Z profesorem Josem Dumortierem z Uniwersytetu w Leuven w Belgii, autorem słynnego raportu ''The Legal and Market Aspects of Electronic Signatures in Europe'', rozmawia Przemysław Gamdzyk.

Powiedział Pan, że wprowadzenie elektronicznego podpisu kwalifikowanego w skali całej Europy jest wielkim unijnym przedsięwzięciem. Co się dzieje z nim teraz?

To przykre, ale nic dobrego. Paradoksalnie właściwie wszystkie kraje mają już ustawy regulujące kwestie stosowania podpisów elektronicznych, ale w praktyce niewiele z tego wynika, a na pewno daleko jesteśmy od jednolitego europejskiego rozwiązania. Muszę użyć tutaj słowa porażka. Zamysł stworzenia systemu prawno-technologicznego, w którym poszczególne państwa Unii Europejskiej byłyby w stanie wzajemnie uznawać wystawiane przez siebie kwalifikowane certyfikaty cyfrowe, pozostał jedynie na papierze. Niektórzy mówią, że to jeszcze nastąpi, że jeszcze trzeba poczekać, ale ja już w to nie wierzę. Zarazem jednak, podkreślam, że chodzi tu o podpis kwalifikowany, a nie sam podpis elektroniczny w ogóle.

To znaczy...

Określenie kwalifikowany nie oznacza, że jest to jakaś najwyższa faza rozwoju podpisu elektronicznego. To raczej wynik kompromisu osiągniętego przy tworzeniu dyrektywy unijnej o e-podpisie, w którym przyjęto, że taki podpis jest na tyle bezpieczny, aby mógł być ekwiwalentem podpisu odręcznego. To bardzo ważne, elektroniczny podpis kwalifikowany to wynik przywiązania do myślenia o podpisie jako o fizycznym, odręcznym i niepowtarzalnym znaku. Tymczasem podpis elektroniczny to jednak coś zupełnie innego i - moim zdaniem - przyszłość należy do rozwiązań, w których zerwie się z myśleniem w kategoriach "papierowego paradygmatu". Pamiętajmy, że podpis elektroniczny to koncepcja prawna, a podpis cyfrowy jest jego implementacją technologiczną, przy czym oba te obszary zachodzą na siebie tylko częściowo.

Jaki więc powinien być e-podpis?

Musi być wynikiem kompromisu wynikającego z gry rynkowej i zasad ekonomii. Tak samo jak w przypadku samochodów - jeśli pojazd będzie superbezpieczny, to nikt go nie kupi, bo będzie zbyt drogi. W wielu krajach europejskich, w tym w Polsce, zauważam zbyt dogmatyczne podejście do kwestii bezpieczeństwa czy koncentrowania się na literalnej zgodności z jakimiś wyśrubowanymi normami. Tymczasem trzeba patrzeć przez pryzmat funkcjonalności, co oczywiście nie znaczy, że bezpieczeństwo jest nieważne czy drugorzędne. Trzeba znaleźć właściwe proporcje.

W Belgii cyfrowe dowody tożsamości wyposażone w cyfrowe certyfikaty będą w powszechnym obiegu dopiero ok. 2010 r. Czy to znaczy, że powinniśmy czekać do tego czasu, zanim umożliwimy obywatelom składanie deklaracji podatkowych przez Internet i podpisanie się pod nimi elektronicznie? Oczywiście, że nie! Wystarczy przecież zwykły, niekwalifikowany podpis. Zagrożenie, że ktoś złoży za kogoś zeznanie, jest zbyt małe, aby miało wstrzymywać tak istotne usprawnienie jak elektronizację rozliczeń podatkowych.

Czy stosowanie podpisu elektronicznego powinno być traktowane w kategoriach zarządzania ryzykiem?

Dokładnie tak. Tu nie trzeba fundamentalizmu, lecz pragmatyki. W niektórych państwach prawo regulujące te kwestie jest tak ścisłe, że nie pozostawia żadnego pola manewru, żadnego wyboru. Tymczasem zgodnie z regułami sztuki prawo powinno być tak elastyczne i tak proste, jak to tylko możliwe.

Mam wrażenie, że w Polsce zrobiliśmy dokładnie na odwrót. Niektórzy są jednak zdania, że rynek trzeba doregulować, że bez narzuconych prawem standardów wszystko pogrąży się w chaosie. Przecież rynek telekomunikacyjny jest regulowany...

Rynek telekomunikacyjny był regulowany, bo odchodzi się od jego ścisłej kontroli. Wierzę w rozwiązania bazujące na dobrowolności. Mylne jest przekonanie, że prawo może zbudować rynek.

Tak samo przypadki, w których prawo wymaga stosowania określonych standardów, powinny być naprawdę rzadkie. Tym bardziej że w przypadku podpisu elektronicznego nie ma jeszcze dobrych, uznanych i jednoznacznych standardów. To wciąż dziedzina w fazie rozwoju, nie do końca dojrzała, nadal niestabilna. Dlatego trzeba zostawiać margines swobody. Przykładowo, Niemcy chcieli zrobić wszystko od początku porządnie, solidnie, licząc zapewne na to, że będą eksporterem rozwiązań do składania e-podpisu. I co? Nie udało im się.

Pamiętać też warto, że standardy mogą pochodzić zarówno od państwa, jak i rynku, w tym najsilniejszych jego uczestników.

Ma Pan na myśli takie firmy, jak Microsoft?

Też, ale nie tylko. Dotyczy to również np. wystawców kart płatniczych. Wiadomo że w ciągu 5-10 lat karty płatnicze będą wyposażane w certyfikaty cyfrowe - uniwersalne, o zasięgu globalnym. Jaki będzie wówczas sens tworzenia polskiego systemu podpisu elektronicznego?

Co zatem myśli Pan o modelu estońskim, w którym państwo - subsydiując certyfikaty kwalifikowane - doprowadziło do ich masowej dystrybucji?

Za wcześnie, aby to miarodajnie ocenić. Na pewno Estonia sama w sobie jest zbyt mała, dlatego własnymi pomysłami stara się zainteresować inne kraje, aby stworzyć uniwersalny e-podpis. Ten kraj chce w ten sposób uzyskać przewagę konkurencyjną, choć oczywiście musi się liczyć z ryzykiem porażki. Niewątpliwie warto się Estonii przyglądać.