Nowelizacja ustawy o podpisie elektronicznym

Pod koniec listopada został przekazany do konsultacji społecznych projekt nowej ustawy o podpisie elektronicznym (wraz z uzasadnieniem i oceną jej skutków).

Opinię na temat ustawy przygotowały między innymi:

• Polska Izba Informatyki i Telekomunikacji
• Polskie Towarzystwo Informatyczne

Należy zauważyć, że Ustawa wprowadza wiele nowych bytów bez jakiegokolwiek ich umocowania prawnego. W efekcie będzie funkcjonować kilka nowych rodzajów certyfikatów i nikt nie będzie w stanie stwierdzić, który z nich do czego służy (przypomnijmy sobie problemy wynikłe z powodu dopuszczenia do stosowania różnych formatów podpisu elektronicznego). Moim zdaniem spowoduje to znaczne skomplikowanie i tak niełatwego procesu informatyzacji w Polsce. Uważam, że ustawa powinna raczej iść w kierunku uproszczenia e-podpisu (poprzez obniżanie wymagań) oraz analizy ryzyka, czyli określenia, kiedy w ogóle należy stosować podpis elektroniczny, a kiedy wystarczy np. hasło lub lista kodów jednorazowych (patrz: banki).

Dlatego postulowałbym zdefiniowanie w ustawie jedynie dwóch rodzajów podpisu, niezależnie od tego, czy składa go osoba fizyczna, czy inny podmiot:

1. niekwalifikowany - złożony przy pomocy dowolnego certyfikatu, uznawany na podstawie umowy między stronami;
2. kwalifikowany - złożony przy pomocy certyfikatu wystawionego przez podmiot odpowiadający finansowo za prawdziwość zamieszczonych w nim danych, i wiążący z mocy prawa.

Zauważmy, że wymagania dotyczące stosowanych aplikacji podpisujących nie są w takiej ustawie konieczne. Można przyjąć, że za wykorzystane oprogramowanie odpowiada użytkownik i to on decyduje, czy proces podpisywania jest realizowany w sposób bezpieczny (w praktyce przerzucenie takiej odpowiedzialności na autora oprogramowania to fikcja, bo nie ma on żadnego wpływu np. na ilość wirusów znajdujących się na komputerze podpisującego). W ten sposób można by wykorzystywać do podpisywania zarówno program pocztowy, jak i dedykowane aplikacje podpisujące. Trzeba tu przyznać, że nowa ustawa, wprowadzając wymóg certyfikowania tzw. 'bezpiecznego urządzenia' przez ABW, wprowadza tutaj znaczne utrudnienia. Obecny poziom rozwoju rynku i ilość dostępnych bezpiecznych urządzeń powinny jednak chyba raczej prowadzić do pobudzania rynku poprzez deregulację, a nie jego ograniczania i regulowania.

Można wymagać, by w podpisanym dokumencie (lub w strukturze podpisu, choć moim zdaniem ze względów usability lepsze jest wpisywanie tego wprost w dokumencie) był zaznaczony powód złożenia podpisu - w ten sposób można zaspokoić potrzebę stworzenia bytów typu 'pieczęć elektroniczna' (na przykład napis na e-fakturze faktura została podpisana elektronicznie w celu potwierdzenia jej źródła pochodzenia i nie zmienionej treści).

Podsumowując, moim zdaniem najlepszym sposobem na wsparcie procesu informatyzacji byłaby liberalizacja istniejących przepisów. Nowa wersja ustawy o e-podpisie odpowiedniego stopnia liberalizacji nie zapewnia; zamiast tego wprowadza dodatkowy chaos pojęciowy i terminologiczny.