Prawne i technologiczne aspekty podpisu biometrycznego były jednym z tematów poruszanych podczas Forum Prawa Mediów Elektronicznych – ogólnopolskiej konferencji naukową poświęconej różnym zagadnieniom związanym z funkcjonowaniem w świecie wirtualnym, która odbyła się w dniach 9-10 kwietnia w Opolu. Artur Miękina, Dyrektor Sprzedaży Projektów Kluczowych w Pionie Usług Bezpieczeństwa i Zaufania Asseco Data Systems, które było Partnerem Forum, przedstawił zamieszczony poniżej naukowy wywód rozstrzygający wiele wątpliwości związanych z kwestią biometrii.
TWIERDZENIE
Mimo wielu wątpliwości wynikających głównie z zakorzenionych w tradycji stereotypów, nie można na gruncie obowiązujących przepisów odmówić podpisowi w postaci odręcznego znaku graficznego, wykonanemu i utrwalonemu w technologii elektronicznej, statusu podpisu własnoręcznego w rozumieniu prawnym, jeżeli spełnia on wszystkie funkcje podpisu, które w doktrynie prawnej są uznawane za wystarczające, aby wykonany odręcznie znak graficzny stanowił podpis i wraz z powiązaną z nim treścią stanowił dokument spełniający wymagania formy pisemnej w rozumieniu kodeksu cywilnego.
POJĘCIA I DEFINICJE
Na użytek niniejszego wywodu uściślono znaczenie szeregu pojęć, aby uniknąć nieporozumień wynikających z faktu, że wiele słów i określeń, które mają przypisane i ugruntowane znaczenie w systemie prawnym, ma szerszy zakres pojęciowy w rozumieniu słownikowym i mogą być różnie rozumiane oraz używane w różnym kontekście znaczeniowym. Często też w procesie legislacyjnym w sposób nieuprawniony przyjmuje się zawężające interpretacje wielu funkcjonujących instrumentów prawnych i na tej fałszywej podstawie tworzy się nowe przepisy, które wprost wykluczają stosowania nowoczesnych rozwiązań technicznych w obrocie prawnym. Niestety taka niechęć do uznania instrumentów prawnych bazujących na rozwiniętych technologiach nie wynika z „ostrożności procesowej”, jak próbuje się tłumaczyć, ale przede wszystkim z braku dostatecznej wiedzy i mentalności ugruntowanej w epoce wszechobecnego papieru.
Poniżej przedstawiono definicje, które stanowią podstawę sformułowanych w dalszej części założeń, postawienia tezy i przeprowadzenia dowodu.
Kursywą oznaczono określenia, które zostały wprowadzone i zdefiniowane na potrzeby dalszych wywodów, a które nie występują wprost w przepisach polskiego systemu prawnego. Pozostałe określenia nawet jeżeli nie są explicite zdefiniowane w prawie, to są przez to prawo przywoływane.
Wszystkie zdefiniowane pojęcia zostały wyróżnione pogrubioną czcionką i w całym opracowaniu używane tylko w zdefiniowanym poniżej znaczeniu.
- podpis – instrument prawny nadający danej czynności prawnej, w szczególności oświadczeniu woli walor niezaprzeczalności, rozumiany jako artefakt, co do zasady utrwalony w dowolnej postaci (technologii), który jest dołączony lub logicznie powiązany z treścią (informacją) i który utworzony i użyty został świadomie przez osobę wykonującą daną czynność lub składającą oświadczenie woli (wynikające z powiązanej treści) w celu potwierdzenia tego faktu. Podpis nie istnieje jako samodzielny byt, który nie jest powiązany z żadną informacją (np. z treścią oświadczenia woli); niepowiązany z treścią może być co najwyżej wzór podpisu, czyli dane (informacja) pozwalające sprawdzać autentyczność
- odręczny znak graficzny – znak graficzny, który dana osoba wykonała samodzielnie przy użyciu dowolnej techniki, ujawniający pewne cechy behawioralne tej osoby, a który po spełnieniu określonych warunków może być uznany za podpis;
- podpis odręczny – podpis w postaci odręcznego znaku graficznego;
- podpis własnoręczny – podpis będący instrumentem prawnym o szczególnym znaczeniu w systemie prawnym, powstaje w wyniku wykonania odręcznego znaku graficznego osobiście (własnoręcznie) przez osobę składająca podpis; dokument opatrzony podpisem własnoręcznym stanowi formę pisemną w rozumieniu kodeksu
- podpis równoważny podpisowi własnoręcznemu – podpis niebędący podpisem własnoręcznym, ale spełniający wymagania określone przepisami, które pozwalają uznać go za równoważny pod względem skutków prawnych podpisowi własnoręcznemu
- odręczny podpis papierowy – podpis odręczny wykonany z wykorzystaniem technologii „papier – pisak”
- odręczny podpis elektroniczny – podpis odręczny wykonany z wykorzystaniem technologii elektronicznej;
- podpis elektroniczny – podpis, w rozumieniu eIDAS, czyli „dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis” (eIDAS 3 pkt 10);
- kwalifikowany podpis elektroniczny – w rozumieniu eIDAS, podpis elektroniczny równoważny podpisowi własnoręcznemu. W obecnym stanie prawnym za kwalifikowany podpis elektroniczny może być uznany wyłącznie podpis elektroniczny spełniający określone wymagania i wykonany w technologii PKI, bo tylko do tej technologii odnoszą się odpowiednie normy powołane przez eIDAS;
- podpis biometryczny – podpis, w którym utworzone jako podpis dane powiązane są z cechami biometrycznymi (w szczególności z danymi behawioralnymi) osoby składającej podpis;
- biometryczny podpis elektroniczny – podpis elektroniczny, w którym utworzone jako podpis dane powiązane są z cechami biometrycznymi osoby składającej podpis;
- forma pisemna – szczególna forma dokumentowa określona w 78 § 1. „Do zachowania pisemnej formy czynności prawnej wystarcza złożenie własnoręcznego podpisu na dokumencie obejmującym treść oświadczenia woli.”
ZAŁOŻENIA
Na podstawie powyższych definicji i określeń oraz uwzględniając obowiązujące przepisy i tradycyjną doktrynę prawną można założyć, że:
- Każdy podpis własnoręczny jest podpisem odręcznym.
- Każdy odręczny podpis papierowy jest podpisem własnoręcznym.
- Każdy odręczny podpis papierowy jest podpisem
- Odręczny podpis elektroniczny, to podpis, który spełnia ogólną definicję podpisu elektronicznego, a także definicję ogólną podpisu
- Odręczny podpis elektroniczny, na gruncie obowiązującego prawa w zakresie podpisu elektronicznego nie możne być uznany za kwalifikowany podpis elektroniczny, czyli nie może on, jako podpis elektroniczny, korzystać na podstawie przepisu 25 ust 2 eIDAS z domniemania równoważności, pod względem wywoływanych przez niego skutków prawnych, z podpisem własnoręcznym.
TEZA
- Podpis odręczny wykonany i utrwalony w technologii elektronicznej (np. na tablecie) przez daną osobę z intencją złożenia podpisu jako potwierdzenia wyrażenia woli (np. zgody na zawarcie umowy), której treść została jej skutecznie zaprezentowana i powiązana z tym podpisem jest podpisem własnoręcznym w rozumieniu polskiego prawa, a dokument opatrzony takim podpisem spełnia przesłanki formy pisemnej.
- Każdy podpis odręczny jest podpisem własnoręcznym, niezależnie od użytej technologii jego wykonania i utrwalenia.
DOWÓD
Nie ma explicite określonych w prawie zastrzeżeń, na których podstawie podpis elektroniczny utworzony w wyniku wykonania i utrwalenia podpisu odręcznego przy użyciu technologii elektronicznej (lub innej), tylko ze względu na wykorzystaną technologię, nie mógłby być uznany za tożsamy podpisowi własnoręcznemu utworzonemu w wyniku wykonania podpisu odręcznego przy użyciu technologii „papier – pisak”. Odręczny podpis elektroniczny wypełnia cechy i funkcje przypisywane w doktrynie prawnej podpisowi wykonanemu własnoręcznie, czyli wszystkie przepisy dotyczące podpisu własnoręcznego powinny być stosowane wprost do odręcznego podpisu elektronicznego. Czyli odręczny podpis elektroniczny nie musi być rozpatrywany na gruncie przepisów eIDAS jako podpis elektroniczny, który wywołuje lub nie skutki prawne równoważne podpisowi własnoręcznemu w zależności od tego, czy jest kwalifikowanym podpisem elektronicznym, czy też nim nie jest. Rozporządzenie eIDAS nie stanowi prawa o charakterze zawężającym stosowanie i uznawanie podpisów tworzonych i utrwalanych w technologii elektronicznej. Rozporządzenie to reguluje wyłącznie przypadek, w którym podpis nieujawniający cech behawioralnych zarejestrowanych w momencie jego składania może być równoważny podpisowi własnoręcznemu, który takie cechy ujawnia, niezależnie od technologii wykorzystanej przy jego tworzeniu i utrwalaniu.
Należy też zwrócić uwagę, że wyprowadzone rozumowanie nie stoi w sprzeczności z ustawą kodeksem cywilny, którego w art. 78. § 1. Brzmi: „Do zachowania pisemnej formy czynności prawnej wystarcza złożenie własnoręcznego podpisu na dokumencie obejmującym treść oświadczenia woli”. Nie jest w tym przepisie wskazane, że treść dokumentu i podpis muszą być utrwalone na papierze. Gdyby taka była intencja zamawiającego, to musiałby to wyraźnie wskazać, gdyż wcześniej w art. 773 zdefiniował dokument w sposób nieograniczający żadnej technologii dla jego utrwalenia: „Dokumentem jest nośnik informacji umożliwiający zapoznanie się z jej treścią”.
Nie można odmiennego rozumienia wywodzić z art. 781. § 1.: „Do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym”, Jest to przepis, który wskazuje kwalifikowany podpis elektroniczny jak na jedną z możliwości spełnienia formy równoważnej formie pisemnej nie wykluczając istnienia innych możliwości.
Zważywszy na powyższe, na gruncie ogólnych przepisów prawnych, odręczny podpis elektroniczny należy uznać jako podpis własnoręczny. (co należało dowieść)
KOMENTARZ
Postawioną tezę próbuje się podważać stawiając w stosunku do podpisu w postaci odręcznego znaku graficznego utrwalonego elektronicznie m.in. poniższe pytania.
- Jaka jest pewność autentyczności samego odręcznego znaku graficznego utrwalonego elektronicznie, czyli że wykonała go osoba, którą za pomocą tego znaku jest identyfikowana i do której ten znak jako podpis jest przyporządkowywany?
- Czy odręczny znak graficzny jest w sposób jednoznaczny powiązany z treścią, której dotyczy?
- Czy dany odręczny znak graficzny utrwalony elektronicznie był wykonany jako podpis w związku z treścią, z którą jest powiązany, bo powiązanie to mogło nastąpić w późniejszym czasie, niż powstanie tego znaku?
- Czy podpis biometryczny weryfikowany na podstawie cech behawioralnych będzie mógł być traktowany jako podpis własnoręczny dopiero w momencie wskazania w rozporządzeniu eIDAS właściwych norm dotyczących podpisu biometrycznego?
Jeżeli przyjąć powyższe wątpliwości za wystarczające, aby odręczny podpis elektroniczny, na gruncie obecnego prawa, nie uznać za podpis własnoręczny, to również z tego samego powodu nie można uznać za podpis własnoręczny podpisu utworzonego na papierze, ponieważ do podpisu „papierowego” można odnieść te same wątpliwości. W każdym przypadku kwestionowania autentyczności dokumentu i autorstwa podpisu będzie konieczność przeprowadzenia badania eksperckiego nośnika informacji oraz zastosowania odpowiednich metod oceny grafologicznej, które mogą się różnić warsztatowo, ale co do zasady dotyczą w podobny sposób dokumentów opatrzonych odręcznym podpisem papierowym jak i odręcznym podpisem elektronicznym. Nie ma więc racjonalnych powodów, aby nie można obu rodzajów podpisów uznać za podpisy własnoręczne. Bowiem nigdzie w przepisach prawnych nie ma podanych parametrów technicznych, które muszą być mierzalne w podpisie odręcznym (własnoręcznym), aby uznać go za prawdziwy. Nie jest też wprost powiedziane, że podpis własnoręczny musi być złożony na papierze i to o określonych parametrach, aby ewentualnie w przyszłości umożliwić przeprowadzenie przez grafologa badania konkretnych parametrów technicznych tego podpisu ujawniających poszczególne cechy behawioralne. W skrajnym przypadku „tradycyjnego” podpisu wykonanego za pomocą dającego stałą grubość linii, lekko piszącego pisaka na stosunkowo twardym papierze jedyne cechy behawioralne, które można stwierdzić, to te odczytane z utworzonego obrazu znaku graficznego. Brak możliwości stwierdzenia innych cech (takich jak np. nacisk na podłoże lub ułożenie pióra) nie powoduje a priori nieuznania spełnienia formy pisemnej. Co najwyżej można mówić o problemie ustalenia oryginalności (prawdziwości) dokumentu, jeżeli ta oryginalność jest kwestionowana, a nie o niespełnieniu wymogu formy pisemnej. Skutek prawny podpisanego dokumentu papierowego też można kwestionować, twierdząc np., że treść została dopisana po podpisaniu lub że część kartek nieparafowanych została podmieniona. Zatem, co do zasady, dokument papierowy podpisany odręcznie (własnoręcznie) uznany jest za spełniający formę pisemną. Natomiast jeżeli udowodnione zostanie fałszerstwo, to oczywiście dokument nie będzie wywoływał skutków prawnych wynikających z jego treści, a co najwyżej będzie stanowił dowód przestępstwa.
Z podpisanym odręcznie dokumentem elektronicznym jest podobnie. Spełnia on wymagania formy pisemnej, natomiast można podważać skuteczność udokumentowanej za jego pomocą czynności prawnej, ale z innego powodu niż nieważność na skutek niespełnienia formy pisemnej.
W przypadku dokumentu elektronicznego istnieje szereg zabezpieczeń, które znacznie w wyższym stopniu niż w przypadku dokumentu papierowego mogą zwiększyć możliwości stwierdzenia braku fraudu. Zatem nie ma racjonalnych przesłanek, aby odręczny podpis elektroniczny złożony na tablecie (wyposażonym w odpowiednie oprogramowanie) np. przez klienta banku z intencją wyrażenia zgodny na zawarcie umowy, której treść została mu zaprezentowana i w sposób pewny powiązana z odręcznie wykonanym znakiem graficznym nie mógł być uznany za podpis własnoręczny w rozumieniu polskiego prawa.
W tym miejscu należy odnieść się do roli standardów i wymogów dotyczących biometrycznego podpisu elektronicznego, w szczególności wywodzących się z normy ISO/IEC 19794-7:2014. Chodzi tu o wskazanie w przyszłości warunków technicznych jakie ma spełniać biometryczny podpis elektroniczny, aby uznać go w rozumieniu eIDAS jako kwalifikowany podpis elektroniczny równoważny podpisowi własnoręcznemu, na podobnych zasadach jak kwalifikowany podpis elektroniczny bazujący na PKI. Ta sytuacja będzie umożliwiała przede wszystkim automatyczną walidację i akceptację biometrycznego podpisu elektronicznego.
Fakt, że takiej automatycznej walidacji i akceptacji odręcznego podpisu elektronicznego nie można przeprowadzić, nie może powodować nieuznania go za prawnie skuteczny podpis własnoręczny. Podobnie, nie można przeprowadzić automatycznej walidacji i akceptacji papierowego podpisu własnoręcznego, co nie powoduje jego nieskuteczności prawnej.
Należy też pamiętać, że biometryczny podpis elektroniczny nie musi koniecznie bazować zawsze na cechach behawioralnych. Natomiast podpis własnoręczny w ugruntowanej „papierowej” doktrynie prawnej swoją unikatowość wywodzi z pewnych behawioralnych cech osobowych. W tym kontekście odręczny podpis elektroniczny, wskazujący na te same cechy behawioralne, należy uznać za podpis własnoręczny.
Gdyby miało być inaczej, to prawodawca musiałby wprowadzić stosowne ograniczenie skutków prawnych odręcznie wykonanego podpisu w innej technologii niż papierowa. Dopóki tak się nie stanie, a nie powinno, przedstawioną argumentację należy uznać za prawidłową. Nie oznacza to oczywiście, że w praktyce sądowej nie będzie można spotkać się z próbami kwestionowania podpisu odręcznego wykonanego w technologii elektronicznej. Dlatego z ostrożności procesowej, szczególnie w pierwszym okresie stosowania odręcznego podpisu elektronicznego wskazane jest uzyskanie opinii autorytetów prawniczych potwierdzających zachowanie formy pisemnej, jeżeli dla danego typu czynności prawnych ta forma jest wymagana pod rygorem nieważności. I dalej, należy zadbać, aby proces podpisywania za pomocą środków elektronicznych dostarczył niepodważalnych dowodów pozwalających oddalić ewentualne zarzuty kwestionujące oryginalność powstałego dokumentu, które może wnosić strona procesu mimo uznanej pod względem formalno-prawnego zgodności tego dokumentu z formą pisemną.
Warto też odnieść się do niektórych przepisów odrębnych, które potwierdzają przeprowadzony dowód, gdyż w przeciwnym przypadku byłyby świadectwem braku ładu prawnego wynikającego z niezrozumienia istoty nowych technologii.
Ilustracją może być art. 131 ab ust. 5 ustawy Prawo zamówień publicznych: „Ofertę składa się, pod rygorem nieważności, w formie pisemnej w postaci papierowej albo, za zgodą zamawiającego, w postaci elektronicznej, opatrzoną przez wykonawcę odpowiednio własnoręcznym podpisem albo kwalifikowanym podpisem elektronicznym”.
Ustawodawca wyraźnie wyróżnia formę pisemną w postaci papierowej, czyli jest świadomy, że może być również forma pisemna np. w postaci elektronicznej w odróżnieniu od formy elektronicznej równoważnej formie pisemnej.
SUPLEMENT
Należy zwrócić uwagę, że kwalifikowany podpis elektroniczny można walidować w sposób automatyczny korzystając z odpowiedniej funkcjonalności dostępnej aplikacji (np. Acrobat Reader DC), natomiast podpis własnoręczny można poddać ocenie stosowanej przy sprawdzaniu podpisu własnoręcznego utrwalonego na dokumencie papierowym. Jednak w przypadku postaci elektronicznej jest większa pewność, że podpis został złożony w związku z treścią dokumentu i że ta treść nie została potem zmieniona. O tym zaświadcza pieczęć podmiotu odpowiedzialnego za prawidłowe działanie oprogramowania podpisującego.
Artur Miękina, Dyrektor Sprzedaży Projektów Kluczowych w Pionie Usług Bezpieczeństwa i Zaufania, Asseco Data Systems
Andrzej Ruciński, Doradca Prezesa Zarządu ds Usług Zaufania, Asseco Data Systems