Podpis elektroniczny to temat ostatnio znów gorący. Nie dlatego jednak, że to nowa technologia, bo ta funkcjonuje już od kilkunastu dobrych lat. Podpis elektroniczny zaczyna torować sobie drogę w naszym systemie prawnym. Wszystko to odbywa się jednak dość opieszale i stwarza wrażenie chaosu. O co w tym wszystkim chodzi i jak w tej chwili wygląda sytuacja podpisu w Polsce?

Dlaczego w ogóle mówimy o podpisie elektronicznym? Wydawać się może przecież, że to zagadnienie dobrze znane. Pewnie tak, ale co z naszej wiedzy, gdy dopiero teraz możemy naprawdę zacząć z niej korzystać. Od dawna prowadzone są debaty na temat e-administracji i dania "Kowalskiemu" szansy uniknięcia wielu godzin spędzonych w kolejkach do urzędowych okienek. Od dłuższego czasu podpis elektroniczny może być wykorzystywany w kontaktach z ZUS-em, a od niedawna (sierpień 2006 r.) wkroczył do urzędów skarbowych. Może więc warto pochylić się nad nim i zastanowić nad wykorzystaniem w praktyce? Zacznijmy więc od początku.

Podpis elektroniczny - a cóż to takiego?

Sprawa z podpisem elektronicznym nie jest taka prosta, ponieważ na termin ten składa się wiele elementów. Byłoby dość łatwo, gdyby chodziło tylko i wyłącznie o technologię - jest przecież kilka standardów, które są dobrze opisane i które przy odrobinie cierpliwości można poznać. Niestety, do tego dochodzi jeszcze cała masa norm, wytycznych, ustaw, rozporządzeń i regulaminów. Sprawa komplikuje się jeszcze bardziej, bo przepisy te nie są jednolite.

Sam podpis elektroniczny nie jest niczym więcej, jak po prostu sposobem podpisywania dokumentów elektronicznych. Równie często korzysta się tutaj z określenia podpis cyfrowy. Prawdę powiedziawszy, to bardziej trafne wydaje się to drugie określenie, ponieważ podpisem elektronicznym może być choćby skan naszego podpisu odręcznego, a to nie do końca to samo, co podpis cyfrowy.

Tyle informatyka. A co na to prawo? Gdzie możemy znaleźć prawną definicję, skoro zagadnienie podpisu cyfrowego jest z prawem ściśle związane? Tam, gdzie figuruje większość kwestii regulujących funkcjonowanie instytucji podpisu elektronicznego - w Ustawie o podpisie elektronicznym z dn. 18 września 2001 r. (znajdziemy ją w Dzienniku Ustaw z 2001 r. Nr 130, pozycja 1450). Zanim podamy samą definicję warto wiedzieć o kilku faktach związanych z ustawą.

Po pierwsze weszła ona w życie w niecały rok po jej uchwaleniu, tj. 16 sierpnia 2002 r. Nie znaczy to, że dopiero od 2002 r. możemy posługiwać się podpisem elektronicznym. Taka możliwość za zgodą stron istniała już wcześniej. Podpis elektroniczny był wykorzystywany chociażby w systemie elektronicznych rozliczeń międzybankowych Eliksir. Ustawodawcy chodziło przede wszystkim o usankcjonowanie i uporządkowanie kwestii terminologii, zasad posługiwania się podpisem w obrocie publicznym, funkcjonowania centrów certyfikacji oraz wydawania i użytkowania certyfikatów. To właśnie dzięki tej ustawie możemy poznać podejście do zasad rządzących podpisem elektronicznym w naszym kraju.

Samo przygotowanie ustawy nie było zadaniem łatwym. Do Sejmu wpłynęły dwa projekty, w tym jeden stworzony przy współudziale NBP, Polskiego Towarzystwa Informatycznego oraz Polskiej Wytwórni Papierów Wartościowych. Na marginesie warto dodać, że centrum certyfikacji Sigillum jest ściśle związane właśnie z Wytwórnią Papierów Wartościowych. Drugi projekt - rządowy - został przygotowany przez MSWiA.

Oba projekty te różniły się od siebie dość istotnie, ale ostatecznie wybrano rozwiązanie kompromisowe będące kompilacją obydwu. Wsparto się także wytycznymi Dyrektywy Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego.

Jakie użyteczne informacje znajdziemy w ustawie? Po pierwsze będzie to definicja. Ustawa wyróżnia dwa rodzaje podpisów elektronicznych. Świadomość tego podziału jest bardzo ważna z praktycznego punktu widzenia. Według ustawy podpisem elektronicznym są dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Jak przystało na język prawny, definicja ta jest odpowiednio długa i wielokrotnie złożona. Określa tzw. niekwalifikowany podpis elektroniczny często nazywany podpisem komercyjnym. Nosi taką nazwę nie bez powodu. Nie znajdzie bowiem zastosowania w naszych kontaktach z instytucjami publicznymi i nie będziemy mogli za jego pomocą podpisać e-dokumentów. Podpis ten za to znakomicie będzie nadawał się do sygnowania np. poczty elektronicznej, podpisywania i szyfrowania własnych dokumentów.

Do celów komunikacji z urzędami ustawodawca przewidział drugi rodzaj podpisu - bezpieczny podpis elektroniczny lub tzw. kwalifikowany podpis elektroniczny. Jest on pod względem formalno-prawnym równoważny z naszym odręcznym podpisem.

Wyjaśnienie czym jest kwalifikowany podpis elektroniczny jest stosunkowo proste. Najkrócej mówiąc jest to taki podpis elektroniczny, który jest weryfikowany za pomocą kwalifikowanego certyfikatu. Kwalifikowany certyfikat to taki, który został wystawiony przez kwalifikowane centrum certyfikacji (CA - Certificate Authority). A kwalifikowane centrum certyfikacji to instytucja, która spełniła wymogi określone w ustawie i została wpisana do rejestru.

Ponadto bezpieczny podpis musi być złożony przy użyciu bezpiecznego urządzenia (tzw. SSCD - Secure Signature Creation Device) i powiązany z danymi, do których został dołączony (tak, aby późniejsza zmiana tych danych była rozpoznawalna). Takie bezpieczne urządzenie powinno opierać się na normie CWA 14169 opublikowanej przez Europejski Komitet Standaryzacji.

Kwalifikowany podpis elektroniczny znajduje zastosowanie wszędzie tam, gdzie mamy do czynienia z ważnymi dokumentami - zwłaszcza w obiegu prawnym. Kwalifikowany certyfikat, którym weryfikujemy podpis, jest wydawany tylko i wyłącznie osobom fizycznym. Nie ma więc znaczenia czy składamy własną deklarację podatkową czy też deklarację firmy, zawsze bowiem będziemy musieli wystąpić o certyfikat jako Jan Kowalski, a dopiero potem złożyć deklarację w imieniu naszej firmy.

Zatem bezpiecznemu podpisowi elektronicznemu postawiono wymagania, których spełnienie nie jest konieczne w przypadku zwykłego (niekwalifikowanego) podpisu. Tutaj wystarczy, że otrzymamy certyfikat od centrum certyfikacji, które nie musi być wciągnięte do rejestru Narodowego Centrum Certyfikacji. Nie ma też wymagań co do urządzeń lub oprogramowania użytego do składania podpisu niekwalifikowanego. Należy jednak pamiętać, że podpis ten nie będzie równoważny z podpisem odręcznym.

Podpis elektroniczny może mieć jeszcze jeden atrybut - może być oznakowany czasem. Ma to znaczenie w sytuacji, kiedy zależy nam na określeniu dokładnej daty i godziny, w której złożono podpis elektroniczny, lub też stwierdzeniu, że dany dokument istniał w danej chwili. I tutaj również możemy wyróżnić kwalifikowany i niekwalifikowany znacznik czasu. Oczywiście używając kwalifikowanego podpisu, skorzystamy także z kwalifikowanego znacznika.

Czym różni się znacznik kwalifikowany od "pospolitego"? Ten pierwszy wywołuje inne skutki prawne i powoduje, że po raz kolejny prawo i informatyka muszą iść w parze. Kwalifikowany znacznik czasu wywołuje skutki prawne daty pewnej w rozumieniu Kodeksu Cywilnego (art. 81 KC). Aby najprościej wyjaśnić czym jest data pewna, należy posłużyć się przykładem: Dla porównania, data sporządzenia dokumentu oznakowanego kwalifikowanym znacznikiem czasu jest tak samo niepodważalna, jak gdybyśmy dokonali tej czynności przed notariuszem. Gdybyśmy więc stworzyli jakąś przełomową aplikację, możemy ją oznakować i mieć pewność, że jeżeli ktoś wpadnie na podobny pomysł później, to my nie będziemy mieli problemu z udowodnieniem, że byliśmy pierwsi.

Podpis elektroniczny zatem daje tak naprawdę znacznie większe możliwości, niż podpis odręczny. Podsumujmy w skrócie jego zalety i wyższość nad podpisem odręcznym. Po pierwsze, podpis elektroniczny tak jak i podpis odręczny jest unikalny. Niemniej jednak zadanie osoby weryfikującej autentyczność tego pierwszego jest stosunkowo proste. Sprawdzenie nie wymaga udziału fachowca - grafologa, jak w przypadku podpisu odręcznego. Po drugie, istnieje ścisłe powiązanie podpisu z dokumentem "pod" którym został złożony. Sprawia to, że jakakolwiek modyfikacja dokumentu jest błyskawicznie wychwytywana. A po trzecie - oprócz tego, że istnieje ścisłe powiązanie dokumentu z podpisem - złożenie takiego sprawia, że podpisujący nie może temu faktowi zaprzeczyć.