Uwagi do projektu ustawy o podpisach do 30 listopada

Gospodarzem projektu ustawy o podpisach elektronicznych jest Ministerstwo Gospodarki. Projekt ten został przesłany do uzgodnień międzyresortowych, a termin zgłaszania uwag mija 30 listopada. W sąsiedniej notatce pisałem o jednym z projektów: Projekt ustawy o podpisach - coś drgnie?. To było w poniedziałek. Przeszukiwałem wówczas zarówno serwis internetowy Ministerstwa Gospodarki jak i BIP Ministerstwa i hasło "podpisach elektronicznych" nie dawało żadnych wyników wyszukiwania. Dziś jest inaczej.

Projekt ustawy o podpisach elektronicznych został opublikowany w części Projekty aktów prawnych - Regulacje gospodarcze (BIP Ministerstwa Gospodarki - jak się wydaje - korzysta z tej samej bazy danych co "serwis własny ministerstwa"; w każdym razie w BIP nie ma daty publikacji, nie ma informacji na temat tego kto opublikował informacje publiczną, itp. - to odnotowuję jedynie przy okazji).

Są trzy pliki do pobrania i obowiązkowego zapoznania się:

• Projekt ustawy o podpisach elektronicznych (PDF)
• Uzasadnienie (PDF)
• OSR (PDF)

Od czytających serwis dziennikarzy (fajnie, że można na Was liczyć), którzy nawiązali kontakt z ministerstwem i zadali pewne pytania, wiem, że 26 listopada wpłynął wniosek Polskiego Towarzystwa Informatycznego o wydłużenie terminu konsultacji społecznych.

Uzasadnienie projektu ma 5 stron, więc przywołuje poniżej w całości:

Niniejsza ustawa zastępuje ustawę z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.). Celem przedmiotowej regulacji jest ułatwienie stosowania podpisu elektronicznego jako występującego w różnych postaciach i na różnych poziomach bezpieczeństwa mechanizmu uwierzytelnienia w elektronicznym obrocie prawnym. Ustawa przewiduje rozszerzenie listy usług certyfikacyjnych, a zwłaszcza katalogu dostępnych rodzajów podpisu elektronicznego, co umożliwi lepsze dostosowanie narzędzi oraz ich ceny do potrzeb administracji publicznej oraz przedsiębiorców. Podpisy elektroniczne będą mogły być składane zarówno przez osoby fizyczne, jak i osoby prawne lub jednostki organizacyjne, przy zastosowaniu lub bez zastosowania bezpiecznego urządzenia oraz w oparciu o certyfikat zwykły lub certyfikat kwalifikowany. Założeniem ustawodawcy jest zapewnienie ustawy o charakterze narzędziowym, która umożliwi elastyczne przyporządkowanie skutków prawnych dla poszczególnych rodzajów e-podpisu przez inne akty prawne z zakresu administracji lub gospodarki. W ustawie o podpisach elektronicznych skutki prawne nowych narzędzi powinny być uregulowane tylko w takim zakresie, w jakim jest to niezbędne z punktu widzenia dyrektywy lub nie budzi zasadniczych wątpliwości.

Funkcjonowanie usług certyfikacyjnych w obrocie prawnym przemawia za wprowadzeniem jedynie niezbędnych zmianach w odniesieniu do narzędzi dotychczas istniejących. W październiku 2008 r. było aktywnych ponad 160 tysięcy certyfikatów kwalifikowanych do składania bezpiecznego podpisu elektronicznego. Zrealizowanych zostało ok. 1.400.000 kwalifikowanych usług znakowania czasem. Względem uprzednio obowiązującej ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.) rozszerzone zostało pojęcie „podpisującego”, które obecnie obejmuje zarówno osoby fizyczne jak i inne podmioty, w tym także podmioty świadczące usługi certyfikacyjne. Wprowadzenie nowego narzędzia w postaci podpisu zaawansowanego usprawni obrót gospodarczy oraz pracę administracji publicznej w dziedzinach takich, jak m.in. faktury elektroniczne. Dotychczas jedynym prawnie uregulowanym rodzajem podpisu zaawansowanego w naszym kraju był bezpieczny podpis elektroniczny weryfikowany przy pomocy certyfikatu kwalifikowanego. Nowe definicje podpisującego, podpisu elektronicznego oraz podpisu zaawansowanego usuwają zawężenia istniejące w obecnie obowiązującej ustawie, względem definicji zawartych w art. 2 ust. 1 i 2 Dyrektywy Parlamentu Europejskiego i Rady z dnia 13.12.1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (99/93/WE). Analogiczne rozwiązanie w styczniu 2008 r. wprowadziła Republika Austrii, której ustawa o podpisie elektronicznym przewidywała jedynie „zwykły” oraz bezpieczny podpis elektroniczny składany z wyłączeniem osób prawnych. W obecnej ustawie utrzymane zostały podstawowe rodzaje usług certyfikacyjnych przewidzianych obowiązującymi przepisami. W przedmiotowej ustawie śladem rozwiązań austriackich odchodzi się od pojęcia bezpiecznego podpisu elektronicznego na rzecz jego odpowiednika w nomenklaturze wspólnotowej, którym jest podpis kwalifikowany.

Wprowadzenie definicji pieczęci elektronicznej (ang. „data stamping”- dosł. stemplowanie danych) ma na celu zapewnienia nowego narzędzia opartego o podpis zaawansowany podmiotu innego aniżeli osoba fizyczna oraz możliwego do składania w sposób zautomatyzowany. Pieczęć elektroniczna ma być generowana całkowicie automatycznie przez systemy informatyczne. W praktyce dotyczyć może takich czynności jak potwierdzanie faktu wpłynięcia dokumentów elektronicznych, potwierdzania przyjęcia zamówienia, generowania faktur elektronicznych. Pod względem algorytmu kryptograficznego pieczęć elektroniczna nie musi niczym się różnić od podpisu elektronicznego. Technologiczny wyróżnik pieczęci stanowić będzie szczególny rodzaj certyfikatu określanego mianem certyfikatu systemowego, którego odpowiednie pole informacyjne zawierać będzie informację, iż mamy do czynienia z pieczęcią elektroniczną. W zależności od potrzeb administracji oraz gospodarki zastosowanie i skutki prawne tego narzędzia regulowane będą innymi ustawami. Zakłada się, że pieczęć elektroniczna nie będzie umożliwiać spełnienia warunków formy pisemnej, choć może służyć dla zapewnienia integralności i autentyczności dokumentu (np. faktury elektronicznej) a także dla celów dowodowych.

Wprowadzonym nowym rodzajem podpisu elektronicznego jest podpis grupowy, zwany na gruncie niniejszej ustawy podpisem łącznym. Podpis łączny wywołuje skutki prawne zgodne z prawem do reprezentacji wynikającym z ustawy, umowy lub statutu. Podpis łączny składany jest w ten sposób, że każdy z podpisujących dysponuje własnymi kluczami prywatnymi (danymi do składania podpisu elektronicznego) i musi je zastosować. W zależności od stosowanego algorytmu, operacje te dokonywane mogą być równolegle - wtedy konieczne jest wykonanie pewnych operacji na otrzymanych wynikach w celu otrzymania ostatecznego podpisu, lub sekwencyjnie – wtedy ostatni z podpisujących otrzymuje ostateczny podpis łączny. Certyfikat atrybutów może w tym wypadku być wykorzystany dla zdefiniowania grupy i określenia prawa do reprezentacji łącznej. Dla potrzeb elektronicznych dokumentów tożsamości wprowadzony został podpis urzędowy weryfikowany przy pomocy certyfikatów urzędowych. Podpis tego rodzaju wprowadzony został m.in. w Austrii, gdzie jego stosowanie regulowane jest przez § 25 Abs. 1 E-Government Gesetz (E-GovG). Rozwiązania austriackie wskazują, że podpis urzędowy może być weryfikowany zarówno przez certyfikaty zwykłe, jak i certyfikaty kwalifikowane.

Na poziomie technicznym cechę wyróżniającą może stanowić odpowiedni unikalny identyfikator obiektu (tzw. OID). Szczegółowe wymogi w zakresie podpisów oraz certyfikatów urzędowych regulowane będą stosownym rozporządzeniem ministra właściwego do spraw informatyzacji. Obowiązująca dotychczas ustawa o podpisie elektronicznym, odmiennie od rozwiązań zawartych np. w ustawie austriackiej, nie zawierała instytucji elektronicznego datownika. Wprowadzana definicja elektronicznego datownika oparta została o pojecie czasu urzędowego i pozwala na jego wystawianie nie tylko podmiotom kwalifikowanym. Usługi takie powinny być świadczone na potrzeby wewnątrz administracyjne, takie jak m.in. obieg dokumentów elektronicznych. Nowa ustawa rozróżnia kwalifikowaną oraz niekwalifikowaną usługę znakowania czasem. Zwykła usługa znakowania czasem może być świadczona nie tylko przez podmioty kwalifikowane w oparciu o wybrane przez sam podmiot wiarygodne wzorce czasu. Kwalifikowana usługa znakowania czasem musi być świadczona wyłącznie przez podmioty kwalifikowane oraz w oparciu o wzorce czasu urzędowego. Brak powiązania datownika elektronicznego oraz zwykłego znakowania czasem z kwalifikowanymi podmiotami świadczącymi usługi certyfikacyjne wynika z potrzeby dopuszczenia m.in. organów publicznych do świadczenia usługi znakowania czasem z wykorzystaniem własnych systemów informatycznych (np. dla potrzeb przyjmowania deklaracji, podań, wniosków).

Konieczność potwierdzania czasu wnoszenia dokumentów za pomocą usług certyfikacyjnych oraz potwierdzania ważności certyfikatów w skali masowej przemawia za zapewnieniem alternatywy dla usług o charakterze komercyjnym. Proponowane rozwiązanie pozwoli na wykorzystanie istniejących centrów certyfikacyjnych administracji rządowej i samorządowej do szerszych zadań oraz obniżenie kosztów działalności państwa. Kwalifikowana usługa znakowania czasem może być świadczona wyłącznie przez kwalifikowane podmioty świadczące usługi certyfikacyjne przy wykorzystaniu urzędowego wzorca czasu. Wyłącznie kwalifikowana postać znakowania czasem wywoływać będzie skutki daty pewnej w rozumieniu kodeksu cywilnego.

Wprowadzenie do art. 2 definicji „zaawansowanego podpisu elektronicznego oraz zmiana definicji „bezpiecznego podpisu elektronicznego” (obecnie podpis kwalifikowany) pozwolą zrezygnować z definicji „poświadczenie elektroniczne” i „zaświadczenie elektroniczne”, a także pozwolą wyróżnić różne rodzaje podpisu elektronicznego opartego o infrastrukturę klucza publicznego. Art. 3 ust. 1 zastępuje dotychczas stosowane pojęcie zaświadczenia certyfikacyjnego pojęciem certyfikatu. Zmiana definicji „danych do weryfikacji podpisu elektronicznego” odzwierciedla okoliczność, że dane do weryfikacji podpisu elektronicznego pozwalają, oprócz identyfikacji podpisującego, zweryfikować inne istotne cechy podpisu (np. powiązanie podpisu z danymi do których został dołączony). Nowa definicja „urządzenia do składania podpisu elektronicznego” (art. 2 pkt 14) wprowadza zgodnie z analogiczną definicją zawartą w dyrektywie łącznik „lub” pomiędzy komponentem programistycznym i sprzętowym. Zniesiona zostaje zbędna definicja „bezpiecznego urządzenia służącego do weryfikacji podpisu elektronicznego”. Dyrektywa nie posługuje się pojęciem „bezpiecznych urządzeń do weryfikacji podpisu elektronicznego” odnosząc sformułowanie „bezpieczne urządzenia” jedynie do urządzeń generujących podpisy. Takie podejście posiada charakter zamierzony i wynika z technologii procesów generowania i weryfikacji. Dyrektywa mówiąc o urządzeniach wyraźnie odnosi to do dwóch odrębnych kategorii – oprogramowania lub sprzętu, nie łącząc ich. Poprawka zawarta w art. 2 pkt 16 nadaje pojęciu „urządzenie do weryfikacji podpisu” brzmienie zgodne z dyrektywą wspólnotową.

Nowa definicja certyfikatu zawarta w art. 3 ust. 1 konsumuje dotychczasowe pojęcia zaświadczeń i poświadczeń certyfikacyjnych. Pojęcie certyfikatu w świetle europejskich dokumentów standaryzacyjnych obejmuje zarówno certyfikat wydawany podpisującym jak i zaświadczenie certyfikacyjne. W sensie wymogów technicznych oba pojęcia są tożsame. Pojęcia zaświadczenia certyfikacyjnego” i „poświadczenia elektronicznego” nie występują w dyrektywie wspólnotowej i zamieszczenie ich w ustawie jest nadmiarowe.

W dotychczasowej koncepcji pola rozszerzeń certyfikatu kwalifikowanego mają dostarczać dodatkowych informacji na temat funkcji i uprawnień właściciela certyfikatu. Rozwiązanie to okazuje się drogie: podmiot kwalifikowany odpowiada za dane umieszczane w certyfikacie, wobec czego musi wdrożyć procedury sprawdzania dokumentów na podstawie których dokonuje wpisów. Czynności te są obarczone ryzykiem, które pośrednio podnosi koszty działalności certyfikacyjnej. Należy stwierdzić, że znacznie tańszym rozwiązaniem w obrocie jest posługiwanie się certyfikatami atrybutów. Certyfikat taki stanowi, że określona osoba (zidentyfikowana na przykład jako posiadacz pewnego klucza prywatnego) posiada określone uprawnienia. W odróżnieniu do systemu PKI, certyfikaty atrybutów powinny być wydawane przez osoby uprawnione do nadawania uprawnień a nie przez stronę trzecią jaką są podmioty certyfikacyjne. W sytuacji takiej uproszczeniu ulegają zarówno dokonywane czynności (np. Izba Adwokacka wydaje adwokatowi certyfikat atrybutu, zamiast wydawać mu zaświadczenie, na mocy którego adwokat uzyskuje odpowiedni wpis w certyfikacie kwalifikowanym), zmniejsza się liczba certyfikatów (ta sama osoba może być obecnie zmuszona do wyrabiania wielu certyfikatów ze względu na różne role, w jakich występuje), upraszcza się kwestie odpowiedzialności za dane umieszczane w certyfikacie.

Wprowadzona zmiana art. 4 precyzuje warunki jakie spełnione zostać muszą dla zrównania pod względem prawnym certyfikatów wydawanych przez podmiot zagraniczny z certyfikatami polskimi. Przepis w nowym brzmieniu rozróżnia uznawanie certyfikatów z państw Europejskiego Obszaru Gospodarczego obowiązanych do stosowania Dyrektywy 99/93/WE oraz tzw. krajów trzecich. Uszczegółowione zostały skutki udzielenia gwarancji za certyfikat zagraniczny. Wprowadzenie precyzyjnych uregulowań w zakresie uznawania zagranicznych podpisów elektronicznych sprzyjać będzie rozwojowi konkurencji na krajowym rynku usług certyfikacyjnych, gdyż możliwe będzie wykorzystywanie certyfikatów wydanych w innych państwach europejskich.

Wprowadzenie modyfikacji treści art. 6 ust.1 jest związane z innymi skutkami, które przypisywane są „elektronicznemu potwierdzaniu danych”. Nowa treść eliminuje spory w piśmiennictwie co do dopuszczalności i zakresu przeciwdowodu. Modyfikacja przepisów dotyczących znakowania czasem (art. 7) jest konsekwencją wprowadzenia nowych definicji w art. 2 oraz określenia skutków prawnych nowych instytucji tj. elektronicznego datownika i potwierdzenia ważności certyfikatu.

Dodanie ust. 4 do art. 9 wynika z tego, że podmiot kwalifikowany pełni rolę tzw. zaufanej strony trzeciej, a zatem nie powinien świadczyć usług certyfikacyjnych w sprawach, w których jest stroną. Wyjątek dotyczy czynności związanych z realizacją umowy o świadczenie usług certyfikacyjnych np. zamawiania nowego certyfikatu kwalifikowanego „on line” z użyciem „starego”.

Brzmienie art. 11 i 12 dostosowano do treści Załącznika II Dyrektywy, ponieważ poprzednie brzmienie przepisu formułowało wymagania nadmiarowe (np. szybkość wydawania certyfikatów). Nowe brzmienie rozciąga stawiane wymagania na wszystkie kluczowe systemy wykorzystywane do świadczenia usług certyfikacyjnych. Błędem poprzedniego sformułowania było na przykład nie objęcie nim tworzenia list certyfikatów unieważnionych, gdzie szczególnie powinno się dbać o ograniczenie dostępu wyłącznie do osób uprawnionych. Wymóg udostępniana wykazu bezpiecznych urządzeń do weryfikacji przewidziany w dotychczasowym nie znajdował pokrycia w Dyrektywie, natomiast należy informować o sposobie dokonywania bezpiecznej weryfikacji.

Zmiana art. 20 otwiera możliwość świadczenia innych niż przewidziane w ustawie usług certyfikacyjnych – stosownie do rozwoju technologii i rynku – bez konieczności oczekiwania na uprzednią regulację prawną. Przepis zapewnia zwiększenie innowacyjności i konkurencyjności podmiotów, które funkcjonują pod jurysdykcją polską. Praktyka ostatnich lat wskazuje, że tzw. usługi nienazwane z ustawy o podpisie elektronicznym posłużyły do wprowadzenia potrzebnych rynkowi usług. Niektóre z tzw. usług nienazwanych zostały wprowadzone jako usługi nazwane (certyfikaty atrybutów, potwierdzenie ważności certyfikatów).

Obecne brzmienie art. 11 ust. 1 ma za zadanie ograniczenie bardzo szerokiego zakresu odpowiedzialności podmiotów świadczących usługi certyfikacyjne do tych usług, co do których obowiązki podmiotów zostały zdefiniowane w ustawie. Dotychczasowe brzmienie używało bardzo szerokiego pojęcia usług certyfikacyjnych, obejmującego zgodnie z definicją z art. 3 wszelkie usługi związane z podpisem elektronicznym. Istnienie takiego przepisu w praktyce powoduje bardzo wysokie ryzyko działalności w takich obszarach i jest nieuzasadnione ekonomicznie. Poprawka ustala zakres odpowiedzialności w sposób zgodny z brzmieniem Dyrektywy.

Zaproponowane brzmienie art. 23 - 251 sprzyja zapewnieniu pewności obrotu z użyciem podpisu elektronicznego. Zgodnie z dotychczasowym brzmieniem art. 16 każda umowa o świadczenie usług certyfikacyjnych musiała być zawarta na piśmie pod rygorem nieważności. Wymaganie to było bezprzedmiotowe w odniesieniu do certyfikatów „zwykłych”.

Oprócz opracowania polityki certyfikacji istotne jest również jej przestrzeganie, do czego nie zobowiązywała podmiotów poprzednia treść przepisu. Ponadto wskazane jest, zgodnie z przyjętą praktyką, aby certyfikaty o różnym przeznaczeniu wystawiane były w oparciu o różne polityki certyfikacji. Dlatego proponuje się usunięcie ograniczenia tylko do jednej polityki certyfikacji.

Art. 27 stanowi uzupełnienie do pełnego brzmienia Załącznika I do Dyrektywy UE i ma na celu zapewnienie zgodności certyfikatów tworzonych w Polsce i w Unii Europejskiej.

Projekt ustawy o podpisach elektronicznych został oparty na założeniu utrzymania krajowego urzędu certyfikacyjnego (czyli tzw. roota centralnego). Obowiązek posiadania roota nie wynika bezpośrednio z dyrektywy. Model krajowej infrastruktury klucza publicznego z centralnym rootem upraszcza rozpoznawanie zaufanych certyfikatów za granicą przez wskazanie tylko tego roota zamiast wielu lokalnych certyfikatów samopodpisanych. Oprócz rejestru wprowadzona zostanie czytelna maszynowo lista urzędów, która mogłaby być realizowana przy zastosowaniu najnowocześniejszego standardu ETSI TS 102 204 (Trusted Services List). Konsekwencją wprowadzenia listy podmiotów świadczących usługi certyfikacyjnych jest wprowadzenie delegacji do wydania aktu wykonawczego przewidzianego w art. 36 ust. 2.

W chwili przygotowania projektu ustawy rozpoczęte zostały prace wspólnotowe zmierzające do zapewnienia jednolitych wymogów w zakresie sposobu publikacji i ochrony listy podmiotów kwalifikowanych lub akredytowanych. Natomiast w art. 36 ust. 3 usunięte zostało kontrowersyjny zapis o możliwości umieszczania w rejestrze wszystkich danych uzyskanych w toku postępowania w sprawie o dokonanie wpisu (część tych danych ma charakter poufny, część może podlegać ochronie zgodnie z odrębnymi przepisami). Brzmienie art. 38 jest konsekwencją uchwalenia nowej ustawy – Prawo upadłościowe i naprawcze.

Art. 55 rozciąga sankcje karne na nieuprawnione składanie podpisów elektronicznych w imieniu podmiotu świadczącego usługi certyfikacyjne, co dotychczas nie było zagrożone odpowiedzialnością karną w myśl tego artykułu.

Projekt ustawy, jako dotyczący usług społeczeństwa informacyjnego podlegać będzie notyfikacji w ramach systemu przewidzianego dyrektywą wspólnotową 98/34/WE.