Podpis elektroniczny – nowy projekt ustawy

Kika dni temu na stronach Ministerstwa Gospodarki ukazał się projekt ustawy o podpisach elektronicznych. Wprowadzone zmiany w stosunku do wersji z 28-go października są dość istotne. Patrząc na ostatnią wersję projektu nasuwa mi się kilka spostrzeżeń i uwag:

1. Duży wpływ na projekt nowej ustawy miał The Austrian E-Government Act. Dobrze że rząd bierze przykład ze sprawdzonych rozwiązań i nie wprowadza na siłę „własnych rozwiązań”.
2. Można zauważyć że Ministerstwo Gospodarki (wraz z MSWiA?) wpadło na pomysł jak wykorzystać dowód elektroniczny pl.ID jako nośnik e-podpisu. „Dla potrzeb elektronicznych dokumentów tożsamości wprowadzony został podpis urzędowy weryfikowany przy pomocy certyfikatów urzędowych.” Obecnie cena wydania certyfikatu bezpiecznego podpisu elektronicznego wynosi od 160 do 220 złotych, a jego roczne uaktualnienie od 90 do 95 złotych. To główny hamulec rozpowszechnienia się usług wykorzystujących e-podpis. Jeśli więc podpis urzędowy będzie darmowy i znajdzie się od razu na każdym dowodzie to jest szansa na jego wykorzystanie w szerszej skali.
3. Projekt wprowadza większą ilość, lepiej dopasowanych e-podpisów co powinno skutkować obniżeniem ich ceny. Przykładem nowego rodzaju podpisu elektronicznego może być podpis urzędowy. „Ustawa przewiduje rozszerzenie listy usług certyfikacyjnych, a zwłaszcza katalogu dostępnych rodzajów podpisu elektronicznego, co umożliwi lepsze dostosowanie narzędzi oraz ich ceny do potrzeb administracji publicznej oraz przedsiębiorców.”
4. W projekcie ustawy śladem rozwiązań austriackich odchodzi się od pojęcia bezpiecznego podpisu elektronicznego na rzecz jego odpowiednika w nomenklaturze wspólnotowej, którym jest podpis kwalifikowany (qualified aignature). Czyli w okresie przejściowym będziemy mieli pojęcia równoznaczne: bezpieczny podpis elektroniczny = podpis kwalifikowany.
5. Dziwny jest trochę zapis art. 2 pkt 15 „Bezpieczne urządzenie do składania podpisu elektronicznego jest to urządzenie do składania podpisu elektronicznego, spełniające wymogi dyrektywy 1999/93/WE i ogólnie uznane normy ustalone na podstawie art. 10 tej dyrektywy oraz uznane za takie przez Agencję Bezpieczeństwa Wewnętrznego lub właściwy podmiot w państwie obowiązanym do stosowania tej dyrektywy (bezpieczne urządzenie).” Przecież dyrektywa definiuje twór prawny, a nie techniczny! Zapewne ukaże się rozporządzenie do ustawy, które będzie opisywać jakie są wymagania dotyczące bezpiecznego urządzenia do składania podpisu elektronicznego (SSCD Secure Signature-Creation Device).

ZAŁĄCZNIK III – Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE

Wymogi dotyczące bezpiecznych urządzeń służących do składania podpisu elektronicznego

1. Bezpieczne urządzenia służące do składania podpisów muszą przez właściwe środki techniczne i proceduralne zapewnić co najmniej, że:

a) dane użyte do złożenia podpisu praktycznie stykają się tylko raz oraz zapewniona jest ich poufność w rozsądny sposób;

b) można mieć wystarczającą pewność, że dane służące do składania podpisu użyte do złożenia podpisu nie mogą, być pozyskane poprzez dedukcję oraz podpis jest chroniony przed fałszowaniem za pomocą aktualnie dostępnej technologii;

c) dane użyte do złożenia podpisu mogą być chronione przez uprawnionego podpisującego przed użyciem przez innych w sposób godny zaufania.

2. Bezpieczne urządzenia służące do składania podpisu nie mogą zmieniać danych które mają być podpisane ani nie mogą uniemożliwiać, by dane te zostały przedstawione podpisującemu przed złożeniem podpisu.

CDN.

Warto zobaczyć:

http://www.piit.org.pl/piit2/index.jsp?place=Lead02&news_cat_id=19&news_id=4268&layout=2&page=text

http://www.id.ee/?lang=en