Dlaczego ustawa o e-podpisach nadal nie została uchwalona

Ministerstwo Gospodarki przygotowało "dużą nowelizację" obecnie obowiązującej ustawy o podpisie elektronicznym poprzez wprowadzenie nowej "ustawy o podpisach elektronicznych.

Kształt nowelizacji

Zasadność samej zmiany obecnej ustawy nie budzi większych sprzeciwów wśród ekspertów, natomiast rodzaj argumentów przemawiających za zmianą oraz zakres samej zmiany są przedmiotem ostrych sporów. Niektórzy utrzymują, że zmiana ustawy jest niezbędna, gdyż jej aktualne zapisy są całkowitym nieporozumieniem, niezgodne z regulacjami UE i ustawa ta odpowiada za to, że e-administracja tak naprawdę w Polsce jeszcze raczkuje. Takie stanowisko jest często przyjmowane przez różnorodne grupy, wśród których są i decydenci z obszaru e-administracji. Pozwala ono na wskazanie winnego swojej nieudolności. Nie jest zamiarem niniejszego artykułu wdawać się w spór, czy ustawa jest podstawowym hamulcem cyfryzacji administracji. Aczkolwiek trzeba powiedzieć, że pod rządami tego złego prawa można było wprowadzić ePIT-y - tylko trzeba było chcieć.

Wracając do tytułu niniejszego artykułu, trzeba stwierdzić, że podczas prac parlamentarnych doszło do sytuacji, w której Ministerstwo Gospodarki postulowało rozwiązania zgodne z normami i standardami UE. Posłowie (koalicji?!) postanowili natomiast podzielić pogląd, że zgodność z normami nie jest najważniejsza. Jest wręcz "hamulcem postępu" i w związku z tym trzeba tę ustawę radykalnie zmienić na rzecz rozwiązań nietypowych. Przykładem jest tzw. podpis z mediatorem, który pasował do uchwalonej parę miesięcy wcześniej ustawy o dowodach osobistych. Okazało się jednak, że "mediator", jako rozwiązanie nietypowe, nastręcza szereg problemów. Jednym z nich jest taki, że aktualnie dostępne technologie podpisów elektronicznych (karty elektroniczne) z najwyższej półki, czyli najbardziej bezpieczne, nie pozwalają na jego zastosowanie.

Niemożność zastosowania najnowszych technologii do "podpisu z mediatorem" była jednym z powodów (oczywiście niejedynym), dla których MSWiA zrezygnowało z "mediatora". Latem 2011 r. resort dokonał nowelizacji ustawy o dowodach osobistych, usuwając wszelkie zapisy związane z technologią mediatora. W tym momencie wracamy do prac parlamentarnych nad ustawą o podpisach. Posłowie zadeklarowali, że wg nich rezygnacja z pewnych zapisów z ustawy o dowodach nie była dobrym rozwiązaniem. Dlatego poprzez ustawę o podpisach de facto postanowili przywrócić rangę (i prawdopodobnie zakres) podpisu "z mediatorem". Na to strona rządowa - z oczywistych powodów - nie chciała się zgodzić. Efekt był taki, że po kilku miesiącach prac w podkomisji i nieznacznej modyfikacji stanowiska poselskiego ostatecznie nie doszło do kolejnego czytania projektu ustawy. Posłowie nie chcieli bowiem w żaden sposób zgodzić się na kształt ustawy o podpisach, który byłby zgodny z decyzją Komisji nr 511 z dnia 14 lipca 2003 r. ("COMMISSION DECISION of 14 July 2003 on the publication of reference numbers of generally recognised standards for electronic signature products in accordance with Directive 1999/93/EC of the European Parliament and of the Council" (2003/511/EC).

Tymczasem Komisja ustanowiła szereg wymagań dla podmiotów świadczących usługi certyfikacyjne oraz wymagań dla producentów bezpiecznych urządzeń dla podpisów elektronicznych. Strona poselska przedstawiała argumenty, iż zgodność ta nie jest potrzebna albo może być dobrowolna. "Dobrowolność" była rozumiana w ten sposób, że podmiot, który stosuje się do wymagań decyzji oferuje rozwiązania, które w świetle prawa są "wiarygodnymi" podpisami elektronicznymi. Inny podmiot ma natomiast te same prawa, czyli jego rozwiązania są równie wiarygodne, ale nie musi spełniać wymagań decyzji 511. Gdzie tu równość wobec prawa i logika?

Wskazania unijne

Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych, której implementacją w prawie polskim jest ustawa o podpisie elektronicznym, jest obecnie przedmiotem nowelizacji w UE. W związku z tym zasadnym jest poczekanie z nową ustawą (ewentualnie z nowelizacją) kilka miesięcy do czasu uchwalenia nowej dyrektywy. Jednak w ciągu ostatnich kilku lat w UE wprowadzono szereg regulacji w obszarze podpisu elektronicznego w oparciu o dyrektywę usługową. Kładzie się w nich nacisk na osiągnięcia transgranicznej interoperacyjności procedur elektronicznych w oparciu o podpisy z certyfikatem kwalifikowanym. Jak dotychczas Unia postawiła na dwa rodzaje podpisu: "kwalifikowany" podpis elektroniczny (QES - ang. Qualified Electronic Signature) i "zaawansowany" podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (ang. AES based on QC - Advanced Electronic Signature based on Qualified Certificate). Jednocześnie sprecyzowała format dopuszczalnych podpisów, profil kwalifikowanego certyfikatu czy listę dopuszczalnych algorytmów kryptograficznych.

Znaczną część tych nowych regulacji można zaimplementować poprzez nowelizację rozporządzenia Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz.U. nr 128, poz. 1094). Do realizacji takiego scenariusza zachęca Ministerstwo Gospodarki.

Piotr Popis

Autor jest pracownikiem Enigma SOI. Jest współautorem projektu obecnie obowiązującej ustawy o podpisie elektronicznym i rozporządzeń wykonawczych. Brał udział z ramienia strony społecznej (PIIiT) w pracach nad ustawą o podpisach elektronicznych