Polska resortowa: kto zaproponuje nowelizację polskiego podpisu?
Od daaawna różne środowiska zwracają uwagę na potrzebę nowelizacji ustawy o podpisie elektronicznym. Mówi się, że "ustawa nie działa", że "jest sprzeczna z prawem unijnym", że (poza problemami w relacjach gospodarczych) stanowi barierę dla rozwoju e-govenrmnet w Polsce (a zbliża się 1 maja 2008 roku)... Problematyka "podpisu elektronicznego" leży w sferze zainteresowań Ministra Gospodarki, chociaż już w poprzedniej kadencji rozważano przekazanie nadzoru nad świadczeniem usług związanych z podpisem elektronicznym ministrowi właściwemu do spraw informatyzacji (dziś jest nim Minister Spraw Wewnętrznych i Administracji). MSWiA przygotowało projekt nowelizacji, ale nie może z nim nic zrobić, bo - zgodnie z ustawą o działach administracji rządowej - weszło by w zakres kompetencji Ministra Gospodarki. Tymczasem odbyły się wybory, a Ministrem Gospodarki został Waldemar Pawlak (znany w środowisku ze swoich pasji informatycznych). Widać już oś "konfliktu", który - prędzej czy później - będzie musiał zostać rozwiązany.
Aby pokazać "głos środowiska" odwołam czytelników do takich dokumentów jak Stanowisko ISOC Polska w sprawie barier podpisu elektronicznego w Polsce, Apel Rady PIIT w sprawie nowelizacji ustawy o podpisie elektronicznym. Wielokrotnie też swoje uwagi do regulacji podpisu elektronicznego zgłaszało Polskie Towarzystwo Informatyczne...
Ministerstwo Gospodarki (i Pracy) przygotowało założenia do zmianie ustawy o podpisie elektronicznym, w których to założeniach czytaliśmy (por. Czy będzie nowy cud nad Wisłą?):
...W świetle doświadczeń Ministerstwa Gospodarki i Pracy zebranych przez niemal dwa lata funkcjonowania ustawy o podpisie elektronicznym treść wielu przepisów tejże ustawy sformułowana została niejednoznacznie i nieprecyzyjnie, co ujawniło się zwłaszcza podczas przygotowywania aktów wykonawczych. Sformułowania przepisów zawierających delegacje nie do końca odpowiadają swoim zakresem kwestiom wymagającym uregulowania...
Przygotowano również pewien raport na zlecenie Komisji Europejskiej, a tam wskazano między innymi na "odmienność niektórych przyjętych w polskim prawie rozwiązań od regulacji wprowadzonych przez państwa członkowskie Unii Europejskiej, co może prowadzić do zarzutów o niezgodność z Dyrektywą, bądź jej niepełną implementację. Zauważono, że:
...kwalifikowane podmioty świadczące usługi w zakresie podpisu elektronicznego wydały od początku obowiązywania ustawy parę tysięcy certyfikatów kwalifikowanych. Na dzień dzisiejszy korzyści ze stosowania podpisu elektronicznego są niższe w stosunku do nakładów poniesionych na zakup sprzętu służącego do jego składania, popyt na rynku bardzo niski a obciążenia regulacyjne dla krajowych podmiotów świadczących te usługi znaczne...
W efekcie określono kierunki zmian:
- poprawa konkurencyjności krajowych podmiotów świadczących usługi certyfikacyjne w zakresie podpisu elektronicznego na Jednolitym Rynku Europejskim poprzez liberalizację, w ramach określonych Dyrektywą 99/93/EC, przepisów regulujących obowiązki podmiotów świadczących usługi certyfikacyjne.
- lepsze dostosowanie polskich uregulowań do Dyrektywy 1999/93/EC, a także wyeliminowanie przepisów dotyczących wymagań technicznych stawianych kwalifikowanym certyfikatom i kwalifikowanym podmiotom świadczącym usługi certyfikacyjne
- dostosowanie rozwiązań prawnych przyjętych w ustawie do potrzeb związanych z informatyzacją administracji publicznej
- precyzyjne ustalenie modelu infrastruktury klucza publicznego - PKI
- wyeliminowanie wielu wątpliwości interpretacyjnych przez zmianę brzmienia niektórych przepisów, w szczególności definicji zawartych w słowniczku ustawy
W czerwcu 2007 roku, w czasie pierwszego czytania rządowego projektu ustawy o zmianie ustawy o działach administracji rządowej, ustawy Prawo własności przemysłowej oraz ustawy o podpisie elektronicznym (druk nr 1728), ówczesny Minister Gospodarki - Piotr Woźniak stwierdził w Sejmie:
Kolejną zmianą zawartą w omawianym projekcie jest przekazanie nadzoru nad świadczeniem usług związanych z podpisem elektronicznym ministrowi właściwemu do spraw informatyzacji, to jest ministrowi spraw wewnętrznych i administracji, a także nowelizacja ustawy o podpisie elektronicznym. Powyższe wynika z faktu, iż zagadnienia podpisu elektronicznego są ściśle związane zarówno ze standardami informatycznymi, jak i wymogami dla systemów informatycznych administracji publicznej, która pozostała w kompetencji ministra właściwego do spraw informatyzacji. Wprowadzone zmiany służyć będą temu, aby nadzór nad podpisem elektronicznym był sprawowany w powiązaniu ze środowiskiem ułatwiającym obieg dokumentów oraz realizowanymi w tym zakresie projektami administracji publicznej.
Rządowy projekt ustawy o zmianie ustawy o działach administracji rządowej, ustawy - Prawo własności przemysłowej oraz ustawy o podpisie elektronicznym wpłynął do Sejmu 10 maja 2007 roku i... tam utknął po pierwszym czytaniu.
Dziś Paweł Krawczyk opublikował na liście Internet Society Poland odpowiedź na swoje pytania (por. Losy nowelizacji ustawy o podpisie elektronicznym, którą to odpowiedź uzyskał z MSWiA:
W związku z nadesłanym pismem pocztą e-mail z dnia 28 stycznia 2008 r. i zadanymi pytaniami uprzejmie informuję, że:
W Departamencie Informatyzacji MSWiA został opracowany projekt ustawy o zmianie ustawy o podpisie elektronicznym, który jest zgodny z Dyrektywą Parlamentu Europejskiego i Rady z dnia 13.12.1999r. w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego (99/93/WE). Zmiany w ustawie o podpisie elektronicznym mają głównie na celu dostosowanie architektury i terminologii infrastruktury klucza publicznego do standardów obowiązujących w Unii Europejskiej. Jedna z istotnych zmian w tym projekcie jest wprowadzenie elektronicznego potwierdzenie danych - jest to podpis elektroniczny składany przez podmiot za pomocą bezpiecznych urządzeń i danych elektronicznych służących do składania podpisu elektronicznego, elektroniczne potwierdzenie danych może być realizowane bez możliwości prezentacji potwierdzanych danych elektronicznych.
Opracowany projekt Ustawy o zmianie ustawy o podpisie elektronicznym poddany był konsultacji wewnątrz resortu MSWiA, naniesione zostały poprawki, ale zgodnie z istniejącymi kompetencjami temat podpisu elektronicznego jest w Ministerstwie Gospodarki, a zatem MSWiA nie ma podstawy do dalszego procesowania i przesłania projektu ustawy do dalszych konsultacji.
Aktualnie trwają uzgodnienia, w których wyniku ustalony zostanie właściwy resort do kontynuowania prac nad nowelizacją ustawy o podpisie elektronicznym.
Przypuszczam, że ministerstwo gospodarki nie będzie skłonne oddać dziś kompetencji w zakresie podpisu elektronicznego ministerstwu spraw wewnętrznych i administracji. Ministerstwo właściwe ds informatyzacji (czyli MSWiA) będzie uprzejmie nalegało na przekazanie tych spraw właśnie jemu. Zastanawiam się co z tego wyniknie.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Podpis elektroniczny i urzędy
Nic nie wyniknie, albo tylko tyle, że urzędy zakupią ePodpisy kwalifikowane, "bo tak wymaga ustawa" oraz "tak wymaga ZUS".
Koszt pokryją i tak podatnicy, bo tak wyglądają zakupy w jednostkach publicznych. Firmy sprzedające ePodpis mają zapewniony zbyt czyli utrzymanie i to na długie lata.
To, że podpis będzie mało funkcjonalny to już małe zmartwienie.
Problem jest jednak nieco szerszy.
Póki co, to ePodpisy produkowane w Polsce, funkcjonują jedynie na platformie MS Windows XP SP2. To jest pewne bo sprawdzone.
Windows 98 niestety troszkę "haczy". Ms Windows Me i 2k ponoć sobie radzą. Ja miałem problemy przy testach, ale to pewnie skutek ustawień systemu albo brak czegoś tam. Łatki dostarczane przez producenta/ów nie gwarantowały poprawnego funkcjonowania.
Czy aplikacje podpisujące będą funkcjonowały na MS Vista, trudno określić. Miejmy nadzieję, że tak.
ePodpisy pochodzące z Unizeto, KIR, Sigillum póki co nie funkcjonują na systemach innych jak MS Windows. Zatem wszyscy posiadacze systemów Linux, Unix, MacOS, mogą spokojnie zapomnieć o tym aby krajowy dostawca sprzedał im ePodpis na platformę ich systemów.
[Certum to firma certyfikacyjna przy Unizeto ]
[Sigillum to firma certyfikacyjna przy Państwowej Wytwórni Papierów Wartościowych]
[KIR - Krajowa Izba Rozliczeniowa]
Efektem tego, będzie podobnie jak przy wprowadzaniu Płatnika, konieczność ze strony kupującego ePodpis, uruchomienia stanowiska pracującego na MS Windows i to najlepiej na MS Windows XP Pro z Service Pack'iem nie niżej niż 2 czyli SP2.
Dlaczego tak jest? Pewnie zbyt małe zainteresowanie, a póki co to urzędy w polsce kupują MS Windows. Dlaczego urzędy tak kupują? Zapewne dlatego, że urzędnicy bezpośrednio nie płacą z własnej kieszeni. Zapewne też dlatego "leży" realizacja rozporządzenia o minimalnych wymaganiach i inne.
Dodatkowo od lipca powstaje prawny wymóg składania deklaracji do ZUS za pomocą Płatnika. Wymóg ten juz istnieje od dawna, ale jego modyfikacja polega na obowiązku posiadania ePodpisu kwalifikowanego. Już nie wystarczy ten zwykły podpis jakim się posługiwano do tej pory, a po który trzeba było biegać do ZUS-u raz w roku. Takim to sposobem wprowadza się wymuszony obrót ePodpisem, który przynosi średnio ok. 200,00 PLN złoty rocznie od sztuki sprzedanego ePodpisu. Czyżby wygrało znów jakieś lobby?
Mnie jednak zastanawia, jak ZUS czy eUrząd poradzi sobie z ePodpisem z innego kraju unijnego. Bo póki co nie ma zakazu posiadania ePodpisu kwalifikowanego innego niż "produkt polski".
Tu jest portal prawniczy, a zatem może ktoś z prawników uściśli czy wolno będzie posiadać i posługiwać się w polsce ePodpis-em kwalifikowanym innym niż zakupiony w Certum, Sigillum czy KIR.
Z tego co się orientuję, to ePodpis na słowacji kosztuje ok. 100,00 PLN (sto złotych). W Polsce dla przykładu, Certum ceni na 216,00 PLN ale za kontynuację. Pierwszy zakup to wydatek ok. 450,00 PLN.
Sporo małych firm w polsce, używa jeszcze MS Windows 98 do obsługi Płatnika, bo działa tylko na MS Windows. Teraz zostaną zmuszeni do zakupu MS Windows XP, a to zmusza do zakupu nowszego sprzętu komputerowego. Jakie będą tego skutki trudno przewidzieć, ale ja już znam przypadki zwalniania ludzi w małych firmach, m. in. po to aby uniknąć konieczności posiadania Płatnika w wersji z ePodpisem.
Z innej strony zastanawia mnie jedno.
Słynny proces o "Janosika" zakończył się porażką ZUS-u.
Nadinterpretując sytuację, można wysnuć wniosek, że obowiązek posiadania ePodpisu kwalifikowanego wymusi i tak stosowanie platformy windows-owej, a z nią Płatnika.
Trzeba bowiem nie zapominać, że Płatnik obejmuje także firmy prywatne, a nie tylko jednostki budżetowe i całe to "halo" wokół eUrzędów, może służyć innym celom niż propagowane.
Czy może o to może chodzi w wymuszaniu ePodpisu kwalifikowanego w Płatniku?
Zagraniczne podpisy elektroniczne
Zaawansowany podpis elektroniczny z kwalifikowanym certyfikatem spełniający warunki ustawy krajowej państwa członkowskiego, która stanowi implementację dyrektywy z 1999 r. o podpisach elektronicznych będzie musiał zostać uznany za równoważny (także przez ZUS) bezp. podpisowi elektronicznemu z kwalifik. cert. wydanemu w Polsce. Podstawa prawna: art. 4 ustawy o podpisie elektronicznym w zw. z dyrektywą z 1999 r. (wykładnia prowspólnotowa). Można też powołać się na swobodę świadczenia usług oraz zasadę państwa pochodzenia z dyrektywy o handlu elektronicznym (ta ostatnia zasada ma zostać implementowana w ustawie o swiadczeniu usług drogą elektroniczną).
1) Problem platformy
1) Problem platformy systemowej - z formalnego punktu widzenia ustawa jest neutralna technologicznie i nie narzuca żadnego systemu operacyjnego. Centra certyfikacji nie mają obowiązku implementować klientów, bo ich zadanie to wystawianie certyfikatów. Teoretycznie każdy może więc stworzyć taką aplikację pod dowolny system operacyjny, byleby tylko była zgodna z ustawą i posiadała deklarację potwierdzającą tę zgodność. Problem w tym, że wymagania formalne są dość złożone i hermetyczne, więc małe firmy się boją a duże nie widzą w tym interesu. Istnieje natomiast co najmniej kilka rozwiązań na systemy inne niż Windows - np. ebStream czy skrzynki podawcze z podpisywaniem zrobionym w Javie.
2) Problem certyfikatów międzynarodowych - to jest nadal kwestia dyskusyjna. Istnieje art. 4 ale nie rozstrzyga on jej jednoznacznie ani z formalnego ani z celowościowego punktu widzenia. Dlaczego? Otóż w Unii implementacji Dyrektywy 1999/93/WE jest 25 czyli tyle ile Państw Członkowskich i różnią się one między sobą znacząco.
Np. duńska ustawa nie narzuca żadnych specjalnych wymagań co do karty kryptograficznej na której przechowywany jest klucz, w przeciwieństwie do ustawy niemieckiej czy polskiej. Innymi słowy "duński certyfikat kwalifikowany" to coś radykalnie odmiennego od "polskiego certyfikatu kwalifikowanego" i zapewne nie było intencją ustawodawcy zrównanie ich ze sobą - jest to oczywiście rezultat wdrożenia regulacji unijnej bez przemyślenia co dokładnie i w jakim celu się robi oraz jak to będzie używane.
Problem prawny polega na tym że art. 4 definiuje kilka warunków zrównania certyfikatu zagranicznego z polskim, które w dosłownej interpretacji zamykają drogę do "automatycznej" uznawalności zagranicznych certyfikatów.
ust. 1 - musi być wystawiony przez podmiot "wpisany do rejestru kwalifikowanych podmiotów" - w kilku miejscach ustawy mówi się o konieczności wskazania państwa wystawienia certyfikatu, ale znowuż art. 27 sugeruje jednoznacznie że rejestr jest prowadzony przez "ministra właściwego do spraw gospodarki", co oznacza że co najwyżej CA z Irlandii może wpisać się do polskiego rejestru (niedoczekanie...)
ust. 3,4 - "spełnia wymagania ustawy" - czyli także rozporządzenia o warunkach technicznych, czyli także np. wymóg podawania w polu Issuer słów "Nr wpisu", a w Subject - słów "NIP" oraz "PESEL" - niedoczekanie...
Jak widać wykładnia przedstawiona w komentarzu powyżej przez dr Świerczyńskiego dużo by w tej kwestii uprościła, ale ktoś musiałby najpierw to zweryfikować w sądzie a chętnych nie widać.
Ale są też dwa kolejne ustępy w art. 4:
ust. 5,6 - "został uznany na drodze umowy międzynarodowej"
To ostatnie rozwiązanie wydaje się być rozsądne celowościowo i prawnie, bo oznaczałoby to w praktyce że:
1) jakiś polski urząd (MG, MSWiA, MF?) ogląda sobie politykę certyfikacji zagranicznego centrum,
2) jeśli uznaje ją za zgodną z interesami zabezpieczanymi przez polską ustawę to podpisuje z centrum umowę,
3) publikuje listę certyfikatów uznanych przez siebie za zaufane
Takie rozwiązanie stosuje m.in. włoska CNIPA, akceptująca w ten sposób obecnie ok. 130 certyfikatów.
Nasuwa się jednak pytanie po co w takim razie Centrast i hierarchia?
No więc MG, PIIT i PTI dyskutowały o dehierarhizacji i publikowaniu takich "list zaufanych centrów" już w 2004 roku ale nic z tego nie wynikło.
W Ministerstwie Gospodarki zajmuje się tym 1 (jedna) osoba. W Polsce z e-faktur korzysta 5% firm (GUS 2007). W Danii - 60%.
--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/