Prawne aspekty wykorzystania technologii cyfrowych w komunikacji

urząd – obywatel

Dr Dariusz Adamski

Prof. dr hab. Mirosław Kutyłowski

USTAWA

z dnia 18 września 2001 r.

o podpisie elektronicznym

Art. 58.2

W terminie 4 lat od dnia wejścia w życie ustawy

organy władzy publicznej

umożliwią odbiorcom usług certyfikacyjnych

wnoszenie podań i wniosków

oraz innych czynności

w postaci elektronicznej,

w przypadkach gdy przepisy

prawa wymagają składania ich w określonej formie

lub według określonego wzoru.

Art. 58.3

Minister właściwy do spraw gospodarki (...)

określi, w drodze rozporządzenia,

warunki techniczne i warunki bezpieczeństwa udostępniania formularzy i

wzorów, o których mowa w ust. 2.

Art. 3.13

usługi certyfikacyjne –

usługi (...) związane z

podpisem elektronicznym,   

Art. 3.1

podpis elektroniczny –

dane w postaci elektronicznej,

które wraz z innymi danymi,

do których zostały dołączone lub

z którymi są logicznie powiązane,

służą do identyfikacji osoby składającej podpis elektroniczny,

 

Art. 3.10

Certyfikat –

elektroniczne zaświadczenie,

za pomocą którego

dane służące do weryfikacji podpisu elektronicznego

są przyporządkowane do osoby

składającej podpis elektroniczny i

które umożliwiają identyfikację tej osoby,

Bezpieczny podpis elektroniczny

weryfikowany przy pomocy

kwalifikowanego certyfikatu

zapewnia integralność danych

opatrzonych tym podpisem i

jednoznaczne wskazanie kwalifikowanego certyfikatu,

w ten sposób, że

rozpoznawalne są wszelkie zmiany tych danych

oraz

zmiany wskazania kwalifikowanego certyfikatu wykorzystywanego do weryfikacji tego podpisu,

dokonane po złożeniu podpisu (art. 5.3)

Dane w postaci elektronicznej

opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego

kwalifikowanego certyfikatu

są równoważne pod względem skutków prawnych dokumentom opatrzonym

podpisami własnoręcznymi,

chyba że przepisy odrębne stanowią inaczej (art. 5.3)

bezpieczny podpis elektroniczny weryfikowany przy pomocy WAŻNEGO kwalifikowanego certyfikatu

stanowi dowód tego, żezostał on złożony przez

osobę określoną w tym certyfikacie, jako składającą podpis elektroniczny (art. 6.1).

Nie można powoływać się, żepodpis elektroniczny weryfikowany przy pomocy

ważnego kwalifikowanego certyfikatunie został złożony za pomocą bezpiecznych urządzeń i

danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny (art. 6.3).

Art. 8

nie można odmówić

ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że

1. istnieje w postaci elektronicznej lub

2. dane służące do weryfikacji podpisu

nie mają kwalifikowanego certyfikatu, lub

3. nie został złożony za pomocą bezpiecznego urządzenia

służącego do składania podpisu elektronicznego

Ustawa

z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania

publiczne

Art. 36.5 zmienia art. 63 kodeksu postępowania administracyjnego

Art. 63 § 1 kpa

Podania

(żądania, wyjaśnienia, odwołania, zażalenia)

mogą być wnoszone pisemnie, telegraficznie lub za pomocą dalekopisu, telefaksu, poczty

elektronicznej albo za pomocą formularza umieszczonego na stronie internetowej

właściwego organu administracji publicznej, umożliwiającego wprowadzenie danych do

systemu teleinformatycznego tego organu, a także ustnie do protokołu

Art. 63 § 3.a kpa

Podanie wniesione w formie

dokumentu elektronicznego powinno:

1) być opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą

ważnego kwalifikowanego certyfikatu (...) oraz

2) zawierać dane w ustalonym formacie, zawarte we wzorze podania określonym w odrębnych

przepisach, jeżeli te przepisy nakazują wnoszenie podań według określonego wzoru.

Czy obrany kierunek jest właściwy?

Rozwiązania austriackie

E-Goverment Gesetz (E-Gov-G)

27.02.2004

Platforma sprzętowa – Bürgerkarte

ograniczone wymagania, niższe niż dla bezpiecznych urządzeń do składania podpisu elektronicznego

niezależność od platformy technologicznej Istniejące implementacje:

Klasyczna karta chipowa Karta bankomatowa Maestro (od lutego 2005) Karta SIM do telefonów komórkowych

Cele

identyfikacja osoby (prawnej, fizycznej, …) w kontaktach z urzędem, …

realizacja „zwykłego podpisu elektronicznego” bez uwierzytelnienia treści dokumentu

silny nacisk na ochronę danych osobowych

Tajny identyfikator – Stammzahl

zapisany jedynie na Bürgerkarte wyprowadzalny przez serwer w centralnym urzędzie

(Stammzahlenregisterbehörde) wyprowadzenie identyfikatora: szyfrowanie nietajnego

identyfikatora za pomocą 3-DESa i tajnego klucza

mechanizm podobny do PINu – nie musi być zapisany w żadnej bazie danych w celu weryfikacji

Identyfikatory „jawne” - bPK

• bereichsspezifisches Personenkennzeichen• bPK służy identyfikacji osoby jedynie w ściśle

określonym kręgu spraw• różne zakresy spraw różne bPK⇒• bPK danej osoby może być przechowywany jedynie

w obrębie systemu odpowiedzialnego za określony zakres spraw

Wyprowadzenie bPK

Przy pomocy szyfrowania tajnym kluczem (dla osób fizycznych) lub hashowania (dla pozostałych) z:

Stammzahl identyfikatora zakresu spraw

Przebieg uwierzytelniania

1. Osoba przedkłada dokument elektroniczny wraz z odpowiednim bPK

2. Urząd przesyła bPK do sprawdzenia do odpowiedniego centralnego serwera

3. Serwer potwierdza (lub nie), że bPK odpowiada danej sobie

Główne cechy - podsumowanie

w kontaktach z administracją publiczną nacisk na identyfikację osoby a nie uwierzytelnianie dokumentu

łatwość implementacji sprzętowej, ucieczka od problemów z ochroną klucza prywatnego

Inne ważne aspekty

Dokument elektroniczny może zostać wydrukowany na papierze wraz z podpisem elektronicznym – możliwa weryfikacja z wersji papierowej

Amtssignatur – podpis urzędu a nie osoby fizycznej pracującej w urzędzie

Inne ważne aspekty

Verwaltungssignatur – podpis elektroniczny, ale bez silnego zabezpieczenia kluczy prywatnych, na Bürgerkarte,

dopuszczony do 31.12.2007

wyraz realizmu, w Polsce takiego okresu przejściowego

nie ma

Dziękujemy za uwagę

Dariusz Adamski

daadamski@prawo.uni.wroc.pl

Mirosław Kutyłowski

mirekk@im.pwr.wroc.pl