Strona główna
English version

PRODUCENT I INTEGRATOR BEZPIECZNYCH SYSTEMÓW TELEINFORMATYCZNYCH

    		Szukaj
    Nasza oferta
    Strona główna  Podpis elektroniczny w prawie polskim i Unii Europejskiej
    priority1

    Podpis elektroniczny w prawie polskim i Unii Europejskiej

    Dr. Inż. Jerzy Pejaś
    Wydział Informatyki Politechniki Szczecińskiej

     

    Pojęcie podpisu elektronicznego funkcjonuje w Polsce od 18 sierpnia 2002 roku, czyli od momentu wejścia w życie Ustawy z dnia 18 września 2001 r. o podpisie elektronicznym [1]. Pierwowzorem tej ustawy była Dyrektywa Europejska z 13 grudnia 1999 roku o podpisie elektronicznym [4]. Pomimo tego faktu nie wszystkie pojęcia zawarte w obu aktach prawnych są ze sobą spójne. Dyrektywa Europejska jest jednak ramowym modelem aktu prawnego na bazie, którego tworzone były narodowe akty prawne o podpisie elektronicznym, różnie odnoszące się do realizacji szczegółowych zapisów Dyrektywy. Polska Ustawa o podpisie elektronicznym jest jedną z takich możliwych realizacji. Sposób tej realizacji zostanie krótko opisany poniżej, przy czym opis ten zostanie ograniczony jedynie do części pojęciowych oraz znaczenia prawnego podpisu elektronicznego.
    Pojęcia bazowe

    W Ustawie o podpisie elektronicznym zdefiniowano trzy pojęcia podstawowe: podpis elektroniczny, osoba składająca podpis elektroniczny oraz urządzenie służące do składania podpisu elektronicznego. Pojęcia te mogą być ze sobą różnie łączone, dając w efekcie różne typy podpisu elektronicznego. Fundamentalnym pojęciem jest jednak pojęcie podpisu elektronicznego, określane także często mianem zwykłego podpisu elektronicznego. W ramce poniżej przytoczono definicję tego pojęcia w dwóch wersjach: w wersji z Ustawy [1] oraz z Dyrektywy Europejskiej [4].
     

    Definicja 1 (wg Ustawy [1]).

    Podpis elektroniczny: dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

    Definicja 2 (wg Dyrektywy Europejskiej [4]).

    Podpis elektroniczny: oznacza dane w formie elektronicznej, które są dołączone do lub w logiczny sposób powiązane z innymi danymi elektronicznymi i które służą jako metoda uwierzytelniania.
     

    Według polskiej Ustawy (Definicja 1) podpis elektroniczny służy do identyfikacji osoby składającej podpis elektroniczny podczas, gdy zgodnie z Dyrektywą Europejską (Definicja 2) podpis elektroniczny jest metodą uwierzytelniania. Co oznacza uwierzytelnianie? Czy oba pojęcia są sprzeczne lub niespójne?
     

    Według Wikipedii uwierzytelnienie jest czynnością mającą na celu nadanie czemuś lub komuś cech autentyczności lub też czynnością potwierdzenia autentyczności czegoś lub kogoś, przy czym autentyczność oznacza, że twierdzenie dotyczące kogoś lub czegoś jest prawdziwe. Uwierzytelnienie obiektu (np. danych, wiadomości) oznacza potwierdzenie jego pochodzenia lub źródła skąd pochodzi, z kolei uwierzytelnienie osoby dotyczy potwierdzenia jego deklarowanej tożsamości, czyli jego identyfikacji.
     

    Pojęcie uwierzytelnienia użyte w Definicji 2 (wg Dyrektywy Europejskiej) jest więc pojęciem szerszym niż pojęcie identyfikacji z Ustawy. Obie definicje nie są jednak ze sobą sprzeczne, ponieważ Definicja 1 obejmuje przypadki, które są podzbiorem przypadków objętych Definicją 2 i ograniczają się do osób fizycznych, składających podpis elektroniczny.
     

    Definicja 1 odwołuje się także do pojęcia osoby składającej podpis elektroniczny. Jest to osoba (patrz Definicja 3), która posiada urządzenie za pomocą, którego może złożyć podpis elektroniczny (w swoim imieniu lub z upoważnienia innej osoby).
     

    Definicja 3 (wg Ustawy [1]).

    Osoba składająca podpis elektroniczny: osoba fizyczna posiadająca urządzenie służące do składania podpisu elektronicznego, która działa w imieniu własnym albo w imieniu innej osoby fizycznej, prawnej albo jednostki organizacyjnej nieposiadającej osobowości prawnej.

    Definicja 4 (wg Dyrektywy Europejskiej [4]).

    Osoba składająca podpis elektroniczny: oznacza osobę posiadającą urządzenie służące do składania podpisu i działającą w imieniu własnym albo w imieniu osób fizycznych lub prawnych, lub innego podmiotu, który reprezentuje.
     

    Zestawienie definicji osoby składającej podpis elektroniczny wg Ustawy (Definicja 3) oraz wg Dyrektywy Europejskiej (Definicja 4) wskazuje na jedną zasadniczą różnicę: w Definicji 3 jest mowa o osobie fizycznej, zaś w Definicji 4 tylko o osobie. Pojęcie osoby (ang. person) jest pojęciem szerszym niż pojęcie osoby fizycznej i obejmuje także osoby inne niż osoby fizyczne (np. osoby prawne). W konsekwencji oznacza to, że zgodnie z Ustawą podpis elektroniczny musi składać osoba fizyczna – nie może tego zrobić np. osoba prawna. Nie jest to sprzeczne z Definicją 4, ale z pewnością niepotrzebnym i nieuzasadnionym uniemożliwieniem składania podpisu elektronicznego przez osoby inne niż tylko osoby fizyczne.
     

    Trzecie z pojęć bazowych dotyczy urządzenia służącego do składania podpisu elektronicznego. Definicja tego pojęcia w polskiej Ustawie budzi najwięcej dyskusji i emocji. Czy słusznie?
     

    Definicja 5 (wg Ustawy [1]).

    Urządzenie służące do składania podpisu elektronicznego: sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych służących do składania podpisu lub poświadczenia elektronicznego,

    Definicja 6 (wg Dyrektywy Europejskiej [4]).

    Urządzenie służące do składania podpis elektronicznego (wg Dyrektywy Europejskiej [4]): oznacza skonfigurowane oprogramowanie lub sprzęt używane do zaimplementowania obsługi danych służących do składania podpisu elektronicznego.
     

    Szerszej pojęcie urządzenia do składania podpisu elektronicznego jest określone w Dyrektywie Europejskiej (Definicja 6). Urządzenie to może być bowiem:

    1. tylko skonfigurowanym oprogramowaniem,
    2. tylko sprzętem,
    3. skonfigurowanym oprogramowaniem i sprzętem.

    Skonfigurowane oprogramowanie jest przygotowane w sposób pozwalający na uruchomienie go pod kontrolą systemu operacyjnego; dane służące do składania podpisu elektronicznego są chronione także przez mechanizmy systemu operacyjnego.
     

    Sprzętowa realizacja podpisu elektronicznego wymaga zaprojektowania i wyprodukowania dedykowanego układu scalonego z procesorem podpisu elektronicznego, który całą logikę tworzenia podpisu elektronicznego realizuje sprzętowo, np. na poziomie bramek logicznych, bez udziału jakiegokolwiek mikrokodu. Czy jest to możliwe? Oczywiście, ale przy obecnej złożoności formatów podpisów elektronicznych jest raczej mało opłacalne.
     

    Trzeci wariant definicji (oprogramowanie i sprzęt) może być w praktyce zrealizowany w dwóch wariantach:

    1. oprogramowanie działające pod kontrolą systemu operacyjnego oraz zewnętrzny element sprzętowy jako nośnik danych służących do składania podpisu elektronicznego oraz procesor wykonujący operacje związane z wykorzystaniem tych danych podczas składania podpisu elektronicznego,
    2. oprogramowanie i sprzęt wbudowane łącznie w jedno urządzenie.

    Pojęcie urządzenia służącego do składania podpisu elektronicznego zdefiniowane w polskiej Ustawie odpowiada trzeciemu wariantowi definicji. Czy jest to słuszne zawężenie? W kontekście omawianych dalej pojęć bezpiecznego i kwalifikowanego podpisu elektronicznego jest to uzasadnione, ale w przypadku tylko podpisu elektronicznego (zwykłego podpisu elektronicznego) już nie. Dlaczego bowiem zabronić składającemu zwykły podpis elektroniczny użycia do tego celu tylko odpowiednio skonfigurowanego oprogramowania?

    Rys.1 Porównanie definicji podpisu elektronicznego, urządzenia służącego do składania podpisu elektronicznego i osoby składającej podpis elektroniczny wg Ustawy [1] oraz Dyrektywy Europejskiej [4].
     
    Certyfikaty

    Certyfikaty (klucza publicznego) pełnią rolę elektronicznego dokumentu tożsamości. Oznacza to, że za ich pomocą można potwierdzić tożsamość osoby, która posługuje się certyfikatem, a także pośrednio dokonać identyfikacji tej osoby, o ile tylko osoba ta jest w stanie udowodnić, że jest w posiadaniu danych służących do składania podpisu elektronicznego (Definicja 7 i 8), które są komplementarne z danymi służącymi do weryfikacji podpisu elektronicznego Definicja 9 i 10), umieszczonymi w certyfikacie.
     

    Definicja 7 (wg Ustawy [1]).

    Dane służące do składania podpisu elektronicznego: niepowtarzalne i przyporządkowane osobie fizycznej dane, które są wykorzystywane przez tę osobę do składania podpisu elektronicznego.

    Definicja 8 (wg Dyrektywy Europejskiej [4]).

    Dane służące do składania podpisu elektronicznego: oznaczają niepowtarzalne dane, takie jak kody lub prywatne klucze kryptograficzne, które są używane przez osobę składającą podpis elektroniczny do składania podpisu elektronicznego.
     

    Definicje 7 i 8 prawie nie różnią się, z jednym wyjątkiem: osobą składająca podpis elektroniczny, o której jest mowa w Definicji 8, może być także osoba inna niż tylko osoba fizyczna. Podobna różnica występuje w Definicjach 9 i 10. Dodatkowo, według Definicji 9 dane służące do weryfikacji podpisu są stosowane do identyfikacji osoby składającej podpis elektroniczny, podczas gdy według Definicji 10 te same dane służą po prostu do weryfikacji podpisu elektronicznego. Ta ostatnia definicja jest bliższa praktyce: najpierw danych tych używa się do formalnej weryfikacji poprawności podpisu i dopiero po pomyślnym zakończeniu tej weryfikacji, sprawdza się do kogo należą te dane – dokonuje się identyfikacji osoby, która złożyła poprawnie zweryfikowany podpis.
     

    Definicja 9 (wg Ustawy [1]).

    Dane służące do weryfikacji podpisu elektronicznego: niepowtarzalne i przyporządkowane osobie fizycznej dane, które są wykorzystywane do identyfikacji osoby składającej podpis elektroniczny.

    Definicja 10 (wg Dyrektywy Europejskiej [4]).

    Dane służące do weryfikacji podpisu elektronicznego (wg Dyrektywy Europejskiej [4]): oznaczają dane takie jak kody lub publiczne klucze kryptograficzne, które są używane do weryfikacji podpisów elektronicznych.
     

    To, do kogo należą dane służące do weryfikacji podpisu elektronicznego jest zapisane w certyfikacie. Zgodnie jest to zapisane zarówno w definicji wg Ustawy, jak również wg definicji wg Dyrektywy. Chociaż bliższa praktyki jest definicja wg Dyrektywy, to można przyjąć, że obie definicje prawie pokrywają się. Prawie, ponieważ certyfikaty wg Ustawy mogą być wydawane tylko osobom fizycznym (patrz Definicja 3), a wg Dyrektywy dowolnym osobom, w tym w szczególności osobom prawnym.
     

    Rys.2 Porównanie definicji danych służących do składania i weryfikacji podpisu elektronicznego wg Ustawy [1] i Dyrektywy Europejskiej [4].
     
    Definicja 11 (wg Ustawy [1]).

    Certyfikat: elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby.

    Definicja 12 (wg Dyrektywy Europejskiej [4]).

    Certyfikat: oznacza elektroniczne poświadczenie, które wiąże dane służące do weryfikacji podpisu z osobą i potwierdza tożsamość tej osoby.
     

    Certyfikaty wydawane są przez podmioty świadczące usługi certyfikacyjne. Podmioty te mogą świadczyć usługi bez konieczności jakiejkolwiek wstępnej autoryzacji i nadzoru. Podmioty, które poddadzą się autoryzacji są postrzegane na rynku jako podmioty zaufane, gwarantujące wyższy poziom bezpieczeństwa i wiarygodności usług.
     

    Zgodnie z Dyrektywą Europejską, podmioty świadczące usługi certyfikacyjne powinny być autoryzowane na podstawie tzw. dobrowolnego schematu akredytacji, obowiązującego w określonym kraju członkowskim Unii Europejskiej. Dobrowolność należy tutaj rozumieć dosłownie: podmiot zgłasza właściwemu podmiotowi chęć świadczenia usług certyfikacyjnych bez konieczności poddawania się szczegółowemu nadzorowi jeszcze przed rozpoczęciem świadczenia tego typu usługi.
     

    W Polsce przyjęto bardziej rygorystyczny schemat akredytacji, w którym podmiot zgłaszający chęć świadczenia usług certyfikacyjnych przed rozpoczęciem działalności musi uzyskać zgodę ministra właściwego ds. gospodarki na prowadzenie tego typu działalności. Czy jest to rozwiązanie blokujące konkurencję na rynku? Nie, ponieważ nie zabrania działalności na rynku tym podmiotom, które nie chcą poddać się akredytacji oraz nie stwarza podmiotom chcącym poddać się takiej akredytacji barier nie do przekroczenia.
     

    Rys.3 Porównanie definicji certyfikatu wg Ustawy [1] i Dyrektywy Europejskiej [4].
     

    Jakie zalety ma akredytacja z punktu widzenia podmiotów świadczących usługi certyfikacyjne? Podmioty akredytowane są wpisywane na listę podmiotów akredytowanych (w Polsce listę taką prowadzi w imieniu ministra właściwego ds. gospodarki Narodowe Centrum Certyfikacji (http://www.nccert.pl). Podmioty te są upoważnione do wydawania certyfikatów kwalifikowanych, które jako jedyne mogą być stosowane do weryfikowania podpisów kwalifikowanych (patrz Definicje 20 i 21) oraz własnoręcznych podpisów elektronicznych (patrz Definicje 22 i 23).
     

    Definicja 13 (wg Ustawy [1]).

    Kwalifikowany certyfikat: certyfikat spełniający warunki określone w ustawie, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w ustawie.

    Definicja 13 (wg Dyrektywy Europejskiej [4]).

    Kwalifikowany certyfikat: certyfikat, który spełnia wymogi określone w Aneksie I i jest dostarczony przez dostawcę usług certyfikacyjnych, spełniającego wymogi określone w Aneksie II.
     
    Bezpieczne urządzenie służące do składania podpisu elektronicznego

    W Dyrektywie oraz w Ustawie, oprócz pojęcia urządzenia służącego do składania podpisu elektronicznego, wprowadzono także pojęcie bezpiecznego urządzenia do służącego do składania podpisu elektronicznego. Stosowanie tego typu urządzenia jest obligatoryjne w przypadku składania zaawansowanego i bezpiecznego podpisu elektronicznego (patrz odpowiednio Definicja 18 i 19).
     

    Ze względu na pojęciowo szerszą definicję urządzania służącego do składania podpisu elektronicznego wg Dyrektywy, pojęciowo szersze jest także pojęcie bezpiecznego urządzenia służącego do składania podpisu elektronicznego wg Dyrektywy. Czy w istotny sposób odróżnia to bezpieczne urządzenie służące do składania podpisu elektronicznego wg Ustawy od te samego urządzenia wg Dyrektywy?
     

    Jeśli wziąć pod uwagę wymagania określone w Aneksie III Dyrektywy (patrz niżej) oraz definicję urządzenia do składania wg Dyrektywy Europejskiej (Definicja 6), to bezpieczne urządzenie służące do składania podpisu elektronicznego wg Dyrektywy może być:
     

    1. tylko sprzętem, umożliwiający m.in. prezentowanie danych podpisywanych oraz składanie podpisu elektronicznego, lub
    2. sprzętem z wbudowanym oprogramowaniem i oprogramowaniem zewnętrznym (sprzęt umożliwia utworzenie podpisu elektronicznego, a oprogramowanie zewnętrzne m.in. zaprezentowanie danych podpisywanych).

    Trzeci przypadek – tylko oprogramowanie – nie spełni w żaden sposób wymagań określonych w punktach (b) i (c) Aneksu III.
     

    Definicja 14 (wg Ustawy [1]).

    Bezpieczne urządzenie służące do składania podpisu elektronicznego: urządzenie służące do składania podpisu elektronicznego spełniające wymagania określone w ustawie.

    Definicja 15 (wg Dyrektywy Europejskiej [4]).

    Bezpieczne urządzenie służące do składania podpisu elektronicznego: oznacza urządzenie kreujące podpis spełniające wymogi określone w Aneksie III.
     

    Aneks III

    Wymagania dla urządzeń służących do składania bezpiecznego podpisu

    1. Bezpieczne urządzenie kreujące podpis musi poprzez odpowiednie środki techniczne i proceduralne zapewniać co najmniej iż:
      1. dane służące do składania podpisu elektronicznego mogą wystąpić praktycznie tylko raz, a ich tajność jest zapewniona w sposób właściwy,
      2. dane służące do składania podpisu elektronicznego nie mogą być, z właściwie uzasadnionym zaufaniem, odtworzone przez osobę nieupoważnioną oraz, że podpis jest zabezpieczony przed fałszerstwem za pomocą aktualnie dostępnej technologii;
      3. dane służące do składania podpisu elektronicznego mogą być w sposób wiarygodny chronione przez uprawnioną osobę składającą podpis elektroniczny przed użyciem przez osoby trzecie.
    2. Bezpieczne urządzenia służące do składania podpisu elektronicznego nie mogą zmieniać podpisywanych danych lub uniemożliwiać prezentację tych danych osobie składającej podpis elektroniczny przed rozpoczęciem procesu składania podpisu.
     

    Stąd, ponieważ w Ustawie urządzenie służące do składania podpisu elektronicznego składa się ze sprzętu i oprogramowania, dlatego należy przyjąć, że bezpieczne urządzenie do składania podpisu elektronicznego wg Ustawy jest bezpiecznym urządzeniem wg Dyrektywy, ale w przypadku, gdy urządzenie to składa się ze sprzętu i oprogramowania (patrz Definicja 16).
     

    Definicja 16(równoważna Definicji 14).

    Bezpieczne urządzenie służące do składania podpisu elektronicznego: bezpieczne urządzenie służące do składania podpisu elektronicznego wg Dyrektywy, składające się ze sprzętu i oprogramowania, i spełniające wymagania określone w ustawie.
     

    Definicja bezpiecznego urządzenia wg Ustawy nie obejmuje więc jednego z możliwych przypadków technicznej realizacji urządzenia – realizacji sprzętowej. Ze względu na brak obecnie tego typu urządzeń (patrz komentarz do Definicji 6), praktyczne różnice pomiędzy obiema definicjami są pomijalne.
     

    Typy podpisów elektronicznych

    Z pojęcia podpisu elektronicznego wyprowadzanych jest wiele typów podpisów elektronicznych. Podejście takie jest uzasadnione, biorąc pod uwagę, że podpis może być składany przez różne osoby (np. osoby fizyczne lub prawne) oraz za pomocą lub bez pomocy urządzenia służącego do składania podpisu elektronicznego. W zależności zatem od sposobu składania podpisu elektronicznego można mu przypisać różny poziom uzasadnionego zaufania, a także różne znaczenie prawne.
     

    W praktyce, z technicznego punktu widzenia, wyróżnia się cztery typy podpisu elektronicznego (patrz ramki poniżej):

    1. zwykły podpis elektroniczny,
    2. zaawansowany podpis elektroniczny
    3. kwalifikowany podpis elektroniczny,
    4. bezpieczny podpis elektroniczny.
    Definicja 17.

    Podpis zwykły: Podpis elektroniczny wg Ustawy [1] lub (wg Dyrektywy Europejskiej [4]).

    Definicja 18 (wg Dyrektywy Europejskiej [4]).

    Zaawansowany podpis elektroniczny: oznacza podpis elektroniczny, który spełnia następujące wymagania:

    1. jest jednoznacznie powiązany z osobą składającą podpis elektroniczny,
    2. pozwala na identyfikację osoby składającej podpis elektroniczny,
    3. jest tworzony z wykorzystaniem zasobów, które osoba składająca podpis elektroniczny może utrzymywać pod swoją wyłączną kontrolą,
    4. jest powiązany z danymi, do których się odnosi w taki sposób, że każda jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
    Definicja 19 (wg Ustawy [4]).

    Bezpieczny podpis elektroniczny (wg Ustawy [1]): podpis elektroniczny, który:

    1. jest przyporządkowany wyłącznie do osoby składającej ten podpis,
    2. jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
    3. jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna,
     

    Różnice w rozumieniu pojęcia zaawansowanego podpisu elektronicznego i bezpiecznego podpisu elektronicznego są pochodną różnic w definicjach pojęć podpisu elektronicznego (Definicja 1 i 2), osoby składającej podpis elektroniczny (Definicja 3 i 4) oraz bezpośredniego odwołania się w definicji polskiej do urządzenia służącego do składania podpisu, podczas gdy w Definicji 18 w Dyrektywy Europejskiej mówi się o zasobach, które osoba składająca podpis elektroniczny może utrzymywać pod swoją wyłączną kontrolą. W szczególnym przypadku zasobem tym może być urządzenie służące do składania podpisu elektronicznego, ale właśnie ze względu tylko na tą szczególność, pojęcie podpisu zaawansowanego jest pojęciem szerszym niż pojęcie podpisu bezpiecznego wg Ustawy (patrz rys.4).
     

    Rys.4 Porównanie typów podpisów elektronicznych wg Ustawy [1] i Dyrektywy Europejskiej [4].
     

    Trzecim typem podpisu, zdefiniowanym tylko w polskiej Ustawie [1], jest bezpieczny podpis elektroniczny. Podpis ten można uznać za podpis zaawansowany, który został złożony przez osobę fizyczną za pomocą bezpiecznego urządzenia spełniającego wymagania określone w Ustawie [1] (patrz także Definicja 14). Należy jednak zauważyć, że bezpieczne urządzenie służące do składania podpisu elektronicznego wg Ustawy jest bezpiecznym urządzeniem służącym do składania podpisu elektronicznego wg Dyrektywy Europejskiej [4], ale przy założeniu, że urządzenie to składa się ze sprzętu i oprogramowania (porównaj Definicje 14, 15 oraz 16).
     

    W Dyrektywie Europejskiej [4] nie zdefiniowano jawnie pojęcia kwalifikowanego podpisu elektronicznego. Podpis ten stanowi on jednak czwarty typ podpisu elektronicznego, spełniający wyższe wymagania niż te, które są nakładane w Dyrektywie na zaawansowany podpis elektroniczny. Są to dwa dodatkowe wymagania (patrz Definicja 20): musi to być podpis złożony za pomocą bezpiecznego urządzenia (wg Definicji 15) oraz weryfikowany za pomocą certyfikatu kwalifikowanego (Definicja 13). Ponieważ tego typu podpis może być składany nie tylko przez osoby fizyczne, stąd pojęcie to nie jest podzbiorem pojęcia bezpiecznego podpisu elektronicznego, ale powinno być interpretowane szerzej jako podzbiór pojęcia zaawansowanego podpisu elektronicznego (patrz rys.1).
     

    Definicja 20 (wg CWA 14170 [5]).

    Kwalifikowany podpis elektroniczny: zaawansowany podpis elektroniczny złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego, weryfikowany za pomocą certyfikatu kwalifikowanego.

    Definicja 21 (wg Ustawą [1], chociaż jawnie taka nazwa nie została tam użyta).

    Kwalifikowany podpis elektroniczny: bezpieczny podpis elektroniczny, weryfikowany za pomocą certyfikatu kwalifikowanego.
     

    W Ustawie o podpisie elektronicznym nie wprowadzono także jawnej definicji podpisu kwalifikowanego. Biorąc jednak pod uwagę definicje podpisu kwalifikowanego wg Dyrektywy (Definicja 20) można wprowadzić także odpowiadającą jej definicję wg Ustawy (Definicja 21). Definicje te nie są jednak równoważne ze względu na różne definicje podpisu elektronicznego, osoby składającej podpis (zgodnie z Ustawą podpis może składać tylko osoba fizyczna) oraz bezpiecznego urządzenia służącego do składania podpisu elektronicznego (porównaj rys.5).
     

    Definicja 22 (zgodnie Ustawą [1]).

    Własnoręczny podpis elektroniczny: bezpieczny podpis elektroniczny, weryfikowany za pomocą certyfikatu kwalifikowanego.

    Definicja 23 (wg Dyrektywy Europejskiej [4]).

    Własnoręczny podpis elektroniczny: kwalifikowany podpis elektroniczny, weryfikowany za pomocą certyfikatu kwalifikowanego, wydanego osobie fizycznej.
     

    Podpis kwalifikowany ma szczególne znaczenie w Dyrektywie Europejskiej oraz Ustawie. Na jego podstawie można bowiem zbudować pojęcie własnoręcznego podpisu elektronicznego . Pojęcie własnoręcznego podpisu elektronicznego należy rozpatrywać jedynie w kontekście prawnego znaczenia podpisu elektronicznego. Jednocześnie należy pamiętać, że pojęcie własnoręcznego podpisu elektronicznego wg Dyrektywy (Definicja 23) jest pojęciem szerszym niż to samo pojęcie zdefiniowane w Ustawie (Definicja 22, patrz także patrz rys. 4), co jest wynikiem szerszego znaczenia pojęcia bezpiecznego urządzenia służącego do składania podpisu elektronicznego wg Dyrektywy w porównaniu z definicją podaną w Ustawie. Niezależnie od tego, w obu przypadkach dane opatrzone własnoręcznym podpisem elektronicznym są automatycznie uznawane za równoważne pod względem skutków prawnych dokumentom papierowym opatrzonym podpisem własnoręcznym.
     

    Nie każdy podpis kwalifikowany wg Dyrektywy oraz nie każdy podpis kwalifikowany wg Ustawy jest równoważny własnoręcznemu podpisowi elektronicznemu. W przypadku Dyrektywy własnoręcznym podpisem elektronicznym może być tylko ten podpis kwalifikowane (wg Dyrektywy), który jest składany przez podmiot fizyczny i nie jest to sprzeczne z innymi przepisami prawa, które np. wymagają złożenia podpisu tylko w formie pisemnej. Podobnie jest w przypadku Ustawy: własnoręcznym podpisem elektronicznym może być każdy podpis kwalifikowane (wg Ustawy), o ile tylko nie jest to sprzeczne z innymi przepisami prawa.
     

    Rys.5 Własnoręczny podpis elektroniczny wg Ustawy [1] i Dyrektywy Europejskiej [4].
     

    Własnoręczny podpis elektroniczny, spełniający wymagania Ustawy nie sprzeczny z Dyrektywą Europejską. Łatwo to udowodnić, patrząc na rys.4 i 5. Jeśli bowiem przyjąć, że bezpieczne urządzenie wg Dyrektywy składa się z oprogramowania i sprzętu, to własnoręczny podpis elektroniczny wg Ustawy jest własnoręcznym podpisem elektronicznym wg Dyrektywy Europejskiej, a tym samym dalej jest zarówno kwalifikowanym, jak również zawansowanym podpisem elektronicznym.
     

    Wnioski

    Pojęcia zdefiniowane Ustawie o podpisie elektronicznym wymagają zmian. Zmiany te powinny mieć na celu doprowadzenie do zniwelowania różnic z odpowiednimi pojęciami Dyrektywy Europejskiej. Większość zidentyfikowanych wyżej różnic jest konsekwencją odmiennych definicji podpisu elektronicznego, osoby składającej podpis elektroniczny oraz urządzenia służącego do składania podpisu elektronicznego. Z tego powodu prace nad zmianami należy zacząć od doprowadzenia do zgodności tych pojęć.
     

    Niezależnie od powyższych sugestii można stwierdzić, że pojęcie podpisu własnoręcznego wg Ustawy jest zdefiniowane poprawnie i być może poza drobnymi poprawkami, nie wymaga gruntownej przebudowy.
     

    Referencje
    1. Dz.U. z 2001 r. Nr 130, poz. 1450 Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (z późniejszymi zmianami)
    2. Dz.U. 2002 nr 128 poz. 1094 Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego
    3. RFC 3820 Internet X.509 Public Key Infrastructure (PKI), Proxy Certificate Profile, June 2004
    4. EU Directive 1999/93/EC of the European Parliament and the council of 13 December 1999 on a Community framework for electronic signatures
    5. CWA 14170 Security requirements for signature creation applications, May 2004
    6. PN-I-02000:2002 Technika informatyczna - Zabezpieczenia w systemach informatycznych - Terminologia, 2002-03-11

     

    Zobacz wszystkie publikacje
    do góry ^
     Wersja do druku
     Wersja PDF
     Poleć znajomemu
    CMS - Unity Content ManagerMapa serwisu | Kontakt | Informacje prawne
    © 2011 by Unizeto Technologies S.A. Wszelkie prawa zastrzeżone.