Do podpisu prawie zdolni

Perspektywy upowszechnienia się podpisu elektronicznego w Polsce wyglądają dziś nadzwyczaj dobrze. Wyzwaniem na przyszłość jest niepowtarzanie starych błędów przy definiowaniu zrębów "dokumentu elektronicznego".

Perspektywy upowszechnienia się podpisu elektronicznego w Polsce wyglądają dziś nadzwyczaj dobrze. Wyzwaniem na przyszłość jest niepowtarzanie starych błędów przy definiowaniu zrębów "dokumentu elektronicznego".

Prawie rok temu pisaliśmy na łamach Computerworld o problemach polskiego e-podpisu. Sytuacja wówczas była zła, a perspektywy niezbyt optymistyczne. Dziś jest lepiej, przynajmniej jeśli chodzi o wyznaczenie dalszych kierunków. Nadal pozostaje sporo do zrobienia, ale dotychczasowe tempo prac daje nadzieję na przyszłość.

W oczekiwaniu na termin

Jesienią ubiegłego roku Computerworld opublikował serię artykułów i publikacji online poświęconych problemom polskiego podpisu elektronicznego. W owym czasie jego obecność na rynku i w administracji publicznej była praktycznie zerowa. Mimo że odpowiednie prawo powstało jeszcze w latach 2001-2002, to istniało kilka poważnych barier, które powodowały, że przejście od teorii do praktyki było zwyczajnie nieopłacalne. Kwalifikowany podpis elektroniczny jeszcze rok temu był gadżetem, który nadawał się głównie do demonstrowania, że Polska "posiada podpis elektroniczny".

Jednak aby podpis elektroniczny był stosowany powszechnie, spełniony musi być warunek ekonomicznej opłacalności. E-podpis powinien ułatwiać prowadzenie działalności gospodarczej B2B oraz B2C i obniżać jej koszty, a nie utrudniać ją i podrażać. Jest to truizm, ale jeszcze pod koniec ub.r. mieliśmy na rynku wyłącznie cztery aplikacje do kwalifikowanego podpisu elektronicznego, posługujące się czterema niekompatybilnymi formatami i nadające się co najwyżej do wspomnianych demonstracji, a nie codziennego wykorzystania. Równolegle w polskim prawodawstwie istniały poważne braki. W ciągu czterech lat od opublikowania ustawy o podpisie elektronicznym (2001 r.) wskazanym tam ministrom nie udało się stworzyć wymaganego rozporządzenia o formatach e-dokumentów. Bez niego marzące się przedsiębiorcom elektroniczne deklaracje podatkowe nie miały podstaw prawnych.

Sytuacja w ciągu minionego roku radykalnie się zmieniła. Mniej więcej od początku br. można było zaobserwować wzmożoną aktywność na forach dyskusyjnych, gdzie zabierali głos przedstawiciele różnych ministerstw związanych mniej lub bardziej z podpisem elektronicznym. Było to o tyle uzasadnione, że w połowie 2006 r. upływał pewien ważny termin, o czym dalej.

Po przepychankach personalnych w Ministerstwie Finansów na przełomie kwietnia i maja br. podjęto w końcu decyzję o budowie systemu e-Deklaracje, którego wykonawcą została firma PWPW, właściciel centrum certyfikacji Sigillum. Jednym ze zwiastunów tego projektu jest portal e-Poltax, uruchomiony przez resort finansów w sierpniu br.

W maju opublikowane zostało oficjalnie przygotowywane od ponad pół roku stanowisko Internet Society Polska, punktujące problemy polskiego podpisu elektronicznego. Stanowisko to sprowokowało liczne dyskusje na temat obecnej sytuacji podpisu w Polsce i kolejne publiczne wypowiedzi ekspertów. Swoje uwagi w tej sprawie wielokrotnie publikowała branżowa Polska Izba Informatyki i Telekomunikacji (PIIT), Stowarzyszenie PEMI oraz firma Unizeto.

Sytuacja stawała się napięta, bowiem w owym czasie nad 30 tys. jednostek administracji publicznej wisiały jak miecz Damoklesa dwie daty - 16 i 17 sierpnia. Wynikały one z ustawy o podpisie elektronicznym oraz ustawy o informatyzacji i nakładały na jednostki administracji określone obowiązki co do przyjmowania dokumentów elektronicznych oraz ich wymiany między urzędami. Tymczasem z powodu błędów w rozporządzeniach towarzyszących (słynny już HSM w "elektronicznej skrzynce podawczej") literalna realizacja tych obowiązków przed rychłym upływem terminu mogła spowodować, że pieniądze wydane na te systemy mogły zostać w istocie zmarnowane.

Powietrze "zeszło", potrzeba została

W maju pojawiły się kolejne sygnały, że rząd rozważa możliwość przeniesienia części obowiązków wynikających z ustawy o podpisie elektronicznym na później. "Przesunięcie terminu wejścia w życie podpisu elektronicznego na 2008 r. oraz przejęcie przez MSWiA obecnych zadań ministra gospodarki, dotyczących wdrożenia podpisu elektronicznego to najważniejsze elementy propozycji zmiany obecnej ustawy o podpisie elektronicznym" - poinformował wiceminister MSWiA Grzegorz Bliźniuk podczas VII Konferencji Okrągłego Stołu, która odbyła się w gmachu Sejmu 18 maja 2006 r.

Na tym etapie trwała już otwarta publiczna dyskusja na temat przyszłości podpisu elektronicznego prowadzona z jednej strony przez centra certyfikacji (Unizeto, KIR, Sigillum; pod koniec czerwca br. działalność zakończył Signet, czwarte centrum certyfikacji uruchomione przez TP Internet), z drugiej przez administrację publiczną (MG, MSWiA, MF), z trzeciej zaś przez organizacje pozarządowe reprezentujące interesy biznesu (PIIT), konsumentów usług elektronicznych (ISOC-PL) oraz promujące społeczeństwo informacyjne (PEMI).

W czerwcu br. trzy polskie

centra certyfikacji (Unizeto, KIR i Sigillum) we współpracy z Instytutem Logistyki i Magazynowania opublikowały dokument, który w ówczesnej sytuacji był swego rodzaju przełomem - wspólnie wypracowany format faktury elektronicznej oparty na XML. Równocześnie na łonie ISOC-PL zrodził się projekt szerszego standardu tzw. kontenera dla dokumentów elektronicznych.

Również w czerwcu odbyły się dwie bardzo istotne z punktu widzenia podpisu konferencje - EFPE (Europejskie Forum Podpisu Elektronicznego) oraz Infosystem 2006. W lipcu przez Sejm i Senat przeszła wreszcie "ustawa o nowelizacji ustawy", czyli nastąpiło oficjalne przeniesienie terminu wdrożenia e-podpisu w administracji publicznej na maj 2008 r. Wobec tego trzy pozostałe na rynku centra certyfikacji poinformowały o rozpoczęciu wspólnych prac nad ujednoliceniem formatu podpisu elektronicznego, a konkretnie nad zaadaptowaniem formatu XAdES do polskiego prawodawstwa.

W międzyczasie na polskim rynku pojawił się nowy gracz - firma ebStream, która stworzyła oparty na XML system formularzy i dokumentów elektronicznych, posiadających od końca lipca br. deklarację zgodności, co stawia go na równi z innymi aplikacjami do podpisu kwalifikowanego. W sierpniu uruchomiony został oficjalnie serwis e-Poltax, pozwalający na składanie części deklaracji podatkowych przez Internet.

e-Poltax nie był jedynym przypadkiem zastosowania podpisu elektronicznego w administracji. Przyjmowanie dokumentów podpisanych elektroniczne zadeklarował również Narodowy Fundusz Zdrowia. Równocześnie jednak np. Naczelna Rada Adwokacja poinformowała o przeniesieniu wdrożenia elektronicznych legitymacji adwokackich o dwa lata, w oczekiwaniu na ustabilizowanie się sytuacji prawnej i rynkowej.

Obiektywne przyspieszenie

O ile sytuacja podpisu elektronicznego pod koniec ubiegłego roku nie napawała zbytnim optymizmem, o tyle od tej pory można zaobserwować znaczące przyspieszenie i zmiany na lepsze. Jest to zapewne w pewnym stopniu wynik mobilizacji przed 16 sierpnia, ale należy podkreślić trzy bardzo istotne zjawiska, które w międzyczasie można było zaobserwować. Po pierwsze widoczna jest aktywizacja środowisk usługodawców i usługobiorców podpisu elektronicznego, które w poprzednich latach raczej nie wychodziły poza komentarze publikowane na łamach prasy. Obecnie na ten temat prowadzona jest ożywiona dyskusja wewnątrz środowisk, jak i z administracją publiczną.

Co ważniejsze, ta dyskusja jest zauważana przez administrację. Obiektywnie rzecz biorąc, zaangażowane w e-podpis ministerstwa zrobiły w ciągu półrocza więcej niż przez cztery lata, jakie upłynęły od publikacji podstawowych aktów prawnych. Znacznie poprawiła się również współpraca administracji ze środowiskiem informatycznym, ruszyły konsultacje społeczne, udział w konferencjach i pojawiły się publikacje projektów nowych rozporządzeń.

Po trzecie, co bardzo ważne, wzajemną współpracę pogłębiły polskie centra certyfikacji, rozumiejąc najwyraźniej, że są przynajmniej dwa zakresy działań, w których bardziej opłaca się działać wspólnie niż konkurować. Chodzi w pierwszym rzędzie o wypracowywanie jednolitych i rzeczy-wiście kompatybilnych standardów i wspólny lobbing u prawodawcy. Rezultatami tej współpracy było ujednolicenie formatu podpisu i wybór standardu XAdES, a także jednolity format faktury elektronicznej.

Jeszcze jednym przejawem współpracy, tym razem mniej korzystnej dla klienta, może być wyrównanie cen certyfikatu kwalifikowanego, które we wszystkich trzech centrach kosztują 190 zł netto. Przejawem współpracy w zakresie lobbingu - pozytywnym w sensie wspólnego przedstawiania ustawodawcy uwag do różnych aspektów prawa o podpisie - są liczne komentarze, publikowane lub przesyłane bezpośrednio ministerstwom, podpisywane wspólnie przez wszystkie trzy centra. To oznacza, że współpraca jest rzeczywista.

Ku elektronicznym dokumentom

Przyszłość polskiego podpisu elektronicznego maluje się na razie raczej w jasnych barwach. Obecna atmosfera wytężonej pracy i otwartej dyskusji jest o wiele lepsza niż stagnacja lat 2002-2005 i miejmy nadzieję, że nie popsują jej perturbacje polityczne końca 2006 r. Okręt polskiego podpisu elektronicznego obrał w końcu właściwy kurs, posuwa się do przodu i szkoda byłoby go teraz zatapiać. Na stronach ministerstw pojawiają się projekty nowych rozporządzeń związanych z podpisem elektronicznym lub - szerzej - z bezpiecznym dokumentem elektronicznym. Są przy tym czytane i regularnie komentowane, w czym największą aktywność wykazuje PIIT.

Poważnym zadaniem, jakie stoi przed obecną obsadą ministerstw odpowiedzialnych za podpis elektroniczny, jest merytoryczna nowelizacja ustawy lub rozporządzeń o podpisie elektronicznym, tak by usunąć istniejące w nich niejednoznaczności, błędy merytoryczne i braki - których, wbrew pozorom, nie ma aż tak wiele.

W wielu zastosowaniach brakuje "pieczątki elektronicznej", czyli podpisu posiadającego cechy podpisu kwalifikowanego, takie jak formalna weryfikacja tożsamości posiadacza, ale nieposiadającego jego ograniczeń (nierozerwalnego przywiązania do osoby fizycznej, dużej odpowiedzialności związanej z jego stosowaniem oraz konieczności składania go za pomocą bezpiecznego urządzenia). Ograniczenia te są szczególnie widoczne w zastosowaniach, w których właśnie automatyzacja i eliminacja człowieka z procesu wystawiania dokumentów przynosi realne zyski, np. wystawianie faktur elektronicznych.

Odrębnym problemem jest kwestia wzajemnej niespójności polskich przepisów oraz nieprecyzyjności ich języka. Szczególnie niespójne trio tworzą ustawy o podpisie elektronicznym, o informatyzacji, Kodeks Postępowania Administracyjnego, włącznie z towarzyszącymi im rozporządzeniami, które w wielu miejscach wzajemnie wchodzą sobie w drogę. W kilku miejscach zamiast odwoływać się jedna do drugiej, definiują od nowa pojęcia określone już przez inne akty, oczywiście inaczej. Gdzie indziej posługują się sformułowaniami mętnymi, wpadając w pułapki polskiego języka, takie jak "powinien" (musi? może?), czy też "moduł spełnia wymagania normy" (ale czy musi mieć na to certyfikat?) itd.

Największym wyzwaniem będzie równoczesne przygotowanie nowelizacji merytorycznej aktów prawnych o podpisie elektronicznym oraz nowych, dotyczących go dokumentów elektronicznych. Pojęcie to powstało, ponieważ podpisana treść musi być przenoszona w jakiejś strukturze i byłoby dobrze, gdyby podpis elektroniczny był związany z treścią, a nie traktował treści jako niezrozumiałego ciągu bitów. Jest to możliwe tylko w dokumentach w formacie XML i zarówno biznes, jak i administracja publiczna zdają się to rozumieć. Większość nowych rozporządzeń MSWiA mówi wprost o formacie XAdES.

Pozostaje jednak kwestia połączenia treści z podpisem i danymi dodatkowymi (np. załączniki) w postaci jednego pliku, tak by można je było łatwo przesyłać i składować. Tutaj właśnie pojawia się problem kontenera dla e-dokumentów, poruszony m.in. przez ISOC-PL (patrz ramka). Obecnie mamy w Polsce przynajmniej trzy albo cztery zespoły pracujące równolegle nad formatami dla faktury elektronicznej, czy szerzej - dokumentu elektronicznego. Żaden z nich nie jest kompatybilny z pozostałymi.

Te odrębne wysiłki wypadałoby połączyć, bo inaczej będziemy w sytuacji analogicznej do tej z końca 2005 r., kiedy równolegle oferowano na rynku cztery niekompatybilne formaty podpisu elektronicznego, skutecznie zniechęcając biznes do korzystania z nich. Obecna współpraca wystawców certyfikatów pokazuje, że nie jest to niemożliwe.

Potrzebny dokument elektroniczny

Podpis elektroniczny to tylko fragment większej układanki jaką jest bezpieczny dokument elektroniczny. Obecnie w Polsce jest w użyciu wiele formatów dokumentów elektronicznych stosowanych powszechnie (PDF, MS Word, OpenOffice), ale niekompatybilnych z ustawą o podpisie elektronicznym i ustawą o informatyzacji. Jedynym formatem, który spełnia te wymogi, jest format EBF firmy ebStream. Dzięki analizom Stowarzyszenia PEMI nie ulega wątpliwości, że powinien to być format oparty na XML, z prezentacją definiowaną w arkuszach XSL, transformacjami opisanymi jako dokumenty XSLT i podpisem elektronicznym w formacie XML-DSIG w profilu XAdES.

Prace prowadzone przez różne grupy zajmują się tylko fragmentami tej układanki, np. format faktury elektronicznej ILiM to wyłącznie e-faktura, gdy tymczasem bezpieczny dokument elektroniczny musi spełniać znacznie więcej wymagań. Twórcy systemów przetwarzających bardzo wiele formularzy (np. skrzynki podawcze) chcą, by prezentacja była oddzielona od treści (EBF nie spełnia tego warunku), co jest uzasadnione o tyle, że prezentacja jest zwykle największym objętościowo składnikiem dokumentu. Niektóre systemy (np. ZUS) wymagają możliwości dodania do dokumentu dużych załączników binarnych (np. skanów). Umieszczanie ich w dokumencie XML zakodowanych w trybie BASE64 jest nieefektywne i wiąże się z ok. 25% przyrostem ich objętości.

W sprzeczności z obydwoma wyżej wymienionymi wymogami stoi inny wymóg, a mianowicie, by dokumenty były self-embedded, tzn. abyśmy przesyłając dokument musieli przesyłać jeden, w pełni "samowystarczalny" plik, a nie kilka - XML oddzielnie, XSL oddzielnie itd. Co więcej, wszystkie wyżej wymienione komponenty muszą być podpisane elektronicznie, co jeszcze bardziej komplikuje sprawę. Wstępne analizy wykonane przez Internet Society Poland pokazują, że najbliższy spełnieniu tych wymagań jest Open Document Format, stworzony przez OASIS i będący od niedawna standardem ISO.

ODF jest zaimplementowany m.in. w darmowym OpenOffice, StarOffice, KOffice i kilku innych, a także w formie wtyczki dla pakietów biurowych Microsoft. Po niewielkich modyfikacjach ODF mógłby być stosowany jako uniwersalny format bezpiecznego dokumentu elektronicznego. Mógłby też tworzyć podwaliny przyszłej paneuropejskiej wymiany dokumentów, tym bardziej że jako standard ISO przyjęło go już kilka Państw Członkowskich, m.in. Dania i Hiszpania. Więcej informacji na temat ODF jako formatu bezpiecznego dokumentu można znaleźć na stronie organizacji OASIS, która w największej mierze przyczyniła się do jego powstania (http://www.oasis.org ).

Kwalifikowany podpis elektroniczny

Nieistniejący termin prawny, będący mimo to w powszechnym użyciu, a konkretnie potoczna nazwa jedynej formy podpisu elektronicznego, której znaczenie prawne zrównano z podpisem odręcznym. Jego poprawna nazwa to: "bezpieczny podpis elektroniczny weryfikowany ważnym kwalifikowanym certyfikatem". Unijna rekomendacja CWA 14365-1 jest jednym z pierwszych dokumentów, który powszechnie posługuje się tytułowym pojęciem, zwyczajnie definiując jego formalne znaczenie na jednej z pierwszych stron.

Podpis paneuropejski

Na pewno warto kontynuować takie inicjatywy jak konferencja EFPE, która w tym roku zgromadziła przedstawicieli wielu państw należących do UE lub stanowiących jej wartościowych partnerów gospodarczych (np. Rosja). Problemy z podpisem elektronicznym nie są bynajmniej jedynie polską specjalnością - tylko w nielicznych krajach został on wdrożony sprawnie, np. w Estonii, choć tam skala wdrożenia jest relatywnie mała ze względu na niewielką liczbę mieszkańców (ok. 1,5 mln). Unijną dyrektywę 1999/93/EC o podpisie elektronicznym praktycznie każde państwo członkowskie wdraża wedle własnego uznania, przez co w Europie nie mamy jednej definicji podpisu elektronicznego, a kilka. Choć można wyróżnić grupy państw o podobnym prawodawstwie, o wymienialności faktur elektronicznych między firmami działającymi na terenie różnych państw można na razie zapomnieć. Nie ulega jednak wątpliwości, że podpis elektroniczny może realnie przyczynić się do zwiększenia konkurencyjności unijnej gospodarki przez zredukowanie i tak wysokich kosztów jej prowadzenia, generowanych m.in. przez widoczne w unijnym prawie przywiązanie do biurokracji. Uruchomienie przez Polskę - jeden z największych krajów Unii - rzeczywiście użytecznego podpisu elektronicznego byłoby sukcesem, którym można by się pochwalić "na salonach". Po doświadczeniach dobiegającego powoli roku można powiedzieć, że wreszcie są na to szanse.