Z profesorem Mirosławem Kutyłowskim, z Centrum Kryptologii Wydziału Matematyki i Informatyki Uniwersytetu Adama Mickiewicza w Poznaniu, pracownikiem Politechniki Wrocławskiej, rozmawia Rafał Jakubowski.

Co skłoniło Pana wraz z grupą polskich kryptologów do zabrania głosu w dyskusji nad projektem ustawy o podpisie elektronicznym?

Dyskusję nad projektem ustawy rozpoczęło Polskie Towarzystwo Informatyczne. Gdy ujrzeliśmy proponowane przepisy, stało się jasne, że konsekwencje ich wprowadzenia mogą być katastrofalne. Sądzę, iż społeczeństwo może wymagać, by w takich sytuacjach nasze środowisko zabierało głos. Na tym właśnie, a nie tylko na nauczaniu studentów i teoretycznych rozważaniach, polega zawód naukowca.

Czy nie uważa Pan, że podpis elektroniczny to problem bardziej prawny niż technologiczny i jako taki powinien zostać pozostawiony prawnikom?

Podobne pytanie mogłoby być postawione podczas tworzenia regulacji, dotyczących magazynowania radioaktywnego plutonu. Prawnicy mają prawo nie znać się na fizyce nuklearnej i nie wiedzieć, jaka jest masa krytyczna. Podobnie mają prawo nie znać się na bezpieczeństwie komputerowym. Nie muszą znać uwarunkowań technologicznych. W takich sytuacjach konieczna jest współpraca między prawnikami a specjalistami. Ani jedni, ani drudzy sami problemu nie rozwiążą.

Dlaczego środowisko informatyczne tak ostro krytykuje rządowy projekt ustawy o podpisie elektronicznym?

Przeciwnie. Wydaje mi się, że reagujemy dość powściągliwie wobec treści przedstawionych rozwiązań. Grozi nam katastrofa.

W Polsce utarł się taki zwyczaj, że informatycy niewiele mają do powiedzenia w kwestiach informatycznych. Wielu decydentów po opanowaniu sztuki włączenia komputera PC uznaje się za fachowców od informatyki. Podobnie jak z medycyną: wszyscy się na niej znają. Dopiero jak narozrabiają, zaczynają szukać winnych w gronie fachowców. Trudno się dziwić, że środowisko informatyczne powoli zaczyna zachowywać się tak, jak nakazują instynkt samozachowawczy i odpowiedzialność za społeczeństwo.

Ale przecież projekt rządowy zyskał pozytywną opinię Komitetu Integracji Europejskiej. Czy nie jest to wystarczająca rekomendacja?

Komitet Integracji Europejskiej powinien sprawdzić, czy projekt ustawy jest zgodny z dyrektywą Unii Europejskiej. Tak wyobrażam sobie jego rolę. Nie musi sprawdzać, czy projekt ma luki z informatycznego punktu widzenia, choć gdy je znajdzie, chwała mu za to.

Grupa analityków w naszym zespole badała projekt rządowy właśnie tylko pod względem zgodności z dyrektywą UE. Przygotowana przez nich lista niezgodności jest bardzo długa. Dotyczą one nie tylko litery, ale także ducha projektu ustawy. Koledzy z innych środowisk również takie fundamentalne niezgodności odkryli. Nie wiem dlaczego Komitet Integracji Europejskiej wydał ocenę pozytywną.

Dlaczego, Pana zdaniem, projekt poselski jest lepszy od rządowego?

W kwestiach kryptologicznych bezpieczeństwa nie zapewnią administracyjna kontrola i daleko idąca reglamentacja. To wolny rynek i otwartość procedur decyzyjnych jest najbardziej skuteczną drogą do zapewnienia bezpieczeństwa. Nie bez powodu opracowanie nowego standardu szyfrowania symetrycznego Amerykanie powierzyli nie własnej National Security Agency - dodajmy instytucji nie tylko o olbrzymiej sile politycznej, ale i intelektualnej - lecz uczestnikom otwartego konkursu. Nie czynili tego z nieostrożności, lecz z wyrachowania. Najlepsze rozwiązania powstają na wolnym rynku, w tym przypadku na rynku rozwiązań intelektualnych. Nie jest to tylko mój pogląd, ale standard postępowania, od którego odstępstwa opłacono wielokrotnie gorzkimi doświadczeniami.

Projekt rządowy to regulacje nakazowo-rozdzielcze, projekt poselski to projekt liberalny. I to, moim zdaniem, jest najważniejsza różnica. Chyba najlepsze rozwiązanie to takie, w którym połączona jest swoboda podejmowania działalności z odpowiedzialnością za nią.

Projekt poselski z pewnością ma również wady. Jakie są, Pańskim zdaniem, najważniejsze?

Jako informatyk nie doceniam i nie dostrzegam zapewne wielu wad prawnych. Temat ten pozostawmy prawnikom. Dla mnie najważniejsze są możliwości wykorzystania nieprecyzyjnych zapisów w kwestiach kryptograficznych. Jest kilka regulacji, które umożliwiają przekręty w majestacie prawa. To trzeba poprawić i na szczęście autorzy projektu poselskiego zdają się to rozumieć.

Często powtarzane są opinie, że chociaż projekty nie są doskonałe, trzeba ustawę uchwalić, by wypełnić lukę prawną. Jeżeli przyjęte rozwiązania się nie sprawdzą, to ustawę się znowelizuje. To prawda, że ustawę trzeba uchwalić tak szybko, jak to możliwe. Lecz błędne rozwiązania mogą przynieść niewyobrażalne szkody. Nie mówimy tutaj o drobnych niedogodnościach, sprawa jest bardzo poważna.

Oczywiście ustawa nie może i nie ma za zadanie rozstrzygać wszystkich kwestii. Informatyka jest tak szybko rozwijającą się dziedziną, że na nowelizacje nigdy nie starczy czasu. Konieczne będzie bieżące śledzenie sytuacji w kwestiach technicznych. Być może rozwiązaniem byłoby pozostawienie pewnych szczegółowych, jasno określonych uregulowań autonomicznemu i wyspecjalizowanemu urzędowi o silnym zapleczu merytorycznym. Nie może to być jednak tylko fasadowe, opiniodawcze gremium, ze składem odpowiadającym liście ministerstw i urzędów centralnych.

Podobno projekt poselski jest kopią ustawy austriackiej? Jakiej jakości rozwiązania legislacyjne w zakresie podpisu elektronicznego mają inne państwa?

Ustawy są zbieżne w dużym stopniu. Wynika to ze wspólnego korzenia: dyrektywy Unii Europejskiej. Bardzo profesjonalna wydaje mi się ustawa niemiecka. Krótkie, jasne zdania są pokazem mistrzostwa ustawodawcy. Ze względu na kompromisowość dyrektywy Niemcy muszą jednak swoją ustawę zmienić. Znacznie prostsze regulacje istnieją w USA. Ale z tego przykładu skorzystać niestety nie możemy, ponieważ nasze systemy prawne są całkowicie niekompatybilne.

Czy swoboda działalności, jaką projekt poselski daje jednostkom wydającym certyfikaty, nie doprowadzi do nadużyć?

Ustawa musi brać pod uwagę takie możliwości. Technologia certyfikatów nie opiera się na zaufaniu do jakiejś firmy czy urzędu, tylko na przeświadczeniu, że oszust ma bardzo ograniczone pole manewru w przypadku nielegalnego korzystania z podpisów cyfrowych. Projekt rządowy utrudnia stosowanie tej technologii. Ma też ukryty zakaz tworzenia drzew certyfikatów. A właśnie drzewa certyfikatów są wiarygodnym i ekonomicznie uzasadnionym rozwiązaniem w przypadku mikropłatności.