Z Piotrem Popisem, zastępcą Naczelnika w Biurze Bezpieczeństwa Łączności i Informatyki UOP, oraz Robertem Podpłońskim, specjalistą z Departamentu Prawnego MSWiA, współautorami rządowej wersji ustawy o podpisie elektronicznym, rozmawia Przemysław Gamdzyk.

Wydawało się przez moment, że kwestia ustawy o podpisie elektronicznym jest już załatwiona, że osiągnięto w tej sprawie kompromis, dzięki któremu jej przejście przez Senat będzie formalnością. Tymczasem okazało się, że zgłoszono do niej 50 poprawek, z których 36 uchwalono, zaś wszystkie uchwalone poparł Kazimierz Ferenc, wiceminister MSWiA, który reprezentował w procesie legislacyjnym tej ustawy rząd. Co więcej, poprawki te w dużej mierze przywracały to, co zawierała przygotowana przez Panów pierwotna wersja ustawy...

Robert Podpłoński: Tak, to prawda, ale rząd nie zgłosił żadnej z tych poprawek ani o to się nie starał. Generalnie ustawa, którą uchwalił Sejm była istotnie lepsza od pierwotnej wersji ustawy, którą przygotowaliśmy w ub.r. Dzięki poprawkom Senatu jest ona jeszcze lepsza. Gwoli ścisłości, rząd popiera wszystkie poprawki Senatu, za wyjątkiem ostatniej.

Zebranie komisji ustawodawczej Senatu nazwano półkonspiracyjnym, wręcz spiskowym. Stanowczo zaprzecza temu senator Piotr Andrzejewski, przewodniczący komisji. Doszło na tym tle do gorszącej awantury w Parlamencie. Panowie byli tam razem z Kazimierzem Ferencem. Czy chcecie powiedzieć, że nie przekonywaliście senatorów do zmian?

RP: Mimo że się z nimi zgadzaliśmy, to staraliśmy się bronić dotychczasowego brzmienia ustawy, za co winniśmy jesteśmy przeprosiny przyszłym usługobiorcom. Pierwsza grupa poprawek dotyczyła skreślenia dobrowolnej akredytacji wystawców certyfikatów, tak aby użytkownicy mieli do czynienia jedynie z certyfikatami zwykłymi i kwalifikowanymi. Te ostatnie używane byłyby do podpisów elektronicznych mających tę samą wagę, co podpisy własnoręczne. W myśl poprawek senackich, to wystawca certyfikatów kwalifikowanych musiałby poddać się najpierw kontroli stwierdzającej, że spełnia wymogi zawarte w ustawie. Ale to nie my to zaproponowaliśmy. Nawet nie senatorowie. Prawnicy z biura legislacyjnego uznali, że z prawnego punktu widzenia bezsensowny jest podział na certyfikaty kwalifikowane i kwalifikowane akredytowane, jeśli różni je od siebie tylko i wyłącznie sprawa uprzedniej obligatoryjnej kontroli. Dodatkowe dwie poprawki do ustawy zostały przedstawione na posiedzeniu komisji przez prof. Radwańskiego, który jest wybitnym autorytetem w dziedzinie prawa cywilnego.

Ale czy ta obligatoryjność nie wprowadza na rynek podpisu elektronicznego systemu nakazowo-rozdzielczego?

Piotr Popis: Podnosi to tylko bezpieczeństwo samego systemu. Dlaczego rzetelny wystawca certyfikatów miałby bać się uprzedniej kontroli? Może tego nie chcieć, kiedy faktycznie nie spełnia wymogów ustawy, a chciałby wystawiać już certyfikaty kwalifikowane.

RP: Uprzednia kontrola jest w interesie uczciwego podmiotu zamierzającego świadczyć usługi certyfikacyjne. Jej brak może spowodować, że w wyniku kontroli odbierze się podmiotowi prawo do świadczenia tych usług, a powrót na rynek tego podmiotu, ze względu na utratę zaufania klientów, będzie praktycznie niemożliwy.

Czego właściwie Panowie się obawiacie? Przecież wystawca, który chce zostać wpisany na listę kwalifikowanych wystawców certyfikatów, musi zawrzeć wcześniej umowę odpowiedzialności cywilnej. To powinno stanowić zabezpieczenie przed wszelkimi nadużyciami.

PP: Załóżmy, że grupa przestępcza chciałaby powołać spółkę, która wystawiałaby certyfikaty. Jeżeli wniosek przez nią złożony będzie spełniać wszelkie wymogi formalne ustawy i zwróci się ona o wpis na listę wystawców certyfikatów kwalifikowanych do Ministra Gospodarki, to ten nie będzie mógł odmówić. I od tej chwili spółka ta będzie mogła poświadczać dowolne transakcje, w których podpisy elektroniczne składane są bez wiedzy osób, dla których wystawiono te certyfikaty! To mogę być ja czy Pan, każdy. Zasadniczo chodzi o przelewy bankowe. Oczywiście długo to nie potrwa, kilka dni czy godzin, ale zważywszy, że wszystko będą obsługiwać systemy elektroniczne, takich transakcji może być mnóstwo.

RP: Nawet kilkaset w ciągu sekundy! To mogłoby doprowadzić np. do bankructw banków. Nie mają one bowiem prawa kwestionować prawdziwości podpisu elektronicznego tylko dlatego, że certyfikat został wydany przez podmiot, który w ich ocenie nie jest godny zaufania.

Ale przecież żadna z instytucji nie jest w pełni bezpieczna, w samej bankowości mają miejsce różne incydenty, z których wiele jest zresztą dość dobrze ukrywanych przez same banki...

PP: Jeśli zdarzą się jakiekolwiek nadużycia po wprowadzeniu systemu podpisu elektronicznego, to ucierpi na tym opinia całego nowo powstałego rynku. Wówczas odbudowa zaufania społecznego będzie bardzo trudna, a nawet można wątpić, czy w ogóle możliwa. Dlatego powinniśmy zrobić wszystko konstruując prawo, by zabezpieczyć się przed takimi przypadkami.

Zostawmy mafię i wróćmy do poprawek senackich. Wprowadzają one monopol ustawowy dla jednej spółki należącej do Narodowego Banku Polskiego na wystawianie elektronicznych poświadczeń dla wystawców certyfikatów.

PP: Strona rządowa gotowa była zresztą zrezygnować z tego zapisu, natomiast zawsze uważaliśmy, uważamy i uważać będziemy, że bezwględnie konieczne jest stworzenie rozwiązania, w którym w Polsce funkcjonował by tylko jeden root dla całego systemu podpisu elektronicznego. Sytuacja, w której takie osobne root'y istniałyby dla bankowości i reszty rynku stwarzałaby ogromne problemy w zakresie wzajemnego uznawania certyfikatów z tych dwóch obszarów.

Nie może być osobnego podpisu bankowego, osobnego telekomunikacyjnego, różnych rozwiązań branżowych. Potrzebna jest jednolita procedura i jednolite wymagania. Na to nigdy nie było zgody rządu w komisji sejmowej.

Poprawka przeszła w wersji obejmującej NBP, a faktycznie zależną od niej spółkę Centrast.

PP: Ma to swoje zalety. Minister Gospodarki w innym przypadku musiałby albo samemu zbudować stosowną infrastrukturę, albo zorganizować przetarg w celu wyboru firmy, która świadczyłaby takie usługi. To oczywiście kosztuje. A Centrast ma stosowną infrastrukturę, którą NBP jest gotów udostępnić Ministerstwu Gospodarki na potrzeby wystawiania elektronicznych poświadczeń dla wystawców certyfikatów. W końcu na początku będzie to raptem kilka, czy uwzględniając różne polityki certyfikacji, maksymalnie kilkanaście poświadczeń certyfikacyjnych.

Jaki ma to sens w sytuacji, w której NBP na mocy ustawy musi zbyć posiadane udziały w spółkach prawa handlowego? Rodzi to podejrzenia, że zagwarantowany ustawowo monopol dla Centrastu znacznie podniesie jego wartość.

RP: Nie ulegajmy fałszywej propagandzie. Wystarczy poczytać stosowne zapisy prawne. Po pierwsze w ustawie o podpisie elektronicznym jasno stwierdzono, że to uprawnienie nadane podmiotowi zależnemu od NBP obowiązuje jedynie tak długo, jak pozostaje on zależny od NBP.

PP: W ogóle NBP nie musi sprzedać Centrastu. W strukturze NBP mogą bowiem pozostać spółki, które świadczą usługi jedynie na potrzeby sektora finansowego oraz Skarbu Państwa. Ci, którzy cytują stosowny zapis urywają go w pół zdania, bo tak im wygodnie (art. 5 ust. 2 ustawy o Narodowym Banku Polskim).

Ale przecież Centrast, gdyby został root'em, to obsługiwałby inne firmy wystawiając im elektroniczne zaświadczenia.

PP: Po pierwsze to stosowne zapisy ustawy wykluczają, żeby root mógł wystawiać jednocześnie certyfikaty. Ta działalność musi być rozdzielona pomiędzy różne podmioty. Po drugie taka firma wykonywałaby jedynie techniczną obsługę dla administracyjnej decyzji stosownego urzędu, w rozwiązaniu przyjętym w ustawie - Ministerstwa Gospodarki. Byłaby to więc usługa na rzecz instytucji administracji rządowej. Jeśli zaistniałby tu jakiś monopol, to jedynie Ministra Gospodarki. Usługa ta będzie darmowa.

Nie jest to do końca takie oczywiste, że darmowa, tym bardziej, że sam Centrast tego bynajmniej nie potwierdza. Czy takie ustawowe nadanie uprawnień nie sprawi, że ta spółka będzie mogła robić to, na co przyjdzie jej ochota?

PP: Nieprawda. Wszystkie wymogi ustawowe nadal będą ją przecież obowiązywać. Cały czas będzie pod zagwarantowanym w ustawie nadzorem Ministra Gospodarki i zgodnie z art. 23 ust. 7 musi spełniać wymagania w zakresie bezpieczeństwa.

Urząd Komitetu Integracji Europejskiej w opinii oceniającej zgodność przyjętych poprawek senackich z legislacją europejską zakwestionował poprawkę 18, która wprowadzała takie uprzywilejowanie NBP.

RP: Owszem, co ciekawe nawet nie na gruncie dyrektywy o popisie elektronicznym, ale zupełnie odrębnych przepisów dotyczących równouprawnienia przedsiębiorstw prywatnych i publicznych oraz zakazu pomocy państwa dla przedsiębiorstw. Nie byłoby problemu, gdyby to był sam NBP, ale w ustawie jest mowa o spółce zależnej. Rodzi to poważny problem, bo przecież kwestia tego, czy NBP ma taką rolę uprzywilejowaną wobec całego rynku czy tylko sektora bankowego, jest drugorzędna. Innymi słowy poprawka 18 nie tyle jest niezgodna z prawem unijnym, a po prostu nie znosi niezgodności z nim art. 23 ust. 6 w brzmieniu uchwalonym przez Sejm. Czyli zarówno w wersji poprawionej przez Senat, jak i sejmowej, ustawa byłaby niezgodna z prawodawstwem Unii. Należy przypomnieć, że tylko ta jedna poprawka i jeszcze ostatnia, której rząd nie popiera, została zakwestionowana przez UKIE.

Poprawki tej grupy to również otwarcie całego rynku elektronicznych certyfikatów dla zainteresowanych ich wystawianiem banków.

PP: Owszem, ale dlaczego ma być to złe? Banki mają już potrzebną do tego infrastrukturę techniczną. Są ponadto doskonałymi punktami rejestracji użytkowników. Ich udział znakomicie pobudzi rynek. Oczywiście nie pasuje to firmom, które chciałyby same wystawiać certyfikaty. Nie w smak im taka konkurencja. To główny powód furii naszych adwersarzy. Banki mają ogromne atuty - zaufanie społeczne, sieć placówek. Jeśli na rynku będzie taka konkurencja, to certyfikaty dla zwykłych obywateli powinny kosztować 50-100 złotych, w przeciwnym przypadku będą 2 razy droższe.

Ale jeśli banki mają prawo wystawiania certyfikatów, to trudno mówić o niezależności tzw. trzeciej zaufanej strony.

PP: Czy rzeczywiście potrzebny jest taki rygorystyczny podział? Dlaczego mielibyśmy aż tak nie ufać bankom? W dodatku wszelkie naruszenia ustawy są zagrożone wysokimi karami, z 5 milionami złotych grzywny i 3 latami więzienia włącznie. Co to za pomysł, że banki mogą być przestępcami? Krytycy przyjętych w Senacie poprawek zdają się zakładać, że nawet prezes NBP może okazać się niegodnym zaufania.

Jeśli mielibyśmy być konsekwentni, to dlaczego ta reguła niezależności miałaby dotyczyć tylko bankowości? Załóżmy, że operator telekomunikacyjny posiada spółkę, która świadczy usługi wystawiania certyfikatów. Czy nie powinno być wówczas tak, że w przypadku elektronicznych transakcji realizowanych za pośrednictwem tego operatora, nie można wykorzystywać certyfikatów wystawionych przez tę spółkę? Oczywiście nie widzimy żadnych zagrożeń związanych ze świadczeniem usług certyfikacyjnych przez operatorów telekomunikacyjnych, ale na zasadzie symetrii nie powinno się innym blokować dostępu do rynku.

Po wejściu Polski do Unii banki zachodnie będą miały prawo świadczyć usługi wystawiania certyfikatów na całym rynku. Dlaczego nie mamy naszym bankom dać szansy, by mogły się do tego przygotować?