Dzięki szybkiej odpowiedzi MSWiA na wniosek o dostęp do informacji publicznej poniżej publikujemy tekst projektu ustawy o nowelizacji ustawy o podpisie elektronicznym. Projekt jest datowany na lipiec 2007.
W projekcie pojawiają się liczne zmiany w stosunku do obecnego stanu prawnego, między innymi:
- przeniesienie "wędrujących" dotychczas kompetencji w zakresie podpisu elektronicznego z MG do MSWiA
- wprowadzenie pojęcia zaawansowanego podpisu i oparcie definicji dotychczasowego bezpiecznego podpisu na zaawansowanym, co ma na celu usunięcię komplikujących terminologię pojęć "poświadczenia" i "zaświadczenia" dla certyfikatów i podpisów odnoszących się do podmiotów, a nie osób fizycznych
- wprowadzenie pojęcia elektronicznego potwierdzenia danych - podpisu składanego przez podmiot, w tym także automatycznie - czyli czegoś co dotychczas potocznie nazywano "pieczątką elektroniczną"
- ograniczenie definicji "urządzenia do składania podpisu" do tego co dzisiaj opisuje jako "komponent techniczny" rozporządzenie o warunkach technicznych, czyli karty kryptograficznej
- likwidacja pojęcia "urządzenia do weryfikacji podpisu", rozumianego w obecnej praktyce jako pecet z Windows i aplikacją, która weryfikuje podpis
- "możliwość budowy ścieżek zaufania bez udziału w nich zaświadczeń certyfikacyjnych wydanych przez ministra właściwego do spraw gospodarki" (nie bardzo rozumiem o co chodzi na podstawie pobieżnej lektury)
- doprecyzowanie zapisów artykułu 4 dotyczącego uznawalności certyfikatów zagranicznych
- zakaz angażowania się państwa w działalność wydawania certyfikatów kwalifikowanych, kolidujący z przyjętym modelem rynkowym kwalifikowanych usług certyfikacyjnych (bez ograniczeń w kwestii certyfikatów niekwalifikowanych)
- dopuszczenia organów publicznych do udziału w postępowaniach w których wykorzystywane są środki teleinformatyczne do wykonywania usług publicznych
- usunięcie wymogu zawierania umów na świadczenie usług certyfikacyjnych na pismie w odniesieniu do certyfikatów innych niż kwalifikowane
- propozycja likwidacji krajowego roota i wskazywanie kwalifikowanych centrów certyfikacji przez BIP oraz Monitor Polski
Proponowana ustawa miałaby mieć półroczne vacatio legis za wyjątkiem likwidacji roota, która byłaby rozciągnięta na dwa lata.
Obie propozycje dotyczące "bezpiecznego urządzenia" budziły dotychczas wiele kontrowersji i były podstawą licznych sporów na konferencjach i w prasie fachowej. Moim zdaniem ich sens jest w pełni uzasadniony, ponieważ obecna definicja "bezpiecznego urządzenia" rozumianego w praktyce jako pecet z Windows, kartą i czytnikiem jest dezinformująca. Obie propozycje są obszernie (prawie dwie strony) uzasadnione w projekcie, więc mogą stać się podstawą do merytorycznej dyskusji na ten temat.
Propozycja "likwidacji roota" również wzbudza wiele kontrowersji. Autorzy wskazują w uzasadnieniu że obowiązek posiadania roota krajowego nie wynika z Dyrektywy, która wskazuje jedynie konieczność publikowania rejestru zaufanych centrów certyfikacji. Autorzy jako mechanizm publikacji wskazują tutaj BIP oraz Monitor Polski. W praktyce rozwiązanie takie jest stosowane np. we Włoszech, gdzie agencja CNIPA publikuje listę ok. 130 zaufanych centrów certyfikacji bez wspólnego roota w postaci podpisanego kontenera PKCS#7. Podobny mechanizm, ale przy zastosowaniu nowocześniejszego standardu ETSI TS 102 204 (Trusted Services List) stosuje europejski Bridge CA.
Równocześnie wskazuje się jednak, że jeden root krajowy upraszcza rozpoznawanie zaufanych certyfikatów za granicą przez wskazanie tylko tego roota zamiast wielu lokalnych certyfikatów samopodpisanych. Jest to więc problem organizacyjno-techniczny, który powinien być rozstrzygnięty za pomocą racjonalnej analizy zysków i strat.
W projekcie jest sporo literówek ("wynienionych") i błędów redakcyjnych ("przyporządkowanych do podmiotu podmiot, który złożył podpis"), należy jednak pamiętać że nie jest to nawet wersja projektu wystawiona do konsultacji środowiskowych tylko wersja robocza uzyskana na drodze wniosku o dostęp do informacji publicznej (z dnia 20 marca 2008).
Pełny tekst projektu:
Dodatkowo w ramach wniosku MG udostępniło dwa dokumenty, które były podstawą do poprzednich prób nowelizacji ustawy o podpisie elektronicznym:
- Ekspertyza "Przegląd krajowych uregulowań prawnych dotyczących podpisu elektronicznego pod kątem zbliżenia do rozwiązań funkcjonujących w krajach Unii Europejskiej", autorstwa dr inż. Elżbiety Andrukiewicz i mec Zdzisława Osady (2003)
- Założenia do projektu ustawy o zmianie ustawy o podpisie elektronicznym, opracowane m.in. na podstawie w/w ekspertyzy przez Ministerstwo Gospodarki i opisujące różne możliwe warianty nowelizacji (2003/2004)