Nawet słuszna idea upowszechnienia podpisu elektronicznego poprzez wykorzystanie dowodu osobistego do składania podpisu, może nie być zrealizowana z powodu błędnych koncepcji, które były podstawą opracowania nowej ustawy.

Tak naprawdę wystarczyło znowelizować obecnie obowiązującą ustawę poprzez odpowiednią zmianę kilku zapisów i wprowadzenie zgodnie z Dyrektywą 1999/93/EC UE pojęcia podpisu zaawansowanego i dopuszczenie wystawienia certyfikatu na podmiot, który nie jest osobą fizyczną. Po takiej nowelizacji możliwe byłoby wprowadzenie zarówno pieczęci elektronicznej jak i innych form podpisu elektronicznego, którego zakres stosowania i ewentualnie specyficzne nazwy powinny być określone w innych ustawach, np. w ustawie o dowodach osobistych lub w ustawie o informatyzacji podmiotów realizujących zadania publiczne.

Najnowszy dokument Komisji Europejskiej z 28 listopada 2008 roku świadczy o tym, że Unia konsekwentnie dąży do uzyskania interoperacyjności i transgraniczności podpisu elektronicznego, który będzie miał w każdym kraju członkowskim porównywalny (taki sam) status prawny. Wspomniany dokument jednoznacznie wskazuje na podpisy zaawansowane i kwalifikowane weryfikowane certyfikatem kwalifikowanym. Nie możemy wprowadzać rozwiązań, które oddalą Polskę od regulacji unijnych. Powinniśmy przede wszystkim dążyć do znacznego obniżenia kosztów, a za tym i ceny certyfikatu kwalifikowanego, co zadecyduje o jego dostępności. Rola Państwa może tu być ogromna, ale nie poprzez budowę państwowej (drogiej) infrastruktury i wprowadzeniu specjalnego rodzaju podpisu, ale poprzez wsparcie procesu upowszechniania podpisu kwalifikowanego wydając dowód osobisty przystosowany do składania takiego podpisu oraz poprzez swój udział w fazie wydawania certyfikatów kwalifikowanych umożliwiając centrom certyfikacji korzystać z weryfikacji tożsamości obywatela, którą przeprowadza się w urzędach podczas przyjmowania wniosków o wydanie dowodu osobistego. W ten sposób radykalnie obniżyłyby się koszty centrów certyfikacji, a certyfikat kwalifikowany dla obywatela stałby się powszechnie dostępny.

Jest oczywiste, że stosowanie innego typu podpisu niż kwalifikowany w wielu przypadkach będzie uzasadnione i powinno być uregulowane, ale odrębnymi przepisami. Ustawa o podpisie elektronicznym powinna dawać tylko bazę do wyprowadzenia innych przepisów związanych z wiarygodną elektroniczna formą komunikacji, w tym do ewentualnego określenia różnych rodzajów podpisów elektronicznych i certyfikatów. Ustawa o podpisie elektronicznym nie powinna definiować dodatkowych typów podpisów do specyficznych zastosowań, bo w ten sposób powstałaby zamknięta lista rodzajów podpisów, przy czym ta lista może nie pokrywać w przyszłości potrzeb w tym zakresie. I znowu staniemy w obliczu konieczności następnej nowelizacji ustawy „zasadniczej” zamiast zmieniać przepisy „resortowe”. Nie powinno się, więc wprowadzać do ustawy nowych (sztucznych) pojęć i rozwiązań, które w przyszłości mogą nigdy nie znaleźć zastosowania w sposób przewidziany w projekcie nowej ustawy o podpisach elektronicznych.

Czy nowa ustawa o podpisach elektronicznych upowszechni podpis elektroniczny w Polsce?

Dyskusja na temat przyszłości podpisu elektronicznego w Polsce sprowadza się niestety głównie do oceny, a właściwie krytyki obowiązującej ustawy o podpisie elektronicznym oraz kłótni o kształt nowej ustawy. Ugruntował się fałszywy i szkodliwy pogląd, że podstawową barierą upowszechnienia podpisu elektronicznego jest ustawa o podpisie elektronicznym w obecnym kształcie, a nowa ustawa sprawi, że wszelkie bariery znikną i otworzy się rynek powszechnego e-podpisu. Nie negując potrzeby wprowadzenia wielu zmian, działania zmierzające do upowszechnienia bezpiecznego obrotu elektronicznego należy oprzeć o rzetelną analizę, która wykaże, w jakiej mierze zapisy obecnej ustawy hamowały postęp w dziedzinie dokumentu elektronicznego, a w jakim stopniu przyczyny leżały i nadal leżą poza tą ustawą
Przed podjęciem decyzji o ostatecznym kształcie nowelizowanej Ustawy należy szczerze odpowiedzieć na szereg poniższych pytań:

• Czy przyczyną niskiego stopnia wykorzystania podpisu elektronicznego w komunikacji elektronicznej jest zła ustawa o podpisie elektronicznym, czy też fakt, że ustawa o informatyzacji podmiotów realizujących zadania publiczne, która reguluje sposób powszechnej implementacji podpisu elektronicznego w administracji pojawiła się dopiero ponad trzy lata po ustanowieniu ustawy o podpisie elektronicznym, a inne przepisy szczegółowe przyjmowane były dopiero w następnych kolejnych latach?
• Czy ustawa o podpisie elektronicznym była przeszkodą w opracowaniu i uchwaleniu wielu innych niezbędnych przepisów, czy też zapóźnienia legislacyjne wynikały i nadal wynikają z przyjętych priorytetów politycznych?
• Czy niespójność przepisów zawartych w różnych aktach prawnych dotyczących stosowania i uznawania podpisu elektronicznego to efekt błędów ustawy o podpisie elektronicznym, czy to efekt niekompetencji ludzi tworzących poszczególne przepisy, czy też jest to efekt braku koordynacji legislacyjnej?
• Czy przyjęcie nowej ustawy o podpisach elektronicznych spowoduje, że niezbędne nowe regulacje prawne, od których tak naprawdę zależy praktyka stosowania nowej ustawy o podpisach elektronicznych powstaną w krótkim czasie, czy podobnie jak dotychczas dopiero po kilku latach?

Odpowiedzi na powyższe pytania prowadzą do wniosku, że wysiłek legislacyjny należy podjąć, i to pilnie, ale w innym kierunku niż stworzenie zupełnie nowej ustawy.

Należy spokojnie i rzetelnie ocenić często podawane przypadki będące jakoby dowodami na hamującą rolę obecnej ustawy o podpisie elektronicznym w rozwoju obrotu elektronicznego. Jednym z często przytaczanych przykładów jest faktura elektroniczna, która nie może się upowszechnić ze względu na konieczność opatrywania jej bezpiecznym podpisem elektronicznym weryfikowanym kwalifikowanym certyfikatem. Przecież ustawa o podpisie elektronicznym nie narzuciła Ministrowi Finansów wprowadzenia takiego wymagania, a twierdzenie, że Minister Finansów musiał wskazać na „podpis kwalifikowany”, bo ustawa nie zdefiniowała podpisu zaawansowanego lub innego, który mógłby być tu wystarczający w celu zagwarantowania autentyczności dokumentu jest nieuprawnione. Ustawa nie zabrania stosowania innych rozwiązań niż „kwalifikowany podpis elektroniczny” i nie stanowi w tym zakresie realnej bariery. Podobnie jak nie zabrania wprowadzenia w przepisach odrębnych rozwiązania, które nowa ustawa nazywa „pieczęcią elektroniczną” - przykładem jest tu rozporządzenie dotyczące skrzynki podawczej i wystawiania urzędowego potwierdzenia odbioru, które opatrzone jest wiarygodnym elektronicznym poświadczeniem (pieczęcią?) podmiotu. Wracając do faktury elektronicznej z całą odpowiedzialnością możemy stwierdzić, że głównymi przeszkodami w jej upowszechnieniu jest:

• Konieczność uzyskania przez zainteresowanego wystawcę faktur pisemnej zgody odbiorców faktur oraz
• obawa tych ostatnich przed kontrolą fiskusa, który nigdy nie dał czytelnego sygnału, że faktury elektroniczne nie tylko będzie honorował, ale nawet będzie tę formę preferował.

Dla wystawcy faktur bowiem, szczególnie takich jak na przykład operatorzy telewizji kablowych lub sieci telefonii komórkowych, którzy obsługują tysiące a nawet miliony użytkowników zakupić certyfikaty kwalifikowane dla kilku osób nie stanowi najmniejszego problemu. Bo koszt ich zakupu stanowi zaledwie ułamek promila kosztów związanych z eksploatacją systemu obsługi klienta oraz systemu księgowego a także druku i dostarczenia faktur tradycyjnych. Natomiast odbiorca faktury nie musi posiadać żadnego certyfikatu umożliwiającego składanie podpisu elektronicznego.

Dla wzmocnienia tej tezy warto zauważyć, że na koniec 2008 roku było wydanych ponad 180.000 certyfikatów kwalifikowanych, i liczba ich posiadaczy nieustannie rośnie. Który z tego niemałego już grona użytkowników korzysta dziś z dobrodziejstw faktury elektronicznej? Czy gdyby niezdecydowanemu odbiorcy faktury powiedzieć, że zamiast podpisem bezpiecznym bazującym na certyfikacie kwalifikowanym, faktura będzie opatrzona innym, mniej wiarygodnym podpisem, to jego obawy związane z przyjęciem faktury elektronicznej znikną? Ustawa o podpisie elektronicznym nie przeszkadza w przeprowadzeniu zmiany rozporządzenia Ministra Finansów dotyczącego faktury elektronicznej i wprowadzenia dowolnych innych regulacji w tym zakresie.

Zgodzić się jednak trzeba z poglądem, że sposoby stosowania innej formy zabezpieczenia dokumentu elektronicznego niż „bezpieczny podpis elektroniczny weryfikowany za pomocą certyfikatu kwalifikowanego”, powinny być zdefiniowane wspólnie w jednym pakiecie aktów prawnych. Ale czy to powinna być ustawa o podpisie elektronicznym, skoro raczej mówimy o technologii informatycznej, a nie o instytucji prawnej podpisu.

Jaka zatem powinna być rola ustawy o podpisie elektronicznym?

Ustawa o podpisie elektronicznym powinna przede wszystkim regulować sprawy związane z podpisem elektronicznym w taki sposób, aby jego rola i funkcje mieściły się w dotychczasowej doktrynie prawnej. Wielu „naprawiaczy prawa” zdaje się tego nie dostrzegać. Wynika to prawdopodobnie stąd, że są to przeważnie technokraci, a w żadnym akcie prawnym nie ma explicite podania definicji podpisu własnoręcznego, do której mogliby się odnieść tworząc zapisy dotyczące podpisu elektronicznego. Definicja podpisu nie była do tej pory potrzebna i zresztą nadal potrzebna nie jest, bo zrozumienie podpisu w znaczeniu prawnym ukształtowała tradycja jego stosowania, w tym bogate orzecznictwo sądowe. Mówiąc o podpisie własnoręcznym lub elektronicznym nie można poprzestać na rozstrzygnięciu technicznego sposobu jego składania, ale przede wszystkim wziąć pod uwagę skutki prawne, jakie podpis może lub powinien wywoływać. Przy definiowaniu w nowej ustawie różnych form elektronicznej identyfikacji i nazywaniu ich różnymi rodzajami podpisu elektronicznego, należy uwzględnić, że tylko niektóre jego formy mogą być prawnie uznane za podpis.

Przykładem niczym nieuzasadnionego słowotwórstwa jest propozycja wprowadzenia „podpisu urzędowego”. Nie ma on odpowiednika w dotychczasowym prawie, nie ma go w żadnych zaleceniach i dyrektywach unijnych, nie ma on też żadnego odniesienia do potocznie używanych pojęć. Jeżeli już szukać jakiś skojarzeń to można by wnioskować, że „podpis urzędowy” to podpis składany przez urzędnika. Również wprowadzenie pojęcia „certyfikat urzędowy”, który ma mieć rangę certyfikatu raz kwalifikowanego, a innym razem niekwalifikowanego wywoła chaos pojęciowy. Oczywiście potocznie rzecz rozumiejąc, to certyfikat urzędowy a także podpis urzędowy będzie rozumiany jako lepszy niż kwalifikowany, bo przecież poparty „majestatem” urzędu.

Należy zdecydowanie odróżnić instytucję prawną podpisu elektronicznego od technologii podpisu elektronicznego. Przy czym technologia podpisu elektronicznego w rozumieniu techniki (nie tylko informatyki) to dużo większy zakres zagadnień technicznych, niż wynikałoby to z potrzeb realizacji podpisu elektronicznego w rozumieniu prawnym. Przykładem może być zestawianie szyfrowego połączenia w sieci publicznej z wykorzystaniem kluczy asymetrycznych i certyfikatów kluczy publicznych, które służą do „podpisywania” i „weryfikacji podpisu”, a „podpis elektroniczny” odnosi się nie do oświadczenia woli, tylko do niezrozumiałego ciągu bajtów generowanych przeważnie losowo – jest to tzw. proces uwierzytelnienia osoby lub sprzętu. W procesie tym mamy również wykorzystanie technologii podpisu (klucze asymetryczne i certyfikaty) do uzyskania poufności przekazu, czyli do szyfrowania i deszyfrowania informacji. W żadnym razie nie możemy mówić tu o zastosowaniu podpisu w znaczeniu prawnym.

Podpis elektroniczny w rozumieniu ustawy służy przede wszystkim do zagwarantowania podstawowej roli, jaką pełni podpis własnoręczny – zagwarantowania niezaprzeczalności złożonego oświadczenia woli. Stąd oczywiście wynika wiele cech i funkcji, które podpis zarówno własnoręczny, jak i elektroniczny musi spełniać, aby był podpisem w znaczeniu prawnym. W doktrynie prawnej coraz częściej przyjmuje się, że podpis jest definiowany poprzez funkcje, które ma spełnić, a nie poprzez techniczny sposób jego realizacji. Można przyjąć, że podpis własnoręczny, czyli kreślenie znaku słowno graficznego oraz podpis elektroniczny, czyli tworzenie pewnego unikatowego ciągu bitów są sobie równoważne, jeżeli spełniają te same funkcje, które pozwalają uznać je za podpisy w znaczeniu prawnym, a nie tylko technicznym.

Podpis powinien miedzy innymi być jednoznacznie powiązany z treścią, której dotyczy, powinien świadczyć o woli podpisania danej treści, jak i jej akceptacji. Dlatego podpis powinien spełniać funkcję ostrzegawczą (tzw. ceremonialność składania podpisu) – bo osoba składająca podpis musi zdawać sobie sprawę z dokonywania tej czynności. Złożenie podpisu własnoręcznego jest czymś innym niż napisanie własnoręcznie czegokolwiek innego. Dlatego, przeważnie nie ma wątpliwości, że osoba, która podpisała dokument własnoręcznie miała świadomość swego czynu, a co za tym idzie mogła, choć nie musiała zapoznać się z powodem składania podpisu. Nie można, więc bezkrytycznie upraszczać procesu składania podpisu elektronicznego i sprowadzić go do rutynowego klikniecia klawiszem myszki, tak jak to czynimy tysiące razy podczas korzystania z komputera.

Wreszcie podpis musi posiadać funkcję identyfikacyjną oraz dawać gwarancję wszystkim osobom podejmującym działania będące następstwem uznania przez te osoby podpisu, że podpis ten pełni funkcje dowodowe świadcząc między innymi o niezaprzeczalności złożonego oświadczenia woli w dowolnie długim okresie czasu.

I jeszcze jedna uwaga o charakterze ogólnym. Zgłaszanie potrzeby złagodzenia wymagań ustawy w stosunku do urządzeń służących do składania podpisu elektronicznego oraz do jego weryfikacji, jest uzasadniane często trudno osiągalnym, wysokim poziomem technicznym wymaganym przy tworzeniu urządzeń do kreowania podpisu i związanymi z tym kosztami. Ten argument jest chybiony, gdyż obecnie, kiedy to np. powszechnie wykorzystywany telefon komórkowy ma wbudowaną nawigację satelitarną lub umożliwia oglądanie telewizji on-line, realizacja oprogramowania, które spełnia kilka wymagań funkcjonalnych i bezpieczeństwa nie wydaje się być przesadzona i trudna do zrealizowania, a koszt urządzeń gwarantujący bezpieczeństwo kluczy podpisujących spadać będzie wraz z powszechnością ich zastosowania. Nie twórzmy rozwiązań na wczoraj, które mogłyby być stosowane w dwudziestym wieku, ale takie, które będą stosowane obecnie i w niedalekiej przyszłości.

Jeżeli już mówimy o kosztach podpisu elektronicznego, to występują one przede wszystkim w procesie certyfikacji i związane są głównie z weryfikacją tożsamości i zachowaniem szczególnych procedur bezpieczeństwa, z których nie wolno zrezygnować przy zapewnieniu podstawowej wiarygodności podpisu elektronicznego.

Ustawa powinna, zatem tworzyć ramy prawne dla podpisu elektronicznego, który prawnie będzie uznany za podpis. Powinna również wspierać taką formę kwalifikowaną, która, wbrew twierdzeniu wielu przeciwników tej formy, jest preferowana w Unii Europejskiej jako jedyna mogąca zapewnić interoperacyjność i transgraniczność obrotu elektronicznego.

Hotel Radisson SAS, Warszawa, dnia 18 grudnia 2008 r.