Istniały też rozwiązania zamknięte, w których dla określonej grupy użytkowników tworzono całą infrastrukturę do zarządzania dokumentami elektronicznymi, stosując certyfikaty klucza publicznego do zabezpieczania ich integralności, a często także do szyfrowania. Przykładem takich zamkniętych rozwiązań stworzonych przed wspomnianą ustawą jest system ELIXIR, w którym upoważnieni pracownicy banków za pośrednictwem Krajowej Izby Rozliczeniowej otrzymywali zestawy do składania podpisów elektronicznych i szyfrowania przesyłanych do systemu transakcji (bez użycia papieru). Podobnie dokonywany jest obrót papierami wartościowymi, które w postaci zdematerializowanej zapisywane są na rachunkach w Krajowym Depozycie Papierów Wartościowych. Nieco później Zakład Ubezpieczeń Społecznych stworzył system pozwalający płatnikom składek na przesyłanie dokumentów ubezpieczeniowych opatrzonych podpisem elektronicznym poprzez aplikacje Płatnik. Technologia podpisu elektronicznego była i jest wykorzystywana nadal na potrzeby zabezpieczenia witryn internetowych, co ma szczególne zastosowanie np. w bankowości elektronicznej. Niektóre banki, oprócz zabezpieczania samej witryny, wykorzystywały certyfikaty klucza publicznego także do uwierzytelniania swoich klientów. Certyfikat niekwalifikowany pozwala na identyfikację tożsamości oraz podnosi poziom bezpieczeństwa przy elektronicznej wymianie danych (zabezpieczania poczty elektronicznej poprzez szyfrowanie).
Ustawa o podpisie elektronicznym wprowadziła do polskiego systemu instytucję bezpiecznego podpisu elektronicznego, który gwarantuje integralność oświadczenia woli oraz stanowi źródło wiarygodnych informacji o osobie składającej podpis, pozwalając w sposób jednoznaczny potwierdzić jej tożsamość. Certyfikat kwalifikowany, będący integralnym elementem bezpiecznego podpisu elektronicznego, ma mieć znacznie szersze zastosowanie, posiadając moc dowodu osobistego w świecie internetowym.
Co to oznacza dla zwykłego podpisu elektronicznego, który przez wiele lat był skuteczny i powszechnie używany przez instytucje finansowe i klientów tych instytucji? Czy nagle stał się mniej wiarygodny? Przecież banki nadal korzystają z certyfikatów niekwalifikowanych do zabezpieczania transakcji, nierzadko na dość duże kwoty. Kto z nas nie posiada konta bankowego? Powierzając oszczędności bankom, ufamy, że są one właściwie zabezpieczone. Niestety, w celu załatwienia prostej sprawy publicznej, kiedy to w interesie petenta leży podanie właściwych danych, zwykły podpis elektroniczny jest niewystarczający. Przecież podpis elektroniczny to jeden z najważniejszych elementów społeczeństwa informacyjnego, a certyfikaty niekwalifikowane są skuteczne i dozwolone z prawnego punktu widzenia. Nie można bowiem „odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego” 2 . Utrudnieniem w wykorzystaniu certyfikatów niekwalifikowanych są uwarunkowania prawne, a mianowicie niejednoznaczność czy wręcz sprzeczność przepisów w tym zakresie. Kodeks postępowania administracyjnego wymaga, by „podanie wniesione w formie dokumentu elektronicznego było opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu przy zachowaniu zasad przewidzianych w przepisach o podpisie elektronicznym oraz powinno zawierać dane w ustalonym formacie, zawarte we wzorze podania określonym w odrębnych przepisach, jeżeli te przepisy nakazują wnoszenie podań według określonego wzoru” 3 . A zatem wszczęcie postępowania administracyjnego jest możliwe po doręczeniu dokumentu elektronicznego podpisanego bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego certyfikatu kwalifikowanego. Ponadto „oświadczenie woli złożone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu jest równoważne z oświadczeniem woli złożonym w formie pisemnej” 4 . W świetle prawa tylko bezpieczny podpis elektroniczny jest równoważny z podpisem własnoręcznym.
Takie przepisy nie sprzyjają szerzeniu idei społeczeństwa informacyjnego, a wręcz uniemożliwiają rozpowszechnienie usług elektronicznych. Choć nie można powoływać się, że podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu nie został złożony za pomocą bezpiecznych urządzeń i danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny, to zwykły podpis elektroniczny nie nadaje oświadczeniu woli mocy prawnej, pozwalając jednak na uwierzytelnienie podmiotu, który się nim posługuje. Zatem w pisemnej umowie pomiędzy stronami wymieniającymi się dokumentami podpisanymi certyfikatami niekwalifikowanymi powinny być zawarte zapisy o wzajemnym uznaniu takich podpisów, wysłanie bowiem dokumentu podpisanego certyfikatem niekwalifikowanym niesie ze sobą skutki prawne tylko wtedy, gdy obie strony się na to zgodzą.
W myśl obowiązujących przepisów prawa organy administracji publicznej mogą „świadczyć usługi certyfikacyjne (..) wyłącznie na użytek własny lub innych organów władzy publicznej…”5 – tym bardziej że „prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie wymaga uzyskania zezwolenia, ani koncesji” 6 . Jednocześnie ustawa o podpisie elektronicznym zezwala na świadczenie usług certyfikacyjnych przez samorząd terytorialny na zasadach niezarobkowych dla członków wspólnoty samorządowej, czyli dla „ogółu mieszkańców jednostek zasadniczego podziału terytorialnego stanowiącego z mocy prawa wspólnotę samorządową” 7 . Oznacza to, że zamieszkiwanie na terenie gminy jest równoznaczne z przynależnością do wspólnoty samorządowej. Na mocy tych przepisów powstało Centrum Certyfikacji Województwa Podlaskiego (CCWP) wydające podpisy elektroniczne niekwalifikowane, najpierw dla partnerów uczestniczących w projekcie, a następnie dla obywateli. E-podpis w zamierzeniach miał służyć do pracy administracji publicznej oraz do załatwiania spraw poprzez Cyfrowy Urząd Województwa Podlaskiego. Cóż z tego, skoro zgodnie z obowiązującym prawem nie jest on równoważny podpisowi własnoręcznemu. Wyobraźmy sobie taką sytuację:
Obiegowi Dokumentów (EOD) do odpowiedniego urzędnika.
I co dalej?
No właśnie: zgodnie z regulacjami prawnymi zawartymi między innymi w kpa oraz ustawie o podpisie elektronicznym urzędnik musi wezwać klienta do uzupełnienia braku formalnego pisma, czyli mówiąc wprost: zmusza go, aby przyszedł do urzędu i podpisał pismo własnoręcznie lub podpisem kwalifikowanym. Dlaczego? Bo podpis kwalifikowany jest równoważny „własnoręcznemu” – czyli interpretując przepis prawny na zasadzie definiowania negatywnego: niekwalifikowany nie jest równoważny. Urzędnik musi zatem sprawę założoną i podpisaną podpisem niekwalifikowanym potraktować jako niepodpisaną – czyli jak pismo papierowe bez podpisu i zachować się w ten sam sposób, jak w przypadku pisma papierowego: wezwać do uzupełnienia braku. Trochę absurdalne, ale niestety prawdziwe. Oczywiście można, a nawet trzeba podpisywać umowy cywilnoprawne z użytkownikami podpisów niekwalifikowanych (dotyczące ich używania), można podpisać umowy z jednostkami samorządów terytorialnych (dotyczące uznawania certyfikatów wydanych przez CCWP) – nie zmienia to jednak postaci rzeczy, że taki podpis nie ma zawsze mocy prawnej.
1 Art. 3 ust.1 ustawy o podpisie elektronicznym z dnia 18 września 2001 r. (Dz. U. z 2001 r., Nr 130, poz. 1450 z późn. zm.). Zobacz część II artykułu „Centra certyfikacji – jak rozwiązać problem” >>> Więcej informacji na ten temat znajdą Państwo TUTAJ >>>
2 Art. 8 ust. 8 ustawy o podpisie elektronicznym (Dz. U. jw.).
3Art.63 § 3a kodeksu postępowania administracyjnego (t. jedn. – Dz. U. z 2000 r., Nr 98, poz. 1071).
4Art. 78 § 2 kodeksu cywilnego (Dz. U. z 1964 r., Nr 16, poz. 93 z późn. zm.).
5Art. 9 ust 2 ustawy o podpisie elektronicznym (Dz. U. jw.).
6Art.9 ust.1 ustawy o podpisie elektronicznym (Dz. U. jw.).
7Art. 16 ust.1 Konstytucji RP