do skonsolidowanego tekstu projektu rozporządzenia

UWAGI
Polskiej Izby Informatyki i Telekomunikacji [PIIT ]
do skonsolidowanego tekstu projektu rozporządzenia Parlamentu Europejskiego i
Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do
transakcji elektronicznych na rynku wewnętrznym (eIDAS).
Analiza przekazanego skonsolidowanego tekstu projektu rozporządzenia eIDAS wskazuje na brak
wspólnej wizji rozporządzenia oraz jednolitego rozumienia potrzeb e-administracji i rynku przez
uczestniczące w tym strony. Poprawki wprowadzane przez Parlament Europejski są daleko
rozbieżne z pierwotnie zaproponowanymi zapisami przez Komisję Europejską. Wskazują na inne
rozumienie celów, a rozporządzenie przy ich zastosowaniu wydaje się być dalece niespójne.
Należy jednocześnie wskazać, iż rozporządzenie wbrew pierwotnym założeniom, zamiast określać
cele w zakresie osiągania wysokiego użycia podpisów elektronicznych i zapewnienia ich
interoperacyjności na poziomie paneuropejskim, skupiło się na określeniu wymagań
technologicznych dla tego narzędzia. Takie podejście będzie skutkowało znaczącym ograniczeniem
możliwości rozwojowych rynku podpisu elektronicznego, redukcją innowacyjności, a co za tym
idzie możliwe, że zamiast rozszerzenia rynku w tym zakresie doprowadzi do jego ograniczenia i
pozostawienia procesowania papierowego.
Polska Izba Informatyki i Telekomunikacji stoi na stanowisku, iż rozwiązania prawne nie powinny
blokować możliwości rozwoju technologii, stosowania rozwiązań innowacyjnych i stosowania
rozwiązań adekwatnych do potrzeb. W tym zakresie należy zwrócić uwagę na fakt, iż
zaproponowane w rozporządzeniu eIDAS praktyczne ograniczenie rynku podpisów elektronicznych
jedynie do podpisów kwalifikowanych nie wpłynie pozytywnie na żaden z celów, jakie stawia
sobie Komisja Europejska w zakresie omawianego rozporządzenia, a wręcz przeciwnie, może
spowodować spadek zainteresowania usługami elektronicznymi przez obywateli Europy.
Przykładami, które wymagają szczegółowej analizy ze strony rządowej jest wpływ
proponowanych zapisów rozporządzenia eIDAS na narzędzia aktualnie wykorzystywane w polskiej
e-administracji – tj. podpis potwierdzony profilem zaufanym, podpis PIT, podpisy zaawansowane
SEKAP oraz planowane karty ubezpieczenia zdrowotnego i specjalisty medycznego. Brak analizy
w tym zakresie może wprost doprowadzić do sytuacji, w której narzędzia stosowane z łatwością
przez obywateli polskich będą musiały zostać zastąpione przez podpis kwalifikowany, którego
dostępność, funkcjonalność i łatwość użytkowania pozostaje dyskusyjna.
Należy zwrócić uwagę, że dążenie do pozostawienia na rynku jedynie podpisu kwalifikowanego,
jako narzędzia do realizacji wszystkich usług jest dalece nieprzemyślane pod względem
bezpieczeństwa i użyteczności. Należy wskazać, że podpisywanie się kartą, przez oprogramowanie
zainstalowane na komputerach użytkowników tylko pozornie pozostaje pod rzeczywistą kontrolą
podpisującego, a co za tym idzie podpisujący najczęściej nie ma wiedzy pozwalającej mu w
rzeczywistości kontrolować proces składania podpisu elektronicznego. Podpis kwalifikowany, jako
narzędzie może być stosowane do wszystkich rodzajów procesów biznesowych, bez ograniczeń.
Czyli może służyć zarówno do oświadczenia woli w procesie administracyjnym jak i to samo
Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03
1
narzędzie do oświadczenia woli w procesie dysponowania zasobami swojego lub powierzonego
majątku. Brak tych ograniczeń skutkuje tym, że wraz z popularyzacją kwalifikowanego podpisu
elektronicznego nasilą się ataki, mające na celu wymuszenie podpisów elektronicznych. Projekt
rozporządzenia wymuszając stosowanie na rynku podpisu kwalifikowanego nie daje narzędzi do
zaadresowania tego ryzyka, a poszczególne zapisy rozporządzenia ustalają technologie w sposób,
który uniemożliwi odpowiedź na to ryzyko w krótkim czasie. Stan taki może doprowadzić do
sytuacji, w której nawet, jeśli rozporządzenie wymusi rozwój rynku podpisów kwalifikowanych, to
poprzez uniemożliwienie zastosowania zabezpieczeń alternatywnych doprowadzi do jego
dyskredytacji i wycofania się.
Izba zauważając cel, jakim jest bezzwłoczne przyjęcie rozporządzenia, wskazuje, iż w aktualnej
postaci rozporządzenie wymaga debaty nie tylko na poziomie realizacji krótkodystansowych celów
Komisji Europejskiej, ale także na poziome ograniczeń rozwoju usług elektronicznych, które w
wyniku przyjęcia tego rozporządzenia może nastąpić. Brak takiej dyskusji może doprowadzić do
sytuacji, w której na obszarze UE rozwój usług elektronicznych zostanie zablokowany.
Przedstawiony projekt rozporządzenia w wersji skonsolidowanej ma bardzo wiele elementów, co,
do których Izba ma zastrzeżenia, lecz liczba ich zmian i zależność proponowanych zmian między
sobą uniemożliwia przedstawienie opinii odnoszącej się do wszystkich zapisów. Poniżej Izba
przedstawia uwagi do zapisów, które są najbardziej znaczące.
Ref.
Art.3 (1)(a)
Art.3 (7)(b)
Zapis
to fully identify a person, or
it is capable of identifying guaranteeing the legal
validity of the identity of the signatory;
Uwaga
Identyfikacja to jest zespół cech określających
osobę, stwierdzenie pełnej identyfikacji może
prowadzić do stwierdzenia, iż w ramach
wskazanej identyfikacji należy przekazywać
wszystkie dostępne atrybuty dotyczące
identyfikowanej osoby. Narusza to w
szczególności ochronę danych osobowych,
gdzie wskazane jest przekazywanie tylko tych
elementów identyfikacji, które są niezbędne
dla realizacji danej usługi.
Proponujemy pozostawienie
dotychczasowego brzmienia zapisu w wersji
zaproponowanej przez Komisję.
Zapis definicji podpisu zaawansowanego
wskazuje konieczność zapewnienia prawnej
ważności identyfikacji, taki zapis jest
niespójny z dotychczasową definicją podpisu
zaawansowanego, a gwarancje prawnej
ważności nie są nigdzie określone. Wobec
powyższego przepis praktycznie ogranicza
stosowanie podpisu zaawansowanego jedynie
do podpisów kwalifikowanych oraz podpisów
wydanych na podstawie przepisów prawa
lokalnego, które tą prawną ważność nadały.
Proponujemy pozostawienie
dotychczasowego brzmienia zapisu w wersji
zaproponowanej przez Komisję.
Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03
2
Ref.
Art.3 (7)(c)
Zapis
it is created using an electronic signature creation
data device that the signatory can, with high level
of confidence, use under his sole control; and
Art.20 1.(d)
not created by a qualified electronic signature
creation device.
Art.20 1.
1. An electronic signature shall not be denied have
legal effect and admissibility may be admissible as
evidence in legal proceedings. Solely on the
grounds that it is in an It shall be presumed that
the qualified electronic signature offers a higher
level of security than other types of electronic
form signatures.
Uwaga
Zapis praktycznie zawęża stosowanie podpisu
zaawansowanego w oparciu o dane, co
prowadzi do narzucenia technologii w tym
zakresie i ograniczenie stosowania popisu
zaawansowanego jedynie do podpisów
kwalifikowanych.
Proponujemy pozostawienie zapisu w
brzmieniu odnoszących się do danych.
Proponujemy usunięcie słowa qualified –
ponieważ taki zapis może skutkować
wnioskowaniem, iż podstawą uznawalności
podpisu elektronicznego jest utworzenie jego
za pomocą narzędzia do składania podpisu
elektronicznego. Dotychczasową i stosowaną
w technologii podstawą uznawalności
podpisów jest stosowanie danych służących
do składania podpisu. Przedstawione w
propozycji rozwiązanie osłabię możliwość
stosowania podpisów bazujących art. na
przekazaniu danych identyfikujących w
kontrolowanym środowisku, lub podpisy
oparte o zapis zachowań.
Proponujemy usunięcie z zapisu słowa
Qualified.
Określenie, że kwalifikowany podpis
elektroniczny ma najwyższy poziom
bezpieczeństwa jest stwierdzeniem prawnym,
który jest niezgodny z możliwościami
technologicznymi. Wobec tego w sposób
faktyczny ogranicza rozwój rynku i technologii
w zakresie bezpieczeństwa.
Proponujemy usunięcie drugiego zdania.
Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03
3
Ref.
Art.20 4.
Zapis
4. If an electronic signature with a security
assurance level below qualified electronic
signature is required, in particular by a Member
State or by institutions, bodies, offices and
agencies of the Union for completing a
transaction accessing a service online offered by a
public sector body on the basis of an appropriate
assessment of the risks involved in such a service,
all electronic signatures matching at least the same
security assurance level shall be recognised and
accepted for access to that online service.
Art. 20a
Electronic signatures in public services
Art.21 3a
3a. If a qualified certificate for electronic
signature has been temporarily suspended, that
certificate shall lose its validity for the period of
suspension. The period of suspension shall be
clearly indicated in the certificate database and
shall be visible from the service providing
information on the status of the certificate.
Art. 28
Legal effects of electronic seal
Uwaga
Zapis praktycznie ogranicza dostępne
technologie jedynie do podpisu
kwalifikowanego, ponieważ akceptacja
wszystkich podpisów niekwalifikowanych o
takim samym lub większym bezpieczeństwie
jest nierealizowalna technicznie. W połączeni
z zapisem artykułu 20.1 ogranicza stosowanie
podpisów w usługach publicznych jedynie do
podpisu kwalifikowanego. W Polsce ograniczy
to możliwość stosowania wszystkich
mechanizmów stosowanych przez urzędy
skarbowe, ZUS i NFZ. Zapis uniemożliwia także
uruchomienie usługi, której bezpieczeństwo
wymaga zastosowania technologii
bezpieczniejszych niż podpis kwalifikowany
(bo kwalifikowany jest najbezpieczniejszy na
bazie artykułu 20.1)
Proponujemy ograniczenie zapisów do
podpisów zaawansowanych i tylko tych,
które znajdują się na publicznie dostępnej
liście TSL.
Izba stwierdza, iż zaproponowane w artykule
zapisy dotyczące dostępnych usług
publicznych wyczerpują wymagania
interoperacyjności podpisów I powinny być
jedynymi ograniczającymi dostępne
technologie (zastosowanymi zamiast zapisów
wskazanych w art. 20.1 i 20.4)
Zapis skutkuje koniecznością jawnego
udostępniania informacji o wszystkich
zastrzeżeniach certyfikatów kwalifikowanych.
Taka realizacja umożliwia prześledzenie życia
certyfikatu, a zatem może naruszać ochronę
danych osobowych. Aktualnie nie są znane
standardy realizujące usługę udostępniania
historii zawieszania certyfikatów, a zapis
prawny może być interpretowany, jako pełny
dostęp dla anonimowego użytkownika.
Proponujemy usunięcie zapisu.
Uwagi odpowiednie tj. dla podpisów
elektronicznych.
(d)
not created by a qualified electronic seal
creation device.
Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03
4