Bariery podpisu elektronicznego w Polsce

stanowisko ISOC Polska w sprawie podpisuStowarzyszenie Internet Society Poland przyjęło Stanowisko w sprawie barier podpisu elektronicznego w Polsce, gdzie wyraża swoje zaniepokojenie trudnościami w jego praktycznym stosowaniu. Główne tezy to, niekompatybilność formatów, fikcja pojęcia "bezpiecznego urządzenia", niezgodność polskich uregulowań z obowiązującym w Unii Europejskiej prawem, brak poprawnego wskazania formatu podpisu elektronicznego powoduje chaos w administracji publicznej.

Poniżej prezentuję główne postulaty wynikające z przyjętego dokumentu. Stanowisko Internet Society Polnad dostępne jest w całości na stronie Stowarzyszenia.

Stowarzyszenie postuluje określenie wymogu stosowania jednego, obowiązkowego formatu dla administracji publicznej. Proponuje by tym formatem był XAdES (ETSI TS 101 903). Większość obecnie wykorzystywanych systemów przetwarzania dokumentów opiera się o format XML, a XAdES jest formatem dedykowanym dla podpisu kwalifikowanego w dokumentach XML. Przemawia za nim również rozpowszechnienie w innych Państwach Członkowskich, co pozwoli na zapewnienie wzajemnej kompatybilności w wymianie gospodarczej z Unią Europejską.

W odniesieniu do "bezpiecznego urządzenia" ISOC Polska postuluje dopuszczenie składania podpisu elektronicznego przy pomocy dowolnej aplikacji pod dowolnym systemem operacyjnym (nie tylko w systemie Windows), pozostawiając jednak wymóg przechowywania klucza na karcie elektronicznej. Innym postulatem w tym samym obszarze jest wprowadzenie wymogu składania podpisu w bezpiecznym środowisku (urządzenie zgodne z normą CWA 14169) przy podpisywaniu dokumentów o istotnych skutkach prawnych (np. powyżej określonej kwoty).

Kolejny postulat to wprowadzenie jednoznacznego umocowania prawnego podpisu składanego w celu potwierdzenia autentyczności i bez udziału człowieka. Obecnie funkcja ta została „wypchnięta” do podpisu niekwalifikowanego, a następnie wyłączona ze stosowania dla faktury elektronicznej, która wymaga podpisu kwalifikowanego. Dotyczy to również projektowanych obecnie rozporządzeń o publikacji aktów normatywnych i ustaw w formie elektronicznej.

Postuluje również rozważenie, czy na pewno istnieje konieczność stosowania urządzenia HSM (spełniającego wymagania normy FIPS 140-2 na poziomie 3, wydanej przez amerykański Narodowy Instytut Standardów i Technologii (NIST).) we wszystkich jednostkach administracji. Zdaniem Stowarzyszenia ich stosowanie jest uzasadnione w urzędach, w których czas otrzymania dokumentu może mieć istotne znaczenie dla konkurujących o jakieś zasoby firm, jest jednak nieuzasadnionym obciążeniem dla małych jednostek administracji, które będą otrzymywać dokumenty drogą elektroniczną tylko sporadycznie.

Internet Society Poland apeluje do polskich władz by Polska podjęła na forum europejskim tematykę kompatybilności technicznej i prawnej podpisu elektronicznego w państwach członkowskich Unii Europejskiej.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

bezpieczne urządzenia

ksiewi's picture

Bardzo mi się podoba, że stanowisko wyraźnie podkreśla dwie rzeczy: 1) brak prawidłowej standaryzacji e-podpisu w Polsce, 2) zbyt rygorystyczne przepisy prawne.

Ale jest jedna rzecz, która chyba umknęła zarówno ISOC, jak i twórcom np. rozporządzenia w sprawie e-faktur. Otóż art. 6 ust. 3 ustawy o podpisie elektronicznym stanowi

"Nie można powoływać się, że podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu nie został złożony za pomocą bezpiecznych urządzeń i danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny"

O ile dobrze sobie przypominam komentarz do ustawy napisany przez jej twórców, to odbiorca podpisanego dokumentu może polegać na podpisie o ile tylko jest on weryfikowany za pomocą ważnego kwalifikowanego certyfikatu. Fakt, że podpis taki został złożony np. za pomocą zawirusowanego komputera lub przez inne "niebezpieczne urządzenie" nie wpływa na jego ważność.

Chętnie poznałbym zdanie pozostałych czytelników - czy ważne e-faktury można wystawiać także za pomocą "niebezpiecznych urządzeń". Sam mam parę argumentów w zanadrzu, ale nie chciałbym naprowadzać na odpowiedź.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>