Unijne normy nie ułatwiają porządkowania polskich przepisów

Europejska Agenda Cyfrowa zawiera zapowiedź zmian w dyrektywie o podpisie elektronicznym. Komisja Europejska zapowiedziała m.in. przyjrzenie się dyrektywie 1999/93/EC "w celu stworzenia ram prawnych dla transgranicznego uznawania i interoperacyjności bezpiecznych systemów e-uwierzytelniania". Pewne jest jedno - nie dojdzie do tego zbyt szybko.

Przegląd i nowela

Zapowiedzi Komisji Europejskiej mogą w praktyce oznaczać nowelizację dyrektywy i poprawienie lub uściślenie niektórych jej sformułowań. Te bowiem stały się w krajach unijnych, zwłaszcza w Niemczech, przedmiotem niezliczonych intepretacji, raportów i analiz, za które eksperci kasują niemałe sumy. Z dotychczasowych prac wynika, że nowy kształt dyrektywy niewiele zmieni. Kwestie interpretacyjne różnych kluczowych sformułowań (np. słynnego "sole control of the owner" - sformułowanie to odnosi się do koncepcji "wyłącznej kontroli właściciela") nie są tu bowiem głównym problemem. Problemem jest brak w dyrektywie koncepcji, do czego podpis elektroniczny w ogóle ma służyć, który powoduje, że rozwiązania prawne i techniczne odwołujące się do przepisów dyrektywy mogą się równie dobrze nadawać do wszystkiego, jak do niczego.

Plan Komisji Europejskiej przewiduje na 2011 rok "dokonanie przeglądu". Oznacza to, że zmiany w dyrektywie mogą zostać ogłoszone dopiero około roku 2015, a przyjęcie nowych przepisów przez systemy prawne w poszczególnych krajach unijnych potrwa następne pięć lat. Trudno sądzić, że po roku 2020 ktokolwiek będzie wciąż zainteresowany odkurzonymi pomysłami na unijną wszechstronną architekturę elektronicznego podpisu. Zwłaszcza gdy weźmie się pod uwagę fakt szybkiego wprowadzania w użycie całkiem niezłych rozwiązań, które są tworzone w odpowiedzi na pojawiające się w różnych branżach potrzeby zastosowania jakiejś formy elektronicznego uwierzytelnienia. Są one tworzone bez oglądania się na wskazania płynące z obowiązujących przepisów, np. bankowość elektroniczna i jej klienci od dawna i całkiem nieźle radzą sobie w tym zakresie bez wskazań Komisji Europejskiej.

Zastosowanie przepisów

Komisji Europejskiej lepiej wychodzi prostowanie konkretnych problemów niż próby zaspokajania potrzeb określonych grup interesów. Przykładem jest choćby decyzja C(2009) 7806 w sprawie "pojedynczych punktów kontaktowych". Niektóre ośrodki oferujące kwalifikowany podpis elektroniczny chwaliły się nią jako potwierdzeniem zaakceptowania przez kraje unijne ich elektronicznego podpisu kwalifikowanego. Tymczasem dokument ten wyraźnie stawia granicę między procesami o różnych poziomach bezpieczeństwa i wskazuje na podpis kwalifikowany jako na rozwiązanie, które powinno być stosowane wyłącznie tam, gdzie "niezbędny jest wysoki poziom bezpieczeństwa". W niemal każdym zdaniu tego dokumentu występuje też wskazanie, że podpis elektroniczny może być składany z bezpiecznym urządzeniem lub bez niego. Możliwość takiej alternatywy była do tej pory mocno kontestowana przez niektóre ośrodki oferujące podpis kwalifikowany.

● W prawie wspólnotowym skutki prawne podpisu elektronicznego są przedmiotem regulacji dyrektywy o wspólnotowej infrastrukturze podpisów elektronicznych (dyrektywa 1999/93/EC).

● Podpis elektroniczny - czyli deklaracja tożsamości autora, złożona w formie elektronicznej pod dokumentem. Może to być np. podpis pod e-mailem lub zeskanowany podpis odręczny wklejony w dokument PDF.

● Zaawansowany (bezpieczny) podpis elektroniczny - czyli podpis, który za pomocą odpowiednich środków technicznych (kryptograficznych) jest jednoznacznie i w sposób trudny do sfałszowania związany z osobą uprawnioną do posługiwania się tym rozwiązaniem. Kategoria ta odnosi się do większości systemów tradycyjnie nazywanych podpisem elektronicznym i wykorzystujących różne algorytmy kryptograficzne dla zapewnienia bezpieczeństwa posługiwania się tym rozwiązaniem.

● Kwalifikowany podpis elektroniczny - czyli taki podpis zaawansowany, który został złożony za pomocą certyfikatu kwalifikowanego oraz przy użyciu bezpiecznego urządzenia do składania podpisu (SSCD). Od strony technicznej ten rodzaj podpisu elektronicznego jest realizowany za pomocą mechanizmów podpisu cyfrowego.

● identyfikacyjną,

● dowodową,

● kontraktową.

Maciej Dłużewski