"Nie można odmówić ważności podpisowi elektronicznemu..."

2006-05-07 00:00:00 +0100

Komentarz do dwóch artykułów ustawy o podpisie elektronicznym budzacych wiele kontrowersji - art. 6.3 oraz art. 8. Artykuły te, wbrew częstej interpretacji, nie stanowią bezsensownego zrównania podpisu kwalifikowanego z niekwalifikowanym. Chronią one po prostu przed kilkoma specyficznymi rodzajami "ataków" prawnych na moc dowodową podpisu elektronicznego.

Artykuł 8

"Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na ej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji odpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą ezpiecznego urządzenia służącego do składania podpisu elektronicznego."
Artykuł ten jest przeciwwagę dla artykułu 5, który definiuje jaki konkretnie podpis ma skutki prawne identyczne z podpisem odręcznym. Jego intencją wydaje się być prawne osadzenie innych niż kwalifikowany form podpisu elektronicznego (art. 5) aby zapobiec naiwnej interpretacji że "podpis kwalifikowany = 100% mocy prawnej, każdy inny = 0% mocy prawnej".Artykuł 8 nie zrównuje podpisu kwalifikowanego z innymi formami podpisu - mówi jedynie, że inne formy podpisu też mają jakąś wartość dowodową. Jaką? To nie jest napisane wprost bo ich moc zależy od ich konkretnych cech technicznych, użytych certyfikatów, warunków składania itd. Wartość dowodowa innych niż kwalifikowany form podpisu może być zatem oceniana przez sąd w każdym indywidualnym przypadku, a artykuł 8 daje podstawę by uznać że w ogóle posiadają one jakąś moc dowodową.Na drugim końcu skali jest podpis kwalifikowany (art. 5), którego warunki składania sa precyzyjnie określone, podobnie jak moc prawna - równoważna z podpisem odręcznym. Precyzyjnie określone warunki jego składania powodują, że w sądzie należałoby się natrudzić by udowodnić rzecz przeciwną - że się tego podpisu nie złożyło.

Artykuł 6.3

"Nie można powoływać się, że podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu nie został złożony za pomocą bezpiecznych urządzeń i danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny"


<p>Artykuł 6.3 mówi, że złożenie podpisu jest jest dla podpisującego wiążące nawet jeśli nie złożono przy pomocy "bezpiecznego urządzenia" (w sensie aplikacji posiadającej "deklarację zgodności"). Dlaczego jest to konieczne? Otóż nie ma takiej siły, która zmusi osobę podpisującą do skorzystania z bezpiecznego urządzenia w rozumieniu ustawy. Osoba podpisująca może także nie wiedzieć czy dana aplikacja jest "bezpiecznym urządzeniem", czy nie jest. Kartę kryptograficzną z certyfikatem kwalifikowanym można bez problemu wykorzystać do złożenia podpisu w MS Office, OpenOffice czy dowolnej innej aplikacji posiadającej funkcje podpisu elektronicznego, pomimo że żadna z nich nie jest bezpiecznym urządzeniem w rozumieniu prawa polskiego.Równocześnie osoba otrzymująca podpisany dokument nie może w żaden sposób sprawdzić, w jaki sposób podpisał dokument nadawca - tzn. czy użył bezpiecznego środowiska czy nie. W związku z tym powinna założyć, że podpisujący złożył podpis zgodnie z wymogami ustawy, czyli w bezpiecznym środowisku.Taki podpis zgodnie z literą ustawy nie będzie "bezpiecznym podpisem" (kwalifikowanym). Jednak takie podejście powodowałoby, że każdy mógłby zaprzeczyć złożeniu podpisu twierdząc "a bo ja nie wiedziałem że ta aplikacja nie jest bezpiecznym urządzeniem" i w ten sposób pozbawić wartości każdy podpis kwalifikowany. Artykuł 6.3 jest tutaj więc pomocą dla sądu przy rozwiązywaniu ewentualnych sporów i stanowi ochronę odbiorcy podpisu przed zaprzeczeniem. Równocześnie przenosi odpowiedzialność za korzystanie z bezpiecznego urządzenia na osobę składającą podpis. Podstawą do dalszej interpretacji art. 6.3 są pkt 5.2 Dyrektywy 1999/93 oraz rozdział 4.2.1 CWA 14365. Pierwszy mówi, że ważności podpisu nie należy dyskryminować na podstawie jego technicznych słabości. Pojęcie dyskryminacji nie nadaje się jednak do świata techniki, tylko do sądu co wyraźnie wskazuje na miejsce jego stosowania. W CWA 14365 jest to wyjaśnione bardzo przystępnie. Co do zasady, środki techniczne zastosowane do sporządzenia kontraktu powinny być dostosowane do warunków i ważności danej sytuacji. Jednak nie można odmówić ważności testamentowi tylko dlatego, że został spisany ołówkiem na kartce ani umowie spisanej na serwetce. Do 2004 roku interpretacja tego przepisu w kategoriach technicznych nie była do końca jasna także w Unii, ponieważ europejski profil certyfikatu kwalifikowanego (ETSI TS 101 862 v1.21)) nie zawierał wskazania, że certyfikat jest przechowywany na karcie, co pozostawiało miejsce na wątpliwości. Nowa wersja tego profilu (ETSI TS 101 862 v1.3) zawiera takie wskazanie jest (pkt 5.2.4), w związku z czym odbiorca podpisanego dokumentu ma większe podstawy by założyć, że podpis został złożony z użyciem bezpiecznego urządzenia. Zmiana ta powinna rozwiać część wątpliwości (m.in. wyrażanych przez dr inż E. Andrukiewicz) związanych z różnicami pomiędzy polskim "bezpiecznym" a unijnym "zaawansowanym" podpisem, jeśli znajdzie odzwierciedlenie w ewentualnej nowelizacji.</p>