Zagraniczne certyfikaty kwalifikowane w Polsce

2008-02-08 00:00:00 +0000


Jednym z celów Dyrektywy 1999/93/WE była wzajemna uznawalność kwalifikowanego podpisu elektronicznego w całej Unii Europejskiej. Pomijając kwestie niekompatybilności formatów, pozostaje jeszcze kwestia uznawalności certyfikatu kwalifikowanego. Artykuł 4 polskiej ustawy wprowadza równoważność zagranicznych certyfikatów z polskimi, ale jak to wygląda w praktyce?

Dyrektywa nakazuje Państwom Członkowskich uznawanie certyfikatów kwalifikowanych wystawionych w innych Państwach w artykule 4:

Reguły rynku wewnętrznego

1. Każde Państwo Członkowskie stosuje przepisy krajowe, wydane na mocy niniejszej dyrektywy, do mających siedzibę na ich terytorium podmiotów świadczących usługi certyfikacyjne i ich usług. Państwa Członkowskie nie mogą ograniczać świadczenia usług certyfikacyjnych pochodzących z innego Państwa Członkowskiego w dziedzinach objętych niniejszą dyrektywą.

2. Państwa Członkowskie zapewnią, że produkty podpisu elektronicznego, spełniające wymogi niniejszej dyrektywy, znajdują się w swobodnym obrocie na rynku wewnętrznym

W Dyrektywie jest jeszcze obszerny artykuł 7, który reguluje uznawalność certyfikatów wystawionych poza Wspólnotą Europejską. Kompilację tych dwóch zapisów Dyrektywy (art. 4 i 7) stanowi artykuł 4 polskiej ustawy o podpisie elektronicznym (Dz.U.01.130.1450), który zaczyna się tak:

Certyfikat wydany przez podmiot świadczący usługi certyfikacyjne, niemający siedziby na terytorium Rzeczypospolitej Polskiej i nieświadczący usług na jej terytorium, zrównuje się pod względem prawnym z kwalifikowanymi certyfikatami wydanymi przez kwalifikowany podmiot świadczący usługi certyfikacyjne, mający siedzibę lub świadczący usługi na terytorium Rzeczypospolitej Polskiej (...)

Rzecz w tym jednak, że w wykropkowanym miejscu występuje jeszcze słowo "jeżeli", a za nim wyliczany jest szereg warunków, które musi spełnić taki certyfikat by został uznany za "równoważny".

Zanim przejdę do ich omówienia, napiszę po co w ogóle takie warunki są potrzebne. Wydawać by się mogło, że skoro jednym z celów istnienia Unii jest m.in. ułatwienie obrotu gospodarczego i ujednolicenie pewnych pojęć prawno-biznesowych to wystarczyłoby wprowadzić pełną uznawalność certyfikatów wystawionych w Unii jako kwalifikowane. Niestety, tego ujednolicenia wcale nie ma.

Po co dzisiaj ograniczenia?

Na podstawie jednej Dyrektywy w dwudziestu pięciu Państwach Członkowskich powstało dwadzieścia pięć ustaw, wprowadzających do krajowego prawa kwalifikowany podpis elektroniczny oraz pojęcia "kwalifikowanego certyfikatu" czy "bezpiecznego urządzenia". Problem polega na tym, że praktycznie w każdym kraju definicje tych pojęć są różne i wprowadzają różne wymagania prawne oraz techniczne.

Wiele różnic dotyczy na przykład bezpiecznego urządzenia. W prawie polskim określa je obszerne rozporządzenie o warunkach technicznych, wprowadzające surowe wymagania wobec zarówno karty kryptograficznej jak i oprogramowania. W niektórych krajach - np. w Niemczech - te wymagania są jeszcze surowsze (SigG, SigV plus interpretacje AIS). W niektórych krajach są o wiele bardziej liberalne (Czechy), a w niektórych - np. w Danii, jeśli wierzyć moim duńskim informatorom - w ogóle nie reguluje się kwestii technicznych poza ogólnymi wymaganiami funkcjonalnymi zapisanymi w ustawie.

W praktyce oznacza to, że "podpis kwalifikowany" w rozumieniu prawa niemieckiego nie jest tym samym co "podpis kwalifikowany" w rozumieniu prawa polskiego czy duńskiego. Różnice są nieznaczne, ale dość istotne np. w kwestii mocy dowodowej podpisu kwalifikowanego. Raczej nie widać szans na ujednolicenie tych definicji, bo każde z Państw ma jakieś argumenty przemawiające za swoją interpretacją Dyrektywy. Państwa, które wybrały "model restrykcyjny" mówią o bezpieczeństwie, te które wybrały "model liberalny" - o swobodzie obrotu gospodarczego.

Stąd też zrozumiałe jest, że państwa w których wymagania są bardziej restrykcyjne, a certyfikaty są droższe, nie mają specjalnej ochoty na dopuszczanie do stosowania certyfikatów z krajów, które wystawiają je nieco mniej bezpiecznie ale i taniej. Czy też "taniej, ale i mniej bezpiecznie", zależy co komu bardziej leży na duszy...

Zagraniczny certyfikat zgodny z polską ustawą?

Artykuł 4 polskiej ustawy nakłada szereg ograniczeń na uznawalność certyfikatów wystawionych za granicą. Podkreślam, że nie jestem prawnikiem i mogę się mylić (chciałbym by tak było), ale literalne brzmienie artykułu 4 prowadzi do wniosku że teoretycznie uznawalność jest, ale praktycznie jej nie ma. A konkretnie:

1) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne

Nasuwa się pytanie: do jakiego rejestru? Bo jeśli do rejestru w swoim kraju, to nie ma problemu. Niestety, artykuł 27 ustawy mówi jednoznacznie że rejestr jest prowadzony przez ministra właściwego do spraw gospodarki, co sugeruje raczej że spełnienie tego punktu wymagałoby wpisania np. irlandzkiego centrum certyfikacji do rejestru prowadzonego przez polskiego ministra, co brzmi cokolwiek absurdalnie. Jeśli tak, to jest to brak konsekwencji, bo w kilku innych miejscach ustawa mówi np. o wskazywaniu miejsca wystawienia certyfikatu, co sugeruje że ustawodawca brał pod uwagę że może on być wystawiony poza Polską.

Czytajmy dalej:

3) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, spełnia wymagania ustawy i została mu udzielona akredytacja w państwie członkowskim Unii Europejskiej,
4) podmiot świadczący usługi certyfikacyjne, mający siedzibę na terytorium Wspólnoty Europejskiej spełniający wymogi ustawy, udzielił gwarancji za ten certyfikat,

Te dwa kolejne artykułu (2-gi został uchylony po wejściu do UE) mówią konsekwentnie o "podmiocie spełniającym wymagania ustawy". Zasady języka polskiego sugerują że chodzi tutaj o niniejszą - czyli polską - ustawę, a nie ustawę w kraju pochodzenia, bo w tym ostatnim przypadku byłoby to wprost napisane. Spełnienie wymagania ustawy oznacza bardzo wiele - m.in. spełnienie wymagań rozporządzenia o warunkach technicznych, czyli na przykład obecność w certyfikacie tak antymiędzynarodowych sformułowań jak "Nr wpisu", "NIP" czy "PESEL".

Muszę przy tym podkreślić, że w komentarzu dra Marka Świerczyńskiego na blogu Vagli można znaleźć stanowisko przeciwne ("spełniający warunki ustawy krajowej państwa członkowskiego, która stanowi implementację dyrektywy"), przy czym autor jest prawnikiem a ja nie.

Rozważając ten problem proszę jednak przypomnieć sobie, że te ograniczenia nie są wprowadzone ot tak sobie, tylko są uzasadnione przez opisane przeze mnie wyżej różnice w definicjach i wymaganiach. Jeśli uznamy, że ograniczenia te jednak nie obowiązują to dokonamy równania w dół - niejako z automatu uznamy, że te liberalniejsze wersje są u nas wiążące prawnie. Jakiż jest wtedy sens istnienia tych "silniejszych"?

Nie twierdzę, że jest to złe, bo sam uważam wiele z obecnych regulacji za przeciwskuteczne i bezsensowne. Jest to jednak powiększanie chaosu w i tak chaotycznym prawie.

Uznawalność "indywidualna"

W sytuacji gdy w Unii istnieje kilkaset centrów certyfikacji wystawiajacych certyfikaty według kilkuset różnych polityk certyfikacji, nawet jeśli część z nich nazywa się "kwalifikowanymi", zgodne z literą prawa i równocześnie sensowne z celowościowego punktu widzenia może być skorzystanie z artykułów 5 i 6 polskiej ustawy, które mówią że certyfikaty mogą być uznawane na podstawie umów międzynarodowych.

5) certyfikat ten został uznany za kwalifikowany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi,
6) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został uznany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowy
mi.

Żeby było śmieszniej, artykuły te - w przeciwieństwie do tych wyższych - nie mówią nic o zgodności z ustawą. Domyślam się, że zgodność z ustawą powinna być zapewniona na etapie podpisywania umowy.

Oto jak może wyglądać sposób postępowania wobec certyfikatów wystawionych przez centra certyfikacji w innych państwach:

  1. ktoś zgłasza do urzędu chęć korzystana z certyfikatu kwalifikowanego np. w Irlandii czy Rosji,
  2. zainteresowany urząd weryfikuje politykę certyfikacji według której wystawiono tenże certyfikat oraz zapewne podpisuje odpowiednią umowę o odpowiedzialności z centrum, które go wystawiło,
  3. urząd publikuje informację (np. w postaci Trusted Services List) o uznawalności tegoż certyfikatu i akceptuje je w przyszłości na równi z krajowymi.

Jest to postępowanie "na piechotę" i sprzeczne z ideą "certyfikatu kwalifikowanego", którą było właśnie ustanowienie pewnego wspólnego mianownika po to, by nie trzeba było bez przerwy weryfikować się nawzajem.

Niemniej w sytuacji, kiedy "certyfikat kwalifikowany" znaczy w każdym kraju co innego wydaje się to jedyną drogą do zapewnienia faktycznej używalności zagranicznych certyfikatów. Ale podejście takie bierze pod uwagę zarówno literę prawa jak i istniejące różnice w definicjach pojęć.

Równocześnie widać tutaj pewną przeszkodę w samym przepisie - artykuły 5 i 6 mówią o umowach "pomiędzy Wspólnotą" i krajami trzecimi, a nie wewnątrz Wspólnoty.

Potrzeba zmian

Cała masa usług elektronicznych - z fakturami elektronicznymi na czele - pozostaje w zawieszeniu ze względu na mętne i nie pasujące do rzeczywistych potrzeb prawo. Nie jest to tylko problem polski - jest to problem wszystkich krajów unijnych.

Jestem zdecydowanym przeciwnikiem dopasowywania rozwiązań biznesowych do prawa, jeśli zapisy prawa nie sa podyktowane jakimś konkretnym interesem. W tym przypadku mamy raczej do czynienia z sytuacją odwrotną - najpierw stworzono abstrakcyjne przepisy regulujące bliżej nieokreślone, przyszłe usługi (Dyrektywa 1999/93/WE), a potem dopiero zaczęto implementować usługi.

Nie wiedząc nic o istotnych szczegółach tych przyszłych usług, autorzy tak Dyrektywy jak i polskiej ustawy starali się operować możliwie ogólnym językiem i dopasowywać do różnych mniej lub bardziej prawdopodobnych kierunków rozwoju.

Niestety dzisiaj, gdy konkretne usługi proszą o ich osadzenie w prawie okazuje się, że istniejace przepisy nie pasują do tych usług. Ustawodawca jak i część usługodawców z godnym lepszej sprawy zapałem stara się jednak wciskać te usługi w ramy niedopasowanego prawa, co powoduje z kolei że usługi są nieużywalne i nikt nie chce z nich korzystać (więcej w sekcji Problemy).

W tej sytuacji zmuszanie firm i instytucji do korzystania z nich przez przymus ustawowy wydaje się równie sensowne co zmuszanie kogoś do chodzenia w lewym bucie na prawej nodze, bo tak przez pomyłkę napisano w ustawie. Można to robić, tylko po co? W preambule Dyrektywy czytamy przecież że jej celem jest "ułatwienie stosowania podpisów elektronicznych", a nie wdrożenie za wszelką cenę wymyślnego gadżetu.

Te kraje, które miały dość odwagi by dość swobodnie zinterpretować Dyrektywę unijną - np. Dania - korzystają z usług elektronicznych powszechnie. Trzeba jednak podkreślić, że czym innym jest zinterpretowanie Dyrektywy i stworzenie liberalnej wersji ustawy (co zupełnie świadomie zrobiła Dania i inne kraje), a czym innym naginanie polskiej ustawy.

Poza rynkiem polskim konieczna jest aktywność na forum europejskim - szereg instytucji skarbowych z kilku krajów unijnych działa np. razem w ramach projektu FISCALIS, gdzie dyskutowane są m.in. kwestie fakturowania elektronicznego. Aktywność taka jest konieczna dla zachowania interoperacyjności wewnątrz Wspólnoty. Współpraca powinna być prowadzona z tymi, którym się udało i którzy mają działające rozwiazania. Od nich można nauczyć się najwięcej, także na temat tego co zrobiono źle by nie powielać ich błędów.

Paradoksalnie, jedno z większych forów dyskusji europejskiej na tym polu odbywa się właśnie w Polsce (EFPE), ale nie przekłada się to w najmniejszym stopniu na aktywność ustawodawczą w naszym kraju.