Rządowy projekt ustawy o podpisach elektronicznych
- projekt ma na celu implementacje dyrektywy Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych
projekt mający na celu wykonanie prawa Unii Europejskiej
- Kadencja sejmu: 6
- Nr druku: 3629
- Data wpłynięcia: 2010-11-23
- Uchwalenie:
3629
ważnego kwalifikowanego certyfikatu” wprowadzono przyjęte w nomenklaturze
wspólnotowej pojęcie „podpis kwalifikowany”. W
odniesieniu do przewidzianych
obowiązującą ustawą o podpisie elektronicznym i działających już na polskim rynku
„kwalifikowanych podmiotów świadczących usługi certyfikacyjne w zakresie podpisu
elektronicznego” wprowadzono skróconą nazwę „podmiot kwalifikowany”. Zmieniona
względem poprzedniej ustawy definicja „danych do weryfikacji podpisu elektronicznego”
uwzględnia okoliczność, że dane do weryfikacji podpisu elektronicznego pozwalają, oprócz
identyfikacji podpisującego, zweryfikować inne istotne cechy podpisu. Nowa definicja
„urządzenia do składania podpisu elektronicznego” (art. 2 pkt 9) wprowadza zgodnie
z analogiczną definicją zawartą w dyrektywie 1999/93/WE łącznik „lub” pomiędzy
komponentem programistycznym i sprzętowym. Zniesiona zostaje zbędna definicja
„bezpiecznego urządzenia służącego do weryfikacji podpisu elektronicznego”. Dyrektywa
1999/93/WE nie posługuje się pojęciem „bezpiecznych urządzeń do weryfikacji podpisu
elektronicznego”, odnosząc sformułowanie „bezpieczne urządzenia” jedynie do urządzeń
generujących podpisy. Takie podejście jest zamierzone i wynika z technologii procesów
generowania i weryfikacji podpisu elektronicznego. Definicja zawarta w art. 2 pkt 11 nadaje
pojęciu „urządzenie do weryfikacji podpisu” brzmienie zgodne z dyrektywą 1999/93/WE.
Względem uprzednio obowiązującej ustawy z dnia 18 września 2001 r. o podpisie
elektronicznym rozszerzone zostało pojęcie „podpisującego” (art. 2 pkt 12 ustawy), które
obecnie obejmuje zarówno osoby fizyczne, jak i inne podmioty, w tym także podmioty
świadczące usługi certyfikacyjne. Rozwiązanie to pozostaje w pełni zgodne z definicją
zawartą w dyrektywie 1999/93/WE. Wprowadzenie nowego narzędzia w postaci podpisu
zaawansowanego (art. 2 pkt 2 ustawy) usprawni obrót gospodarczy oraz pracę administracji
publicznej. Dotychczas jedynym prawnie uregulowanym rodzajem podpisu zaawansowanego
w naszym kraju był bezpieczny podpis elektroniczny weryfikowany przy pomocy certyfikatu
kwalifikowanego. Korzystanie z tej usługi jest najbezpieczniejszym, ale zarazem najdroższym
rozwiązaniem ze względu na konieczność korzystania z bezpiecznych urządzeń do składania
podpisu elektronicznego. Cena zestawów do składania bezpiecznego podpisu elektronicznego
spadła wprawdzie znacząco, ale jest ona nadal wysoka dla użytkownika załatwiającego drogą
elektroniczną niewielką ilość spraw. Prowadzone prace wspólnotowe wskazują, że w części
państw członkowskich istotne znaczenie zyskuje zaawansowany podpis elektroniczny
weryfikowany certyfikatem kwalifikowanym. Podpis ten jest zgodny z dyrektywą
2
1999/93/WE i powinien być również stosowany w krajowym porządku prawnym. Podkreślić
należy, że ze względu na konieczność zapewnienia swobody przepływu usług
certyfikacyjnych we wspólnocie podpisy tego rodzaju coraz częściej występować będą
w obrocie prawnym m.in. z uwagi na możliwy udział cudzoziemców w procedurach
administracyjnych. Złożenie przez osobę fizyczną danych w postaci elektronicznej
opatrzonych zaawansowanym podpisem elektronicznym weryfikowanym przy pomocy
certyfikatu kwalifikowanego, skierowanych do podmiotu publicznego w rozumieniu ustawy
z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania
publiczne, wywoływać będzie skutek prawny dokumentu z podpisem własnoręcznym (art. 5
ust. 6).
Nowe definicje „podpisującego”, „podpisu elektronicznego” oraz „podpisu
zaawansowanego” usuwają istniejące w obowiązującej ustawie zawężenia względem
definicji zawartych w art. 2 ust. 1 i 2 dyrektywy 1999/93/WE. Analogiczne zmiany
w styczniu 2008 r. wprowadziła Republika Austrii, której ustawa o podpisie elektronicznym
przewidywała uprzednio jedynie tzw. „zwykły” podpis elektroniczny oraz bezpieczny podpis
elektroniczny składany z wyłączeniem osób prawnych. W obecnej ustawie utrzymane zostały
podstawowe rodzaje usług certyfikacyjnych przewidzianych obowiązującymi przepisami.
W nowej ustawie o podpisach elektronicznych odchodzi się od pojęcia „bezpieczny podpis
elektroniczny” na rzecz pojęcia „podpis kwalifikowany”, które stanowi jego odpowiednik
w nomenklaturze wspólnotowej. Wprowadzana zmiana dotyczy wyłącznie nazewnictwa i nie
oznacza utraty ważności dotychczas wydanych certyfikatów kwalifikowanych do składania
bezpiecznego podpisu elektronicznego.
W art. 2 pkt. 1 ustawy dokonana została, zgodnie z brzmieniem dyrektywy
1999/93/WE, zmiana w definicji tzw. podpisu zwykłego, która w miejsce dotychczas
stosowanego pojęcia „identyfikacji” odwołuje się obecnie do terminu „metody
uwierzytelnienia”. Ustawa, podobnie jak dyrektywa 1999/93/WE, nie definiuje pojęcia
uwierzytelnienia, gdyż punktem odniesienia w tym zakresie są dokumenty standaryzacyjne
oraz bieżący stan wiedzy informatycznej. Dążenie do ścisłego zdefiniowania wszystkich
pojęć mogłoby prowadzić do usztywnienia przepisów i zmuszać w
przyszłości do
wielokrotnych zmian przepisów ustawowych. W świetle wiedzy informatycznej jedną
z
metod uwierzytelnienia jest podpis cyfrowy (ang. „digital signature”), oparty na
3
asymetrycznej technice kryptograficznej (para kluczy kryptograficznych: publiczny
i prywatny). Dzięki matematycznej zależności między kluczami kryptograficznymi,
weryfikacja podpisu cyfrowego umożliwia uwierzytelnienie, czyli potwierdzenie, że
podpisujący jest tym, za kogo się podaje. Przełożeniem koncepcji podpisu cyfrowego
opartego o zaufaną stronę trzecią na prawną terminologię dyrektywy 1999/93/WE jest pojęcie
zaawansowanego podpisu elektronicznego. Ten rodzaj podpisu elektronicznego stał się
podstawą do zdefiniowania w ustawie „podpisu kwalifikowanego”.
W ustawie (art. 2 pkt 4) mowa jest o podpisie kwalifikowanym, który w dyrektywie
1999/93/WE (art. 5 ust. 1) nie otrzymał własnej nazwy, a który w nomenklaturze
wspólnotowej jest powszechnie określany jako „kwalifikowany podpis elektroniczny”.
Chodzi o zaawansowany podpis elektroniczny oparty na kwalifikowanym certyfikacie
i złożony za pomocą bezpiecznego urządzenia służącego do składania e-podpisu. Mimo iż
dyrektywa 1999/93/WE nie stanowi, że podpis elektroniczny musi dotyczyć osoby fizycznej,
składającym kwalifikowany podpis elektroniczny może być tylko osoba fizyczna, ponieważ
podpis taki uważany jest za równoważny z podpisem odręcznym.
Wydawanie kwalifikowanych certyfikatów jest działalnością regulowaną europejskimi
dokumentami standaryzacyjnymi. Podmioty kwalifikowane, jako zaufana strona trzecia,
wnoszą ważną wartość dodaną w zakresie zaufania w obrocie elektronicznym i odgrywają
kluczową rolę na rynku usług certyfikacyjnych. W chwili obecnej w Europie działa ok. 90
podmiotów kwalifikowanych lub akredytowanych, które mogą wydawać certyfikaty
kwalifikowane. Podpis kwalifikowany stosuje obecnie zdecydowana większość państw
członkowskich, gdyż zastosowanie bezpiecznego urządzenia znacząco podnosi wiarygodność
i bezpieczeństwo procesu składania podpisu elektronicznego oraz ochrony tzw. klucza
prywatnego.
Wprowadzenie definicji pieczęci elektronicznej (ang. „data stamping” – dosł.
stemplowanie danych) ma na celu zapewnienie nowego narzędzia opartego o technologię
zbliżoną do wykorzystywanej przy podpisie elektronicznym. Przyjęcie, że pieczęć
elektroniczna nie jest podpisem elektronicznym, pozwoli m.in. na pełną automatyzację jego
stosowania. Narzędzie to jest przeznaczone do podniesienia wiarygodności i integralności
przesyłanych wiadomości. Pieczęć elektroniczna może być generowana przez systemy
4
informatyczne bez udziału człowieka. W praktyce zastosowanie pieczęci może dotyczyć
takich czynności, jak m.in. potwierdzenie faktu wpłynięcia dokumentów elektronicznych,
potwierdzenie przyjęcia zamówienia itp. Pieczęć elektroniczna stanowi rozwiązanie
oczekiwane zarówno przez przedsiębiorców z uwagi na możliwe zastosowanie dla faktur
elektronicznych, jak i administracji publicznej, gdzie może odegrać istotną rolę przy
elektronicznych wypisach z ewidencji i rejestrów. Pod względem technologicznym, w tym
w odniesieniu do stosowanych algorytmów kryptograficznych, pieczęć elektroniczna nie
musi się istotnie różnić od podpisu elektronicznego. Ze względu na początkowy etap rozwoju
tego narzędzia ustawa nie przesądza o rodzaju certyfikatów, które mogą być stosowane do
weryfikacji pieczęci. Dla przykładu w rozwiązaniu czeskim przyjęto, że do weryfikacji
pieczęci służy osobna kategoria certyfikatów systemowych, które różnią się nieznacznie
swoim profilem od certyfikatów kwalifikowanych. Niemniej technologicznie możliwe jest
również tworzenie pieczęci elektronicznej bez jakichkolwiek certyfikatów, co przemawia za
zapewnieniem swobody w tym zakresie. Potrzeby praktyki obrotu gospodarczego
i administracyjnego pozwolą w przyszłości wypełnić pieczęć elektroniczną głębszą treścią,
gdy na rynku pojawią się propozycje nowych narzędzi i aplikacji służących do jej składania.
W ślad za rozwojem technologii oraz rynku zastosowania dla pieczęci regulowane będą
innymi przepisami.
Przyjęte w ustawie definicje podpisującego oraz pieczęci elektronicznej umożliwią
rezygnację z definicji „poświadczenie elektroniczne” i „zaświadczenie elektroniczne”, a także
pozwolą zapewnić ciągłość funkcjonowania istniejącej obecnie krajowej infrastruktury klucza
publicznego. Nowa definicja „certyfikatu” konsumuje dotychczasowe pojęcia zaświadczeń
i poświadczeń certyfikacyjnych. Pojęcie certyfikatu w świetle europejskich dokumentów
standaryzacyjnych obejmuje zarówno certyfikat wydawany podpisującym, jak
i zaświadczenie certyfikacyjne. W sensie wymogów technicznych oba pojęcia są tożsame.
Pojęcia „zaświadczenia certyfikacyjnego” i „poświadczenia elektronicznego” nie występują
w dyrektywie 1999/93/WE i zamieszczenie ich w ustawie jest nadmiarowe. Wydawane przez
Europejski Komitet Standaryzacyjny CEN normy CWA także w odniesieniu do urzędów
certyfikujących posługują się pojęciem „certificate CA”, czyli po prostu certyfikatu urzędu
certyfikującego. Nie oznacza to zniesienia istniejących zaświadczeń i poświadczeń
certyfikacyjnych, ale ich zastąpienie pojęciem certyfikatu. Podkreślić należy, że ustawa
utrzymuje istniejącą architekturę krajowej infrastruktury klucza publicznego opartą o krajowy
5
urząd certyfikujący. Wiarygodność podmiotów świadczących kwalifikowane usługi
certyfikacyjne będzie nadal ugruntowana na certyfikacie wydanym przez właściwy organ
państwa. Dotychczasowe „zaświadczenie elektroniczne” będzie w świetle nowej
nomenklatury certyfikatem ministra właściwego ds. gospodarki.
Nowe uregulowanie dotyczące uznawania certyfikatów z zagranicy (art. 3 i art. 4
ustawy) precyzuje warunki, jakie muszą zostać spełnione dla zrównania pod względem
prawnym certyfikatów kwalifikowanych wydawanych przez podmiot zagraniczny
z
kwalifikowanymi certyfikatami wydawanymi przez krajowe centra certyfikacji. W art. 3 i 4
sformułowano zasadę równoważności certyfikatów tego rodzaju wyłącznie w odniesieniu do
certyfikatów kwalifikowanych. Jest to zgodne z dyrektywą 1999/93/WE, która nie wymaga
uznawania certyfikatów zwykłych. Wprowadzenie wymogu uznawania certyfikatów
zwykłych wyprzedzałoby znacząco obecny stan techniczny w zakresie walidacji e-podpisów
we Wspólnocie. Nie bez znaczenia są prowadzone aktualnie przez Komisję Europejską
działania dotyczące transgranicznej uznawalności podpisów elektronicznych (por. Komunikat
Komisji Europejskiej do Rady, Parlamentu Europejskiego, Komitetu Ekonomiczno-
-Społecznego, Komitetu Regionów z dnia 28 listopada 2008 „Plan działania dotyczący
e-podpisów i e-identyfikacji, mający na celu ułatwienie świadczenia transgranicznych usług
publicznych na jednolitym rynku” (COM (2008) 798)). W 2009 r. zostały podjęte działania
dotyczące walidacji podpisów kwalifikowanych oraz podpisów zaawansowanych
weryfikowanych certyfikatem kwalifikowanym. Podkreślić należy, że w pierwszym okresie
prace nad przyjazną dla użytkowników walidacją podpisów z innych krajów dotyczyć będą
wyłącznie certyfikatów kwalifikowanych. W art. 3 i 4 ustawy odróżnia się obowiązek
uznawania certyfikatów z
państw Europejskiego Obszaru Gospodarczego wynikający
z
dyrektywy 1999/93/WE od uznawania certyfikatów z tzw. krajów trzecich.
Uszczegółowione zostały skutki udzielenia gwarancji za certyfikat zagraniczny.
Wprowadzenie bardziej precyzyjnych uregulowań w zakresie uznawania certyfikatów
zagranicznych sprzyjać będzie rozwojowi konkurencji na krajowym rynku usług
certyfikacyjnych, gdyż możliwe będzie wykorzystywanie przez obywateli certyfikatów
kwalifikowanych wydanych w innych państwach europejskich. Podkreślić należy, że
wzajemne uznawanie e-podpisu pozostaje w znacznej mierze problemem technicznym, a nie
prawnym, ze względu na brak w większości państw członkowskich platform walidacji
obejmujących wszystkie podmioty kwalifikowane w danym kraju. Zapewnienie wspólnej
6
wspólnotowej pojęcie „podpis kwalifikowany”. W
odniesieniu do przewidzianych
obowiązującą ustawą o podpisie elektronicznym i działających już na polskim rynku
„kwalifikowanych podmiotów świadczących usługi certyfikacyjne w zakresie podpisu
elektronicznego” wprowadzono skróconą nazwę „podmiot kwalifikowany”. Zmieniona
względem poprzedniej ustawy definicja „danych do weryfikacji podpisu elektronicznego”
uwzględnia okoliczność, że dane do weryfikacji podpisu elektronicznego pozwalają, oprócz
identyfikacji podpisującego, zweryfikować inne istotne cechy podpisu. Nowa definicja
„urządzenia do składania podpisu elektronicznego” (art. 2 pkt 9) wprowadza zgodnie
z analogiczną definicją zawartą w dyrektywie 1999/93/WE łącznik „lub” pomiędzy
komponentem programistycznym i sprzętowym. Zniesiona zostaje zbędna definicja
„bezpiecznego urządzenia służącego do weryfikacji podpisu elektronicznego”. Dyrektywa
1999/93/WE nie posługuje się pojęciem „bezpiecznych urządzeń do weryfikacji podpisu
elektronicznego”, odnosząc sformułowanie „bezpieczne urządzenia” jedynie do urządzeń
generujących podpisy. Takie podejście jest zamierzone i wynika z technologii procesów
generowania i weryfikacji podpisu elektronicznego. Definicja zawarta w art. 2 pkt 11 nadaje
pojęciu „urządzenie do weryfikacji podpisu” brzmienie zgodne z dyrektywą 1999/93/WE.
Względem uprzednio obowiązującej ustawy z dnia 18 września 2001 r. o podpisie
elektronicznym rozszerzone zostało pojęcie „podpisującego” (art. 2 pkt 12 ustawy), które
obecnie obejmuje zarówno osoby fizyczne, jak i inne podmioty, w tym także podmioty
świadczące usługi certyfikacyjne. Rozwiązanie to pozostaje w pełni zgodne z definicją
zawartą w dyrektywie 1999/93/WE. Wprowadzenie nowego narzędzia w postaci podpisu
zaawansowanego (art. 2 pkt 2 ustawy) usprawni obrót gospodarczy oraz pracę administracji
publicznej. Dotychczas jedynym prawnie uregulowanym rodzajem podpisu zaawansowanego
w naszym kraju był bezpieczny podpis elektroniczny weryfikowany przy pomocy certyfikatu
kwalifikowanego. Korzystanie z tej usługi jest najbezpieczniejszym, ale zarazem najdroższym
rozwiązaniem ze względu na konieczność korzystania z bezpiecznych urządzeń do składania
podpisu elektronicznego. Cena zestawów do składania bezpiecznego podpisu elektronicznego
spadła wprawdzie znacząco, ale jest ona nadal wysoka dla użytkownika załatwiającego drogą
elektroniczną niewielką ilość spraw. Prowadzone prace wspólnotowe wskazują, że w części
państw członkowskich istotne znaczenie zyskuje zaawansowany podpis elektroniczny
weryfikowany certyfikatem kwalifikowanym. Podpis ten jest zgodny z dyrektywą
2
1999/93/WE i powinien być również stosowany w krajowym porządku prawnym. Podkreślić
należy, że ze względu na konieczność zapewnienia swobody przepływu usług
certyfikacyjnych we wspólnocie podpisy tego rodzaju coraz częściej występować będą
w obrocie prawnym m.in. z uwagi na możliwy udział cudzoziemców w procedurach
administracyjnych. Złożenie przez osobę fizyczną danych w postaci elektronicznej
opatrzonych zaawansowanym podpisem elektronicznym weryfikowanym przy pomocy
certyfikatu kwalifikowanego, skierowanych do podmiotu publicznego w rozumieniu ustawy
z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania
publiczne, wywoływać będzie skutek prawny dokumentu z podpisem własnoręcznym (art. 5
ust. 6).
Nowe definicje „podpisującego”, „podpisu elektronicznego” oraz „podpisu
zaawansowanego” usuwają istniejące w obowiązującej ustawie zawężenia względem
definicji zawartych w art. 2 ust. 1 i 2 dyrektywy 1999/93/WE. Analogiczne zmiany
w styczniu 2008 r. wprowadziła Republika Austrii, której ustawa o podpisie elektronicznym
przewidywała uprzednio jedynie tzw. „zwykły” podpis elektroniczny oraz bezpieczny podpis
elektroniczny składany z wyłączeniem osób prawnych. W obecnej ustawie utrzymane zostały
podstawowe rodzaje usług certyfikacyjnych przewidzianych obowiązującymi przepisami.
W nowej ustawie o podpisach elektronicznych odchodzi się od pojęcia „bezpieczny podpis
elektroniczny” na rzecz pojęcia „podpis kwalifikowany”, które stanowi jego odpowiednik
w nomenklaturze wspólnotowej. Wprowadzana zmiana dotyczy wyłącznie nazewnictwa i nie
oznacza utraty ważności dotychczas wydanych certyfikatów kwalifikowanych do składania
bezpiecznego podpisu elektronicznego.
W art. 2 pkt. 1 ustawy dokonana została, zgodnie z brzmieniem dyrektywy
1999/93/WE, zmiana w definicji tzw. podpisu zwykłego, która w miejsce dotychczas
stosowanego pojęcia „identyfikacji” odwołuje się obecnie do terminu „metody
uwierzytelnienia”. Ustawa, podobnie jak dyrektywa 1999/93/WE, nie definiuje pojęcia
uwierzytelnienia, gdyż punktem odniesienia w tym zakresie są dokumenty standaryzacyjne
oraz bieżący stan wiedzy informatycznej. Dążenie do ścisłego zdefiniowania wszystkich
pojęć mogłoby prowadzić do usztywnienia przepisów i zmuszać w
przyszłości do
wielokrotnych zmian przepisów ustawowych. W świetle wiedzy informatycznej jedną
z
metod uwierzytelnienia jest podpis cyfrowy (ang. „digital signature”), oparty na
3
asymetrycznej technice kryptograficznej (para kluczy kryptograficznych: publiczny
i prywatny). Dzięki matematycznej zależności między kluczami kryptograficznymi,
weryfikacja podpisu cyfrowego umożliwia uwierzytelnienie, czyli potwierdzenie, że
podpisujący jest tym, za kogo się podaje. Przełożeniem koncepcji podpisu cyfrowego
opartego o zaufaną stronę trzecią na prawną terminologię dyrektywy 1999/93/WE jest pojęcie
zaawansowanego podpisu elektronicznego. Ten rodzaj podpisu elektronicznego stał się
podstawą do zdefiniowania w ustawie „podpisu kwalifikowanego”.
W ustawie (art. 2 pkt 4) mowa jest o podpisie kwalifikowanym, który w dyrektywie
1999/93/WE (art. 5 ust. 1) nie otrzymał własnej nazwy, a który w nomenklaturze
wspólnotowej jest powszechnie określany jako „kwalifikowany podpis elektroniczny”.
Chodzi o zaawansowany podpis elektroniczny oparty na kwalifikowanym certyfikacie
i złożony za pomocą bezpiecznego urządzenia służącego do składania e-podpisu. Mimo iż
dyrektywa 1999/93/WE nie stanowi, że podpis elektroniczny musi dotyczyć osoby fizycznej,
składającym kwalifikowany podpis elektroniczny może być tylko osoba fizyczna, ponieważ
podpis taki uważany jest za równoważny z podpisem odręcznym.
Wydawanie kwalifikowanych certyfikatów jest działalnością regulowaną europejskimi
dokumentami standaryzacyjnymi. Podmioty kwalifikowane, jako zaufana strona trzecia,
wnoszą ważną wartość dodaną w zakresie zaufania w obrocie elektronicznym i odgrywają
kluczową rolę na rynku usług certyfikacyjnych. W chwili obecnej w Europie działa ok. 90
podmiotów kwalifikowanych lub akredytowanych, które mogą wydawać certyfikaty
kwalifikowane. Podpis kwalifikowany stosuje obecnie zdecydowana większość państw
członkowskich, gdyż zastosowanie bezpiecznego urządzenia znacząco podnosi wiarygodność
i bezpieczeństwo procesu składania podpisu elektronicznego oraz ochrony tzw. klucza
prywatnego.
Wprowadzenie definicji pieczęci elektronicznej (ang. „data stamping” – dosł.
stemplowanie danych) ma na celu zapewnienie nowego narzędzia opartego o technologię
zbliżoną do wykorzystywanej przy podpisie elektronicznym. Przyjęcie, że pieczęć
elektroniczna nie jest podpisem elektronicznym, pozwoli m.in. na pełną automatyzację jego
stosowania. Narzędzie to jest przeznaczone do podniesienia wiarygodności i integralności
przesyłanych wiadomości. Pieczęć elektroniczna może być generowana przez systemy
4
informatyczne bez udziału człowieka. W praktyce zastosowanie pieczęci może dotyczyć
takich czynności, jak m.in. potwierdzenie faktu wpłynięcia dokumentów elektronicznych,
potwierdzenie przyjęcia zamówienia itp. Pieczęć elektroniczna stanowi rozwiązanie
oczekiwane zarówno przez przedsiębiorców z uwagi na możliwe zastosowanie dla faktur
elektronicznych, jak i administracji publicznej, gdzie może odegrać istotną rolę przy
elektronicznych wypisach z ewidencji i rejestrów. Pod względem technologicznym, w tym
w odniesieniu do stosowanych algorytmów kryptograficznych, pieczęć elektroniczna nie
musi się istotnie różnić od podpisu elektronicznego. Ze względu na początkowy etap rozwoju
tego narzędzia ustawa nie przesądza o rodzaju certyfikatów, które mogą być stosowane do
weryfikacji pieczęci. Dla przykładu w rozwiązaniu czeskim przyjęto, że do weryfikacji
pieczęci służy osobna kategoria certyfikatów systemowych, które różnią się nieznacznie
swoim profilem od certyfikatów kwalifikowanych. Niemniej technologicznie możliwe jest
również tworzenie pieczęci elektronicznej bez jakichkolwiek certyfikatów, co przemawia za
zapewnieniem swobody w tym zakresie. Potrzeby praktyki obrotu gospodarczego
i administracyjnego pozwolą w przyszłości wypełnić pieczęć elektroniczną głębszą treścią,
gdy na rynku pojawią się propozycje nowych narzędzi i aplikacji służących do jej składania.
W ślad za rozwojem technologii oraz rynku zastosowania dla pieczęci regulowane będą
innymi przepisami.
Przyjęte w ustawie definicje podpisującego oraz pieczęci elektronicznej umożliwią
rezygnację z definicji „poświadczenie elektroniczne” i „zaświadczenie elektroniczne”, a także
pozwolą zapewnić ciągłość funkcjonowania istniejącej obecnie krajowej infrastruktury klucza
publicznego. Nowa definicja „certyfikatu” konsumuje dotychczasowe pojęcia zaświadczeń
i poświadczeń certyfikacyjnych. Pojęcie certyfikatu w świetle europejskich dokumentów
standaryzacyjnych obejmuje zarówno certyfikat wydawany podpisującym, jak
i zaświadczenie certyfikacyjne. W sensie wymogów technicznych oba pojęcia są tożsame.
Pojęcia „zaświadczenia certyfikacyjnego” i „poświadczenia elektronicznego” nie występują
w dyrektywie 1999/93/WE i zamieszczenie ich w ustawie jest nadmiarowe. Wydawane przez
Europejski Komitet Standaryzacyjny CEN normy CWA także w odniesieniu do urzędów
certyfikujących posługują się pojęciem „certificate CA”, czyli po prostu certyfikatu urzędu
certyfikującego. Nie oznacza to zniesienia istniejących zaświadczeń i poświadczeń
certyfikacyjnych, ale ich zastąpienie pojęciem certyfikatu. Podkreślić należy, że ustawa
utrzymuje istniejącą architekturę krajowej infrastruktury klucza publicznego opartą o krajowy
5
urząd certyfikujący. Wiarygodność podmiotów świadczących kwalifikowane usługi
certyfikacyjne będzie nadal ugruntowana na certyfikacie wydanym przez właściwy organ
państwa. Dotychczasowe „zaświadczenie elektroniczne” będzie w świetle nowej
nomenklatury certyfikatem ministra właściwego ds. gospodarki.
Nowe uregulowanie dotyczące uznawania certyfikatów z zagranicy (art. 3 i art. 4
ustawy) precyzuje warunki, jakie muszą zostać spełnione dla zrównania pod względem
prawnym certyfikatów kwalifikowanych wydawanych przez podmiot zagraniczny
z
kwalifikowanymi certyfikatami wydawanymi przez krajowe centra certyfikacji. W art. 3 i 4
sformułowano zasadę równoważności certyfikatów tego rodzaju wyłącznie w odniesieniu do
certyfikatów kwalifikowanych. Jest to zgodne z dyrektywą 1999/93/WE, która nie wymaga
uznawania certyfikatów zwykłych. Wprowadzenie wymogu uznawania certyfikatów
zwykłych wyprzedzałoby znacząco obecny stan techniczny w zakresie walidacji e-podpisów
we Wspólnocie. Nie bez znaczenia są prowadzone aktualnie przez Komisję Europejską
działania dotyczące transgranicznej uznawalności podpisów elektronicznych (por. Komunikat
Komisji Europejskiej do Rady, Parlamentu Europejskiego, Komitetu Ekonomiczno-
-Społecznego, Komitetu Regionów z dnia 28 listopada 2008 „Plan działania dotyczący
e-podpisów i e-identyfikacji, mający na celu ułatwienie świadczenia transgranicznych usług
publicznych na jednolitym rynku” (COM (2008) 798)). W 2009 r. zostały podjęte działania
dotyczące walidacji podpisów kwalifikowanych oraz podpisów zaawansowanych
weryfikowanych certyfikatem kwalifikowanym. Podkreślić należy, że w pierwszym okresie
prace nad przyjazną dla użytkowników walidacją podpisów z innych krajów dotyczyć będą
wyłącznie certyfikatów kwalifikowanych. W art. 3 i 4 ustawy odróżnia się obowiązek
uznawania certyfikatów z
państw Europejskiego Obszaru Gospodarczego wynikający
z
dyrektywy 1999/93/WE od uznawania certyfikatów z tzw. krajów trzecich.
Uszczegółowione zostały skutki udzielenia gwarancji za certyfikat zagraniczny.
Wprowadzenie bardziej precyzyjnych uregulowań w zakresie uznawania certyfikatów
zagranicznych sprzyjać będzie rozwojowi konkurencji na krajowym rynku usług
certyfikacyjnych, gdyż możliwe będzie wykorzystywanie przez obywateli certyfikatów
kwalifikowanych wydanych w innych państwach europejskich. Podkreślić należy, że
wzajemne uznawanie e-podpisu pozostaje w znacznej mierze problemem technicznym, a nie
prawnym, ze względu na brak w większości państw członkowskich platform walidacji
obejmujących wszystkie podmioty kwalifikowane w danym kraju. Zapewnienie wspólnej
6
Dokumenty związane z tym projektem:
-
3629
› Pobierz plik
-
3629-001
› Pobierz plik
-
3629-002
› Pobierz plik
-
3629-003
› Pobierz plik
-
3629-004
› Pobierz plik
Projekty ustaw
Trimare Sztutowo - inwestycja mieszkaniowa premium
