przypominamy pracę dyplomową na temat społeczeństwa informacyjnego
Polska ustawa o podpisie elektronicznym [1] jest wynikiem wielomiesięcznych prac nad projektami poselskim i rządowym oraz stanowi próbę dostosowania do uregulowań europejskich – m.in. Dyrektywy o wspólnotowej infrastrukturze podpisów elektronicznych i Ustawy Modelowej UNICTRAL o podpisach elektronicznych.
Ustawa reguluje szereg zagadnień związanych tematyką podpisu elektronicznego, m.in. ustala jego legalną definicje, warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi. W słowniczku do ustawy znajdują się dwadzieścia dwie definicje, co na tle unijnej Dyrektywy o wspólnotowej infrastrukturze podpisów elektronicznych (jest w niej tylko trzynaście pojęć) wydaje się zabiegiem zbytecznym. „Definicje w ustawie sformułowano w sposób zwiły. (..) Porównując tekst ustawy choćby do Dyrektywy o podpisie elektronicznym, widać, iż można było użyć prostszych określeń na potrzeby ustawy, a zwłaszcza nie tworzyć niepotrzebnych bytów, jak choćby poświadczenie elektroniczne.”[2]
Art. 3 pkt. 1 ustawy wprowadza legalną definicję podpisu elektronicznego – są to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. Stąd aby można było mówić o podpisie elektronicznym muszą być spełnione dwie przesłanki:[3]
- istnieją dane w postaci elektronicznej,
- są one dołączone do innych danych lub logicznie z nimi powiązane i mają razem służyć do identyfikacji osoby składającej podpis.
Natomiast definicji „danych w postaci elektronicznej” w polskim ustawodawstwie nie ma. Wyjaśnienia tego pojęcia na gruncie prawa cywilnego podjął się Z. Radwański, według którego wiąże się ono z oświadczeniem woli ujawnionym w postaci elektronicznej oznaczającym „fale elektromagnetyczne związane z ruchem elektronów lub fale świetlne mogą służyć za środek przekazywania informacji, jeżeli są tak zakodowane, że można ustalić, jakie treści myślowe komunikują oraz od kogo one pochodzą.”
Ustawa o podpisie elektronicznym wprowadza bardzo istotne z punktu widzenia praktyki, rozgraniczenie podpisu elektronicznego na podpis elektroniczny (zwany zwykłym) oraz bezpieczny podpis elektroniczny, będący jego kwalifikowaną postacią. Podpis taki musi spełniać następujące warunki:
1. Musi być przyporządkowany wyłącznie do osoby fizycznej składającej go, co oznacza, że musi zapewnić potwierdzenie tożsamości podpisującego bądź identyfikować go przez jego jednoznaczny i rozpoznawalny pseudonim;
2. Musi być sporządzany za pomocą bezpiecznych urządzeń służących do składania podpisu elektronicznego podlegających wyłącznej kontroli osoby składającej go oraz przy pomocy danych służących do składania podpisu elektronicznego (np. klucza prywatnego charakterystycznego dla podpisów cyfrowych);
3. Musi być powiązany z danymi, do których został dołączony, w sposób pozwalający rozpoznawać późniejsze zmiany tych danych, a zatem pozwalający na zabezpieczenie podpisywanej wiadomości elektronicznej. Jest to tzw. funkcja integralności danych. Nie oznacza to jednak konieczności zabezpieczenia danych przed modyfikacją (np. przez szyfrowanie).
Takie określenie sprawy przyczynia się opóźnienia wdrażania ustawy o podpisie elektronicznym do życia codziennego. Bowiem „aby uzyskać bezpieczny podpis elektroniczny, trzeba podpisać stosową umowę z jedną z czterech firm certyfikujących [obecnie już tylko trzy – więcej informacji na stronie signet.pl]. Są to Krajowa Izba Rozliczeniowa, świadcząca usługi podpisu elektronicznego pod marką Szafir, Unizeto (pod marka Centrum), Państwowa Wytwórnia Papierów Wartościowych (pod marką Sigillium) oraz TP Internet (pod marka Signet). Należy ponadto kupić zestaw, złożony ze sprzętu i oprogramowania. Taki zestaw to wydatek rzędu kilkuset złotych.”[4] [5] Natomiast ustawa o podpisie elektronicznym wyraźnie wskazuje aby poświadczenie czynności prawnej było skuteczne musi obyć się przy użyciu podpisu kwalifikowanego. Z tego też względu trudno wyobrazić sobie sytuację w której, aby każdy obywatel mógł korzystać z usług elektronicznej administracji musiałby wcześniej ponieść duży wydatek finansowy.
Ustawa o podpisie elektronicznym wprowadza także pojęcie certyfikatu, który stanowi elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby. Certyfikat może zostać wydany włącznie osobie fizycznej, albowiem skutki prawne oświadczenia składanego z użyciem podpisu elektronicznego muszą być przypisane do konkretnej osoby fizycznej. Certyfikat jest wydawany na podstawie umowy o wydanie certyfikatu.[6]
Obecnie w Polsce funkcjonuj ą trzy wymienione już centra certyfikacji, albowiem TP Internet (Signet) zakończyło swoją działalność 30 czerwca 2006 roku jako centrum kwalifikowane, wpisane do rejestru podmiotów świadczących kwalifikowane usługi certyfikacyjne, prowadzonego przez ministra właściwego ds. podpisu elektronicznego (obecnie Ministra Gospodarki). Zasadniczym problemem, z jakim muszą się zmagać centra, jest mnogość niekompatybilnych formatów podpisu elektronicznego. „W chwili obecnej każda firma ma swój format – i swoją aplikację, podmiot chcący przyjmować podpisy wszystkich trzech firm musi zainstalować trzy, częściowo kolidujące programy.”[7] [8] W naturalny sposób stanowi to kolejny problem na drodze upowszechniania podpisu elektronicznego a tym samym możliwości załatwiania spraw administracyjnych przez Internet. Działa to też w drugą stronę, ponieważ „rynek podpisu elektronicznego rozwinie się w pełni dopiero wtedy, gdy administracja publiczna wprowadzi systemy informatyczne wpierające jego zastosowanie – mówi Andrzej Ruciński, Dyrektor Rozwoju i Członek Zarządu Unizeto Technologies SA.” Zgodnie z przyjętą 21 lipca 2002 r. przez Sejm RP nowelizacją ustawy o podpisie elektronicznym, administracja publiczna będzie miała obowiązek przyjmować dokumenty elektroniczne od maja 2008 roku. Do tego czasu zarówno administracja jak i centra certyfikacyjne będą musiały dokonać zmian zakresie funkcjonowania podpisu elektronicznego. Służyć temu będzie m.in. stworzenie jednego, akceptowanego przez wszystkie systemy formatu podpisu elektronicznego. Podjęto już pierwsze kroki celem rozwiązania problemu.
„Polskie centra certyfikacji powołały nieformalny zespół roboczy, którego zadaniem będzie zaadaptowanie międzynarodowej normy XAdES (ETSI TS 101 903) na potrzeb polskich standardów podpisu elektronicznego. (..) Standard XHdES jest międzynarodowym standardem podpisu elektronicznego przeznaczonym dla dokumentów XML oraz przystosowanym do podpisu weryfikowanego certyfikatami kwalifikowanymi. W Europie XHdES jest już m.in. w Austrii oraz Estonii, w krajach zaawansowanych w implementacji podpisu elektronicznego w administracji.”
[1] Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U. Nr. 130, poz. 1450 ze zm.)
[2] Art. 1 ustawy o podpisie elektronicznym
[3] M. Butkiewicz, op. cit. s. 24
[4] Z. Radwański, „Elektroniczna forma czynności prawnej”, Monitor Prawniczy 2001, nr 22, s. 1110-1111
[5] K. Olszewska, „Podpis elektroniczny – wygoda dla bogaczy?”, (biznesnet.pl/a/9198/Podpis-elektroniczny—wygoda-dla-bogaczy?)
[6] Art. 14 ustawy o podpisie elektronicznym
[7] P. Krawczyk, „Centra certyfikacji wspierają e-POLTAX i… otwarte standardy”, (security.computerworld.pl/news/97570.html)
[8] P. Krawczyk, op. cit.