Michał Tabor
Rynek zastosowań podpisu elektronicz-nego jest znacznie szerszy niż potrzeby administracji publicznej, a zaoferowanie usług biznesowych wymaga określenia po-tencjalnych korzyści z używania tej tech-nologii. Korzyści te musza być wyrażone w pieniądzu i czasie, ale przede wszyst-kim musi być określony beneficjent – czy-li użytkownik podpisu elektronicznego.
Dotychczas oferta podpisu elektroniczne-go była skierowana do osób podpisujących, a ich korzyści ze stosowania podpisu są nie-wielkie. W niniejszym artykule wskazuję, kto w mojej opinii jest użytkownikiem podpisu elektronicznego i do kogo powinna być skierowana oferta biznesowa.
Podpis elektroniczny to mechanizm funkcjonu-jący pomiędzy trzema stronami: podpisufunkcjonu-jącym, zaufaną trzecią stroną i ufającym. Każda z tych stron jest uczestnikiem procesów związanych z podpisem elektronicznym i potencjalnie wśród tych trzech stron naturalnie poszukuje się użyt-kownika podpisu elektronicznego. Widoczne jest, że dotychczasowa oferta usług podpisu elektro-nicznego nie była skierowana do ufającego albo oferta była dla niego nieatrakcyjna. Aby to prze-analizować zacznijmy od samego początku.
Grzechem pierworodnym funkcjonowania podpisu elektronicznego w Polsce, ale tak-że w Europie, jest fakt, tak-że najpierw podpis
elektroniczny został zdefiniowany przez praw-ników w przepisach, a dopiero później zaczął funkcjonować jako powszechnie dostępne roz-wiązanie. Wobec powyższego, dyskusja na temat podpisu elektronicznego zamiast koncentrować się wokół celu i sposobu używania tej formy, do-tyczy zdefiniowanego prawnie zakresu i dopusz-czalności stosowania. Doprowadziliśmy do tego, że praktycznie każdy w Unii Europejskiej przed wykorzystaniem mechanizmów typu „podpis elektroniczny” zapyta, czy jest to określone w prawie oraz czy prawo „łaskawie” dopuszcza tę formę. Legislacja europejska nauczyła nas, że byty niezdefiniowane prawnie nie istnieją i na-wet biznes z nich nie korzysta.
Nadrzędna w UE w zakresie podpisu elektro-nicznego jest dyrektywa1, która bardzo precy-zyjnie definiuje podpisującego i zaufaną trzecią stronę, natomiast w swoich zapisach praktycznie pomija ufającego. Jedynym zapisem skierowa-nym do ufającego w dyrektywie jest zapewnie-nie, aby „nie odmawiano podpisowi elektronicz-nemu skuteczności prawnej i dopuszczalności jako dowód w postępowaniu sądowym”. W pol-skiej Ustawie2 nie jest wcale lepiej. Na próżno tam szukać zobowiązań zaufanej trzeciej strony wobec ufającego, a jedynym elementem wska-zującym na ufającego jest zapewnienie w arty-kule 8, że podpis nie będzie pozbawiony mocy dowodowej tylko dlatego, że jest elektroniczny.
Przepisy dyrektywy i ustawy mają już po-nad 10 lat, więc wskazuje się, że doświad-czenia tego okresu pozwolą na opracowanie
1 Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólno-towych ram w zakresie podpisów elektronicznych
2 USTAWA z dnia 18 września 2001 r. o podpisie elektronicznym. (Dz. U. z dnia 15 listopada 2001 r.)
Poszukiwany!!! Użytkownik podpisu elektronicznego
44
nowego i nowoczesnego prawa wspierają-cego elektroniczne instrumenty zaufania.
Projekt nowej regulacji3 dotyczącej identy-fikacji elektronicznej, tak samo jak wymie-nione powyżej akty, nie definiuje ufającego, a w swoich zapisach wielokrotnie wskazuje na fakt, że podpis kwalifikowany jest tym, co powinno być używane przez uczestników rynku.
Niestety, projekt regulacji wprowadza zamieszanie związane z zakresem obowią-zywania. Mianowicie z zakresu stosowa-nia rozporządzastosowa-nia wyłączone są usługi zaufania świadczone na podstawie umów cywilnoprawnych. Oczywiście wydaje się, że takie otwarcie na rozwiązania niszowe i nowatorskie jest działaniem prorynkowym, których obowiązujące przepisy nie określa-ją. W praktyce może się to okazać wylaniem dziecka z kąpielą, ponieważ wyłączenie do-tyczy także artykułu 20 ust 14, który to daje uznanie podpisu elektronicznego jako rów-norzędnego dowodu w postępowaniu sądo-wym. Skutek będzie taki, że strona ufająca nigdy nie będzie wiedziała, czy (zwykły) podpis elektroniczny jest weryfikowany cer-tyfikatem, który powstał w wyniku umowy cywilnoprawnej czy na podstawie działania rozporządzenia. W szczególności powoduje to znaczące zwiększenie ryzyka wobec sto-sowania podpisów innych, niż kwalifikowane i problemy z uznaniem certyfikatów pocho-dzących spoza Unii Europejskiej5. Wobec
czego, po ocenie ryzyka, można się spodzie-wać, że strona ufająca wybierze papier, któ-rego moc dowodowa przed sądem jest znana.
Skoro przepisy dotyczące podpisu elek-tronicznego zostały sformułowane i ich zadaniem jest stanowienie mechanizmów wspierających gospodarkę elektroniczną, to koniecznym wydaje się, aby przepisy te wspierały zachowania rynkowe i wspierały nowe inicjatywy biznesowe. Niestety, prze-pisy obecnej ustawy i projektowanych ak-tów próbują wyróżnić podpis kwalifikowany i wskazać, że ta forma ma główne wsparcie prawne, natomiast pozostałe formy raczej nie powinny być powszechnie stosowanym me-chanizmem zaufania.
Zrozumiałe jest, że administracja publicz-na próbuje ustalić mechanizmy, które byłyby dla niej akceptowalne i nazwała je kwalifi-kowanymi, ale czy to oznacza, że należy na mocy przepisów nazywać podpis kwalifiko-wany „najbezpieczniejszym” i wprowadzać przepisy mające na celu eliminację tych nie-kwalifikowanych6? Stan, w którym się znaj-dujemy wynika z mylnego twierdzenia, że to co dobre dla administracji jest dobre dla biznesu. Skoro administracja chce zapropo-nować wspólny mechanizm dostępu do usług publicznych, to biznes powinien go przyjąć w całości i zaakceptować do swoich działań.
Takie podejście nie zostało powszechnie
3 Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym COM(2012) 238 final.
4 Projekt rozporządzenia PE 238/2012 Art..20.1 Nie jest kwestionowany prawny skutek podpisu elektronicznego ani jego dopuszczalność jako dowód w postępowaniu sądowym wyłącznie z tego powodu, że ma formę elektroniczną.
5 Autor niniejszego artykułu w korespondencji podnosił problem Art.20.1 projektu rozporządzenia, który powinien wyraźnie obejmować wszystkie podpisy, niezależnie od tego w jaki sposób była realizowana usługa certyfikacyjna.
6 Projekt rozporządzenia PE 238/2012 Art.20. 4. Gdy wymagany jest – w szczególności przez państwo członkowskie na potrzeby uzyskania dostępu do usługi publicznej oferowanej przez organ publiczny on-line, na podstawie odpowiedniej oceny ryzyka związanego z taką usługą – podpis elektroniczny o pozio-mie bezpieczeństwa niższym niż kwalifikowany podpis elektroniczny, akceptowane są wszystkie podpisy elektroniczne o co najmniej takim samym poziomie bezpieczeństwa.
Poszukiwany!!! Użytkownik podpisu elektronicznego
45
zaakceptowane przez uczestników rynku i obecnie podpisy kwalifikowane są używa-ne w większości tam, gdzie administracja publiczna sama zobowiązała się je wykorzy-stywać lub zmusiła na mocy przepisów do ich używania. Niebezpieczne jest to, że w opra-cowywanej nowej regulacji na poziomie całej Unii Europejskiej nie zmieniono tego podej-ścia i nadal widzimy oczekiwanie, że rynek zaakceptuje do swoich potrzeb „najbezpiecz-niejszy” podpis kwalifikowany.
Niezależnie od istniejących przepisów prawa, bardzo poważnym problemem funkcjonowania rynku podpisów elektronicznych jest fakt, że głównym odbiorcą tego rynku miał stać się pod-pisujący. Oferowane mu przez centra certyfikacji rozwiązania kryptograficzne i certyfikaty miały doprowadzić do sytuacji, w której to każdy dys-ponowałby narzędziem do podpisywania. Ale znów, potrzeby rynkowej nie było, bo nie było usług, a proces i koszty uzyskania narzędzia każdego zniechęcały do jego posiadania. Ciągłe koncentrowanie się na narzędziu do elektronicz-nego podpisywania nie zbuduje rynku usług elektronicznych lub sam rynek usług będzie wy-korzystywał narzędzia łatwiejsze do uzyskania – np. przez skanowanie podpisanych dokumen-tów papierowych. Wobec czego podstawowym rozwiązaniem dla rynku jest oferowanie przyja-znych, zrozumiałych i łatwych w obsłudze usług elektronicznych. W ramach tych usług należy zaoferować procesy biznesowe, których wyni-kiem jest zaakceptowany i podpisany dokument, stanowiący dowód z przeprowadzenia danego procesu. Natomiast narzędzia potrzebne do re-alizacji tych usług muszą być oferowane bezpłat-nie i bez zbędnych ograniczeń np. kobezpłat-nieczności osobistego stawiania się gdziekolwiek w celu uzyskania dostępu do serwisu.
Aby zrozumieć na czym powinna polegać zmiana, warto przyjrzeć się przykładowi podpisywania umowy o pracę w formie te-lepracy. Jeżeli zaoferujemy usługę pośred-nictwa pracy i w procesie zawierania umowy
o pracę umożliwimy przyszłemu pracowni-kowi zaakceptowanie warunków i podpisa-nie umowy elektroniczpodpisa-nie, to całość zadziała tylko wtedy, gdy ten pracownik będzie mógł uzyskać narzędzie i złożyć podpis bez zbęd-nych czynności natychmiast po otrzyma-niu tejże umowy. Zarówno pracodawca jak i pracownik będą chętni do tego, aby ponieść niewielkie koszty zawarcia umowy elektro-nicznie, o ile nie przewyższą one kosztów realizacji tego samego procesu papierowo.
Wykorzystane w tym procesie narzędzie po-zwoli im także w późniejszym czasie reali-zować inne procesy związane ze świadczo-ną pracą – np. wystawianie rachunków, po-twierdzanie otrzymanych dokumentów PIT i wprowadzanie zmian do umowy. Naturalną rolą zaufanej trzeciej strony w tym procesie jest pośredniczenie w wymianie dokumen-tów i utrzymywanie procesu biznesowego, natomiast głównym użytkownikiem tej usłu-gi jest pracodawca, dla którego proces za-trudniania i obsługi zdalnego pracownika jest znacząco ułatwiony, a koszty zredukowane.
Przykładem takiego procesu biznesowe-go, aczkolwiek w administracji publicznej, są deklaracje podatkowe. Nie muszą one być podpisane bezpiecznym podpisem elek-tronicznym, a uwierzytelnienie oparte na wiedzy jest wystarczającą formą podpisu elektronicznego. Rozwiązanie to jest szeroko stosowane (11 milionów złożonych deklara-cji w tym roku), a jego podstawowy sukces jest związany z tym, że nikt nie musi wycho-dzić z domu, potwierdzać swojej tożsamości i wnosić opłaty, aby złożyć deklarację po-datkową. Warto tu zauważyć, że znów pod-stawowym użytkownikiem podpisu elektro-nicznego jest administracja skarbowa, która ufa podpisom, a podpisujący korzysta z na-rzędzia łatwego do uzyskania i darmowego.
Gdy przyjrzymy się powyższym przykła-dom to widać, że podstawowym użytkow-nikiem podpisu elektronicznego jest ten, kto
Poszukiwany!!! Użytkownik podpisu elektronicznego
46
definiuje proces biznesowy, oczekuje pod-pisanego dokumentu i czerpie bezpośrednie korzyści z jego używania. Natomiast podpi-sujący jest uczestnikiem procesu zdefiniowa-nego przez użytkownika. Stąd, oferta zwią-zana z podpisem elektronicznym, musi być skierowana głównie do tych, którzy definiują procesy biznesowe, których to podpisany dokument jest elementem. Ponieważ defi-niujący proces biznesowy będzie z założe-nia komunikował się z wieloma podmiotami i osobami, od których w procesie będzie żą-dał podpisów, warunkiem jest to, aby podpi-sujący mógł i chciał w tym procesie korzystać z podpisu elektronicznego.
Tego się nie osiągnie nakładając obcią-żenia proceduralne i finansowe na podpisu-jącego. Wprost warto wskazać dwie moż-liwe drogi dalszego rozwoju usług podpisu elektronicznego:
• Państwo wydaje i finansuje dostarcze-nie obywatelom darmowych narzędzi do identyfikacji i składania podpisów, które będą miały zastosowanie w kontaktach biznesowych, natomiast rynek skupi się jedynie na oferowaniu usług wykorzystu-jących te mechanizmy. W tym przypadku należy założyć, że wszystkie podmioty świadczące usługi certyfikacyjne w wy-niku lobbingu staną się finansowanymi przez państwo wydawcami publicznymi albo zaprzestaną dotychczasowego świad-czenia usług. Jednak ten model przynie-sie efekty dopiero wtedy, gdy nasycenie rynku certyfikatami będzie odpowiednio duże – czyli po kilku latach od rozpoczę-cia tego procesu.
• Podmioty certyfikacyjne zaoferują usługi certyfikacyjne umożliwiające uzyskanie certyfikatu za darmo, natomiast model techniczny i biznesowy umożliwi im czer-panie zysków z oferowanych usług i ob-sługiwanych procesów biznesowych. Do
realizacji tego potrzebny jest inny model oferowania usług związanych z podpi-sem elektronicznym np. model PKI 2.07, gdzie zamiast certyfikatów zaufana, trze-cia strona oferuje usługi podpisu, tak jak w świecie kart kredytowych oferowane są usługi płatnicze.
Niezależnie od tego jaką drogę przyjmiemy, rynek usług związanych z podpisem elektro-nicznym musi się zmienić, a oferowane usłu-gi muszą być skierowane do zdefiniowanego w niniejszym artykule użytkownika podpisu elektronicznego. Warto na koniec powtórzyć, że głównym użytkownikiem podpisu elek-tronicznego jest ten, kto definiuje potrzebę posiadania podpisanych elektronicznie doku-mentów w swoim procesie biznesowym i ten, kto podejmuje działanie i ryzyko na podsta-wie zaufania podpisowi elektronicznemu.
Obserwuj autora artykułu na Twitterze:
http://twitter.com/Michal_Tabor
7 PKI 2.0 zostało opisane na stronach www.pki2.eu
Michał Tabor - ekspert w dziedzinie pod-pisu elektronicznego i zarządzania bezpie-czeństwem informacji, autor rozwiązania składania deklaracji PIT bez podpisu, autor koncepcji profilu zaufanego ePUAP. Dyrek-tor ds. operacyjnych Trusted Information
Consulting sp. z o.o.