Przetocki Jacek (red.), Podpis elektroniczny. Komentarz

1. Uwagi ogólne

Potrzeba stworzenia elektronicznej alternatywy dla własnoręcznego podpisu wynika z upowszechniania elektronicznych form komunikowania się, a zwłaszcza z rozwoju elektronicznej gospodarki. Przez gospodarkę elektroniczną należy rozumieć wszelkie formy prowadzenia interesów za pośrednictwem mediów elektronicznych takich, jak telefon, faksymile lub sieci komputerowe, w tym Internet. Zagadnienie to dotyczy także innych, nie mających charakteru komercyjnego, form komunikowania się i przesyłania za pośrednictwem mediów elektronicznych dokumentów o określonych skutkach prawnych.

W szczególności podpis elektroniczny powinien otworzyć drogę do elektronicznej formy składania oświadczeń woli, do elektronizacji przepływu dokumentów w organach administracji i instytucjach państwa oraz do ułatwienia kontaktów obywateli z organami administracji terytorialnej bądź państwowej, stwarzając możliwość elektronicznego przesyłania wniosków, podań, oświadczeń, petycji lub decyzji.

Natura mediów elektronicznych, relatywna anonimowość użytkowników sieci teleinformatycznych, specyficzne cechy dokumentów elektronicznych (między innymi, nie istnieje rozróżnienie między oryginałem a kopią), a zwłaszcza otwarty, globalny, charakter Internetu, stawiają użytkowników tej formy komunikowania się, obywateli, podmioty gospodarcze i rządy przed całym spektrum złożonych problemów prawnych. Jednym z tych problemów jest zagadnienie uznawania elektronicznej formy podpisu jako formy wyrażania woli o określonych prawem skutkach. W prowadzonej pośród prawodawców w wielu krajach świata od przeszło dziesięciu lat dyskusji związanej z pytaniem, czy podpis elektroniczny należy w zasadzie uznać za jedną z form objętych ogólnym sformułowaniem: „formą wyrażenia woli jest każde zachowanie...”, czy też podpis taki wymaga odrębnych uregulowań prawnych, wydaje się przeważać ten drugi pogląd. Wyrazem tego jest Dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego, cyt. dalej również jako Dyrektywa UE, wiele odpowiednich aktów prawnych w krajach Unii, w USA, Kanadzie, w krajach Ameryki Południowej i Azji Południowo-Wschodniej.

2. Czym jest podpis elektroniczny?

Podpis elektroniczny jest to sposób podpisania dokumentu w postaci elektronicznej. Należy zwrócić uwagę na pewien nieporządek terminologiczny, często bowiem zamiennie używa się pojęć „podpis elektroniczny” i „podpis cyfrowy”. W niniejszym opracowaniu za „podpis elektroniczny” uważa się każdy sposób zastąpienia własnoręcznego podpisu w środowisku elektronicznym. Podobnie Dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego definiuje „podpis elektroniczny” jako: „dane w formie elektronicznej, które dodane są do innych danych elektronicznych lub są z nimi logicznie powiązane i służą do autoryzacji (data in electronic form which are attached to or logically associated with other electronic data and which serve as a metod of authentication)”. W tym sensie podpisem elektronicznym jest na przykład obraz podpisu własnoręcznego, otrzymany za pomocą skanera, podpis sporządzony elektronicznym piórem, kod PIN karty elektronicznej, użyty do podjęcia pieniędzy z bankomatu czy też imię lub nazwisko umieszczone w zakończeniu wiadomości wysłanej pocztą elektroniczną albo przy użyciu faksymile (ogólniej - w każdej postaci, w której dokument powstał lub został przetworzony na strumień logicznie powiązanych bitów informacji, przechowywanych i przesyłanych jako impulsy elektryczne, pola magnetyczne, strumień fotonów itp.).

Oczywiście podpis taki, łatwy do podrobienia i nie mający żadnych (poza samą treścią) szczególnych cech pozwalających w sposób nie budzący wątpliwości przypisać ten podpis do określonej osoby lub dokumentu, jest w wielu sytuacjach niezadowalający. Znacznie bardziej użyteczna jest inna forma podpisu elektronicznego (często określana pojęciem „zaawansowanego podpisu elektronicznego” czy „podpisu cyfrowego” - advanced electronic signature, digital signature). Wówczas, przy użyciu technik kryptograficznych (czasami także i innych środków technicznych wykorzystujących szczególną wiedzę, posiadane urządzenie lub specyficzne cechy osobnicze osoby składającej podpis), z oryginalnego dokumentu elektronicznego i innych informacji, dostarczonych przez osobę składającą podpis (w formie „hasła”, „tajnego klucza”, informacji pochodzących z udostępnionego do złożenia podpisu urządzenia, udostępnionych cech biometrycznych), utworzony jest specjalny zbiór informacji - podpis cyfrowy (zwykle jest to po prostu bardzo duża liczba), który w sposób niepowtarzalny i jednoznaczny wiąże zawartość podpisanego dokumentu elektronicznego z informacjami pochodzącymi od osoby podpisującej. Przyjmuje się, że przy obecnym stanie wiedzy nie jest możliwe (nawet przy użyciu zaawansowanych środków technicznych i potężnych mocy obliczeniowych) wytworzenie takiego podpisu bez znajomości oryginalnego dokumentu oraz bez szczególnej wiedzy (czy też szczególnych cech osobniczych) osoby składającej podpis. Zwykle weryfikacja takiego podpisu (czyli ustalenie autora oraz stwierdzenie, że dokument nie został zmieniony po podpisaniu) jest możliwa już bez udziału osoby podpisującej. Jedna z najpowszechniej dotychczas używanych technik podpisu cyfrowego oparta jest na kryptografii asymetrycznej. Algorytm podpisu elektronicznego przy użyciu kryptografii asymetrycznej działa w sposób następujący (jest to jeden z wielu możliwych sposobów sporządzenia podpisu elektronicznego): dokument elektroniczny przedstawiony jest (w pamięci komputera) w postaci bardzo dużej liczby (ciągu zer i jedynek). Należy dodać, że tak można przedstawić każdy dokument w postaci elektronicznej; może to być dokument tekstowy, utwór muzyczny, wizerunek, film, dane telemetryczne, obraz telewizyjny itp. Liczbie tej zostaje za pomocą powszechnie znanego algorytmu - nazywanego funkcją skrótu - przyporządkowana inna, na ogół znacznie krótsza (zwykle 40-50 cyfrowa), liczba - etykietka oryginalnego dokumentu. Szczególne własności kryptograficznej funkcji skrótu zapewniają, że różne dokumenty (różniące się nawet tylko jednym bitem informacji) będą miały różne etykietki oraz, że nie jest możliwe znalezienie dwóch różnych dokumentów o takiej samej etykietce. Nie jest także możliwe skonstruowanie dokumentu o zadanej etykietce. W tym sensie funkcja skrótu umożliwia „ponumerowanie” lub nadanie znormalizowanych unikatowych etykietek wszystkim możliwym dokumentom elektronicznym. Drugim, obok funkcji skrótu, elementem algorytmu podpisu cyfrowego (w tej konkretnej postaci) jest algorytm szyfru asymetrycznego. Osoba podpisująca wytwarza (przy użyciu komputera lub innych środków technicznych) za pomocą określonej procedury dwie liczby powiązane ze sobą szczególnymi własnościami matematycznymi. Jedna z tych liczb pozostaje tajemnicą właściciela, druga zostaje upowszechniona. Ta pierwsza - to „klucz prywatny” właściciela podpisu elektronicznego, który służy do podpisywania dokumentów elektronicznych; ta druga - to „klucz publiczny”, który służy (wraz z innymi - jawnymi informacjami o użytym algorytmie) do weryfikacji podpisu. Następnie podpisujący przy użyciu (powszechnie znanego) algorytmu szyfru asymetrycznego (szyfr jest asymetryczny, ponieważ różne klucze służą do szyfrowania i do odszyfrowania - w odróżnieniu od szyfrów symetrycznych, gdzie ten sam klucz służy do obu operacji) szyfruje etykietkę swojego dokumentu (obliczoną uprzednio za pomocą funkcji skrótu), używając swojego tajnego klucza. Jak zawsze, wszystkie te operacje wykonuje komputer - na biurku, w karcie elektronicznej, w telefonie komórkowym. Zależnie od praktycznej realizacji takiego podpisu, klucz prywatny może być przechowywany w pamięci komputera (nie jest to bezpieczne rozwiązanie), zakodowany w karcie elektronicznej, na dyskietce, płycie CD lub wpisywany z klawiatury. Wynik procesu szyfrowania - zaszyfrowana etykietka (jest to znów liczba o długości kilkudziesięciu - kilkuset cyfr) - to podpis cyfrowy dokumentu. Podpis taki jest dołączany następnie do oryginalnego dokumentu i całość jest wysyłana do adresata (oczywiście podpis może być też przesłany lub przechowany oddzielnie, podpis cyfrowy bowiem jest dla każdego dokumentu inny).

Weryfikacja autentyczności podpisu i integralności dokumentu przebiega następująco: odbiorca po otrzymaniu dokumentu oddziela podpis i dla samego dokumentu oblicza znów - przy użyciu tej samej, ogólnie znanej funkcji skrótu - etykietkę dokumentu. Następnie, używając powszechnie dostępnego (jawnego) klucza publicznego autora dokumentu, przy użyciu ogólnie znanego algorytmu deszyfrującego, deszyfruje podpis dokumentu. Jeżeli etykietka dokumentu obliczona przez odbiorcę (z nadesłanego dokumentu) jest identyczna z etykietką otrzymaną po odszyfrowaniu przez niego podpisu cyfrowego, to odbiorca może z prawdopodobieństwem graniczącym z pewnością przyjąć, że dokument, który otrzymał, został podpisany kluczem prywatnym tworzącym unikatową parę z użytym przez niego do weryfikacji podpisu kluczem publicznym, oraz że dokument ten jest identyczny z dokumentem, który został podpisany. Ponadto, dysponując dokumentem, kluczem publicznym i podpisem cyfrowym, może tę weryfikację powtórzyć dowolną liczbę razy (np. na potrzeby postępowania dowodowego). Weryfikacja podpisu kończy algorytm podpisu cyfrowego przy użyciu kryptografii asymetrycznej. Istnieją liczne odmiany podpisu cyfrowego: „zwykły” - jak wcześniej przedstawiono, „ślepy” - osoba podpisująca nie musi znać treści podpisanego dokumentu, „niezaprzeczalny” - weryfikacja podpisu wymaga współpracy osoby podpisanej, oraz wiele innych. Należy zauważyć, że samo określenie zastosowania asymetrycznej kryptografii do celów uwierzytelnienia i potwierdzenia integralności elektronicznego dokumentu mianem podpisu jest dość niefortunne, z matematycznego punktu widzenia bowiem poprawna weryfikacja podpisu elektronicznego (przy założeniu, że klucze - prywatny i publiczny - zostały wytworzone z zachowaniem pewnych - dość łatwych do sprawdzenia - warunków) pozwala jedynie stwierdzić, że pewien proces (komputer realizujący algorytm podpisu) miał w pewnym momencie dostęp zarówno do oryginalnego dokumentu, jak i do tajnego klucza - komplementarnego do użytego do weryfikacji klucza publicznego. Algorytm taki nie pozwala natomiast jeszcze stwierdzić, czy z tym procesem wiąże się jakakolwiek forma wyrażenia woli, oraz związku kluczy (prywatnego i publicznego) z konkretną osoba fizyczną. Nie jest to więc podpis w prawnym znaczeniu tego słowa. Aby to osiągnąć, potrzebne jest przyjęcie wielu dodatkowych założeń, między innymi ustalenie związku między intencjami podpisującego a faktem użycia odpowiedniej techniki kryptograficznej oraz stworzenie mechanizmu jednoznacznego przypisania kluczy (lub innych, szczególnie określonych, niepowtarzalnych cech czy informacji) do konkretnej osoby fizycznej. Innymi słowy, zbudowanie odpowiedniej infrastruktury zaufania i bezpieczeństwa. Jedną z możliwych form takiej infrastruktury jest tak zwana Infrastruktura Klucza Publicznego (PKI), nazywana także siecią Urzędów Certyfikatów, Zaufaną Trzecią Stroną lub podobnie.

3. Infrastruktura Klucza Publicznego (PKI)

Infrastruktura Klucza Publicznego (ang. Public Key Infrastructure w skrócie: PKI) służy do jednoznacznego przypisania klucza publicznego używanego do weryfikacji podpisu elektronicznego (pozostając przy realizacji podpisu elektronicznego przy użyciu kryptografii asymetrycznej) do konkretnej osoby fizycznej. W tym celu posługuje się „certyfikatami” tych kluczy. Certyfikat to dokument elektroniczny zawierający dany klucz publiczny, dane zawierające informacje o tożsamości właściciela tego klucza (lub jego pseudonim) oraz dodatkowe informacje (o okresie ważności certyfikatu, identyfikujące instytucję, która certyfikat wystawiła, ewentualne ograniczenia stosowania certyfikatu itp.), podpisany elektronicznie podpisem cyfrowym przez instytucję lub osobę zaufania publicznego. Przyjmuje się, że klucz publiczny wystawcy certyfikatów - umożliwiający sprawdzenie ważności certyfikatu - jest powszechnie dostępny, co umożliwia każdemu i zawsze sprawdzenie, czy konkretny klucz publiczny jest zaopatrzony w ważny certyfikat, a zatem czy podpis elektroniczny opatrzony ważnym certyfikatem rzeczywiście jest przypisany do autora dokumentu elektronicznego. Sposób wystawiania certyfikatów - „polityka certyfikacji”, wiarygodność i rzetelność procedury przypisania konkretnych kluczy do konkretnych osób fizycznych oraz bezpieczeństwo używanych technik identyfikacji i kryptograficznych decydują o zaufaniu do instytucji podpisu elektronicznego. Dlatego też we wszystkich regulacjach prawnych wprowadzających podpis elektroniczny wiele uwagi poświęca się regulacji zasad funkcjonowania oraz odpowiedzialności urzędów certyfikujących za wystawione certyfikaty podpisów cyfrowych.

4. Dlaczego uchwalono ustawę?

Filozofia prawna, czy i jak należy regulować podpis elektroniczny, musi odpowiedzieć na wiele niełatwych pytań: czym jest podpis elektroniczny, czy i jakie funkcje własnoręcznego podpisu może przejąć? Odpowiedź na te pytania nie jest jednoznaczna, zwłaszcza że w polskiej literaturze prawnej nie ma dostatecznie obszernej i aktualnej analizy roli tradycyjnego podpisu (art. 78 k.c.) w systemie prawnym. Dotyczy to szczególnie roli podpisu w prawie handlowym i w obecnej praktyce życia gospodarczego. Analizy zagraniczne wskazują, że podpis jest tylko jednym z wielu, często nie najistotniejszym, elementów środowiska współczesnego mechanizmu formowania kontraktów i ustalania zobowiązań.

Czy i jak należy w prawie rozumieć „niezaprzeczalność”, tak chętnie podkreślaną przez zwolenników podpisu cyfrowego jako jego wielka zaleta? Czy ma to być „niezaprzeczalność” w sensie szczególnych form pisemnego wyrażania woli określonych w kodeksie cywilnym, prawie notarialnym i innych aktach prawnych? Komu ufamy przyjmując dokument podpisany elektronicznie: autorowi - właścicielowi klucza prywatnego, jego komputerowi, urzędowi wystawiającemu certyfikaty, producentowi sprzętu i oprogramowania? Do czego jest nam potrzebny ustawowo regulowany podpis elektroniczny wraz ze strukturą PKI jako formą zastępującą podpis własnoręczny? Dotychczasowy, dynamiczny rozwój handlu internetowego odbywa się bez takiej regulacji, a po dziesięciu latach tej formy obrotu gospodarczego liczba umów zawartych przy użyciu podpisu elektronicznego i otwartej infrastruktury PKI jest (poza instalacjami „testowymi”, „pilotującymi” itp.) praktycznie równa zeru. Czy podpis elektroniczny potrzebny jest do kontaktów między instytucjami administracji państwowej oraz do kontaktów organów tej administracji z obywatelami? Jakie koszty będzie ponosił obywatel zaopatrując się na rynku w certyfikat podpisu i stosowne urządzenia do jego wykorzystywania i weryfikacji. Jakie koszty będzie musiała ponieść administracja na przystosowanie obecnie używanej infrastruktury informatycznej do wykorzystywania podpisu cyfrowego i infrastruktury PKI? Ubiegłoroczny raport GAO (amerykańskiej Najwyższej Izby Kontroli) o stanie wprowadzania infrastruktury PKI w administracji USA, przygotowany dla Kongresu Stanów Zjednoczonych, zwraca uwagę na koszty i problemy związane z wdrażaniem PKI. Na przykład sam Departament Obrony (DOD) wymaga w latach 2000-2005 przeszło 700 milionów dolarów USA na wdrożenie infrastruktury PKI. Ponadto dodatkowe 170 milionów USD jest wymagane na wstępną modyfikację niektórych używanych systemów informatycznych, aby mogły korzystać z uwierzytelniania podpisów elektronicznych. Za te środki DOD będzie mógł zmodyfikować tylko niewielką część z 600 systemów informatycznych (aplikacji) wybranych do współpracy z systemem PKI (z prawie 10 000 wszystkich systemów i aplikacji używanych przez DOD). Raport ocenia koszt wystawienia jednego certyfikatu na około 18 USD, a koszt transakcji od 40 centów do 1,20 USD za każdorazowe użycie certyfikatów. Ponadto raport zwraca uwagę na ogromne trudności związane z zapewnieniem współdziałania różnych systemów ze sobą, poważne braki w standaryzacji formatu certyfikatów i innych elementów PKI, ogólny brak doświadczenia i wiedzy związanej ze skalowaniem małych, doświadczalnych systemów PKI do ogromnych organizacji o skali DOD czy państwa oraz na brak dobrze zdefiniowanych „polityk bezpieczeństwa” wymaganych dla zapewnienia odpowiednio wysokiego poziomu zaufania do podpisu elektronicznego. Autorzy raportu zwracają uwagę, że sformułowanie takich polityk może napotykać wiele trudności w rozwiązaniu problemów dotyczących tak delikatnych dziedzin, jak ochrona prywatności i miara ingerencji aparatu państwowego w życie obywateli. Za ogromny problem we wdrożeniu infrastruktury PKI amerykańscy autorzy uważają brak dostatecznie dużej liczby odpowiednio wykształconych i przeszkolonych ludzi.

Czy - mając na uwadze te pytania i wymagania bezpieczeństwa - ustawa powinna być neutralna technologicznie, nie precyzując możliwych form stosowania podpisu elektronicznego? Wiąże się to z ryzykiem, że brak zdecydowanie preferowanych form podpisu elektronicznego opóźni jego wprowadzenie. Czy też należy w ustawie szczegółowo określić rozwiązania techniczne, co umożliwi lepsze doprecyzowanie pojęć i procedur, ale wiąże się z ryzykiem przyjęcia technologii, która wkrótce może przez postęp techniczny okazać się przestarzała? Ustawodawca zdecydował, że ustawa będzie technologicznie neutralna, rozporządzenia wykonawcze zaś wskażą na technologię, którą będą musiały posługiwać się podmioty świadczące usługi certyfikacyjne.

Przyjmując, że należy wprowadzić infrastrukturę PKI, należy ustalić, czy i jaka powinna być rola państwa i jego organów w kontrolowaniu i zapewnianiu poziomu bezpieczeństwa i zaufania infrastruktury PKI. W jakim stopniu rynek usług wystawiania, przechowywania, unieważniania itp. certyfikatów podpisów elektronicznych powinien kształtować się swobodnie, a w jakim stopniu państwo może ingerować przez system rozporządzeń, administracyjnych decyzji, akredytacji itp.? Jak zbudować bezpieczny, powszechny i budzący zaufanie system PKI? Szczególnie podkreślić należy tu aspekt zaufania. Bezpieczeństwo prawne jest absolutnie niezbędnym elementem ewentualnego upowszechnienia podpisu elektronicznego (w różnych postaciach). Jest to jednocześnie postulat trudny do spełnienia, gdyż trudny do pogodzenia z (przyjętym powszechnie jako standard) komercyjnym charakterem działalności wystawiania certyfikatów. Jak zachować dostatecznie dużą część rynku usług PKI dla krajowych przedsiębiorstw? Jest to trudny problem, wymaganie bowiem współdziałania różnych systemów, wzajemne uznawanie certyfikatów wystawianych w różnych krajach i globalny charakter handlu elektronicznego będą ze swej natury faworyzować duże koncerny międzynarodowe. Także niezbędne wymagania ubezpieczenia urzędów certyfikatów od odpowiedzialności cywilnej będą faworyzować duże i zasobne firmy. Jednakże element zaufania jest znacznie łatwiej uzyskać w przypadku fizycznie blisko zlokalizowanej, znanej i ustabilizowanej lokalnej firmy. Obecnie istniejący na rynku potencjalni usługodawcy infrastruktury PKI zwykle reprezentują na ogół albo wielkie koncerny międzynarodowe, albo pewne wąskie grupy interesów (jak na przykład sektor finansowy lub wąskie rynki transakcji business-to-business) i zastosowanie ich doświadczeń i technologii do powszechnego użytku budzi spore wątpliwości. Czy usługi PKI powinny świadczyć terenowe organy administracji państwowej (czy też może powinny one zlecić tę działalność komuś innemu), jakie się z tym wiążą koszty i wyzwania organizacyjno-prawne?

Pogląd, że prawidłowe funkcjonowanie podpisu elektronicznego wymaga szczegółowych regulacji prawnych jest dość rozpowszechniony w piśmiennictwie europejskim. Autorzy tych opinii uważają, że jednorodny, wysoki i wprowadzony ustawowo standard bezpieczeństwa jest niezbędny do funkcjonowania podpisu elektronicznego, niezależnie od bardzo zróżnicowanych zastosowań takiej formy podpisu. Wiąże się z tym, zdaniem tych autorów, potrzeba szczegółowych, zatwierdzanych przez władze państwowe procedur bezpieczeństwa dla urzędów certyfikujących i dla technicznych urządzeń i programów używanych do realizacji podpisu elektronicznego oraz szczegółowa regulacja zasad odpowiedzialności za wystawione certyfikaty. Taki punkt widzenia odzwierciedlony jest na przykład w niemieckiej ustawie o podpisie elektronicznym. Część autorów, zwłaszcza amerykańskich, reprezentuje (także ze względu na odmienny charakter prawa amerykańskiego) odmienny punkt widzenia, zwracając uwagę na bardzo trudne, a nawet niemożliwe, ich zdaniem, prawne sformułowanie elektronicznego analogu własnoręcznego podpisu i związaną z tym rolę umów dwustronnych (oraz ewentualnych rozstrzygnięć w praktyce sądowej) w formowaniu kontraktów. Rolę podpisu elektronicznego widzą raczej w stworzeniu bezpiecznej infrastruktury teleinformatycznej (podpisują i do podpisów przypisane są komputery, a nie ludzie) na potrzeby gospodarki i administracji.