Redakcja Asseco News
e-mail: [email protected]
Czy kwalifikowany podpis elektroniczny jest ważny bez kwalifikowanego znacznika czasu? Czy data deklaratywna jest wystarczająca do jego bezwarunkowego potwierdzenia? Jakie w tym kontekście obowiązują przepisy prawa unijnego?
W poprzednim artykule pisałem o okolicznościach, które są przyczyną wydania raportu przez kwalifikowaną usługę walidacji (QVS) określającego status podpisu elektronicznego jako „nieokreślony” lub „walidacja warunkowa” (INDETERMINATE). Teraz chciałbym zastanowić się nad interpretacją takiego statusu i możliwością uznania podpisu za kwalifikowany podpis elektroniczny.
Czy podpis bez kwalifikowanego znacznika czasu jest ważny?
Zacznę od przypadku, który budzi dużo wątpliwości, a często też emocji. Chodzi o ocenę ważności kwalifikowanego podpisu elektronicznego (QES) przy braku kwalifikowanego znacznika czasu (QTS) w strukturze tego podpisu. Poniżej przedstawiam analizę problemu zakończoną istotnymi wnioskami stanowiącymi podsumowanie, do którego odsyłam te osoby, które nie są w tym momencie zainteresowane czytaniem całości szczegółowego uzasadnienia.
Prawo nie wymaga, aby dla uznania ważności QES był on oznaczony QTS, ale wymaga, aby podpis złożony był w okresie ważności certyfikatu, który służy do jego walidacji. Przy tym należy podkreślić, że ważny QES, czyli złożony w okresie ważności certyfikatu, nie traci swojej ważności z upływem czasu, nawet wówczas, gdy ważność straci już certyfikat, a sam podpis nie był wcześniej oznaczony czasem. Oznaczenie podpisu znacznikiem czasu, jeszcze przed utratą ważności przez certyfikat, nie przedłuża ważności podpisu, tylko dostarcza dowodu na czas jego złożenia. Nie oznacza to jednak, że ten dowód jest konieczny dla uznania podpisu za QES nawet wówczas, gdy status podpisu określamy w okresie, w którym certyfikat jest już nieważny.
Zastrzeżenie dotyczące ważności certyfikatu w momencie składania podpisu ma swoje oczywiste uzasadnienie. W okresie ważności certyfikatu osoba identyfikowana tym certyfikatem zobowiązana jest do bezwzględnej ochrony dostępu do danych służących do składania podpisu elektronicznego, czyli tzw. klucza prywatnego rezydującego np. w karcie kryptograficznej (tzw. QSCD – w posiadaniu podpisującego) lub w infrastrukturze kwalifikowanego usługodawcy (HSM – dostęp zdalny). Za pomocą tego klucza tworzy się podpis elektroniczny, który jest weryfikowany przy użyciu komplementarnego klucza publicznego zawartego w certyfikacie. Posiadacz certyfikatu ponosi pełną prawną odpowiedzialność za skutki podpisu, który został złożony w okresie ważności certyfikatu, także w ewentualnym przypadku, gdyby nie on użył przypisanego do niego klucza prywatnego. Natomiast podpis złożony poza okresem nominalnej ważności certyfikatu albo po jego unieważnieniu nie korzysta z domniemania, że złożyła go osoba identyfikowana certyfikatem, gdyż osoba ta nie miała już prawnego obowiązku, albo wręcz nie miała możliwości zapobiec użyciu klucza prywatnego przez inną osobę.
Jak to sprawdzić?
Jak zatem stwierdzić, że w momencie składania podpisu certyfikat był ważny? Należy tu rozważyć dwa przypadki.
Ad 1. Daty początku i końca nominalnej ważności certyfikatu wskazane są w certyfikacie. Jednak przed końcem wskazanej ważności certyfikat może zostać unieważniony. Dlatego musi nastąpić dodatkowe sprawdzenie, czy mimo ważności nominalnej, nadal jest ważny, czyli np. nie figuruje na liście unieważnionych certyfikatów (CRL) publikowanej przez wystawcę certyfikatu. Jeżeli w momencie weryfikacji podpisu certyfikat jest w okresie ważności, na który został wydany i jednocześnie nie został unieważniony, to podpis można uznać za QES (pod warunkiem, że spełnia on również inne wymagania stawiane podpisowi kwalifikowanemu). Każda poprawnie działająca aplikacja weryfikująca potwierdzi wówczas ważność badanego QES. Wynik kwalifikowanej walidacji będzie tu też jednoznacznie pozytywny (TOTALPASSED), czyli otrzymamy poświadczenie mówiące, że sprawdzany podpis jest ważnym kwalifikowanym podpisem elektronicznym (QES). Warto przypomnieć, że otrzymane poświadczenie wydane przez QVS stanowi dowód korzystający z prawnego domniemania prawdziwości. Dzięki temu można będzie w przyszłości dowieść ważności QES, jeżeli po latach ten fakt będzie kwestionowany, np. w procesie sądowym, przez jedną ze stron, która będzie miała w tym swój interes i będzie powoływała się na różne okoliczności, w tym m.in. na opisane poniżej.
Ad 2. Sprawdzenie statusu podpisu elektronicznego następuje po utracie ważności przez certyfikat. Dla ważności podpisu nie jest istotny moment jego weryfikacji, ale moment jego złożenia. Skąd zatem wiemy, kiedy podpis był złożony? Zgodnie z wymaganiami dotyczącymi formatu podpisu w jego strukturze zawarta jest data, która stanowi tzw. atrybut podpisany, czyli taki, który wraz z treścią dokumentu stanowi integralną całość objętą podpisem. Data ta jest przeważnie datą systemową pobieraną z komputera lub serwera, na którym realizowany jest proces składania podpisu. Z punktu oceny prawnej datę tę należy traktować jako datę deklaratywną. Nasuwa się pytanie, czy to wystarczy do weryfikacji ważności kwalifikowanego podpisu elektronicznego? Co do zasady, data ta powinna być brana pod uwagę przy określaniu momentu złożenia podpisu. Można tu wskazać analogię do daty deklarowanej i podpisu na dokumencie papierowym. Bez racjonalnych przesłanek nie kwestionuje się ani daty deklaratywnej, ani prawdziwości podpisu własnoręcznego. W przeciwnym przypadku byłoby to bezpodstawne posądzenie osoby podpisującej o manipulacje lub wręcz oskarżenie o fałszerstwo strony posługującej się tak podpisanym dokumentem. Wyjątkowo tylko, gdy data złożenia podpisu ma szczególne znaczenie dla skutków prawnych wynikających z określonego następstwa faktów, prawo wymaga tzw. urzędowego poświadczenia daty. Mamy wówczas do czynienia z kodeksowo określoną datą pewną, której ekwiwalentem w obrocie elektronicznym jest kwalifikowany znacznik czasu (QTS). Warto zauważyć w tym miejscu, że w przypadku dokumentu elektronicznego znacznik czasu gwarantuje wiarygodność daty złożenia QES, której prawdziwość, w przeciwieństwie do wiarygodności daty złożenia podpisu własnoręcznego, jest istotna w przypadku próby kwestionowania podpisu jako artefaktu powstałego w wyniku działania osoby identyfikowanej za pomocą tego podpisu. Autorstwo podpisu własnoręcznego, jeżeli jest podważane, można z dużym prawdopodobieństwem potwierdzić (lub wykluczyć) dzięki utrwalonym cechom behawioralnym, które nie zależą od momentu, w którym podpis był złożony. A jak wspomniałem wcześniej moment złożenia podpisu elektronicznego ma istotne znaczenie dla oceny jego ważności.
Unia Europejska uznaje datę deklaratywną
Mimo często podnoszonych wątpliwości, zasadnicze znaczenie powinien mieć przede wszystkim fakt, że unijny prawodawca nie zastrzegł dla uznania ważności QES konieczności opatrywania podpisu znacznikiem czasu uznając, że data deklaratywna wskazuje moment złożenia podpisu. Muszą zatem istnieć uzasadnione przesłanki, aby poddawać wątpliwości prawdziwość tej daty, a tym samym kwestionować ważność podpisu, a dokumentowi nim opatrzonemu odmawiać zachowania formy elektronicznej równoważnej formie pisemnej w rozumieniu k.c. Jeżeli podważamy ważność podpisu ze względu na możliwość zmanipulowania daty deklaratywnej, to raczej nie podważamy zachowania kodeksowej formy elektronicznej dokumentu, ale wskazujemy na jego ewentualne sfałszowanie.
Trzeba tu też wyjaśnić, że znacznik czasu dołączany po złożeniu podpisu nie zaświadcza wprost o momencie podpisania, ale o tym, że moment ten nastąpił wcześniej, niż ten znacznik został utworzony. Jeżeli certyfikat był (jeszcze) ważny w dacie wskazanej w znaczniku czasu, to przyjmuje się, że musiał być też ważny w momencie składania podpisu. Jeżeli znacznik czasu został dołączony w procesie składania podpisu, to wskazana przez niego data nie różni się praktycznie od daty deklaratywnej. Wówczas pozytywna (lub negatywna) weryfikacja ważności certyfikatu na moment znacznika (QST), przeprowadzona w dowolnym czasie, nie budzi wątpliwości. Jeżeli natomiast podpis lub dokument został oznaczony QTS później (np. podczas przekazywania lub odbioru dokumentu), to fakt, że w dacie wskazywanej przez znacznik certyfikat był już nieważny (np. unieważniony) nie oznacza, że był on również nieważny w momencie składania podpisu, na który wskazuje data deklaratywna. Jest to sytuacja analogiczna do przypadku, gdy weryfikacja następuje w okresie nieważności certyfikatu przy braku znacznika czasu. Zgodnie z tym, co zostało napisane wcześniej, powinno się wówczas wziąć pod uwagę datę deklaratywną, z ewentualnymi zastrzeżeniami, o czym w dalszej części artykułu.
Podważenie prawdziwości podpisu
Na problem warto spojrzeć z perspektywy poszczególnych stron mających interes prawny i faktyczny w uznaniu lub zakwestionowaniu podpisanego dokumentu elektronicznego.
Jeżeli w momencie wskazanym przez datę deklaratywną certyfikat był w okresie ważności nominalnej i nie został wcześniej unieważniony, to istnieje domniemanie, że podpis jest kwalifikowanym podpisem elektronicznym. Nie może być tu mowy o niespełnieniu np. kodeksowej formy elektronicznej równoważnej formie pisemnej tylko z tego powodu, że nie jest oznaczony znacznikiem czasu.
Jeżeli jedna z zainteresowanych stron chciałaby podważyć prawdziwość daty deklaratywnej, to musiałaby to udowodnić lub w sposób przekonywujący to uprawdopodobnić. W przeciwnym przypadku, jak wcześniej już wskazałem, byłoby to bezpodstawne formułowanie oskarżenia w stosunku do osoby podpisującej lub strony przekładającej podpisany dokument o sfałszowanie tego dokumentu.
Jednak czym innym jest bezpodstawne kwestionowanie ważności podpisu lub jego statusu prawnego, a czym innym zabezpieczenie się na okoliczność ewentualnych późniejszych sporów. Spór taki może powstać, gdy np. osoba lub strona, w której imieniu dana osoba działała, będzie kwestionować autorstwo lub status złożonego podpisu, chcąc w ten sposób uniknąć odpowiedzialności za zobowiązania wynikające z treści podpisanego dokumentu.
Takie niebezpieczeństwo istnieje głównie w przypadku, gdy strona akceptująca otrzymała dokument od strony trzeciej (np. jako „sprzedaż” zobowiązania osoby identyfikowanej za pomocą podpisu). Przy braku wiarygodnych dowodów wynik sporu o ustalenie autorstwa podpisu (lub odpowiedzialności za podpisany dokument) może być trudny do przewidzenia, choć w przypadku sporu konsumenta z podmiotem komercyjnym, ten pierwszy zawsze będzie korzystał z pewnego uprzywilejowania. Dlatego warto, nie tylko w takiej sytuacji, zadbać o posiadanie odpowiednich niepodważalnych dowodów na ważność podpisu.
Jeżeli podmiot, który sam przekazał dokument potwierdzający swoje oświadczenie woli, neguje później ważność podpisu lub jego autorstwo, to nawet w przypadku przedstawienia na to wiarygodnych dowodów, to i tak, na gruncie obowiązującego prawa, może nie uniknąć odpowiedzialności za wyrządzenie drugiej stronie szkody poprzez świadome (lub nie) przedstawienia wadliwych dokumentów.
W obrocie prawnym strony często muszą założyć pewien stopień wzajemnego zaufania mając świadomość, że naruszenie tego zaufania przez jedną ze stron narusza również prawo, za co grozi odpowiedzialność karna. W przypadku podpisu elektronicznego, polski ustawodawca przewidział surową karę (włącznie z ograniczeniem wolności do lat 3) za wykorzystanie danych do składania kwalifikowanego podpisu elektronicznego przyporządkowanych do innej osoby.
Podpisy w przetargu
W praktyce, decyzja o zaakceptowaniu QES przy braku znacznika czasu może zależeć m.in. od charakteru czynności prawnej, ale przede wszystkim od oceny ryzyka biznesowego, a czasem też od istnienia dowodów lub okoliczności, które uprawdopodobniają lub podważają wiarygodność daty deklaratywnej.
Może warto tu, dla zilustrowania problemu, odnieść się do konkretnego przykładu oceny ważności QES przez stronę akceptującą dokument w postępowaniu przetargowym w reżimie zamówień publicznych. Jeżeli zamawiający nie poczynił dodatkowych wymagań poza tym, że dokument ma być opatrzony kwalifikowanym podpisem elektronicznym, to nie ma podstaw do podważania daty deklaratywnej. Należy przyjąć, podobnie jak było w postepowaniu „papierowym”, że wszystkie podpisy oraz widniejące w dokumentach daty są prawdziwe. Jeżeli okazałoby się jeszcze przed podpisaniem umowy, że jest inaczej, to składający ofertę poniesie konsekwencje przewidziane za składanie nieprawdziwych (fałszywych?) dokumentów (utrata wadium nie musi być tu jedyną dotkliwością). Z kolei przy podpisaniu umowy warto zadbać, aby treść oferty, jeżeli stanowi integralny z umową załącznik, była podpisana ponownie przez wykonawcę. A wszystkie podpisy, którymi jest opatrzona umowa oraz załączniki powinny być oznaczone czasem, poddane walidacji, a być może też poddane konserwacji, jeżeli będzie to wynikało z charakteru umowy i z długookresowych wzajemnych zobowiązań stron.
Być może, że dla uniknięcia sporów i opóźnień z powodów formalnych zarzutów ze strony uczestników postępowania przetargowego, zamawiający mógłby zażądać, aby wszystkie certyfikaty kwalifikowanych podpisów elektronicznych były ważne w momencie składania oferty lub podpisy były oznaczone kwalifikowanym znacznikiem czasem. A załączone dokumenty, które powstały wcześniej i posiadają podpisy, których certyfikaty już wygasły, były np. dodatkowo potwierdzone za zgodność przez wykonawcę poprzez złożenie QES opartego na aktualnym certyfikacie. Jednak tego typu obostrzenia formalne, nawet jak dopuszczalne prawnie, mogą prowadzić do konieczności odrzucania korzystnych ofert wyłącznie z powodu niespełnienia (z różnych przyczyn) nadmiarowych wymagań, co nie byłoby też korzystne dla zamawiającego.
Trzeba też pamiętać, że poza znacznikiem czasu, również i inne okoliczności mogą zaświadczyć o ważności certyfikatu w momencie składania podpisu. Jeżeli np. w postępowaniu przetargowym podpisana oferta wpłynęła w okresie ważności certyfikatu, to świadczy, że podpis też został złożony, gdy certyfikat był ważny. Podważanie tego faktu w dalszej części postępowania, nawet gdy weryfikacja następuje już po utracie ważności certyfikatu nie może być skuteczne.
Warto jeszcze rozważyć przypadek kwestionowania ważności QES, którym opatrzona jest oferta jednego z uczestników postępowania, przez innego uczestnika tego samego postępowania zainteresowanego odrzuceniem tej oferty. Zarzut, że data deklaratywna nie jest wiarygodna bez podania jakichkolwiek sensownych przesłanek nie zasługuje na uznanie. Na zamawiającym z pewnością nie ciąży obowiązek przedstawienia stronie protestującej dodatkowych dowodów na wiarygodności daty deklaratywnej. Z drugiej strony, zamawiający nie może też odrzucić oferty, tylko z tego powodu, że podpis nie jest oznaczony kwalifikowanym znacznikiem czasu.
Jednak z tzw. ostrożności procesowej, strona akceptująca dokument w momencie jego przyjmowania powinna od razu przeprowadzić weryfikację podpisu i w przypadku, gdy jest ona pozytywna, a podpis nie zawiera QST, to oznaczyć go czasem. A najlepiej skorzystać z kwalifikowanej usługi walidacji, która dostarczy obok informacji o ważności kwalifikowanego podpisu elektronicznego również dowód, co zabezpieczy stronę akceptującą przed próbą podważenia ważności QES w przyszłości.
Oczywiście znacznik czasu, choć nie jest wymagany, to dołączony na zakończenie procesu podpisywania ucina wszelkie spekulacje i wyklucza praktycznie podważenie ważności podpisu z powodu nieważności certyfikatu. I co najważniejsze kwalifikowana usługa walidacji wyda w takim przypadku poświadczenie (dowód) potwierdzające, że podpis jest kwalifikowanym podpisem elektronicznym (TOTALPASSED).
Wiarygodne domniemanie a niepodważalny dowód
I tu, dochodzimy do wyjaśnienia, dlaczego kwalifikowana usługa walidacji (QVS) wywołana w momencie nieważności certyfikatu i braku znacznika czasu, opierając się tylko na dacie deklaratywnej, nie może wydać zaświadczenia potwierdzającego kwalifikowany status podpisu, a może wydać tylko poświadczenie warunkowe. Bowiem poświadczenie oznaczone jako TOTALPASSED, stanowi niepodważalny dowód m.in. na to, że podpis został złożony w okresie ważności certyfikatu i w tym zakresie zastępuje rolę znacznika czasu dołączonego w okresie ważności certyfikatu. Natomiast usługa walidacji nie dysponuje w tym przypadku niepodważalnym dowodem np. w postaci QTS, a tylko domniemaniem, że podpis został złożony w momencie, gdy certyfikat był jeszcze ważny. Podmiot akceptujący podpis może przyjąć to domniemanie oparte na przesłankach prawnych, a także ważąc inne okoliczności i ocenę ryzyka. Jest jednak oczywiste, że QVS nie może opierając się na tych samych przesłankach potwierdzić kwalifikowany statusu podpisu elektronicznego.
Kwalifikowana usługa walidacji (QVS) nie może zamienić domniemania, nawet wiarygodnego, prawdziwości daty złożenia podpisu w niepodważalny dowód mający status prawny daty pewnej.
Co ważne, osoba posiadająca kwalifikowany certyfikat musi być świadoma konieczności ochrony przypisanych do niej tzw. faktorów umożliwiających wykonanie podpisu. Chodzi tu o niedopuszczenie do poznania przez inną osoba poufnych danych (np. PIN, hasła) lub przejęcie przez inną osobę urządzenia do składania podpisu (QSCD, np. karty kryptograficznej). W przeciwnym przypadku posiadacz certyfikatu może ponieść odpowiedzialność za zobowiązanie opatrzone podpisem elektronicznym weryfikowanym jego certyfikatem nawet, jeżeli nie złożył tego podpisu. Istnieje bowiem prawne domniemanie, że dane do składania podpisu (klucz prywatny) jest pod wyłączną kontrolą osoby identyfikowanej certyfikatem, który służy do weryfikacji (walidacji) podpisu elektronicznego. Dlatego trzeba żądać od wystawcy certyfikatu jego unieważnienia w każdym przypadku stwierdzenia lub powzięcia uprawdopodobnionego przypuszczenia, że mogło nastąpić ujawnienie lub przejęcie faktorów pozwalających złożyć podpis.
Z drugiej strony podpisujący musi pamiętać, że po unieważnieniu certyfikatu (a także po wygaśnięciu jego ważności) złożony przez niego podpis (na co niektóre aplikacje niestety pozwalają) nie będzie mógł być uznany za podpis kwalifikowany. Czyli np. po zgłoszeniu unieważnienia certyfikatu z powodu przypuszczenia zgubienia karty, która później odnalazła się w okolicznościach niebudzących wątpliwości, że nikt obcy nie miał do niej dostępu (np. była zamknięta w sejfie), taka karta nie powinna być w żadnym przypadku używana, a powinna być zniszczona przez użytkownika albo powinien on usunąć z karty klucz prywatny.
Problem użycia klucza prywatnego poza okresem ważności nie występuje w przypadku korzystania ze zdalnej usługi podpisu (np. SimplySign), o czym wspomnę w podsumowaniu.
Podsumowanie
Na zakończenie warto wspomnieć, że dość skomplikowany problem z oceną ważności QES w kontekście momentu jego złożenia praktycznie nie występuje w przypadku korzystania ze zdalnej usługi kwalifikowanego podpisu elektronicznego (tzw. QES on remote QSCD, np. SimplySign). Klucz prywatny znajduje się wówczas w bezpiecznej infrastrukturze technicznej kwalifikowanego usługodawcy i jest dostępny tyko w okresie ważności certyfikatu, a po tym okresie jest niszczony. Jeżeli zatem powstał QES oparty na kwalifikowanym certyfikacie powiązanym ze zdalnym kluczem prywatnym, to znaczy, że podpis został złożony w okresie ważności certyfikatu.
P.S. W kolejnym artykule postaram się omówić możliwość uznania ważności QES w przypadkach, gdy wynik walidacji jest warunkowy (INDETERMINATE) z innych powodów niż brak kwalifikowanego znacznika czasu (QTS).
Andrzej Ruciński, Doradca Prezesa, Asseco Data Systems
Poprzedni wpis