Skąd nasz root
-
- Przemysław Gamdzyk,
-
- Sławomir Kosieliński,
- 12.08.2002
Ustawa o podpisie elektronicznym wchodzi w życie z dniem 16 sierpnia br. Miejmy nadzieję, że gwałtowne spory, jakie towarzyszyły jej uchwaleniu i przygotowaniu rozporządzeń wykonawczych, nie utrudnią budowy społecznego zaufania do idei zawierania transakcji na drodze elektronicznej.
Ustawa o podpisie elektronicznym wchodzi w życie z dniem 16 sierpnia br. Miejmy nadzieję, że gwałtowne spory, jakie towarzyszyły jej uchwaleniu i przygotowaniu rozporządzeń wykonawczych, nie utrudnią budowy społecznego zaufania do idei zawierania transakcji na drodze elektronicznej.
Choć powinniśmy się cieszyć, że od 16 sierpnia 2002 r. teoretycznie będziemy mogli posługiwać się w Polsce podpisem elektronicznym, to pozostaje zbyt wiele powodów do pesymizmu. Uczestnicy sporu o kształt ustawy o podpisie elektronicznym zdali się zapomnieć, że rynek usług związanych z funkcjonowaniem Infrastruktury Klucza Publicznego (PKI), stanowiącej fundament wykorzystywania podpisu elektronicznego, jeszcze nie istnieje i nie powstanie, jeśli stosowaniem tego podpisu nie będą zainteresowane firmy, instytucje i obywatele. Przekroczenie barier mentalnych - czyli sprawienie, żeby ludzie tak samo wierzyli komputerowi, jak własnoręcznemu podpisowi na papierze - może okazać się znacznie trudniejsze, niż zakładają to optymiści.
Parlamentarne boje, zakulisowe kłótnie
Sytuację dodatkowo pogarsza sama ustawa. W toku prac parlamentarnych, w których scalono dwa konkurencyjne projekty ustaw, rozrosła się ona do sporego aktu prawnego o kilkudziesięciu artykułach. Aktu, któremu towarzyszą liczne rozporządzenia. Nad ustawą pracowali specjaliści, którzy dbali wyłącznie o merytoryczną stronę zagadnienia. W rezultacie przepisy ustawy są niezrozumiałe dla większości ludzi. Najgorzej, że z prawnego punktu widzenia ustawa jest chaotyczna i bałaganiarska, co jest oczywiście odzwierciedleniem wprowadzania kolejnych poprawek i kontrpoprawek. Ustawa powstawała bowiem jako wynik daleko idącego kompromisu i jej ostateczny kształt ma mało wspólnego z pierwotnymi projektami. Hermetyczny język zapisów ustawy, komplikujący i tak wystarczająco trudną materię (wszak system podpisu elektronicznego to implementacja złożonych algorytmów matematycznych), zapewne będzie odstraszał użytkowników, zamiast zachęcać do stosowania e-podpisu.
"W Indiach przyjęto ustawę o podpisie elektronicznym bardzo rygorystyczną, szczegółową i superbezpieczną. Ośrodkami certyfikującymi chciało zostać 200 przedsiębiorstw. Żadne z nich nie było w stanie sprostać wymogom ustawy" - przypomina Elżbieta Andrukiewicz, wiceprezes spółki E-Telbank. Czy tak też stanie się w Polsce? Być może, ponieważ w procesie legislacyjnym parlamentarzyści ulegli opiniom strony rządowej, która nieustannie wysuwała argumenty o bezpieczeństwie.
Trwa spór między Polską Izbą Informatyki i Telekomunikacji a sektorem bankowym i Ministerstwem Gospodarki o to, czy tzw. rootem, a więc elementem nadrzędnym systemu podpisu elektronicznego w Polsce, powinna być spółka Centrast, w której większościowe udziały ma Narodowy Bank Polski. Izba uważa, że zapis ustawy o podpisie elektronicznym, mówiący o wyborze Centrastu bez przetargu, jest niekonstytucyjny, bo wprowadzony wbrew intencji posłów dopiero w Senacie.
Zdaniem Wiesława Paluszyńskiego, dyrektora pionu bezpieczeństwa w TP Internet (firma ta ma własne centrum certyfikacji Signet), jeśli sprawa legalności ustawy zostanie skierowana do Trybunału Konstytucyjnego, to istnieją pewne przesłanki do odrzucenia ustawy już po kilku miesiącach jej obowiązywania. Sytuacja jest analogiczna jak w przypadku ustawy o lustracji oraz sposobu liczenia głosów w wyborach samorządowych, gdzie Trybunał Konstytucyjny wskazał na niekonstytucyjność działania Senatu w procesie legislacyjnym. Wówczas nie tylko staniemy się pośmiewiskiem dla innych krajów, ale stosowanie podpisu elektronicznego odsunie się na długie lata.
Twarde stanowisko PIIiT
Zainteresowani nieustannie zadają sobie pytanie, dlaczego Izba wciąż nie może pogodzić się z obowiązującą wersją ustawy, dlaczego już teraz dąży do jej nowelizacji, dlaczego wysyła pisma protestacyjne do ministrów, dlaczego przyjmowała krytyczną postawę w procesie przygotowania towarzyszących jej rozporządzeń? Is fecit qui prodest - ten uczynił, komu przyniosło korzyść - głosi stara maksyma prawa rzymskiego. W samej Izbie jedyną firmą zainteresowaną udziałem w rynku wystawiania elektronicznych certyfikatów, potrzebnych do poświadczania tożsamości podmiotów i osób wykorzystujących podpis elektroniczny, jest TP Internet. W środowisku informatycznym pojawiły się nawet głosy, że spółka ta chcąc uchronić się przed niezadowoleniem właściciela, czyli Telekomunikacji Polskiej SA, dąży do opóźnienia wejścia w życie ustawy, wykorzystując do tego Izbę, znacznie bowiem przeinwestowała, a nie jest gotowa do świadczenia usług. Konkurencyjne szczecińskie Unizeto niedawno "sprzątnęło jej sprzed nosa" wart 28 mln zł kontrakt z PZU Życie na budowę PKI.
O ile zarzuty te najpewniej są nieprawdziwe i krzywdzące, tym bardziej iż argumenty Izby popiera znacząca grupa polskich kryptologów, to trudno nie zauważyć, że od stanowiska Izby i poglądów głoszonych przez jej ekspertów dystansują się wszystkie firmy zainteresowane świadczeniem podobnych jak Signet usług.
Prace nad stworzeniem ustawy o podpisie elektronicznym trwały wiele lat przy różnych radach i komitetach działających przy kolejnych rządach. Prace animowali m.in. Lech Szukszta z NBP oraz Wojciech Katner z Ministerstwa Gospodarki. Mimo włożenia ogromnego wysiłku, raczej mało owocnie i zdecydowanie za długo, już bowiem w 2000 r. Polsce zaczęto wypominać, że sąsiednie kraje - Czechy czy Węgry - są znacznie bliższe przyjęcia ustawy o podpisie elektronicznym. Teoretycznie istniała unijna dyrektywa o e-podpisie, lecz w praktyce miała ona bardzo ogólny charakter i nie dało się jej wprost zaimplementować w naszym systemie prawnym. Prace nad rządowym projektem ustawy ślimaczyły się, tak że grupa parlamentarzystów pod wodzą Karola Działoszyńskiego jesienią 2000 r. złożyła własny projekt, tzw. projekt poselski. W rzeczywistości była to wersja opracowana przez ekspertów Polskiej Izby Informatyki i Telekomunikacji oraz Polskiego Towarzystwa Informatycznego, w tym przez Wiesława Paluszyńskiego, wówczas już tworzącego ośrodek certyfikacji Signet w TP Internet.
Już wtedy ujawnił się silny spór wokół kształtu ustawy. Stronę rządową w pracach nad ustawą reprezentował Kazimierz Ferenc, za rządów premiera Jerzego Buzka wiceminister MSWiA. Podlegli mu pracownicy - Piotr Popis, wówczas zastępca naczelnika Wydziału Badań i Rozwoju Biura Bezpieczeństwa Łączności i Informatyki UOP, oraz Robert Podpłoński, specjalista z Departamentu Prawnego MSWiA - przygotowali tzw. rządowy projekt ustawy o podpisie elektronicznym, który mimo wcześniejszego pojawienia się projektu poselskiego, stał się podstawą przygotowania sejmowego projektu ustawy. Kazimierz Ferenc brał później aktywny udział w pracach legislacyjnych, wielokrotnie promując określone zapisy ustawowe.
Projektowi rządowemu zarzucano, że ma wyraźnie restrykcyjny i policyjny charakter, wyglądając co najmniej na ustawę o handlu bronią. Było to odbiciem lęków osób tworzących tę wersję ustawy. "Załóżmy, że grupa przestępcza chciałaby powołać spółkę, która wystawiałaby certyfikaty. Jeżeli wniosek przez nią złożony będzie spełniać wszelkie wymogi formalne ustawy i zwróci się o wpis na listę wystawców certyfikatów kwalifikowanych do Ministra Gospodarki, ten nie będzie mógł odmówić. I od tej chwili spółka ta będzie mogła poświadczać dowolne transakcje, w których podpisy elektroniczne składane są bez wiedzy osób, dla których wystawiono te certyfikaty! To mogę być ja, pan czy ktokolwiek inny. Chodzi zasadniczo o przelewy bankowe. Oczywiście długo to nie potrwa, kilka dni czy godzin, ale zważywszy, że wszystko będą obsługiwać systemy elektroniczne, takich transakcji może być mnóstwo. Nawet kilkaset w ciągu sekundy!" - mówił Piotr Popis w wywiadzie udzielonym Computerworld niecały rok temu. "To mogłoby doprowadzić np. do bankructw banków. Nie mają one bowiem prawa kwestionować prawdziwości podpisu elektronicznego tylko dlatego że certyfikat został wydany przez podmiot, który w ich ocenie nie jest godny zaufania" - dodawał Robert Podpłoński w tej samej rozmowie. Nawet dzisiaj Kazimierz Ferenc, prezes Centrastu, w pełni podziela te obawy. Z kolei ze strony antagonistów rządowego projektu ustawy o e-podpisie pojawiły się zarzuty, że "hipotetyczne luki w ustawie będą wykorzystywane przez banki do oszukiwania swoich klientów".
