Przygotowany przez Ministerstwo Spraw Wewnętrznych i Administracji projekt ustawy o podpisie elektronicznym został przekazany do uzgodnień międzyresortowych. Prace nad nim trwały od połowy 1999 r. Ustawa określa warunki, w jakich podpis elektroniczny byłby traktowany równorzędnie pod względem skutków prawnych z podpisem tradycyjnym. Precyzuje również zasady świadczenia "akredytowanych usług związanych z podpisem elektronicznym i nadzoru nad podmiotami świadczącymi te usługi". Autorzy projektu zakładają, że ustawa miałaby wejść w życie 1 lipca 2001 r. Nie wiadomo jednak, czy do tego czasu zostanie uchwalona przez Sejm.

<B>W zgodzie z dyrektywą</B>

W zamyśle autorów ustawa o podpisie elektronicznym ma być aktem dostosowującym polskie ustawodawstwo do wymogów prawa Unii Europejskiej. Podczas prac nad projektem kierowano się dyrektywą Unii Europejskiej z grudnia 1999 r., określającą warunki ramowe dotyczące podpisu elektronicznego. Projekt opiera się na postanowieniach dyrektywy, zwłaszcza w warstwie definicji.

"Pojęciami podstawowymi do zrozumienia materii ustawy są pojęcie certyfikatu rozumianego jako elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby składającej podpis elektroniczny i potwierdzają tożsamość tej osoby i jego formy kwalifikowanej oraz akredytacji, czyli zezwolenia udzielanego podmiotowi świadczącemu usługi certyfikacyjne umożliwiającego wydawanie kwalifikowanych certyfikatów lub znakowanie czasem" - można przeczytać w uzasadnieniu do projektu ustawy.

Twórcy projektu podkreślają, że proponowana ustawa reguluje zupełnie nową w polskim prawie dziedzinę, przy tym zaawansowaną technicznie. Podkreślają również, że jest ona wyrazem kompromisu pomiędzy oczekiwaniami profesjonalistów a potrzebami zwykłych obywateli, którzy będą używać podpisu elektronicznego.

<B>Obowiązkowa akredytacja</B>

Zasadniczą część ustawy tworzą fragmenty, dotyczące trybu akredytacji firm świadczących usługi certyfikacyjne i sprawowania nadzoru nad nimi. Twórcy projektu wykorzystali doświadczenia organów, takich jak Urząd Nadzoru nad Funduszami Emerytalnymi. Certyfikaty miałyby być wydawane w ramach tzw. polityk certyfikacji, czyli zbiorów szczegółowych zasad, określanych przez ministra spraw wewnętrznych. Obejmowałyby one rozwiązania techniczne i organizacyjne, które wskazywałyby zakres zastosowania certyfikatu w warunkach charakteryzujących się wspólnymi wymaganiami bezpieczeństwa. Firmy, które zamierzałyby zajmować się wydawaniem certyfikatów, byłyby zobowiązane do uzyskania akredytacji.

Projekt ustawy przewiduje również utworzenie Akredytacyjnego Komitetu Doradczego, który zajmowałby się opiniowaniem projektów aktów normatywnych, dotyczących działalności firm, zajmujących się wydawaniem certyfikatów, oraz sprawozdań ministra spraw wewnętrznych z działalności akredytacyjnej. Komitet zabierałby głos także w sprawach związanych z działalnością firm świadczących usługi certyfikacyjne. Miałby się składać z 10 wybieranych przez ministra osób, "posiadających wiedzę i doświadczenie w sprawach związanych z zadaniami określonymi w ustawie".

<B>Liczne kontrowersje</B>

Obecna wersja projektu ustawy o podpisie elektronicznym przygotowana przez MSWiA budzi poważne zastrzeżenia Polskiego Towarzystwa Informatycznego. Przedstawiciele PTI uważają, że projekt ustawy nie spełnia oczekiwań środowiska informatycznego ze względu na to, że "nie stwarza przyjaznych ram prawnych do stosowania podpisu elektronicznego i propagowania rozwoju nowoczesnych technik komunikowania się i handlu elektronicznego".

"Projekt w wersji MSWiA zmierza wręcz do zniechęcania podmiotów gospodarczych do stosowania podpisu elektronicznego, a zwłaszcza jego najbezpieczniejszych postaci opartych na instytucji akredytacji" - twierdzą członkowie PTI. Świadczą o tym proponowane w projekcie "rozwiązania o charakterze policyjnym", m.in. ustalanie grzywien w wysokości 1-5 mln zł za zatrudnienie niefachowego personelu, przy jednoczesnym braku wymagań kwalifikacyjnych co do wykształcenia czy stażu pracy.

PTI zwraca również uwagę, że projekt nakłada na firmy, które będą wyrażały chęć zajęcia się certyfikatami, obowiązek przedkładania trzyletniego biznesplanu, który w należyty sposób zabezpiecza interesy odbiorców usług. Brak jednak wyraźnych kryteriów oceny, która notabene miałaby być przeprowadzana przez służby MSWiA.

Przedstawiciele PTI uważają również za błędne i sprzeczne z dyrektywą Unii Europejskiej utożsamianie instytucji certyfikatu kwalifikowanego z certyfikatem wydanym przez podmiot akredytowany. Ich zdaniem konieczna jest daleko idąca modyfikacja projektu. Proponują, by w dalszych pracach wykorzystać projekt opracowany przez Narodowy Bank Polski jesienią 1999 r.

***

<I>Podstawowe definicje zawarte w ustawie o podpisie elektronicznym</I>

<B>podpis elektroniczny</B> - dane w formie elektronicznej, które wraz z innymi danymi służą do potwierdzenia tożsamości osoby fizycznej składającej podpis, spełniające następujące wymogi: określają jednoznacznie osobę fizyczną składającą podpis; są sporządzone za pomocą środków technicznych i informacji, które składający podpis ma pod swoją wyłączną kontrolą; jakakolwiek zmiana danych podpisanych jest rozpoznawana.

<B>certyfikat</B> - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby składającej podpis elektroniczny i potwierdzają tożsamość tej osoby.