Uniwersytet Jagielloński
Wydział Prawa i Administracji
Dariusz Woźniak
Prawne, ekonomiczne oraz technologiczne aspekty polskiego systemu podpisu elektronicznego
Praca napisana pod kierunkiem
Dr hab. Tadeusza Włudyki
Kraków 2002Spis treści
Wprowadzenie 3
1. Przesłanki ekonomiczne przyczyną wprowadzenia podpisu elektronicznego do polskiego systemu prawnego. 5
1.1. Cechy podpisu elektronicznego 5
1.2. Możliwe zastosowania podpisu elektronicznego. 9
1.3. Podpis elektroniczny jako element tworzącego się w Polsce eGovernment. 12
2. Technologiczne uwarunkowania procedury cyfrowego podpisu 15
2.1. Algorytmy symetryczne i asymetryczne 15
2.2. Przebieg procesu podpisywania elektronicznego 18
2.3. Certyfikaty 27
2.4. Znakowanie czasem 30
2.5. Rozwój technologii identyfikacyjnych 32
2.6. Techniczne standardy dotyczące podpisu elektronicznego. 33
3. Uwarunkowania o charakterze prawnym, które wywarły wpływ na kształt regulacji podpisu elektronicznego. 37
3.1. Status podpisu elektronicznego przed jego ustawową regulacją 37
3.2. Regulacja technologicznie zamknięta a technologicznie otwarta 39
3.3. Harmonizacja rozwiązań ustawowych z prawem Unii Europejskiej 41
4. Skutki prawne wprowadzenia podpisu elektronicznego do polskiego systemu prawnego. 46
4.1. Podpis elektroniczny zrównany w świetle prawa z podpisem własnoręcznym. 46
4.2. Podpis elektroniczny a zawarcie umowy drogą elektroniczną 51
4.3. Znakowanie czasem zrównane z datą pewną. 53
4.3. Rynek świadczenia usług certyfikacyjnych 55
Podsumowanie 70
Bibliografia 72
Rozwój technologii informacji i komunikacji (ang. Information and Communication Technologies – ICT), a w szczególności powstanie globalnej sieci teleinformatycznej stworzyło nową jakość w komunikacji międzyludzkiej. Internet w stosunkowo krótkim czasie stał się ważnym narzędziem prowadzenia działalności gospodarczej, a utrzymanie wysokiej dynamiki rozwoju tej działalności wymagało wprowadzenia przejrzystych ram prawnych jej funkcjonowania. Jedną z podstawowych konieczności stało się stworzenie infrastruktury prawnej do efektywnego i bezpiecznego potwierdzania tożsamości osób uczestniczących w elektronicznym obrocie gospodarczym.
Powyższa konieczność zaowocowała stworzeniem koncepcji podpisu elektronicznego (cyfrowego). Mimo, iż dzisiaj problematyka ta wydaje się jeszcze stosunkowo daleka od codziennego życia, z dużą dozą prawdopodobieństwa można przypuszczać, że za kilka lub kilkanaście lat, posiadanie własnego podpisu elektronicznego będzie równie użyteczne, a czasem konieczne, jak w dniu dzisiejszym, nie przymierzając, posiadanie telefonu. Polski ustawodawca stworzył podstawy prawne podpisu elektronicznego dając mu istotne miejsce w polskim systemie prawnym. Wychodząc naprzeciw potrzebie zrozumienia istoty problematyki dotyczącej podpisu elektronicznego została napisana niniejsza praca.
W rozdziale pierwszym zdefiniowano podpis elektroniczny i określono jego rodzaje. Ponadto, zostały wskazane tam zastosowania podpisu elektronicznego zarówno w sferze działalności gospodarczej, funkcjonowania administracji i sądownictwa, jak i w sferze życia codziennego.
Rozdział drugi wyjaśnia procedurę podpisu elektronicznego oraz elementy z nim związane od strony technologicznej. Bez odwołania się do wiedzy z zakresu kryptografii, informatyki oraz telekomunikacji nie da się zrozumieć w pełni, czym jest podpis elektroniczny, z jakich elementów się składa, jak powstaje i jak jest weryfikowany. W rozdziale tym zostały również przedstawione od strony technologicznej certyfikaty podpisu elektronicznego oraz usługi znakowania czasem. Ostatnia część rozdziału zawiera opis najbardziej istotnych standardów technologicznych związanych z systemem podpisu elektronicznego oraz działań instytucji międzynarodowych, które w największym stopniu przyczyniły się do globalnego upowszechnienia się podpisu elektronicznego.
Polski ustawodawca tworząc prawną infrastrukturę dla podpisu elektronicznego nie działał w próżni. Musiał opierać się na istniejącym systemie prawnym oraz wziąć pod uwagę międzynarodowe zobowiązania, które Polska nałożyła na siebie podpisując umowy międzynarodowe. Powyższe uwarunkowania stały się przedmiotem rozważań w rozdziale trzecim niniejszej pracy. Przeanalizowana została kwestia wymogów związanych z potrzebą harmonizacji prawa polskiego z prawem Unii Europejskiej, jak również przedstawiony został podstawowy dylemat prawny, jaki stoi przed każdym ustawodawcą podpisu elektronicznego na świecie – wybór regulacji podpisu elektronicznego otwartej lub zamkniętej technologicznie.
W ostatnim rozdziale został przedstawiony polski system prawny podpisu elektronicznego i problemy z nim związane. Przedmiotem tego rozdziału są między innymi kwestie związane z formą elektronicznych czynności prawnych, problematyką zawierania umów w drodze elektronicznej, znakowaniem czasem podpisu elektronicznego. W rozdziale tym zostały również przedstawione ramy prawno-organizacyjne tworzącego się w Polsce rynku usług certyfikacyjnych.
Brak zaufania w stosunku do partnerów handlowych, z którymi nie ma się bezpośredniego fizycznego kontaktu, oraz do ofert, które docierają poprzez sieć teleinformatyczną jest powszechna i stanowi poważne ograniczenie w rozwoju gospodarki opartej na technologiach informacji i komunikacji. Źródłem braku potrzebnego zaufania był brak mechanizmów prawnych i technologicznych, które pozwoliłyby na tworzenie prawnie doniosłych dowodów oświadczenia woli stron w obrocie elektronicznym. Najprostszym rozwiązaniem było zastąpienie podpisu własnoręcznego obiektem, który spełniałby w środowisku elektronicznym te same funkcje, co podpis własnoręczny na dokumencie w tradycyjnym obrocie gospodarczym.
W literaturze dotyczącej tego zagadnienia, stosowane są dwa terminy – „podpis elektroniczny” (ang. electronic signature) oraz „podpis cyfrowy” (ang. digital signature). Mimo, iż często utożsamia się te dwa terminy, nie jest to praktyka uzasadniona. Upraszcza rzeczywistość i powoduje terminologiczną nieostrość, a w pewnych sytuacjach może wprowadzać w błąd. Podpis elektroniczny jest pojęciem szerszym od podpisu cyfrowego i opisuje wszystkie technologie zastępujące podpis odręczny w środowisku elektronicznym. Zatem, podpisem elektronicznym jest podpis odręczny zeskanowany i umieszczony jako plik graficzny w dokumencie, podpis dokonany za pomocą pióra świetlnego, jak również dołączony do dokumentu kod osobistego dostępu (PIN). Podpis cyfrowy z kolei wiąże się z informatycznym zastosowaniem kryptografii w celu zapewnienia autentyczności wiadomości elektronicznych oraz integralności treści tych informacji. Każdy podpis cyfrowy jest więc podpisem elektronicznym, lecz nie każdy podpis elektroniczny jest podpisem cyfrowym.
Zamieszania terminologicznego nie wyjaśnia ustawa z dnia 18 września 2001r., o podpisie elektronicznym (Dz.U. 2001 nr 130 poz. 1450), która stanowi kluczowy akt prawny kształtujący system podpisu elektronicznego w Polsce (dalej: u.p.e.). Wprowadza ona techniczno-prawną definicję podpisu elektronicznego, który jest według ustawy „danymi w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny”[1]. Ustawodawca zakreślił niezwykle szeroko zakres obiektów, które należy uznać za podpis elektroniczny według ustawy. Każde dane, które są w postaci elektronicznej i zostały dołączone do innych danych oraz służą identyfikacji podmiotu są podpisem elektronicznym.
Tak szeroka definicja podpisu elektronicznego nie ma de facto znaczenia praktycznego, w związku z czym ustawodawca obok definicji podpisu elektronicznego wprowadził również pojęcie kwalifikowanego (zaawansowanego) podpisu elektronicznego określonego w u.p.e. jako „bezpieczny podpis elektroniczny”. Zgodnie z art. 3 pkt. 2 u.p.e. bezpieczny podpis elektroniczny to podpis elektroniczny, który:
a) jest przyporządkowany do osoby składającej ten podpis,
b) jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
c) jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna”.
Jak łatwo zauważyć definicja bezpiecznego podpisu elektronicznego odpowiada pojęciu podpisu cyfrowego, co więcej podpisu cyfrowego opartego na algorytmach asymetrycznych.
Dostosowując się do przyjętego przez ustawodawcę rozwiązania, w dalszej części niniejszej pracy pod pojęciem „podpisu elektronicznego” lub „podpisu cyfrowego” należy rozumieć bezpieczny podpis elektroniczny w znaczeniu techniczno-prawnym zdefiniowanym przez u.p.e.
Tak więc, ustawodawca określa, iż bezpieczny podpis elektroniczny musi posiadać trzy podstawowe cechy – musi zapewniać wiarygodność, niezaprzeczalność oraz spójność.
Wiarygodność podpisu elektronicznego oznacza, iż w wyniku jego weryfikacji zostało stwierdzone jednoznacznie powiązanie kryptograficzne pomiędzy parą kluczy prywatnym i publicznym, co w praktyce oznacza, iż przesłana wiadomość została pozytywnie zweryfikowana za pomocą publicznego klucza nadawcy. Traktując cechę jak kryterium uznania podpisu elektronicznego za bezpieczny ustawodawca wprowadza cechę wiarygodności w pkt a) definicji, określając, iż podpis jest przyporządkowany do osoby go składającej.
Z cechą wiarygodności wiąże się ściśle niezaprzeczalność (ang. non-repudiation) podpisu elektronicznego. Podpis elektroniczny charakteryzujący się niezaprzeczalnością został stworzony za pomocą procedury, która nie pozwala skutecznie twierdzić osobie widniejącej jako właściciel klucza publicznego, za pomocą którego dokonano weryfikacji podpisu elektronicznego, iż to nie on dokonał podpisu elektronicznego. Niezaprzeczalność określa pkt b) wspomnianej definicji bezpiecznego podpisu elektronicznego, który określa, iż bezpieczny podpis elektroniczny jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego. Tak więc, o czym będzie jeszcze mowa, do zobowiązań osoby składającej podpis elektroniczny należy zapewnienie, by nikt inny nie przejął kontroli nad urządzeniami oraz oprogramowaniem służącym do składania podpisu elektronicznego.
Jako cechę podpisu elektronicznego wymienia się czasem poufność, bowiem przesyłana i podpisana elektronicznie wiadomość może być również zaszyfrowana (np. z użyciem klucza publicznego odbiorcy). Kwestia poufności jest jednak zupełnie niezależna od podpisu elektronicznego i dla jego ważności jest bez znaczenia, czy podpisana wiadomość została zaszyfrowana.
Mimo znaczących analogii podpisu własnoręcznego oraz podpisu elektronicznego (stąd wzięła się nazwa „podpisu” elektronicznego) istnieją znaczące różnice polegające nie tylko na fakcie, iż podpis własnoręczny jest umieszczony na papierze, a podpis elektroniczny ma postać ciągu bitów i fizycznie istnieje na nośniku elektronicznym lub też transmitowany jest poprzez sieć teleinformatyczną.
Podpis własnoręczny określonego człowieka jest generalnie taki sam za każdym razem, gdy człowiek się podpisuje. Nawet jeżeli różni się w szczegółach, różnice te są niewielkie i nie mają znaczenia prawnego. Z kolei podpis elektroniczny jest za każdym razem inny, bowiem polega na przekształceniu wiadomości lub częściej matematycznego skrótu wiadomości na postać ciągu bitów (ciągu zer i jedynek), które zależą nierozerwalnie od treści wiadomości oraz od parametru zależnego od użytkownika, a wyrażającego się w znanym tylko jemu ciągu bitów – kluczu prywatnym. Oznacza to, iż nawet najmniejsza zmiana treści wiadomości powoduje zasadniczą zmianę podpisu elektronicznego.
Użytkownik podpisując własnoręcznie dokument (np. umowę) powinien sprawdzić, czy jest kompletna, to znaczy parafować każdą ze stron. W przypadku podpisu elektronicznego nie ma potrzeby podpisywać elektronicznie każdej ze stron, bowiem podpis elektroniczny dotyczy całego dokumentu, zatem każdej ze stron w jednakowym stopniu.
Nie istnieje, tak jak w przypadku dokumentów papierowych oryginał i kopia dokumentu elektronicznego opatrzonego tym samym podpisem elektronicznym. Każda z wiadomości z dołączonym do niej podpisem elektronicznym jest oryginałem. W praktyce może wystąpić potrzeba istnienia wyraźnie określonego oryginału oraz kopii. Wówczas, w treści wiadomości musiałaby być adnotacja, iż dana wiadomość w postaci elektronicznej jest oryginałem lub kopią. Wówczas jednak, podpis elektroniczny takiego oryginału oraz kopii będą się zasadniczo różnić.
Obok ustawy o podpisie elektronicznym jako ważną podstawę polskiego systemu podpisu elektronicznego należy wymienić Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz.U. 2002 nr 128 poz. 1094). W niniejszej pracy szereg razy zostaną powołane przepisy powyższego rozporządzenia, dlatego też w jej dalszej części wspomniany akt prawny będzie powoływany jako „rozporządzenie w sprawie warunków technicznych i organizacyjnych”.
Celem wprowadzenia podpisu elektronicznego do polskiego systemu prawnego było zwiększenie zaufania obywateli oraz podmiotów gospodarczych do realizacji czynności, często o znaczeniu prawnym, drogą elektroniczną. Czynności te wiążą się z potrzebą identyfikacji danej osoby fizycznej, działającej we własnym imieniu lub jako przedstawiciel osoby prawnej lub organizacji nie posiadającej osobowości prawnej[2]. Stosowanie podpisu elektronicznego, który jest zrównany prawnie z podpisem własnoręcznym daje możliwość:
§ przesyłania prawnie wiążącego wniosku o otrzymanie decyzji administracyjnej lub postanowienia administracyjnego (np. pozwolenia na budowę),
§ przesyłania dokumentów[3] oraz oświadczeń prawnie wiążących w postępowaniu administracyjnym lub sądowym. Zmiany w kodeksie postępowania cywilnego, wprowadzone ustawą z dnia 24 maja 2001 (Dz.U. Nr 48, poz. 554) wprowadziły do kodeksu postępowania cywilnego art. 1872, dający możliwość wnoszenia pozwów na elektronicznych nośnikach informatycznych, jeżeli ustawa tak stanowi. Jest to jedno z pierwszych rozwiązań prawnych przygotowujących grunt do większego zaangażowania technologii informacji i komunikacji (ang. ICT) w realizację zadań państwa. W dalszej perspektywie należy przewidywać możliwość wnoszenia pism do sądu drogą elektroniczną, co niewątpliwie zrewolucjonizuje pracę sądownictwa[4],
§ znaczącego podniesienia wiarygodności dowodów cyfrowych[5],
§ realizacji obowiązków administracyjnych, w tym podatkowych (np. przesyłanie miesięcznych lub rocznych deklaracji podatkowych, realizacja czynności związanych z systemem ubezpieczeń społecznych),
§ zawarcia prawnie wiążącej umowy bez fizycznego kontaktu z kontrahentem,
§ złożenia prawnie wiążącej oferty (między innymi w ramach procedur zamówienia publicznego)[6],
§ odpowiedzi na ofertę,
§ dokonywania polecenia przelewu bankowego i innych operacji bankowych wymagających identyfikacji właściciela konta bankowego,
§ rejestracji danego podmiotu (np. jako uczestnika licytacji, oferenta w ramach tak zwanych platform handlowych (ang. e-markets),
§ budowy systemu klasyfikowanego zdalnego dostępu opartego na podpisie elektronicznym (osoba posiadająca odpowiedni klucz, służący do podpisywania będzie miała dostęp automatyczny do określonych urządzeń w sieci, z którymi podejmie próbę nawiązania łączności),
§ lepszego zorganizowania pracy zdalnej (praca taka rodzi potrzebę częstej wymiany dokumentów pomiędzy pracownikiem a pracodawcą oraz wiąże się bardzo często z pracą grupową, co wymaga zapewnienia poufności oraz integralności przesyłanych wiadomości, uwierzytelnienia nadawcy i odbiorcy oraz daty i czasu nadania oraz odbioru wiadomości),
§ tworzenia rozbudowanych systemów logistycznych, zapewniających bezpieczeństwo automatycznego przepływu dokumentów i związanych z nim przepływu towarów (taki system może działać zarówno wewnątrz jednej organizacji jak i pomiędzy nie związanymi organizacjami, lecz działającymi wewnątrz wspólnego systemu zamówień i dostaw),
§ zabezpieczenia elektronicznych portmonetek, zajmujących tak zwaną część zmienną karty inteligentnej (ang. smart card)[7], służących do drobnych płatności (np. w komunikacji miejskiej[8], za korzystanie z parkingów),
§ świadczenia usług notarialnych (pieczęć notariusza może być zastąpiona jego podpisem elektronicznym),
§ budowy systemu ksiąg wieczystych pozwalającego na dostęp obywateli do informacji zawartych w księgach drogą elektroniczną (podpisany elektronicznie wypis z księgi wieczystej)[9],
§ stworzenia systemu elektronicznych rejestrów znaków towarowych oraz patentów (dla ochrony własności przemysłowej istotny jest moment złożenia wniosku o rejestrację, dlatego też złożenie wniosku elektronicznie podpisanego podpisem elektronicznym musi być związane z usługą znakowania czasem[10]),
§ rozwijania zdalnych usług medycznych (zdalna diagnostyka, zdalna analiza),
§ do eliminowania w środowisku Internetu niekontrolowanego zbierania i przetwarzania danych osobowych osoby wysyłającej wiadomość (wówczas system podpisu elektronicznego służy do zakodowania wiadomości np. publicznym kluczem odbiorcy, które to kodowanie nie jest bezpośrednio związane z podpisem elektronicznym)[11].
Podstawowe skutki zastosowanie podpisu elektronicznego w miejsce podpisu własnoręcznego przejawiają się w:
§ zwiększeniu liczby potencjalnych partnerów handlowych,
§ obniżeniu kosztów związanych z negocjacjami i podpisaniem umowy,
§ zmniejszenie ilości używanego papieru i archiwów papierowych,
§ ...
irq65