w ten sposób gwarantujac trwałość wystawionych znaczników czasu, a tym samym gwarantujac trwałość podpisów z tymi znacznikami.

Obowiazki prowadzacych usługi poświadczania (certyfikacji)

Art. 12, ust. 2 projektu rzadowego mówi o obowiazku przechowywania przez 50 lat wszelkich dokumentów, w tym elektronicznych, dokumentów bezpośrednio zwiazanych z usługami poświadczania (certyfikacji). W tym sformułowaniu nie jest jasne, jakie konkretnie dokumenty maja być przechowywane, być może określa to osobne zarzadzenia. Trudno jednak nie pozbyć się watpliwości na temat technicznych możliwości tak długiego przechowywania danych w postaci elektronicznej. Albo przepis ten pozostanie martwy, tzn. dostawcy będa posiadać kopie nieczytelnych za kilka lat nośników informacji, spełniajac formalnie wymogi ustawy, albo należałoby nałożyć obowiazek kontrolowania co pewien czas stanu przechowywanych dokumentów wraz z obowiazkiem ich ew. przeniesienia na nowe nośniki informacji. Być może ten ostatni obowiazek jest w zamyśle ustawodawcy sposobem wywiazania się z obowiazku przechowywania, należałoby to jednak doprecyzować. Projekt poselski (art. 24, ust. 1) mówiacy o 10 latach przechowywania wymienionych explicite dokumentów jest tu bardziej rzeczowy.

Zaskakujaco brzmi art. 11, ust. 5 projektu rzadowego. Otóż zwalnia on z tajemnicy byłych pracowników dostawcy certyfikatów po okresie pięciu lat. Nie do końca jest jasne jakie dane sa chronione tajemnica, a jakie po prostu niedostępne dla pracowników usługodawcy (dostawcy), jednak ryzyko ujawnienia danych już po pięciu latach budzi niepokój.

Jest jasne, że podstawowym obowiazkiem dostawcy certyfikatów jest niedopuszczenie do ujawnienia danych umożliwiajacych składanie podpisów. W tym kontekście powstaje pytanie, czy np. art. 21 ust. 6 projektu poselskiego czy art. 9, ust. 9 projektu rzadowego daja wystarczajace gwarancje. Wyobrazić sobie można czarny scenariusz, w którym dostawca usług certyfikacyjnych używa danych osobowych klienta, tych właśnie które ma obowiazek przechowywać, do inicjalizacji algorytmu generujacego poufne dane. Wówczas dane te, mimo ich formalnego zniszczenia, moga zostać odtworzone. Ustawa powinna formułować odpowiednio mocne żadanie, np. ,,klucz prywatny nie może być odtworzony na podstawie żadnych danych klienta znanych publicznie''. I to też jest za słabo, należy żadać nie tylko nieodtwarzalności, ale również nieosłabiania kryptograficznego.

Tryb kontroli

Art. 35 projektu rzadowego pozwala na dokonanie kontroli dostawcy akredytowanego lub wpisanego na listę dostawców kwalifikowanych. Ale przecież od dostawcy kwalifikowanego nie żada się właściwie niczego, oprócz nie zalegania z podatkami i składkami ZUSu. Co miałoby być więc przedmiotem tej kontroli?

Całkowitym curiosum jest szczegółowość rozdz. VII mówiacego o możliwości kontroli podmiotów świadczacych usługi poświadczania (certyfikacji). Ustawa o podpisie elektronicznym mówi o obowiazku kontrolera do godnego zachowania się (art. 55, pkt 4). Lepiej byłoby odwołać się do już obowiazujacych ustaw i dać kontrolerom prawa te same, które maja np. kontrolerzy NIKu. W tym duchu sformułowany jest krótki rozdz. VIII projektu poselskiego.

Vacatio legis

Projekt MSWiA, omawiany już od kilku miesięcy, ciagle proponuje ten sam termin wejścia ustawy w życie: 1 lipca br. Przypuszczać należy, że ustawa wejdzie w życie praktycznie bez vacatio legis. Można się spodziewać, że wejście w życie ustawy spowoduje falę rozporzadzeń, np. by wszyscy płatnicy składek ZUS zaopatrzyli się w certyfikat. Wówczas okaże się, że na rynku istnieje jeden czy dwa podmioty oferujace tę usługę i może nastapić praktyczna monopolizacja rynku. Dostawcy, którzy wejda z opóźnieniem będa mieli trudności ze znalezieniem klientów na swe usługi. W zwiazku z tym należałoby zaplanować dostatecznie długie vacatio legis, np. pół roku, tak by dać szansę na ukonstytuowanie się większej liczbie podmiotów świadczacych usługi na tym rynku.


napisz do nas NAPISZ DO NAS
Twoja opinia może zostać umieszczona na tej stronie... :)

Powrot na poczatek tej strony
©Mateusz Srebrny
ostatnia modyfikacja: 12 maja 2001