Europejska agenda cyfrowa a podpis elektroniczny

Opublikowane właśnie polskie tłumaczenie Europejskiej Agendy Cyfrowej zapowiada pewne zmiany w dyrektywie o podpisie elektronicznym.

W agendzie Komisja Europejska zapowiedziała m.in. przyjrzenie się Dyrektywie 1999/93/EC:

Główne działanie 3: W 2011 r. zaproponowanie przeglądu dyrektywy w sprawie podpisów elektronicznych w celu stworzenia ram prawnych dla transgranicznego uznawania i interoperacyjności bezpiecznych systemów e-uwierzytelniania.

W praktyce może to oznaczać "nowelizację" dyrektywy i poprawienie lub uściślenie niektórych sformułowań, dzięki którym niemieckie firmy konsultingowe mają pracę od dziesięciu lat publikując ich niezliczone intepretacje, raporty i analizy.

Mimo tych planów nie wydaje mi się, żeby "nowelizacja" dyrektywy specjalnie dużo zmieniła. Kwestie interpretacyjne różnych kluczowych sformułowań ("sole control of the owner") nie są głównym problemem. Problemem jest brak w dyrektywie koncepcji, do czego ten podpis ma w ogóle służyć, przez co stworzone rozwiązanie prawne i techniczne mogą się równie dobrze nadawać do wszystkiego jak i do niczego.

Przy przyjętym planie prac - "przegląd" w 2011, koło 2015 może nowelizacja, za kolejne 5 ustawy narodowe - nie wydaje mi się, by ktokolwiek za 10 lat był nadal zainteresowany odkurzonymi pomysłami na wymarzoną i "wszystkomającą" architekturę podpisu. Bankowość elektroniczna i jej klienci od dawna radzą sobie w tym zakresie bez Komisji Europejskiej bo gdyby na nią czekali, to Europa byłaby zapewne ostatnim miejscem na świecie gdzie ta bankowość nadal po latach nie istnieje.

Warto przy tym zauważyć, że o wiele lepiej wychodzi KE prostowanie konkretnych problemów niż próby zaspokajania bliżej nieokreślonych potrzeb bliżej nieokreślonych grup interesów.

Przykładem jest choćby decyzja C(2009) 7806 w sprawie "pojedynczych punktów kontaktowych". Certum chwaliło się nią jako potwierdzającą akceptację podpisu kwalifikowanego przez Państwa Członkowskie. Tymczasem dokument ten przede wszystkim wyraźnie stawia granicę między procesami o różnych poziomach bezpieczeństwa oraz wskazuje na podpis kwalifikowany jako rozwiązanie, które powinno być stosowane wyłącznie tam gdzie "niezbędny jest wysoki poziom bezpieczeństwa".

Chyba po raz pierwszy pojawia się tam także żądanie opierania tych decyzji na "ocenie ryzyka", co jest sporą różnicą jakościową w stosunku do niezbyt przemyślanej urawniłowki będącej u nas do tej pory standardem. W niemal każdym zdaniu występuje także wskazanie, że podpis może być składany z bezpiecznym urządzeniem lub bez niego, która to alternatywa była do tej pory głównie przedmiotem zgrozy sianej przez niektóre podmioty kwalifikowane.

Oczywiście, od dokumentu KE do legislacji dalekta droga - polski ustawodawca ma długą tradycję implementowania dyrektyw w sposób masochistyczny, przez zastępowanie każdego "może" przez "musi" oraz sprowadzaniu wszelkich alternatyw do jednej, najkosztowniejszej i najtrudniejszej w użyciu.

Nawiasem mówiąc, dziwaczne polskie przepisy o fakturowaniu musiały się chyba dać mocno we znaki zachodnioeuropejskim supermarketom, skoro KE zdecydowała się jednak być może narzucić pewne rozwiązania państwom, które nie potrafiły tego zrobić samodzielnie (Piotr odnotował: "prawie tak, jakby Europejski Komitet Ekonomiczno-Społeczny pisał o Polsce).