Projekt nowelizacji ustawy o podpisie elektronicznym

2008-03-21 00:00:00 +0000


Dzięki szybkiej odpowiedzi MSWiA na wniosek o dostęp do informacji publicznej poniżej publikujemy tekst projektu ustawy o nowelizacji ustawy o podpisie elektronicznym. Projekt jest datowany na lipiec 2007.

W projekcie pojawiają się liczne zmiany w stosunku do obecnego stanu prawnego, między innymi:

Proponowana ustawa miałaby mieć półroczne vacatio legis za wyjątkiem likwidacji roota, która byłaby rozciągnięta na dwa lata.

Obie propozycje dotyczące "bezpiecznego urządzenia" budziły dotychczas wiele kontrowersji i były podstawą licznych sporów na konferencjach i w prasie fachowej. Moim zdaniem ich sens jest w pełni uzasadniony, ponieważ obecna definicja "bezpiecznego urządzenia" rozumianego w praktyce jako pecet z Windows, kartą i czytnikiem jest dezinformująca. Obie propozycje są obszernie (prawie dwie strony) uzasadnione w projekcie, więc mogą stać się podstawą do merytorycznej dyskusji na ten temat.

Propozycja "likwidacji roota" również wzbudza wiele kontrowersji. Autorzy wskazują w uzasadnieniu że obowiązek posiadania roota krajowego nie wynika z Dyrektywy, która wskazuje jedynie konieczność publikowania rejestru zaufanych centrów certyfikacji. Autorzy jako mechanizm publikacji wskazują tutaj BIP oraz Monitor Polski. W praktyce rozwiązanie takie jest stosowane np. we Włoszech, gdzie agencja CNIPA publikuje listę ok. 130 zaufanych centrów certyfikacji bez wspólnego roota w postaci podpisanego kontenera PKCS#7. Podobny mechanizm, ale przy zastosowaniu nowocześniejszego standardu ETSI TS 102 204 (Trusted Services List) stosuje europejski Bridge CA.

Równocześnie wskazuje się jednak, że jeden root krajowy upraszcza rozpoznawanie zaufanych certyfikatów za granicą przez wskazanie tylko tego roota zamiast wielu lokalnych certyfikatów samopodpisanych. Jest to więc problem organizacyjno-techniczny, który powinien być rozstrzygnięty za pomocą racjonalnej analizy zysków i strat.

W projekcie jest sporo literówek ("wynienionych") i błędów redakcyjnych ("przyporządkowanych do podmiotu podmiot, który złożył podpis"), należy jednak pamiętać że nie jest to nawet wersja projektu wystawiona do konsultacji środowiskowych tylko wersja robocza uzyskana na drodze wniosku o dostęp do informacji publicznej (z dnia 20 marca 2008).

Pełny tekst projektu:

Dodatkowo w ramach wniosku MG udostępniło dwa dokumenty, które były podstawą do poprzednich prób nowelizacji ustawy o podpisie elektronicznym: