Polskie Towarzystwo Informatyczne opublikowało listę uwag do projektu ustawy o podpisach Ministerstwa Gospodarki.
http://www.pti.org.pl/opinie/Porownanie_prop_PTI_z_projektem_ustawy_16%2003.pdf
Komentarz
Mamy obecnie sytuację podobną jak w latach 1999-2000, kiedy toczyła się wojna na argumenty pomiędzy zwolennikami projektu poselskiego i rządowego.
Środowiska zainteresowane utrzymaniem wyłącznej kontroli nad podpisem używają obecnie argumentów, które niewiele mają wspólnego z rzeczywistością - na przykład, że rodzajów podpisu będzie za dużo, albo że podpis kwalifikowany doskonale nadaje się do wszystkie, a szczególnie do podpisywania faktur elektronicznych.
Wynikiem wygranej restrykcyjnego projektu rządowego w 2001 roku, była siedmioletnia zapaść rynku podpisu elektronicznego. Oczywiście, miały tutaj swój udział zaniedbania ze strony ministerstw, ale podstawowym problemem w mojej ocenie było wymuszenie formy podpisu kwalifikowanego nie mającej wiele wspólnego z wymaganiami biznesu i administracji publicznej.
Dopiero w 2008 roku rynek jakby odżył, ale nie dzięki przydatności podpisu do czegokolwiek, tylko dzięki pozbawionemu moim zdaniem uzasadnienia przymusowi administracyjnemu wobec płatników ZUS. Można uznać, że skoro firmy nie chciały same kupować certyfikatów, to je do tego zmuszono.
Chciałbym również zwrócić uwagę na kuriozalny zapis, którego nie znalazłem w żadnym z publicznie dostępnych projektów, ale musiał się pojawić w którejś z wersji bo jest opisany w stanowisku PTI (z rekomendacją “bezwzględnie usunąć”):
"2a. Dokumenty elektroniczne (...) opatruje się kwalifikowanym podpisem elektronicznym osoby odpowiedzialnej za przekazanie tych dokumentów oraz wskazuje się w składanym kwalifikowanym podpisie elektronicznym certyfikat atrybutów wydany przez podmiot kwalifikowany, określający uprawnienia tej osoby do dostępu do danych osobowych lub innych danych podlegających ochronie, do których dostęp może mieć tylko płatnik, dla którego są przeznaczone."
Wiedząc, że niektóre centra certyfikacji znacznie wcześniej zarejestrowały swoją działalność na - nieistniejącym - rynku certyfikatów atrybutów próbę wprowadzenia wspomnianego zapisu do obowiązującego prawa można uznać za kolejny krok na drodze do wykreowania nowego rynku za pomocą przymusu administracyjnego.
Więcej na temat uwierzytelnienia i autoryzacji w ZUS:
http://ipsec.pl/podpis-elektroniczny/2008/co-poswiadcza-certyfikat-czyli-brak-autoryzacji-w-zus.html http://ipsec.pl/podpis-elektroniczny/2008/realne-koszty-podpisu-kwalifikowanego.html http://ipsec.pl/firmy/2008/potrzeba-roznych-polityk-uwierzytelnienia.html