Rządowy projekt ustawy o podpisach elektronicznych
- projekt ma na celu implementacje dyrektywy Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych
projekt mający na celu wykonanie prawa Unii Europejskiej
- Kadencja sejmu: 6
- Nr druku: 3629
- Data wpłynięcia: 2010-11-23
- Uchwalenie:
3629
e-podpisu oraz ich integracji na poziomie wspólnotowym. W naszym kraju prowadzone są
obecnie prace związane z zapewnieniem mechanizmów walidacji podpisów elektronicznych
z wszystkich krajowych centrów certyfikacji za pośrednictwem Elektronicznej Platformy
Usług Publicznych ePUAP.
Kwalifikowana i zwykła usługa znakowania czasem oparta została o pojęcie czasu
urzędowego i pozwala na jego wystawianie nie tylko podmiotom kwalifikowanym (art. 7 i 19
ustawy). Zwykła usługa znakowania czasem może być świadczona w oparciu o wybrane
przez sam podmiot wiarygodne wzorce czasu. Kwalifikowana usługa znakowania czasem
będzie świadczona w oparciu o wzorce czasu urzędowego. Wyłącznie kwalifikowana postać
znakowania czasem wywoływać będzie jak dotychczas skutki daty pewnej w rozumieniu
kodeksu cywilnego. Znakowanie czasem nie jest rozwiązaniem ujednoliconym we
Wspólnocie i każde z państw we własnym zakresie decyduje o tym, jakie usługi uznaje za
kwalifikowane w zakresie znakowania czasem. W Polsce przyjęto rozwiązanie polegające na
powiązaniu z czasem urzędowym i czasem UTC(PL) przy zachowaniu wymogów
synchronizacji do tych czasów z określoną dokładnością. Wymagane dokładności
synchronizacji oraz pozostałe warunki techniczne związane z zapewnieniem wiarygodności
czasu stosowanego w tych usługach będą określone w rozporządzeniu wydanym na podstawie
art. 19 ust. 4 ustawy. W przypadku kwalifikowanego znakowania czasem utrzymany zostaje
wymóg dokładności synchronizacji do jednej sekundy, przy czym wprowadzony zostaje
obowiązek weryfikacji technicznej spełnienia tego wymogu.
Techniczna różnica między kwalifikowanym a niekwalifikowanym znakowaniem
czasem polega na różnym obowiązku częstości weryfikacji wymaganej dokładności
synchronizacji (art. 19 ustawy). Zakłada się wykorzystanie w tym celu wymiany pakietu NTP
między serwerami czasu z zastosowaniem mechanizmów autoryzacji i autentyfikacji.
Przewidywany graniczny okres kilku dni między kolejnymi weryfikacjami dokładności
synchronizacji w kwalifikowanym znakowaniu czasem, przy zastosowaniu odpowiednich
pomocniczych wzorców czasu, zapewni w pełni dostępność tej usługi bez konieczności
częstej weryfikacji wymaganej dokładności synchronizacji. Nie będzie to zatem stanowiło
utrudnienia dla świadczenia usług znakowania czasem, natomiast zdecydowanie zwiększy
zaufanie do tych usług przez odejście od samodeklaracji w zakresie dokładności czasu
7
stosowanego przez podmioty przy realizacji tych usług. Czas urzędowy jest jednoznacznie
powiązany z czasem UTC(PL) – główną polską fizyczną realizację międzynarodowego czasu
UTC. Utrzymywanie dokładności synchronizacji czasu UTC(PL) z czasem UTC poniżej
jednej dziesięciomilionowej części sekundy (poniżej 100 ns) w zupełności pozwala na
wykorzystanie czasu urzędowego i czasu UTC (PL) do zagwarantowania rzetelności
i wiarygodności czasu stosowanego w podpisie elektronicznym.
Zgodnie z art. 22 ust. 3 ustawy umowa o wydanie certyfikatu kwalifikowanego
powinna być zawarta w formie pisemnej lub formie elektronicznej. Jest to forma zastrzeżona
dla celów dowodowych i brak jej dochowania wykluczy możliwość przeprowadzenia dowodu
przy udziale świadków. Brak dochowania formy nie wpływa jednak na ważność certyfikatu,
jeżeli przy jego wydawaniu spełnione zostały wymagania określone w art. 22 ust. 2 oraz
uzyskano zgodę, o której mowa w art. 11 ust. 3.
Art. 24 ustawy wprowadza nowe uregulowania dotyczące certyfikatów atrybutów.
W
dotychczasowej praktyce usług certyfikacyjnych pola rozszerzeń certyfikatu
kwalifikowanego mają dostarczać dodatkowych informacji na temat funkcji i uprawnień
właściciela certyfikatu. Rozwiązanie to okazuje się drogie: podmiot kwalifikowany
odpowiada za dane umieszczone w certyfikacie, wobec czego musi wdrożyć procedury
sprawdzania dokumentów oraz danych, na podstawie których dokonuje wpisów. Czynności te
są obarczone ryzykiem, które pośrednio podnosi koszty działalności certyfikacyjnej. Osoba,
która wystąpiła o certyfikat elektroniczny, określając w nim dokładnie cechy i uprawnienia,
nie ma możliwości nieodpłatnej wymiany certyfikatu, gdy utracą aktualność zawarte w nim
informacje. Należy stwierdzić, że znacznie tańszym rozwiązaniem jest posługiwanie się
w obrocie certyfikatami atrybutów. Ten sui generis certyfikat stanowi, że określona osoba
(identyfikowana jako posiadacz pewnego klucza prywatnego) posiada określone uprawnienia.
Certyfikaty atrybutów nie są technologicznie tożsame z
certyfikatami podpisu
elektronicznego, gdyż zawarte w nich dane nie służą do weryfikacji e-podpisu. Certyfikaty
atrybutów mogą być wydawane przez osoby uprawnione do nadawania uprawnień lub przez
stronę trzecią, jaką są podmioty świadczące usługi certyfikacyjne. W sytuacji takiej
uproszczeniu ulegają dokonywane czynności (np. izba adwokacka wydaje adwokatowi
certyfikat atrybutu, zamiast wydawać mu zaświadczenie, na mocy którego adwokat uzyskuje
odpowiedni wpis w certyfikacie kwalifikowanym), zmniejsza się liczba certyfikatów
8
kwalifikowanych (ta sama osoba może być obecnie zmuszona do wyrabiania wielu
certyfikatów ze względu na różne role, w jakich występuje), upraszcza się także kwestie
odpowiedzialności za dane umieszczane w certyfikacie. Nie ma przeszkód, aby w przyszłości
technologia certyfikatów atrybutów znalazła zastosowanie w różnego rodzaju ewidencjach
lub rejestrach. Tworząc repozytorium certyfikatów atrybutów można zapewnić
funkcjonowanie swego rodzaju bazy danych o uprawnieniach lub udzielonych
pełnomocnictwach. Certyfikaty atrybutów będzie można wydawać zarówno do certyfikatów
zwykłych, jak i certyfikatów kwalifikowanych.
W art. 26 ust. 4 znajduje się odesłanie do przepisów odrębnych w zakresie badania
zgodności urządzeń i procesów, o których mowa w ust. 1 i 2 tego artykułu. Analogiczne
uregulowanie przewidziane było w art. 18 ust. 4 dotychczas obowiązującej ustawy o podpisie
elektronicznym. Należy przyjąć, że chodzi tutaj przede wszystkim o ustawę z dnia 30 sierpnia
2002 r. o systemie oceny zgodności (Dz. U. Nr 166, poz. 1360, z późn. zm.) oraz dwie
decyzje Komisji Europejskiej:
– decyzję Komisji Europejskiej z 14 lipca 2003 w sprawie publikacji ogólnie uznanych
standardów dla produktów podpisu elektronicznego zgodnie z dyrektywą 1999/93/WE
Parlamentu Europejskiego i Rady w sprawie wspólnotowych ram w zakresie podpisu
elektronicznego (2003/511/WE),
– decyzję Komisji z 6 listopada 2000 r. w sprawie minimalnych kryteriów, jakie powinny
zostać wzięte pod uwagę przez Państwa Członkowskie przy wyznaczaniu organów
zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady
w sprawie wspólnotowych ram w zakresie podpisu elektronicznego (2000/709/WE).
W art. 31 ust. 3 pkt 3 wprowadza się obowiązek złożenia przez podmiot ubiegający się
o wpis w rejestrze podmiotów kwalifikowanych oświadczeń o braku wpisu w rejestrze
dłużników niewypłacalnych oraz o braku zaległości podatkowych i składek na ubezpieczenie
społeczne. Art. 31 ust. 3 pkt 8 nakłada również na te podmioty wymóg złożenia oświadczenia
o zawarciu umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone
odbiorcom usług certyfikacyjnych, na okres nie krótszy niż rok od dnia złożenia wniosku
o wpis do rejestru. Wymienione przepisy służą wykazaniu spełnienia zawartego w załączniku
II do dyrektywy 1999/93/WE wymogu, aby podmiot świadczący usługi certyfikacyjne
wystawiający certyfikaty kwalifikowane dysponował wystarczającymi
środkami
9
finansowymi, aby działać zgodnie z wymaganiami dyrektywy, w szczególności aby ponosić
ryzyko odpowiedzialności za szkody, na przykład przez wykupienie odpowiedniego
ubezpieczenia.
W rozdziałach 6 i 7 ustawa znacząco liberalizuje nadzór nad świadczeniem usług
certyfikacyjnych oraz upraszcza procedurę wpisu do rejestru. Zgodnie z art. 3 ust. 3
dyrektywy 1999/93/WE ustawa reguluje zasady nadzoru nad podmiotami świadczącymi
usługi certyfikacyjne wydającymi certyfikaty kwalifikowane. Zniesiony zostaje natomiast
nadzór nad podmiotami świadczącymi usługi niekwalifikowane. Podkreślić należy, że nie
wszystkie kraje Unii Europejskiej przewidują nadzór nad podmiotami świadczącymi zwykłe
usługi certyfikacyjne (Austria, Finlandia, Grecja, Włochy, Portugalia, Hiszpania, Węgry,
Słowenia). W większości krajów nadzór sprawowany jest wyłącznie nad podmiotami
kwalifikowanymi (Belgia, Dania, Francja, Niemcy, Irlandia, Luksemburg, Holandia, Szwecja,
Wielka Brytania, Czechy, Estonia, Łotwa, Litwa, Malta). Szczegółowy nadzór nad zwykłymi
podmiotami certyfikującymi nie był dotychczas możliwy ze względu na brak obowiązku
notyfikacji tego rodzaju działalności ministrowi właściwemu do spraw gospodarki.
W odniesieniu do nowych podmiotów ubiegających się o wpis do rejestru podmiotów
kwalifikowanych prowadzonego przez ministra właściwego do spraw gospodarki zniesiona
zostaje opłata za wpis do rejestru oraz kontrola wstępna.
Ustawa daje organowi nadzoru nowe narzędzie w postaci uprawnienia do żądania
m.in. informacji związanych z prowadzoną działalnością certyfikacyjną (art. 39). Dotychczas
wiele informacji związanych z działalnością podmiotów kwalifikowanych udostępnianych
było na zasadzie dobrowolności. W sposób bardziej precyzyjny niż dotychczas określono
obowiązek archiwizacji danych w związku ze świadczeniem usług certyfikacyjnych oraz
ograniczono okres przechowywania tych danych do 10 lat. Jest to ważny krok w kierunku
ograniczenia kosztów funkcjonowania podmiotów świadczących kwalifikowane usługi
certyfikacyjne. W przepisach dotyczących przypadków, w jakich nastąpić może wykreślenie
wpisu z rejestru podmiotów kwalifikowanych (art. 36 ust. 1 i 2) zawarto rozróżnienie podstaw
wykreślenia wpisu między przypadkiem otwarcia likwidacji i ogłoszenia upadłości. Różnica
wynika z faktu, że likwidacja może następować w szczególności z przyczyn organizacyjnych.
Likwidowany podmiot może posiadać środki i kontynuować prowadzenie działalności.
Podmiot znajdujący się w stanie upadłości nie będzie posiadał środków na kontynuowanie
działalności. Konsekwencją uprawnień nadzorczych ministra właściwego do spraw
gospodarki jest nowa instytucja wykreślenia wpisu z rejestru w związku z takim złożeniem
10
podpisu zaawansowanego przy użyciu certyfikatu wydanego przez ministra, które rażąco
narusza przepisy ustawowe. Należy oczekiwać, że rozwiązanie takie stosowane będzie
wyłącznie w ostateczności z uwagi na jego dotkliwe skutki dla odbiorców usług
certyfikacyjnych.
Przepisy ustawy wprowadzają możliwość świadczenia innych niż przewidziane
w ustawie usług certyfikacyjnych, otwierając – stosownie do rozwoju technologii i rynku –
drogę do wprowadzania na rynek innowacji, bez konieczności oczekiwania na uprzednią
regulację prawną. Dopuszczenie usług nienazwanych stanowi przesłankę zwiększenia
innowacyjności i konkurencyjności podmiotów, które funkcjonują pod polską jurysdykcją.
Praktyka ostatnich lat wskazuje, że tzw. usługi nienazwane z ustawy o podpisie
elektronicznym posłużyły do wprowadzenia potrzebnych rynkowi usług. Niektóre
z dotychczasowych usług nienazwanych zostały uwzględnione w nowej ustawie jako usługi
nazwane (certyfikaty atrybutów, potwierdzenie ważności certyfikatów). Punkt 9 preambuły
do implementowanej dyrektywy 1999/93/WE jednoznacznie dopuszcza otwarty katalog usług
certyfikacyjnych, umożliwiając tym samym ich dynamiczny rozwój.
W odniesieniu do podmiotów świadczących usługi certyfikacyjne ustawa wprowadza
możliwość stosowania bezzwłocznej i nieodpłatnej usługi informacji o statusie certyfikatu
(art. 29 ust. 1). Dotychczasowa weryfikacja realizowana była przy użyciu publikowanych
w określonych odstępach czasu list unieważnionych certyfikatów (tzw. listy CRL). Nowa
ustawa dopuszcza, w zgodzie z obecnym stanem rozwoju technologii oraz standardów
wspólnotowych, wykorzystanie potwierdzeń ważności w czasie rzeczywistym realizowanych
poprzez usługę OCSP (ang. Online Certificate Status Protocol). Usługa ta, w zgodzie ze
standardami technicznymi, może występować zamiast lub równolegle z publikowaniem list
CRL. Wydany przez Europejski Komitet Standaryzacyjny CEN dokument CWA 14167-1
Security Requirements for Trustworthy Systems Managing Certificates for Electronic
Signatures w pkt. 5.2.6 („Certificate Revocation Status Service”) wprowadza wymaganie, aby
podmiot świadczący usługi certyfikacyjne wykonywał usługę unieważniania/zawieszania
certyfikatu oraz informował o statusie certyfikatu poprzez jedną z dwóch metod:
– „Periodical Messaging”, czyli publikacja okresowa listy CRL/ARL (tzw. off-line) lub
– „Real-time Messaging”, czyli usługa OCSP (On-line Certificate Status Protocol).
W świetle powyższego art. 29 nie pozwala na stosowanie rozwiązań innych niż
standaryzowane rozwiązania CRL lub OCSP (X.509 i RFC 2560). Wprowadzenie możliwości
11
Dokumenty związane z tym projektem:
-
3629
› Pobierz plik
-
3629-001
› Pobierz plik
-
3629-002
› Pobierz plik
-
3629-003
› Pobierz plik
-
3629-004
› Pobierz plik