Podpis elektroniczny i świadczenie usług drogą elektroniczną

Istotne znaczenie w definiowaniu szeregu terminów właściwych dla komunikowania się w społeczeństwie informacyjnym ma Ustawa z dnia 18 lipca 2002 r. oświadczeniu usług drogą elektroniczną . Określone w niej zasady znajdują zastosowanie do niemal wszystkich form realizowanych on-line.

Zgodnie z ustawą świadczeniem usługi drogą elektroniczną jest ?wykonanie usługi, które następuje przez wysyłanie i odbieranie danych za pomocą systemów teleinformatycznych, na indywidualne żądanie usługobiorcy, bez jednoczesnej obecności stron, przy czym dane te są transmitowane za pośrednictwem sieci publicznych? . Pojęcie zawarte w tym akcie prawnym stanowi odpowiednik pojęcia usługi społeczeństwa informacyjnego, występującego w dyrektywie 2000/31/WE . W samej dyrektywie termin usługi społeczeństwa informacyjnego nie został jednak zdefiniowany, lecz odwołuje się ona w tym zakresie do definicji zawartej w art. 1 ust. 2 dyrektywy 98/48/WE . Zakres usługi społeczeństwa informacyjnego został doprecyzowany w aneksie nr 5 do dyrektywy 98/48/WE, w którym wskazano przykłady usług nie mających takiego charakteru .

Dla przyjęcia, że usługa jest świadczona droga elektroniczną, konieczne jest łączne spełnienie następujących przesłanek:
- wykonanie usługi powinno nastąpić bez jednoczesnej obecności stron,
- wykonanie usługi powinno nastąpić przez wysłanie i odbieranie danych za pomocą systemów teleinformatycznych,
- usługa powinna być świadczona na indywidualne żądanie stron,
- wysyłanie i odbieranie danych powinno nastąpić za pośrednictwem publicznych sieci teleinformatycznych .
Zgodnie z treścią aneksu nr 5 pkt 1 do dyrektywy 98/48/WE, wymóg braku jednoczesnej obecności stron interpretowany jest jako brak fizycznej obecności usługodawcy i usługobiorcy w jednym miejscu w chwili wykonania usługi.

Jedną z najistotniejszych kwestii związanych ze świadczeniem usług drogą elektroniczną jest zapewnienie poufności i integralności przesyłanych danych, tak by dane ?zachowanie się? wyrażone przy użyciu mediów informatycznych mogło być uznane za prawne skuteczne oświadczenie woli danego podmiotu. Uczestnicy obrotu muszą mieć pewność, iż przesyłane dane, dokumenty oraz oświadczenia woli dotrą do adresata w niezmienionej postaci, a ponadto będą dawać co najmniej takie same gwarancje jak korespondencja na papierze .

Zgodnie z art. 60 Kodeksu cywilnego ?z zastrzeżeniem wyjątków w ustawie przewidzianych, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej?. Brzmienie to zostało ustalone przez ustawę o podpisie elektronicznym z 18 września 2001 r. Wprowadzenie zmiany art. 60 k.c. nie rozwiązało jednakże wszystkich problemów dotyczących dopuszczalności i skutków składania oświadczeń woli przez środki komunikacji elektronicznej. Należy zauważyć, iż nowe środki komunikowania się, w szczególności komputer i Internet, powodują zmianę w sposobie i możliwościach składania oświadczeń woli. Dotychczas każdorazowe złożenie oświadczenia woli czy to w formie pisemnej, czy ustnej musiało zostać zaakceptowane przez człowieka. Przy składaniu oświadczenia woli poprzez nowoczesne środki komunikacji nie jest każdorazowo wymagana zgoda, a nawet wiedza człowieka .

Jednoznaczne stwierdzenie autentyczności dokumentu bądź tożsamości składającego oświadczenie woli przy wymianie informacji drogą elektroniczną staje się szczególnie ważne w kontekście świadczenia usług przez administrację publiczną poprzez nowoczesne środki komunikacji. Kwestia zrównania dowodu z dokumentu tradycyjnego i elektronicznego została uregulowana w art. 5 ust. 2 u.p.e., zgodnie z którym dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrznym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. Ustawa dokonała w zakresie swojej regulacji dyrektywy 1999/93/WE z 13 grudnia 1999r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych . Podpis elektroniczny jest ogólną nazwą różnych technik potwierdzania autentyczności dokumentu i tożsamości jego nadawcy przy wymianie informacji drogą elektroniczną. Podpis elektroniczny musi spełnić te same warunki co podpis zwykły, tzn. powinien być trudny lub niemożliwy do podrobienia, stwarzać możliwość weryfikacji i trwale łączyć się z dokumentem.
Ustawa wprowadza definicję legalną podpisu elektronicznego w art. 3 pkt 1. Są to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Tak więc aby można było mówić o podpisie elektronicznym muszą być spełnione łącznie dwie przesłanki:
- istnieją dane w postaci elektronicznej,
- są one dołączone do innych danych

Zasada równoważności wymaga, by podpis elektroniczny był równie wiarygodny co własnoręczny. Ustawa nie obejmuje wszystkich rodzajów podpisów elektronicznych. Ustęp 2 art. 5 wyraźnie stanowi, iż dane w postaci elektronicznej są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi tylko wtedy, gdy opatrzone są bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu .

Bezpiecznym podpisem elektronicznym zgodnie z art. 3 pkt 2 u.p.e. jest podpis elektroniczny, który spełnia następujące kryteria:
1. Jest przyporządkowany wyłącznie do osoby składającej ten podpis.
O przyporządkowaniu podpisu wyłącznie do jednej osoby zaświadcza certyfikat. Ma on zapewniać, iż konkretna osoba rzeczywiście podpisała określone dane.
2. Jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego.

Przez “bezpieczne urządzenie służące do składania podpisu elektronicznego” rozumie się urządzenie spełniające wymagania określone w u.p.e. w art. 18. Zgodnie z nimi takie urządzenie powinno uniemożliwić pozyskiwanie danych służących do składania podpisu elektronicznego, nie zmieniać danych, które mają zostać podpisane lub poświadczone elektronicznie oraz umożliwić przedstawienie tych danych osobie składającej podpis przed chwilą jego złożenia. Urządzenie to powinno również gwarantować, że złożenie podpisu będzie poprzedzone wyraźnym ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem podpisu elektronicznego oraz zapewnić łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania podpisu lub poświadczenia elektronicznego.
3. Jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

Kwalifikowany certyfikat, o którym mowa w art. 5 ust. 2 to taki, który spełnia warunki określone w u.p.e., wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w art. 3 pkt 12 u.p.e. Kwalifikowanym podmiotem świadczącym usługi certyfikacyjne jest podmiot świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne . Zgodnie z ustawą, kompetencję do prowadzenia owego rejestru posiada minister właściwy do spraw gospodarki. Minister podejmuje decyzje o wpisie do rejestru, kontroluje działalność podmiotów pod kątem zgodności z ustawą i może nakładać kary. Minister wydaje również zaświadczenie certyfikacyjne, bez którego nie jest możliwe wydanie kwalifikowanego certyfikatu.

Należy zauważyć, że podpis elektroniczny, któremu poświęcona jest u.p.e. jest w istocie podpisem cyfrowym. Pod pojęciem podpisu elektronicznego rozumie się zarówno rozpowszechniony obecnie podpis cyfrowy oraz inne techniki, które mogą być wykorzystywane jako metody identyfikacji podpisującego w sposób elektroniczny. Przykładowo mogą to być metody biometryczne, oparte na własnoręcznym podpisie .
Stosowane obecnie podpisy cyfrowe opierają się na algorytmach kluczy prywatnych i publicznych. Jeden służy do tworzenia podpisu elektronicznego, drugi do jego weryfikacji. Stanowią one matematycznie powiązaną parę, przy czym klucze te nie są identyczne . Klucz prywatny jest używany tylko przez tworzącego podpis cyfrowy tj. podpisującego, a klucz publiczny z założenia używany jest przez większą liczbę osób. Dostęp do klucza publicznego uzyskać można bądź przez pobranie go bezpośrednio od posiadacza odpowiadającego mu klucza prywatnego, jak również w miejscu publikacji on-line kluczy publicznych, np. w reprozytorium. Może być także załączony do certyfikatu zaświadczającego o posiadaczu klucza prywatnego .

Klucz prywatny może być przechowywany na dysku, karcie mikroprocesorowej, a dostęp do niego uzyskuje się po podaniu indywidualnego kodu dostępu (PIN) czy też przy pomocy urządzeń biometrycznych służących do identyfikacji, np. sprawdzające zgodność linii papilarnych palca .
Podpis cyfrowy jest ciągiem bitów zależnym od podpisywanej wiadomości, który wytwarza osoba podpisująca dokument , przekształcając wiadomość kryptograficznie, za pomocą klucza prywatnego. Postać podpisu cyfrowego zależy zarówno od klucza podpisującego, jak i od tekstu, pod którym został umieszczony. Użycie innego klucza podpisującego lub przeniesienie gotowego podpisu na inny dokument zawsze zostanie wykryte w procesie weryfikacji .

Podpis cyfrowy zapewnia również integralność podpisywanego dokumentu, każda zmiana w tekście powstała po zakończeniu procedury podpisywania, będąca wynikiem celowych działań osób postronnych czy też błędów powstałych podczas transmisji, spowoduje, że wynik weryfikacji podpisu będzie negatywny.
Jednym z najważniejszych aspektów funkcjonowania podpisu elektronicznego jest jednoznaczne potwierdzenie tożsamości podpisującej się elektronicznie osoby, szczególnie w sytuacji gdy komunikacja przebiega w systemie otwartym (np. w Internecie). Konieczne jest uwierzytelnienie przynależności kluczy przez zaufaną osobę trzecią. Zaświadczenie polega na wydawaniu certyfikatów ? stąd jej nazwa: instytucja certyfikująca.

Certyfikat ma za zadanie co najmniej:
- identyfikować podmiot go wystawiający,
- określać osobę dla której został wystawiony
- zawierać klucz publiczny tej osoby,
- wskazywać okres ważności certyfikatu .

Nadawca, wysyłając do odbiorcy podpisany elektronicznie dokument, dołącza do niego certyfikat, a odbiorca odszyfrowuje go, posługując się kluczem publicznym pobranym z certyfikatu, dzięki temu wie, że na pewno należy on do nadawcy. Cyfrowy certyfikat, aby był bezpieczny, musi być elektronicznie podpisany przez swojego nadawcę, czyli organizację certyfikującą dla potwierdzenia ważności i autentyczności wydawanych certyfikatów. Innymi słowy, jest zaszyfrowany przy użyciu prywatnego klucza należącego do tej organizacji . Organy certyfikujące mają więc również wydawane świadectwa wiarygodności ? certyfikaty. W taki sposób tworzy się struktura klucza publicznego (public key infrastructure, PKI). Jej organizacja polega na tym, że stojący najwyżej hierarchicznie urząd certyfikacyjny, zaświadcza o kluczach prywatnych innych podmiotów certyfikujących. W literaturze bardzo często podkreślany jest fakt, że podważenie wiarygodności klucza podmiotu stojącego najwyżej w infrastrukturze, powoduje reakcję łańcuchową, gdyż nie można wiarygodnie zweryfikować kluczy prywatnych innych podmiotów certyfikujących .

Podmiotem świadczącym usługi certyfikacyjne może być również jednostka samorządu terytorialnego. By zapewnić swą wiarygodność, podmiot świadczący takie usługi sporządza tzw. politykę certyfikacji, w której może zawrzeć procedurę wystawiania, zawieszania, unieważniania certyfikatów. Może również określać przedsięwzięta środki w celu zapewnienia ich bezpieczeństwa, ochrony danych, zasady korzystania z certyfikatów, zakres deklarowanej odpowiedzialności czy też wyłączeń odpowiedzialności.
Bez dokonywanej przez podmioty certyfikujące weryfikacji podpisu i identyfikacji składającej go osoby system nie mógł by funkcjonować. Artykuł 5 ust. 1 u.p.e. reguluje kwestię skutków prawnych sygnowania dokumentów bezpiecznym podpisem elektronicznym. Przepis wprowadza w tym zakresie dwie zasady. W myśl pierwszej z nich opatrywanie dokumentów bezpiecznym podpisem elektronicznym wywołuje skutki prawne wyłącznie wtedy, gdy ważny jest certyfikat, który pozwala na identyfikację bezpiecznego podpisu elektronicznego i identyfikację osoby składającej taki podpis. Druga z zasad głosi z kolei, że złożenie bezpiecznego podpisu elektronicznego w okresie zawieszenia certyfikatu powoduje, że skutek prawny takiej czynności wystąpi dopiero z chwilą uchylenia zawieszenia tego certyfikatu .

Podpis elektroniczny otworzył możliwość wykorzystania elektronicznej wymiany dokumentów w administracji publicznej, a co za tym idzie udostępniania przez urzędy coraz szerszego wachlarza e-usług. Wykorzystanie podpisu w sposób wynikający z u.p.e. pozwala na stworzenie mechanizmów w sposób jednoznaczny umożliwiający identyfikację osoby kontaktującej się z urzędem za pomocą Internetu, likwidując jednocześnie konieczność tworzenia skomplikowanych systemów zarządzania hasłami i uprawnieniami z nich wynikających. Jednak bez uproszczenia przepisów u.p.e. i wprowadzenia prostszych form podpisu elektronicznego w codziennych kontaktach obywatela z urzędem wdrażanie podpisu elektronicznego w administracji będzie niezwykle trudne. W relacji osoba-urząd musimy stosować bezpieczny podpis elektroniczny, a bez doprowadzenia do modyfikacji definicji bezpiecznego urządzenia do składania podpisu elektronicznego stosowanie tej formy będzie marginalne .