Dyrektywa Unii Europejskiej

W Polsce trwają obecnie prace nad ustawą w sprawie podpisów elektronicznych. W związku z wymogiem harmonizacji porządków prawnych krajów-kandydatów z prawem unijnym warto poświęcić nieco miejsca opublikowanej w styczniu br. Dyrektywie Parlamentu Europejskiego i Rady z 13 grudnia 1999 r. w sprawie ogólnych zasad podpisów elektronicznych, która ma być implementowana przez wszystkie kraje członkowskie przed 19 lipca 2001 r. Polski ustawodawca uchwalając ustawę o podpisach elektronicznych będzie z całą pewnością czerpać z zasad przyjętych w Dyrektywie.Potrzeba regulacjiOficjalne prace nad Dyrektywą rozpoczęto w 1997 r. Zostały one wymuszone potrzebami wynikającymi ze stosowania w obrocie prawnym coraz bardziej wyrafinowanych technik. Internet i inne otwarte sieci informatyczne umożliwiają wzrost prędkości obrotu prawnego, aczkolwiek z drugiej strony używanie środków elektronicznej wymiany informacji może stawiać wyzwania polegające na zapewnieniu niezbędnego poziomu bezpieczeństwa obrotu. Rosnące znaczenie elektronicznej wymiany informacji, w tym dynamiczny rozwój handlu elektronicznego, stwarza konieczność rozwijania skutecznych metod potwierdzania autentyczności i integralności dokumentów elektronicznych (w tym podpisów elektronicznych). Obrót elektroniczny musi umożliwiać przynajmniej taki sam stopień pewności, jak obrót oparty na papierowym obiegu dokumentów. W literaturze fachowej wskazuje się, że obecnie istnieją już dość skuteczne metody potwierdzania autentyczności i integralności elektronicznych dokumentów, które czynią je bardziej pewnymi niż dokumenty sporządzone na papierze. Można zaryzykować twierdzenie, że metody takie w przyszłości pozwolą na osiągnięcie stopnia pewności nie mniejszego niż ma to miejsce w przypadku sporządzania dokumentu w obecności notariusza.Podpis elektronicznya podpis cyfrowyObecnie najbardziej popularną metodą elektronicznego podpisywania dokumentów jest metoda tzw. klucza asymetrycznego oparta na jednym z dwóch algorytmów kodowania, tj. RSA lub DSA. ?Podpis? składany na elektronicznych dokumentach przy użyciu tej metody to podpis cyfrowy. Jest to jeden z możliwych sposobów elektronicznego podpisywania dokumentów. Innymi słowy, podpis cyfrowy to kategoria pojęciowa węższa niż podpis elektroniczny ? każdy podpis cyfrowy jest podpisem elektronicznym, natomiast tylko niektóre podpisy elektroniczne są podpisami cyfrowymi. Największe nadzieje na przyszłość wiąże się z potwierdzaniem autentyczności i integralności dokumentów przy użyciu metod biometrycznych, tzn. wymagających np. odczytania przez automat odcisku palca, wzoru dna oka lub pozwalających na niezawodne zidentyfikowanie i powiązanie z dokumentem elektronicznym składanego na żądanie maszyny podpisu własnoręcznego. Metody biometryczne mogą być stosowane np. w połączeniu z metodami klucza asymetrycznego. Dynamiczny rozwój metod kryptograficznych oraz ich znaczna różnorodność sprawiają, że nie jest celowe, by wybraną metodę podpisu elektronicznego ujmować w ramy prawne, pozostawiając poza regulacjami inne metody. Prawidłowe jest jednak założenie, aby prawo ingerowało w możliwie minimalnym zakresie, by pozostawiało zasadom wolnego rynku ?autoregulację? w wielu dziedzinach, zgodnie z potrzebami obrotu. Ponadto, słuszny jest postulat, aby rozwiązania prawne były na tyle elastyczne, by być wystarczającymi ramami umożliwiającymi stosowanie obecnie istniejących, skutecznych metod technicznych oraz by nie poddawały się one szybko próbie czasu. Postulat ten głosi, by wszelkie uregulowania w tym zakresie opierały się na zasadzie neutralności technologicznej (medialnej). Z postulatem tym zgodna jest Dyrektywa UE, choć jeszcze w 1997 r. w dokumentach Unii dominowało podejście, które miało prowadzić do przygotowania projektu dyrektywy w sprawie podpisów cyfrowych (nie elektronicznych). Nie faworyzuje ona żadnego sposobu elektronicznego podpisywania dokumentów. Opiera się tym samym na innych założeniach niż uchwalona w 1995 r. ustawa o podpisach cyfrowych amerykańskiego stanu Utah oraz ustawa o podpisach cyfrowych uchwalona w 1997 r. w Niemczech. Obie te ustawy sankcjonowały prawnie używanie jedynie jednego rodzaju podpisów elektronicznych, mianowicie podpisu (sygnatury) cyfrowej (digital signature, digitale Signatur) opartego na zasadzie kodowania za pomocą kluczy asymetrycznych (klucza publicznego i prywatnego). Ustawa stanu Utah została już w duchu zasady neutralności technologicznej zmieniona. Będzie musiała zostać zmieniona również ustawa niemiecka, w związku z koniecznością implemenacji zasad zawartych w Dyrektywie UE.Podstawowe założenia Dyrektywa ma za zadanie ułatwić używanie i uznanie prawne podpisów elektronicznych w obrocie prawnym krajów członkowskich, zarówno tym o charakterze prywatno-prawnym, jak i w kontaktach z organami administracji publicznej. Nie zajmuje się ona natomiast kwestią zawarcia i ważności umów i innych zobowiązań w przypadku gdy prawo krajowe lub wspólnotowe zawiera wymagania dotyczące formy czynności prawnych czy zasad dotyczących posługiwania się dokumentami.Zgodnie z definicją zawartą w Dyrektywie, podpis elektroniczny to dane elektroniczne dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, które służą jako metoda potwierdzenia ich autentyczności. W świetle tej definicji również imię i nazwisko wpisane na klawiaturze pod treścią dokumentu jest podpisem elektronicznym. Są nimi, oczywiście, również bardziej wyrafinowane metody elektronicznego podpisywania dokumentów (w tym podpis cyfrowy). Dyrektywa zawiera także definicję zaawansowanego podpisu elektronicznego (advanced electronic signature). Pod pojęciem tym rozumie się każdy podpis elektroniczny, który spełnia następujące wymogi: a) jest w niepowtarzalny sposób powiązany z podpisującym, b) pozwala na identyfikację podpisującego, c) jest tworzony przy użyciu środków, które mogą znajdować się pod wyłączną kontrolą podpisującego, d) jest powiązany z danymi, do których się odnosi, w sposób, który pozwala na wykrycie jakiekolwiek zmiany treści tych danych po złożeniu podpisu. Podpisy elektroniczne mogą być oparte na certyfikatach. Certyfikat to, elektroniczne potwierdzenie, które pozwala na powiązanie danych służących weryfikacji podpisu z daną osobą, pozwalające na ustalenie tożsamości tej osoby. Dyrektywa rozróżnia certyfikaty zwykłe oraz kwalifikowane, które odpowiadają zaostrzonym wymogom określonym w jednym z aneksów do Dyrektywy. Certyfikaty wydawane są przez usługodawców certyfikacyjnych (certification-service-providers). Świadczenie usług certyfikacyjnych nie może być uzależnione od uprzedniego uzyskania zezwolenia lub koncesji. Usługodawcy mogą jednak poddać się dobrowolnej akredytacji, przy upoważnionych do prowadzenia stosownego rejestru oraz ustalania wymogów technicznych podmiotach prywatnych lub organach publicznych.Dyrektywa zakłada, że zaawansowane podpisy elektroniczne, oparte na certyfikacie kwalifikowanym, tworzone za pomocą bezpiecznych narzędzi tworzenia podpisów (przy założeniu, że narzędzia takie spełniają wymogi określone w jednym z aneksów do Dyrektywy) będą uznawane w krajach członkowskich Unii za mające taką samą moc prawną, jak podpisy własnoręczne. Co więcej, zaawansowane podpisy cyfrowe (a raczej dokumenty elektroniczne nimi opatrzone) mają być dopuszczalne jako dowód w postępowaniach prawnych (sądowych i administracyjnych). Jakimkolwiek innym podpisom elektronicznym nie można jednak odmówić doniosłości prawnej tylko na tej podstawie, że istnieją one w formie elektronicznej, nie są oparte na certyfikacie kwalifikowanym, w szczególności wydanym przez wystawcę certyfikatu poddanego dobrowolnej akredytacji, a także dlatego, że nie stworzono ich przy użyciu bezpiecznego narzędzia tworzenia podpisów. Innymi słowy, Dyrektywa wprowadza domniemanie prawnej doniosłości każdego podpisu elektronicznego, aczkolwiek w przypadku podpisów innych niż zaawansowane domniemanie można to obalić.Ponadto Dyrektywa określa zarys odpowiedzialności wystawców certyfikatów, ochrony danych osobowych gromadzonych przez takie podmioty oraz zasad uznawania certyfikatów wystawianych w innych krajach, w tym w krajach nie członkowskich. Dokument ten stwarza również podstawy do powołania Komitetu ds. Podpisów Elektronicznych, działającego przy Komisji Europejskiej, m.in. nadzorującego implemetację i działanie Dyrektywy.

Tadeusz PiątekAndrzej StosioTadeusz Piątek kieruje zespołem prawa technologii informatycznych i telekomunikacji w Kancelarii Allen & Overy Poland Sp. z o.o. WarszawieAndrzej Stosio jest aplikantem adwokackim zatrudnionym w tejże kancelarii.