Sygnały o planowanej nowelizacji ustawy o podpisie elektronicznym są coraz liczniejsze i bieżący rok będzie w tej kwesti rozstrzygający. Ważne jest wiec by przejść od dyskusji nad tym co nie działa do dyskusji o tym jak powinno działać.
Prace nad nowelizacją będą prowadzone przez MSWiA oraz Ministerstwo Gospodarki, i zapewne konsultowane z wieloma innymi resortami oraz organizacjami branżowymi. Wielu czytelników tego serwisu będzie miało zapewne możliwość wypowiedzenia się w ramach swoich organizacji (lub resortów), ale zwykle będzie już wtedy za późno na obszerną dyskusję nad kształtem nowelizacji.
Dlatego zapraszam do merytorycznej dyskusji nad kwestiami poruszonymi poniżej, za punkt wyjścia przyjmując projekt nowelizacji ustawy opublikowany w marcu. Dyskusja na łamach tego serwisu ma tę zaletę, że zobowiązuje do zachowania ścisłej formy języka urzędowego oraz - dzięki anonimowości - pozwala na wyrażanie opinii niekoniecznie zbieżnych ze stanowiskiem instytucji. Czytają nas ministerstwa, które tworzą regulacje, urzędy niższego szczebla, które muszą je potem wdrażać, oraz liczne firmy i doradcy stykający się z tematyką podpisu elektronicznego.
Zapraszamy do wyrażenia opinii na przedstawione poniżej kwestie merytoryczne, które muszą być rozstrzygnięte w przyszłej nowelizacji. Proszę pamiętać, że kierunki nowelizacji zostały wyrażone w podlinkowanym powyżej projekcie, ale w podlinkowanej również wypowiedzi wiceministra można wywnioskować, że zmiany będą miały charakter uzupełnienia, a nie rewolucji - dotychczasowy podpis kwalifikowany pozostanie zapewne w obecnym kształcie. Innymi słowy proponowane są następujące rodzaje podpisu:
- bezpieczny podpis, podpis kwalifikowany - certyfikat osoby fizycznej, klucz prywatny na karcie, prawdopodobnie specjalna aplikacja tak jak obecnie
- zaawansowany podpis - certyfikat osoby fizycznej, klucz prywatny - nie wiadomo, dowolna aplikacja do składania podpisu
- pieczątka elektroniczna, potwierdzenie elektroniczne - certyfikat osoby prawnej, podpis składany automatycznie
Mając to na uwadze proszę rozważyć następujące kwestie:
- Czy podpis zaawansowany ma być oparty o kwalifikowany certyfikat? Certyfikat kwalifikowany oznacza w tym przypadku jednoznaczny, wysoki standard potwierdzenia tożsamości osoby oraz silne konsekwencje prawne - zarówno dla centrum, jak i podpisującego.
- Czy podpis zaawansowany powinien być składany przy pomocy klucza prywatnego przechowywanego na karcie kryptograficznej?
- Czy oprogramowanie lub formaty wykorzystywane do składania podpisu zaawansowanego powinno być w jakiś sposób określone ustawowo? Jeśli nie, będzie go można złożyć przy pomocy dowolnej aplikacji implementującej podpis elektroniczny zgodny z X.509 lub innym standardem tego typu (np. OpenPGP). Proszę pamiętać, że jeśli podpis zaawansowany będzie związany z certyfikatami kwalifikowanymi, to narzuca to stosowanie normy X.509. Z drugiej strony, dopuszczenie wszystkiego jak leci spowoduje że podpis zaawansowany będzie właściwie niezdefiniowany.
- Jakie standardy powinny znaleźć zastosowanie w zakresie pieczęci elektronicznej, jakie skutki prawne powinna wywoływać? Czym ma się różnić od podpisu elektronicznego (poza tym, że nie będzie powiązana z osobą fizyczną tylko osobą prawną)?
- Czy znakowanie czasem w obecnej postaci jest wystarczające, czy potrzebujemy nowego narzędzia, co by to miało być, powiązane z jakim skutkiem i oparte o jakie standardy ....
- Jak powinien wyglądać model systemu akredytacji w Polsce, czy jest sens jego tworzenia jeśli żadna instytucja nie jest zainteresowana tego rodzaju działalnością ? Jaka powinna być wartość dodana tworzona przez taki system, inna niż konkurencyjność do państw gdzie istnieją już systemy akredytacji w zakresie e-podpisu. </ol>