do skonsolidowanego tekstu projektu rozporządzenia
Transkrypt
do skonsolidowanego tekstu projektu rozporządzenia
UWAGI Polskiej Izby Informatyki i Telekomunikacji [PIIT ] do skonsolidowanego tekstu projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (eIDAS). Analiza przekazanego skonsolidowanego tekstu projektu rozporządzenia eIDAS wskazuje na brak wspólnej wizji rozporządzenia oraz jednolitego rozumienia potrzeb e-administracji i rynku przez uczestniczące w tym strony. Poprawki wprowadzane przez Parlament Europejski są daleko rozbieżne z pierwotnie zaproponowanymi zapisami przez Komisję Europejską. Wskazują na inne rozumienie celów, a rozporządzenie przy ich zastosowaniu wydaje się być dalece niespójne. Należy jednocześnie wskazać, iż rozporządzenie wbrew pierwotnym założeniom, zamiast określać cele w zakresie osiągania wysokiego użycia podpisów elektronicznych i zapewnienia ich interoperacyjności na poziomie paneuropejskim, skupiło się na określeniu wymagań technologicznych dla tego narzędzia. Takie podejście będzie skutkowało znaczącym ograniczeniem możliwości rozwojowych rynku podpisu elektronicznego, redukcją innowacyjności, a co za tym idzie możliwe, że zamiast rozszerzenia rynku w tym zakresie doprowadzi do jego ograniczenia i pozostawienia procesowania papierowego. Polska Izba Informatyki i Telekomunikacji stoi na stanowisku, iż rozwiązania prawne nie powinny blokować możliwości rozwoju technologii, stosowania rozwiązań innowacyjnych i stosowania rozwiązań adekwatnych do potrzeb. W tym zakresie należy zwrócić uwagę na fakt, iż zaproponowane w rozporządzeniu eIDAS praktyczne ograniczenie rynku podpisów elektronicznych jedynie do podpisów kwalifikowanych nie wpłynie pozytywnie na żaden z celów, jakie stawia sobie Komisja Europejska w zakresie omawianego rozporządzenia, a wręcz przeciwnie, może spowodować spadek zainteresowania usługami elektronicznymi przez obywateli Europy. Przykładami, które wymagają szczegółowej analizy ze strony rządowej jest wpływ proponowanych zapisów rozporządzenia eIDAS na narzędzia aktualnie wykorzystywane w polskiej e-administracji – tj. podpis potwierdzony profilem zaufanym, podpis PIT, podpisy zaawansowane SEKAP oraz planowane karty ubezpieczenia zdrowotnego i specjalisty medycznego. Brak analizy w tym zakresie może wprost doprowadzić do sytuacji, w której narzędzia stosowane z łatwością przez obywateli polskich będą musiały zostać zastąpione przez podpis kwalifikowany, którego dostępność, funkcjonalność i łatwość użytkowania pozostaje dyskusyjna. Należy zwrócić uwagę, że dążenie do pozostawienia na rynku jedynie podpisu kwalifikowanego, jako narzędzia do realizacji wszystkich usług jest dalece nieprzemyślane pod względem bezpieczeństwa i użyteczności. Należy wskazać, że podpisywanie się kartą, przez oprogramowanie zainstalowane na komputerach użytkowników tylko pozornie pozostaje pod rzeczywistą kontrolą podpisującego, a co za tym idzie podpisujący najczęściej nie ma wiedzy pozwalającej mu w rzeczywistości kontrolować proces składania podpisu elektronicznego. Podpis kwalifikowany, jako narzędzie może być stosowane do wszystkich rodzajów procesów biznesowych, bez ograniczeń. Czyli może służyć zarówno do oświadczenia woli w procesie administracyjnym jak i to samo Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03 1 narzędzie do oświadczenia woli w procesie dysponowania zasobami swojego lub powierzonego majątku. Brak tych ograniczeń skutkuje tym, że wraz z popularyzacją kwalifikowanego podpisu elektronicznego nasilą się ataki, mające na celu wymuszenie podpisów elektronicznych. Projekt rozporządzenia wymuszając stosowanie na rynku podpisu kwalifikowanego nie daje narzędzi do zaadresowania tego ryzyka, a poszczególne zapisy rozporządzenia ustalają technologie w sposób, który uniemożliwi odpowiedź na to ryzyko w krótkim czasie. Stan taki może doprowadzić do sytuacji, w której nawet, jeśli rozporządzenie wymusi rozwój rynku podpisów kwalifikowanych, to poprzez uniemożliwienie zastosowania zabezpieczeń alternatywnych doprowadzi do jego dyskredytacji i wycofania się. Izba zauważając cel, jakim jest bezzwłoczne przyjęcie rozporządzenia, wskazuje, iż w aktualnej postaci rozporządzenie wymaga debaty nie tylko na poziomie realizacji krótkodystansowych celów Komisji Europejskiej, ale także na poziome ograniczeń rozwoju usług elektronicznych, które w wyniku przyjęcia tego rozporządzenia może nastąpić. Brak takiej dyskusji może doprowadzić do sytuacji, w której na obszarze UE rozwój usług elektronicznych zostanie zablokowany. Przedstawiony projekt rozporządzenia w wersji skonsolidowanej ma bardzo wiele elementów, co, do których Izba ma zastrzeżenia, lecz liczba ich zmian i zależność proponowanych zmian między sobą uniemożliwia przedstawienie opinii odnoszącej się do wszystkich zapisów. Poniżej Izba przedstawia uwagi do zapisów, które są najbardziej znaczące. Ref. Art.3 (1)(a) Art.3 (7)(b) Zapis to fully identify a person, or it is capable of identifying guaranteeing the legal validity of the identity of the signatory; Uwaga Identyfikacja to jest zespół cech określających osobę, stwierdzenie pełnej identyfikacji może prowadzić do stwierdzenia, iż w ramach wskazanej identyfikacji należy przekazywać wszystkie dostępne atrybuty dotyczące identyfikowanej osoby. Narusza to w szczególności ochronę danych osobowych, gdzie wskazane jest przekazywanie tylko tych elementów identyfikacji, które są niezbędne dla realizacji danej usługi. Proponujemy pozostawienie dotychczasowego brzmienia zapisu w wersji zaproponowanej przez Komisję. Zapis definicji podpisu zaawansowanego wskazuje konieczność zapewnienia prawnej ważności identyfikacji, taki zapis jest niespójny z dotychczasową definicją podpisu zaawansowanego, a gwarancje prawnej ważności nie są nigdzie określone. Wobec powyższego przepis praktycznie ogranicza stosowanie podpisu zaawansowanego jedynie do podpisów kwalifikowanych oraz podpisów wydanych na podstawie przepisów prawa lokalnego, które tą prawną ważność nadały. Proponujemy pozostawienie dotychczasowego brzmienia zapisu w wersji zaproponowanej przez Komisję. Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03 2 Ref. Art.3 (7)(c) Zapis it is created using an electronic signature creation data device that the signatory can, with high level of confidence, use under his sole control; and Art.20 1.(d) not created by a qualified electronic signature creation device. Art.20 1. 1. An electronic signature shall not be denied have legal effect and admissibility may be admissible as evidence in legal proceedings. Solely on the grounds that it is in an It shall be presumed that the qualified electronic signature offers a higher level of security than other types of electronic form signatures. Uwaga Zapis praktycznie zawęża stosowanie podpisu zaawansowanego w oparciu o dane, co prowadzi do narzucenia technologii w tym zakresie i ograniczenie stosowania popisu zaawansowanego jedynie do podpisów kwalifikowanych. Proponujemy pozostawienie zapisu w brzmieniu odnoszących się do danych. Proponujemy usunięcie słowa qualified – ponieważ taki zapis może skutkować wnioskowaniem, iż podstawą uznawalności podpisu elektronicznego jest utworzenie jego za pomocą narzędzia do składania podpisu elektronicznego. Dotychczasową i stosowaną w technologii podstawą uznawalności podpisów jest stosowanie danych służących do składania podpisu. Przedstawione w propozycji rozwiązanie osłabię możliwość stosowania podpisów bazujących art. na przekazaniu danych identyfikujących w kontrolowanym środowisku, lub podpisy oparte o zapis zachowań. Proponujemy usunięcie z zapisu słowa Qualified. Określenie, że kwalifikowany podpis elektroniczny ma najwyższy poziom bezpieczeństwa jest stwierdzeniem prawnym, który jest niezgodny z możliwościami technologicznymi. Wobec tego w sposób faktyczny ogranicza rozwój rynku i technologii w zakresie bezpieczeństwa. Proponujemy usunięcie drugiego zdania. Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03 3 Ref. Art.20 4. Zapis 4. If an electronic signature with a security assurance level below qualified electronic signature is required, in particular by a Member State or by institutions, bodies, offices and agencies of the Union for completing a transaction accessing a service online offered by a public sector body on the basis of an appropriate assessment of the risks involved in such a service, all electronic signatures matching at least the same security assurance level shall be recognised and accepted for access to that online service. Art. 20a Electronic signatures in public services Art.21 3a 3a. If a qualified certificate for electronic signature has been temporarily suspended, that certificate shall lose its validity for the period of suspension. The period of suspension shall be clearly indicated in the certificate database and shall be visible from the service providing information on the status of the certificate. Art. 28 Legal effects of electronic seal Uwaga Zapis praktycznie ogranicza dostępne technologie jedynie do podpisu kwalifikowanego, ponieważ akceptacja wszystkich podpisów niekwalifikowanych o takim samym lub większym bezpieczeństwie jest nierealizowalna technicznie. W połączeni z zapisem artykułu 20.1 ogranicza stosowanie podpisów w usługach publicznych jedynie do podpisu kwalifikowanego. W Polsce ograniczy to możliwość stosowania wszystkich mechanizmów stosowanych przez urzędy skarbowe, ZUS i NFZ. Zapis uniemożliwia także uruchomienie usługi, której bezpieczeństwo wymaga zastosowania technologii bezpieczniejszych niż podpis kwalifikowany (bo kwalifikowany jest najbezpieczniejszy na bazie artykułu 20.1) Proponujemy ograniczenie zapisów do podpisów zaawansowanych i tylko tych, które znajdują się na publicznie dostępnej liście TSL. Izba stwierdza, iż zaproponowane w artykule zapisy dotyczące dostępnych usług publicznych wyczerpują wymagania interoperacyjności podpisów I powinny być jedynymi ograniczającymi dostępne technologie (zastosowanymi zamiast zapisów wskazanych w art. 20.1 i 20.4) Zapis skutkuje koniecznością jawnego udostępniania informacji o wszystkich zastrzeżeniach certyfikatów kwalifikowanych. Taka realizacja umożliwia prześledzenie życia certyfikatu, a zatem może naruszać ochronę danych osobowych. Aktualnie nie są znane standardy realizujące usługę udostępniania historii zawieszania certyfikatów, a zapis prawny może być interpretowany, jako pełny dostęp dla anonimowego użytkownika. Proponujemy usunięcie zapisu. Uwagi odpowiednie tj. dla podpisów elektronicznych. (d) not created by a qualified electronic seal creation device. Uwagi PIIT do projektu Rozp. PE ws identyfikacji elektronicznej i usług zaufania (eIDAS), 2014-01-03 4