Z Wiesławem Paluszyńskim, dyrektorem Pionu Technologii i Bezpieczeństwa TP Internet, który w pracach nad ustawą o podpisie elektronicznym reprezentował Polskie Towarzystwo Informatyczne oraz Polską Izbę Informatyki i Telekomunikacji, rozmawia Przemysław Gamdzyk.

Przed wtorkowym głosowaniem Sejmu nad senackimi poprawkami do ustawy o podpisie elektronicznym emocje osiągnęły poziom, którego nie zanotowano do tej pory w pracach nad tą ustawą. Wydaje się, że dyskurs przeniósł się w dużej mierze do wysokonakładowych gazet, w których zresztą słychać głównie głos strony, po której Pan stoi.

Może zadecydowały o tym kłopoty, jaka ma druga strona z merytorycznym uzasadnieniem poprawek, których - co ciekawe - w dużej części w ogóle nie zawierała pierwotna rządowa wersja ustawy. Kto właściwie reprezentuje stronę zwaną rządową? Wiceminister Kazimierz Ferenc, wspierany przez dwóch urzędników resortowych stosunkowo niskiego szczebla. Czy zdarzyło się, aby w odpowiedzi na nasze argumenty głos zabrali niezależni eksperci reprezentujący jakikolwiek dorobek?

Nie przypominam sobie nikogo ze środowiska naukowego. Ale niektórzy utytułowani eksperci, z którymi opiniami można było się zapoznać, znajdują się przecież w Radzie Naukowej Signetu - ośrodku wystawiania cyfrowych certyfikatów budowanym przez TP Internet. Czy to nie rodzi pewnych wątpliwości, jeśli idzie o niezależność tych ekspertów?

To tylko dwie osoby z wielu zabierających głos na temat ustawy. To nie było tak, że prezes TP SA - bo on powołuje Radę Naukową Centrum Certyfikacji SIGNET - zaprosił ich do udziału w Radzie jeszcze przed rozpoczęciem prac w Parlamencie. Stało się to dopiero po ich półrocznej pracy w komisji sejmowej, gdzie wykazali swoją wiedzę i kompetencje. Rada Naukowa została powołana w połowie maja 2001 roku, gdy prace w komisji sejmowej wkraczały w końcowy etap. Wywodzą się z różnych środowisk naukowych. Zaplecze merytoryczne strony społecznej - samorządu gospodarczego w pracach nad ustawą - tworzy kilkadziesiąt osób. To właściwie pierwsza ustawa, która jest w ten sposób tworzona przy udziale PTI i PIIiT.

Pewna niezręczność polega na tym, że oprócz TP Internetu po stronie Izby nie było żadnej innej firmy zainteresowanej świadczeniem usług wystawiania certyfikatów, jak na przykład Unizeto czy Verisign Polska.

Cóż ja na to poradzę, że nie chcieli brać udziału w pracach legislacyjnych, że nie są członkami Izby. Ze strony sejmowej komisji transportu i łączności zaproszenie skierowane było do wszystkich zainteresowanych. Ustawa o samorządzie gospodarczym gwarantuje tej instytucji udział w pracach komisji sejmowych. PTI i PIIiT oficjalnie oddelegowały do prac nad ustawą o podpisie elektronicznym swoich przedstawicieli.

Pan jednak jest dyrektorem ośrodka Signet, którego celem jest prowadzenie działalności wystawiania certyfikatów.

Jestem Dyrektorem Pionu, w którym znajduje się organizacyjnie Signet. Bezpośrednio jego uruchamianiem kieruję jednak nie ja, lecz Jerzy Goraziński, który nie brał udziału w sejmowych pracach nad ustawą. Jeśli ktoś mówi, że pracami ekspertów komisji sejmowej kieruje TP Internet, to łże. Przecież każdy z nas biorących udział w pracach nad ustawą gdzieś pracuje. Kolega, z którym najbliżej współpracowałem przy opracowywaniu stanowiska strony samorządowej - Jarosław Mojsiejuk - pracuje jako dyrektor w HP Polska, jest prawnikiem, nie buduje jakiegokolwiek komercyjnego centrum certyfikacji, zaś wcześniej przez wiele lat pracował w administracji rządowej.

Wystarczy zobaczyć, ile innych osób ze środowisk informatycznych bywało na posiedzeniach komisji. W jej pracach brali również udział przedstawiciele Centrastu, Telbanku, Związku Banków Polskich i innych instytucji bankowo-finansowych. Ich reprezentacja na posiedzeniach była znacznie liczniejsza, niż przedstawicieli samorządu gospodarczego. Dlaczego mówi się tylko o TP Internet?

Ja zajmowałem się ustawą o podpisie elektronicznym znacznie dłużej niż pracuję w TPI. Już 4 lata temu, kiedy byłem członkiem Rady Koordynacyjnej ds. Teleinformatyki przy Prezesie Rady Ministrów. Z wyboru Walnego Zgromadzenia Izby jestem przewodniczącym komisji arbitrażowej w PIIiT, więc wiem chyba, gdzie przebiega granica pomiędzy interesem firmy, w której pracuję, a interesem całego środowiska.

Odnoszę wrażenie, że to urzędnicy MSWiA nie wiedzą, gdzie leży ta granica oddzielająca interes państwa od prywatnej spółki, lansując, w sposób dla mnie zupełnie zdumiewający niektóre kontrowersyjne zapisy w ustawie.

Ostatnio spór nad ustawą o podpisie elektronicznym zaczyna przybierać odcień coraz mniej merytoryczny...

Niestety. Strona rządowa stara się nas wykpiwać, dyskutować z profesorami za pomocą listów rozsyłanych pocztą elektroniczną do wybranych posłów, ale nie do autorów opinii i nie publicznie. Pod naszym adresem pisać słowo eksperci w cudzysłowach. Na złej ustawie stracą nie tylko wszystkie zainteresowane podmioty gospodarcze, ale wszyscy potencjalni użytkownicy tej technologii, a więc cała gospodarka! W naszym interesie leży więc budowanie dobrego prawa. Takie prawo w przypadku ustawy trudnej i bardzo technicznej zawsze będzie wynikiem pewnych kompromisów, ale kompromisów świadomych i uwzględniających aktualny stan wiedzy.

Niepokoi mnie, że strona rządowa i to reprezentowana przez ministra usiłuje ośmieszać samorząd gospodarczy za to, że chce się z tych zadań rzetelnie wywiązać.

Minister Kazimierz Ferenc pod koniec prac komisji sejmowej dziękując wszystkim za wspólną pracę nad ustawą, prosił, żeby z uwagi na coraz krótszy czas, jaki pozostawał do końca bieżącej kadencji Parlamentu, w toku dalszych prac parlamentarnych nie zgłaszać żadnych poważniejszych poprawek do uchwalonej przez Sejm ustawy. Myśmy to przyjęli.

Raptem za naszymi plecami zgłaszanych jest ponad 30 poprawek. I to nie w senackiej komisji gospodarczej, tylko ustawodawczej, która z definicji powinna zajmować się sprawami związanymi z legislacyjnym brzmieniem dokumentu, a nie sprawami merytorycznymi. Do głowy nam to nie przyszło. To jest absolutnie nie do przyjęcia.

Senator Piotr Andrzejewski, przewodniczący komisji ustawodawczej, twierdzi, że komisja ta może zmienić wszystko to, co leży w kompetencjach całego Senatu.

O tym, jak przebiegało posiedzenie Senatu, jaka była wiedza fachowa osób, które decydowały o poprawkach, każdy może się zapoznać czytając dostępny w Internecie stenogram z tego posiedzenia.

Na posiedzeniu komisji senackiej byli obecni przedstawiciele sektora bankowego, Ministra Spraw Wewnętrznych i Administracji. Nie było przedstawicieli komisji sejmowej, która przez kilka miesięcy pracowała nad ustawą. To chyba nie przypadek, że zaproszono tylko wybranych ekspertów. My - jako samorząd gospodarczy - skierowaliśmy do wicemarszałka senatu Donalda Tuska pismo z prośbą o możliwość przedłożenia chociaż swojej opinii w trakcie prac nad ustawą w Senacie. Niestety nie otrzymaliśmy na nie żadnej odpowiedzi.

Poprawki przeszły, a tryb ich wprowadzenia stał się przyczyną prawie jednogłośnego ich odrzucenia en bloc przez komisję sejmową.

Urząd Komitetu Integracji Europejskiej stwierdził, że poprawka dotycząca nadania szczególnych uprawnień spółce zależnej od NBP, jest niezgodna z traktem. Traktat to nie jedna dyrektywa, ale akt najwyższego rzędu, to prawie tak jakbyśmy stwierdzili, że wybrany zapis jest niezgodny z Konstytucją. To dowodzi, że opinie, które publicznie prezentujemy, nie są więc niezrównoważonymi i przypadkowymi stwierdzeniami jakiś oszalałych "ekspertów", ale rzeczami o fundamentalnym znaczeniu. Nie wyobrażam sobie, aby Prezydent Aleksander Kwaśniewski, podpisał ustawę, o której negatywnie w ten sposób wypowiedział się UKIE. Pozostaje więc mieć nadzieję, że Sejm tę poprawkę odrzuci.

Ale opinia UKIE nie przystaje do tej, która została przygotowana wcześniej przez Izbę. Prawnicy UKIE nazwali ją wprost słabą merytorycznie. Jest to na przykład kwestia zniesienia dobrowolnej akredytacji i wprowadzenia obligatoryjnej uprzedniej kontroli w przypadku firmy, która chce wystawiać kwalifikowane certyfikaty. UKIE nie stwierdził tutaj niezgodności z dyrektywą o podpisie elektronicznym. Dlaczego ta kwestia budzi Państwa opór?

Tę kwestię reguluje dyrektywa unijna. Chodzi o to, by rynek we własnym interesie mógł podnosić poziom i bezpieczeństwo świadczonych usług na zasadzie dobrowolnej akredytacji. W przyjętej ustawie faktycznie zostało to nie najlepiej zapisane, ale nie stwarzało zagrożenia dla funkcjonowania systemu. Eksperci proponowali lepsze zapisy dotyczące akredytacji, ale nie zostały one przyjęte na posiedzeniu komisji, przeciwna była temu strona rządowa, która teraz chce te zapisy zlikwidować! Sama idea dobrowolnego poddawania się przedsiębiorstwa niezależnej ocenie dobrze się sprawdza np. w przypadku certyfikacji na spełnienie normy ISO9000. Jest to mechanizm doskonalenia się podmiotów działających na rynku. W tej sprawie zwróciliśmy się po opinię do Brukseli i dziwimy się, że UKIE tego nie zrobił.

Skreślenie zapisu o dobrowolnej akredytacji było zainicjowane przez biuro legislacyjne Senatu ...

Jeśli prawnik poprawia zapisy merytoryczne, bez konsultacji ze specjalistami, to jest to chore. Prawnik powinien jedynie patrzeć, czy dany zapis jest poprawny pod względem prawnym. W Polsce w wielu przypadkach i z tym mamy problemy.

W Dyrektywie jest to zapisane następująco: "Member states may introduce or mantain voluntary accreditaion schemes". O ile pozwala na to moja znajomość języka angielskiego, to tłumaczyłbym, że jest to możliwość, a nie obowiązek stworzenia takiego rozwiązania prawnego.

Ale dobrowolną akredytację wprowadziły wszystkie kraje Unii, w których przyjęto ustawy o podpisie elektronicznym. Jesteśmy w posiadaniu opinii prawnej wydanej na naszą prośbę przez prawników pracujących w polskim przedstawicielstwie przy UE w Brukseli, z której wynika, iż do akredytacji przykłada się w Unii bardzo dużą wagę i proste odczytanie Dyrektywy, nie biorące pod uwagę praktyki jej wdrażania w krajach Unii może być bardzo mylące. Co zresztą jest złego w stworzeniu systemu podnoszącego jakość świadczonych usług, który nikogo nie preferuje i nikomu niczego nie zabrania?!

Nie jest to jednak sednem sporu. Sprowadza się on do tego - na co silnie nalega strona rządowa - by wprowadzić obligatoryjną uprzednią kontrolę zanim jeszcze firma zacznie wydawać kwalifikowane certyfikaty. Cóż w tym złego?

Ustawa wyraźnie mówi, że minister zawsze może przeprowadzić kontrolę. To wynika bezpośrednio z przepisów Kodeksu Postępowania Administracyjnego, a w tym trybie odbywa się wpis do rejestru. Przed wpisem i po wpisie. Kontrolę całościową i cząstkową. To minister powinien podjąć decyzję, czy chce kontrolować podmiot, który dopiero złożył wniosek. Jak sprawdzić jakość świadczonych usług, jeśli nie są one świadczone?

Przecież podmiot, który chciałby wydawać certyfikaty kwalifikowane, powinien być już do tego w pełni przygotowany.

Co innego przygotowany, a co innego prowadzący usługę. Proszę spojrzeć na wymagania ustawowe. Część z nich, ważnych dla bezpieczeństwa można sprawdzić dopiero gdy podmiot działa. Kodeks Postępowania Administracyjnego stanowi, że w trakcie podejmowania decyzji administracyjnej, a taki walor ma wpis do rejestru, urząd może zrobić wszystko to, co nie jest prawem zakazane, czyli na przykład przysłać kontrolę, zbadać prawdziwość i wiarygodność złożonych dokumentów itp. To nieprawda, że minister nie będzie mógł niczego zrobić.

Więc jeśli minister może przeprowadzić kontrolę w każdej chwili, to dlaczego w ustawie nie można zapisać, że zawsze na początku?

Liczą się tutaj chociażby pieniądze podatnika. Kontrola o jakiej mówię jest efektywniejsza, bo nie musi być całościowa, a dotyczyć tylko wybranych elementów. Ja nie potrafię znaleźć uzasadnienia, dlaczego strona rządowa tak usilnie forsuje ten zapis, stąd więc mój niepokój. Zapis o uprzedniej kontroli, w proponowanej przez rząd redakcji, nosi zdaniem części ekspertów, znamiona koncesjonowania rynku, czego zabrania Dyrektywa. Czy nie oznacza to, że będzie można odmówić wpisu na podstawie innych niejasnych kryteriów, bez względu na spełnienie wszystkich wymogów ustawowych?

Wróćmy do zapisów o bankowości. Senat rozszerzył prawo sektora bankowego do działania na całym rynku wystawiania elektronicznych certyfikatów.

Podstawową wątpliwość budzi fakt nowelizacji Ustawy Prawo Bankowe, przy okazji ustawy o podpisie elektronicznym i rozszerzenie w ten sposób zakresu usług jakie mogą świadczyć banki. Podstawą zaufania do certyfikatu jest instytucja zaufanej strony trzeciej. Bank jako strona transakcji nie powinien wydawać certyfikatów dla swoich klientów. Nie powinien także świadczyć im innych kwalifikowanych usług, które przewiduje ustawa, w szczególności znakowania czasem. Poprawka senacka wprowadza taką możliwość!

Nie można być sędzia we własnej sprawie. Może to być natomiast spółka bankowa, działająca na zasadach obowiązujących cały rynek. Istotne, żeby to nie była strona biorąca udział w transakcji.

Bank nie będzie mógł wymagać, żeby jego klient posługiwał się "podpisem bankowym". Istotne będzie tylko posługiwanie się certyfikatami o określonej klasie - w zależności od przyjętej polityki certyfikacji. Uprawnienia spółki pozostającej w stosunku zależności od NBP, o której mowa w ustawie, w sejmowej wersji ustawy odnoszą się jedynie do banków, a nie do ich klientów. Warto też przypomnieć, że już raz zdecydowaną większością wniosków Sejm odrzucił tę poprawkę, która była zgłoszona w trakcie drugiego czytania.

Mówiąc o spółce pozostającej w stosunku zależności od NBP, mówi Pan zapewne o Centraście?

Dlaczego? Wszyscy zdają się przyjmować to za pewnik. Może to będzie E-Telbank, może KIR, a być może inna spółka pozostająca w stosunku zależności od NBP?

W przypadku przyjęcia poprawki senackiej Minister Gospodarki musi powierzyć funkcje root'a dla całego polskiego rynku spółce wskazanej przez prezesa NBP. Byłby to monopol ustawowy. Jeśli zaś, tak jak twierdzi publicznie minister Kazimierz Ferenc, wystawianie elektronicznych poświadczeń dla wystawców certyfikatów miałoby być darmowe, to dlaczego nie wpisano tego wprost w ustawie?

Wręcz odwrotnie, w ustawie są zapisy pozwalające ustalić opłaty za czynności, o których mówimy. Co miałoby powstrzymać taką spółkę przed dowolnym śrubowaniem opłat, tak aby nie szły one w miliony?

Gdyby to był przetarg, to czy rzeczywiście do niego mogłyby stanąć jakieś inne podmioty? Przecież działalność polegająca na wystawianiu elektronicznych poświadczeń wyklucza wystawianie certyfikatów dla użytkowników podpisu elektronicznego.

To byłaby zupełnie inna sytuacja. Minister Gospodarki mógłby w przetargu określić warunki szczegółowe, jakie powinien spełnić ten podmiot, w szczególności okres czasu, na jaki ma być on wybrany, czy zasady jego kontroli. Mógłby też określić zasady jakim powinny podlegać wydawane przez niego poświadczenia i zaświadczenia certyfikacyjne, gdyż ustawa nie zawiera takich wymagań.

Pana adwersarze argumentują również, że bezwzględnie potrzebny jest system, w którym nad całym systemem podpisu elektronicznego w Polsce znajdowały się jedynie jeden root.

Nieprawda, przecież można stosować certyfikację skrośną (cross certification). W tej sprawie wypowiedziały się już publicznie znane autorytety z Centrum Kryptologii UAM w Poznaniu. Dyskusja o tym, ile powinno być w Polsce systemów root, powinna się odbyć jeszcze przed tym, nim ustawę wniesiono do Sejmu.

Poprawka Senatu wcale nie wprowadza jednolitego root'a. Tym bardziej, że w Ustawie przewiduje się możliwość istnienia ośrodków wydających certyfikaty kwalifikowane w urzędach administracji, dla potrzeb tych urzędów. One też będą tworzyły osobną część drzewa certyfikatów.

Minister Gospodarki ma też nadal prawo ogłoszenia przetargu na wybór osobnego root'a dla pozostałej części rynku. I wtedy, przy przyjęciu poprawki Senatu mamy prawdziwy pat, czyli dwa rooty na dokładnie tym samym obszarze rynku!

Minister może, ale nie musi ogłaszać przetargu. Straszycie Państwo, że spółka ta może znaleźć się w ogóle poza kontrolą NBP, ale przecież w ustawie jasno stwierdzono, że ten przywilej obowiązuje tylko do czasu pozostawania tej spółki w stosunku zależności od NBP.

Takiego pojęcia w prawie nie ma. To coś innego niż podmiot dominujący czy spółka zależna. Może stosunek zależności to na przykład sytuacja, w której NBP będzie miał jednego przedstawiciela w zarządzie takiej spółki. I co, sąd ma to rozstrzygać? Co więcej, Minister Gospodarki nie może tego podmiotu kontrolować, bowiem w ustawie zapisano to tak, że kontrolować może tylko podmioty świadczące usługi wystawiania certyfikatów.

Ale przecież nadal musi spełniać wymogi ustawy.

Tylko kto to sprawdzi? W sejmowej wersji ustawy taka spółka zakresem swojego działania obejmowałaby jedynie sektor bankowo-finansowy, pozostający pod nadzorem NBP.

Pozostaje jeszcze kwestia konieczności pozbycia się przez NBP takiej spółki do końca 2002 r. Ustawa o NBP zawiera tu jedno sformułowanie, które się pomija ...

Któryś z prawników doszedł do wniosków, że jeśli usługi wystawiania elektronicznych certyfikatów będą świadczone dla Ministra Gospodarki, jako techniczna obsługa jego decyzji administracyjnej, to będą one usługami na rzecz Skarbu Państwa. Nieprawda, bowiem zakres usług na rzecz Skarbu Państwa określa ustawa o Skarbie Państwa. Będą to więc usługi świadczone na zlecenie Ministra Gospodarki, a ustawa o NBP nie przewiduje takiej możliwości. Spółka musi być więc sprzedana.

Sytuacja, w której robimy root'a na 6 miesięcy jest niedopuszczalna, zagraża bowiem bezpieczeństwu całego systemu podpisu elektronicznego w Polsce.

Mamy więc tutaj istotną różnicę w ocenie faktów pomiędzy środowiskiem gospodarczym i stroną rządową. Zresztą nie jest to jedyny taki punkt. Ktoś tu chyba nie jest dżentelmenem.

Tak naprawdę to nie wiem, o co chodzi stronie rządowej. Może Pan wie?