Artykuły

Podsumowanie seminarium 27.06.2012

Jul 3


7/3/2012 2:51 PM  RssIcon


Podsumowanie Seminarium „Wpływ nowej regulacji UE dotyczącej e-identyfikacji i e-podpisu na rozwój elektronicznej gospodarki i administracji w Polsce”27.06.2012 r.

27 czerwca 2012 r., Instytut Maszyn Matematycznych, ul. Krzywickiego 34, Warszawa

 

Dr Dariusz Szostek  przedstawił swoją prezentację pt. „Problematyka prawna identyfikacji oraz nowego ujęcia dokumentu w prawie polskim w związku z projektem rozporządzenia”

Zwrócił uwagę na następujące aspekty dotyczące projektu rozporządzenia:

  • Bezpośrednie odniesienie się do identyfikacji w celu uzyskania dostępu do przynajmniej usług publicznych, oraz pośrednio do transakcji prywatnych.
  • Zrównanie na poziomie Unii Europejskiej kwalifikowanego podpisu elektronicznego oraz podpisu własnoręcznego
  • Zrównanie na poziomie Unii Europejskiej dokumentu elektronicznego i tradycyjnego

Wskazał również, że dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej ustanawia sieć organów krajowych odpowiedzialnych za e-zdrowie.  Aby zwiększyć bezpieczeństwo i ciągłość transgranicznej opieki zdrowotnej sieć musi opracować wytyczne w sprawie transgranicznego dostępu do danych i usług związanych z e-zdrowiem. Niezbędne jest także zapewnienie wzajemnego uznawania i akceptowania identyfikacji elektronicznej.

Dr Dariusz Szostek zwrócił uwagę, na bardzo ważny zapis projektu rozporządzenia, ustalający że „dokument elektroniczny” oznacza dokument w dowolnym formacie elektronicznym. Definicja ta jest zgodna z aktualnym projektem kodeksu cywilnego gdzie dokument jest zdefiniowany następująco:

–      Dokumentem jest nośnik informacji umożliwiający jej odtworzenie

W toku dyskusji, Dr Szostek wskazał, że powyższa definicja z projektu k.c. nie jest idealna, bo powinna odnosić się do informacji, a nie nośnika, ale i tak stanowi znaczący krok w stronę ujednolicenia definicji dla dokumentów papierowych i elektronicznych.

 

Dr Jerzy Pejaś przedstawił prezentację pt. „Podpisz i zapomnij! To już ten czas?”

Na początku zwrócił uwagę, że założenia dla obecnego projektu regulacji są całkowicie zbieżne i w znacznym stopniu pokrywają te, które były w dyrektywie z 1999 roku:

  • Rozbieżne zasady  w odniesieniu do uznawania elektronicznych podpisów i akredytacji dostawców usług certyfikacyjnych w Państwach Członkowskich mogą stworzyć znaczącą barierę dla stosowania elektronicznej komunikacji oraz elektronicznego handlu.
  • Z drugiej strony, jasne struktury Wspólnotowe odnoszące się do warunków dotyczących podpisów elektronicznych umocnią zaufanie i generalną akceptację nowych technologii.
  • Struktury regulacyjne nie są potrzebne w przypadku  elektronicznych podpisów używanych wyłącznie w systemach opartych na dobrowolnych cywilnoprawnych porozumieniach pomiędzy określoną liczbą uczestników.

Podczas prezentacji Dr Jerzy Pejaś dokonał przeglądu definicji znajdujących się w projekcie rozporządzenia. Ich jednolite wdrożenie na rynku UE da jednoznaczne rozumienie podpisu elektronicznego oraz innych nowych mechanizmów wprowadzonych niniejszym rozporządzeniem.

Prelegent zwrócił uwagę, na fakt wskazywany w projekcie, że podpis elektroniczny z punktu widzenia obecnie stosowanej technologii jest prosty do złożenia a trudny do weryfikacji, natomiast głównym problemem prawnym jest trudność oceny prawnych skutków podpisu, w szczególności w wymianie transgranicznej i ulotność jego wartości dowodowej.

 

Pan Daniel Wachnik przedstawił prezentację pt. „Nowe ramy standaryzacyjne podpisu elektronicznego - co jest, co będzie, co się zmieni?”  w której przedstawił zakres standaryzacji oraz proces w którym ta standaryzacja przebiega. Jednocześnie wskazał, iż w przygotowanej regulacji:
  • brakuje definicji urządzenia do składania pieczęci elektronicznej, na którą powołują się później przepisy
  • w definicji podpisu jest informacja o tym, że służy do podpisu, co jest dosyć enigmatyczne. Padły stwierdzenia, że:

– powinien być zdefiniowany w sposób określający bardziej jego funkcjonalności (np. zachowuje integralność, itp., ) albo skutki prawne (np. oświadczenie woli i wiedzy) 

– wątpliwości co do przechowywania dokumentów (org. Document handling and preservation) zgłosił p. Szostek

– wyjaśnienie – jest to archiwizowanie dokumentów podpisanych w połączeniu z konserwacją podpisu – patrz normy

– wątpliwości co to jest eDelivery

– wyjaśnienie – normy wskazują systemy REM (Registered email) jako potencjalnego kandydata do wskazania jako obowiązkową technologię wymiany dokumentów

  • wątpliwości co do weryfikacji tożsamości i identyfikacji. Oprócz mechanizmów notyfikacji nie jest zbyt dużo wskazanych rozwiązań. Potencjalne warianty:

– każde notyfikowane rozwiązanie będzie implementowane we wszystkich krajach UE (wydaje się trochę uciążliwe)

– każde notyfikowane rozwiązanie będzie podłączane do projektu STORK (scenariusz wydaje się bardzo prawdopodobny)

  • wątpliwości co do możliwości późniejszej modyfikacji tak wysoko umocowanego aktu prawnego. W przypadku problemów z modyfikacją obecnie funkcjonujące rozwiązania „zamrożą” rynek nie dopuszczając rozwiązań innowacyjnych.
  • brak wskazanych na ten moment norm powoduje, że ocena skutków regulacji może być w pełni znana dopiero po wskazaniu tych norm.

Pan Michał Tabor przedstawił prezentację pt. „Szanse i zagrożenia wdrożenia rozporządzenia w sprawie identyfikacji elektronicznej i usług zaufania”. Prezentacja przedstawiała analizę rozporządzenia przeprowadzoną na podstawie oceny skutków regulacji w krótkim i długim czasie. Ocena została wykonana na podstawie kilkunastu wskaźników ze wskazaniem na 6 podstawowych grup interesu: biznesowych (użytkowników usług komercyjnych, dostawców usług i realizujących wymianę biznesową) oraz administracji (użytkowników portali administracji, podmiotów publicznych udostępniających usługi on-line, urzędów wymieniających pomiędzy sobą dokumentację). Analiza  pokazała ogromny potencjał elektronicznej identyfikacji, oraz duże znaczenie podpisów zaawansowanych. Analiza wykazała natomiast, że podpisy kwalifikowane nie będą siłą napędową usług na rynku, pozostaną głownie wykorzystywane przez administrację publiczną.

 

W toku prezentacji Michał Tabor przedstawił następujące tezy:

  • Rozporządzenie wyróżnia elektroniczną identyfikację – wskazując na jej uniwersalność, nakazując jej udostępnienie przez każdy kraj, dając prawo korzystania z jej funkcjonalności także podmiotom komercyjnym
  • Zmiana definicji podpisu elektronicznego może zagrozić używalności podpisu – ponieważ stanowi zaprzeczenie aktualnie wykorzystywanych mechanizmów podpisu elektronicznego służących do zapewnienia autentyczności i integralności komunikatów.
  • Połączenie definicji prawnych z technicznymi stwarza problemy interpretacyjne, które mogą powodować różne zrozumienie tych samych definicji, jako przykład podał definicję pieczęci elektronicznej, która nie odnosi się do definicji składającego pieczęć elektroniczną, co daje prawo do wnioskowania, że pieczęć elektroniczna może być  składana przez osobę fizyczną. Kolejnym przedstawionym przykładem była definicja kwalifikowanego certyfikatu, która nie odnosi się do definicji certyfikatu.  
  • Brakuje analizy i strategii dla wdrażania kwalifikowanego certyfikatu do uwierzytelniania witryn internetowych. Co może stać się powodem całkowitego braku użyteczności tego mechanizmu.
  • Projekt regulacji nie ujmuje podpisów zwykłych i zaawansowanych w kontekście międzynarodowej interoperacyjności, gdzie te podpisy mają największe wykorzystanie w procesach gospodarczych.

 

Prelegent  wskazał nasypujące wątpliwości:

  • Czy podpis S/MIME jest podpisem elektronicznym – daje tylko źródło pochodzenia i integralność? A jeżeli nie, to czy będzie miał  ochronę jako dowód na podstawie art. 20 ust. 1?
  • Zgodnie z Art. 3 ust. 6 Podpis elektroniczny służy do podpisywania, a nie (uwierzytelniania). Wobec czego jest to niezgodne z Art. 20 ust. 4 i 5, który  definiuje wymagania dla podpisów dotyczące uwierzytelniania do usług online
  • Zapis Art. 20 ust 5 – państwa członkowskie nie wymagają podpisu o wyższym poziomie bezpieczeństwa niż kwalifikowany. Natomiast o ile daje się określić poziomy pewności w zakresie mechanizmów uwierzytelniania, to nie da się określić poziomów bezpieczeństwa dla podpisów elektronicznych. Przykładowo: Co ma wyższy poziom – zaawansowany składany w środowisku HSM, zwykły na który gwarancji udzielił notariusz, czy kwalifikowany?

 

Ostatnią częścią seminarium był panel dyskusyjny poprowadzony przed dyrektora Instytutu Maszyn Matematycznych dr. Marka Hołyńskiego. W jego trakcie o odpowiedź na zadane pytania poproszeni zostali wszyscy wykładowcy, ale głos mogli zabrać także słuchacze.

Dyr. Hołyński przedstawił dwa problemy do debaty. Pierwszym było wypowiedzenie się na temat przydatności i jakości rozporządzenia unijnego. Uczestnicy poproszeni zostali o wskazanie jakie elementy wymagają korekty i w jakiej formie. Drugim omawianym zagadnieniem było ocenienie skutków wprowadzenia rozporządzenia. W panelu dyskusyjnym wzięli udział przedstawiciele administracji publicznej, centrów certyfikacji oraz innych podmiotów związanych z usługami podpisu (dyr. Sebastian Christow , dr Jerzy Pejaś, Daniel Wachnik, Marek Ujejski, Michał Tabor, Jurand Drop, Krzysztof Politowski, Dariusz Lewicki, Ałła Stoliarowa, Franciszed Durowski, Andrzej Ruciński, Dariusz Kołaczek)

Zagadnienia dla pierwszego pytania.

Rozporządzenie jest pozytywnym impulsem dla implementacji rozwiązań prawnych. Pojawiło się w dobrym momencie w czasie wprowadzania nowych projektów elektronicznych w Ministerstwach Gospodarki i Sprawiedliwości i będzie pomocne we wprowadzaniu nowych rozwiązań e-usług. Największą zaletą rozporządzenia jest wskazanie i doprecyzowanie problemów, które wynikały z poprzedniej regulacji. Pakiet usług nienazwanych. Uszczegóławia czym jest dokument elektroniczny, znacznik czasu, pieczęć, podział na podmioty składające podpisy – fizyczne i prawne, a także wprowadza definicje pieczęci, urządzenia do składania podpisu, uwierzytelnienia podmiotu, dokumentu.

Pojawiły się także głosy mówiące o złej definicji podpisu elektronicznego, która jest myląca i niejasna. W trakcie dalszych prac istotny będzie odpowiedni dobór norm i standardów. W przypadku wybrania np. 4 formatów podpisu elektronicznego. Takie rozwiązanie będzie dobre przy składaniu podpisu, ale może generować problemy z weryfikacją i obsłużeniem dużej liczby formatów przez aplikacje. Pomimo, że przepisy wydają się być jasne to kraje mogą je inaczej interpretować i implementować przy użyciu różnego aparatu definicyjnego. Istotna jest jasność i przejrzystość definicji. Dużo wątpliwości wprowadzi art. 2, ust. 2 rozporządzenia, mówiący o niestosowaniu jego zapisów w przypadku umów cywilnych pomiędzy osobami korzystającymi z e-usług. Ponadto w rozporządzeniu niejasne są definicje podpisu elektronicznego oraz certyfikatu.

Wątpliwy może być także skutek prawny pieczęci elektronicznej. Rozporządzenie narzuci pewne rozumienie definicji, których nie było we wcześniejszym ustawodawstwie. Istotne jest pogodzenie rozbieżności między rozumieniem prawnym a technicznym, gdzie złożenie podpisu może być traktowane jako wynik operacji matematycznych lub czynność potwierdzająca zobowiązanie podpisującego. Dlatego istotne jest aby definicja podpisu wskazywała lub odwoływała się do  atrybutów (proof of...). Dopiero te atrybuty mówią co i z jaką intencją jest podpisywane.

Ważne może się również okazać uściślenie zapisu definiującego usługę przekazu danych. Może być ona interpretowana jako strumień lub przekaz dokumentów w kontekście przepisów o doręczeniu i potwierdzeniu dostarczenia dokumentów. To drugie rozwiązanie może pociągnąć za sobą większą komplikację usług.

Pomimo niewielu wątpliwości związanych z odpowiednimi definicjami rozporządzenie zostało przyjęte pozytywnie. Pomoże ono w zniesieniu barier ograniczających działanie przedsiębiorstw na rynku unijnym. W kontekście dyrektywy usługowej i dyrektywy o zamówienia publicznych, poprzez cyfryzację przetargów łatwiejsze będzie działanie mniejszych przedsiębiorstw poprzez ich wejście na nowe rynki zbytu krajowe i zagraniczne. Obecna forma rozporządzenia pozwoli także na zachowanie ciągłości działania zgodnego z dotychczasowym ustawodawstwem.

Pułapką może być natomiast patrzenie na rynek i przepisy go regulujące z perspektywy dnia dzisiejszego. Dziś może nie ma problemów, które mogą wystąpić przyszłości, przez co sztywne zapisy mogą zamrozić wprowadzenie nowych technologii i utrudnić rozwój. Mogą wystąpić trudności we wprowadzeniu zmian w rozporządzeniu.

 

Zagadnienia dla drugiego pytania.

Największym beneficjentem zmian na rynku usług wynikających z wprowadzenia rozporządzenia będzie administracja państwowa. Wprowadzone zostaną standardy identyfikacji elektronicznej, pozwalając jednocześnie na zachowanie interoperacyjności.

Kluczowa jest łatwość wykorzystania technologii dla biznesu oraz dobór metod identyfikacji/uwierzytelnienia, które nie będą wprowadzały niepotrzebnych komplikacji. W przypadku eID kwestia skali użytkowników pozwoli na stosunkowo szybki zwrot nakładu środków wydanych na wdrożenie nowych systemów. Dodatkową zaletą zmian wprowadzanych przez rozporządzenie jest to, że każdy podmiot publiczny lub prywatny może wykorzystać mechanizmy elektronicznej identyfikacji gdyż przy ich wykorzystaniu nie ma przekazania tożsamości/danych osobowych użytkownika.

Usługi kwalifikowane zdefiniowane są jako zamknięty katalog usług akceptowanych przez administrację publiczną. Lepszym podejściem było by nazwanie ich notyfikowanymi, czego w przepisach zabrakło. Często próbując cyfryzować gospodarkę powielane są błędy, a powinny być tworzone nowe rozwiązania.

Istotne jest także to, że już sam projekt rozporządzenia wprowadza zmiany w mentalności. Wydaje się, że ideą rozporządzenia jest wyeliminowanie innych projektów typu STORK poprzez wprowadzenie wspólnych i jednolitych poziomów zaufania, a wprowadzenie różnych metod identyfikacji wymusi ich uznawalność w innych krajach. Ważną zmianą jest również traktowanie podpisu elektronicznego jako usługi, niekoniecznie jako finalnego produktu.

Problemem w realizacji wielu zagadnień mogą być różnice we właściwej identyfikacji osób korzystających z podpisów z różnych krajów wynikające z lokalnych przepisów np. braku numerów NIP/PESEL, lub braku dowodów osobistych. Istotną może się również okazać kwestia czy innowacyjne rozwiązania oparte na technologiach mobilnych zostaną przyjęte.

Copyright ?2012

Tagi:
Kategorie: Artykuły
IMM
Instytut Maszyn Matematycznych
2014 Instytut Maszyn Matematycznych. Prawa autorskie zastrzeżone.