Stanovisko

odbornej skupiny pri Slovenskej informatickej spoločnosti

k textu

“Návrhu na zaujatie stanoviska vlády SR ku návrhu skupiny poslancov na vydanie zákona o elektronickom podpise”

Mat. č. UV 2967/2001

 

Skupina poslancov Národnej rady Slovenskej republiky predložila návrh na vydanie zákona Národnej rady Slovenskej republiky o elektronickom podpise.

Na rokovanie vlády SR sa návrh predkladá podľa § 70 ods. 2 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení neskorších predpisov.

Predmetom poslaneckého návrhu zákona je upraviť vzťahy pri vytváraní a používaní elektronického podpisu a ochranu a hodnovernosť elektronických dokumentov podpísaných elektronickým podpisom.

V čase predloženia poslaneckého návrhu zákona je v legislatívnom procese tiež návrh zákona o elektronickom podpise, ktorý predložilo Ministerstvo hospodárstva SR podľa Plánu legislatívnych úloh vlády na rok 2001 a v súčasnosti je v štádiu jeho posúdenia v Legislatívnej rade vlády. Z toho dôvodu návrh na zaujatie stanoviska vlády vychádza z komparácie týchto dvoch návrhov zákonov. Koncepcia obidvoch návrhov zákonov je rovnaká, obidva návrhy zavádzajú rovnaké právne inštitúty.

Poslanecký návrh zákona o elektronickom podpise má odlišnú filozofiu (koncepciu) ako vládny návrh. Poslanecký návrh sa od vládneho odlišuje predovšetkým:

  1. prístupom k vytváraniu zákona (poslanecký návrh uplatňuje prístup zdola nahor; od konkrétneho k všeobecnému)

  2. východiskovými dokumentami (pre poslanecký to je Direktíva 1999/93/EC, technické normy a štandardy; pre vládny Vzorový zákon UNCITRAL-u a Direktíva 1999/93/EC )

  3. mierou konkrétnosti (poslanecký návrh je konkrétnejší, popisuje základné subjekty a objekty PKI, vzťahy medzi nimi, základné operácie, ktoré v PKI prebiehajú; vládny návrh je všeobecnejší)

  4. terminológiou (poslanecký návrh vychádza z predpokladu, že sa PKI bude budovať na základe asymetrických šifrovacích systémov a realizovať v súlade s platnými technickými normami; preto používa štandardnú terminológiu. Vládny návrh zákona sa usiluje byť technologicky neutrálny a zavádza v odborných kruhoch nepoužívanú neštandardnú terminológiu.)

  5. miestom elektronického podpisu v slovenskom právnom poriadku (poslanecký návrh vymedzuje postavenie elektronického podpisu a zaručeného elektronického podpisu, rozdiel medzi nimi a stanovuje, ktorých zákonov sa zavedenie elektronického podpisu bude týkať; vládny návrh stavia elektronický podpis na úroveň vlastnoručného podpisu a nezaoberá sa právnym kontextom.)

  6. rozdielnym chápaním postavenia obyčajných a akreditovaných certifikačných autorít,

  7. rozdielnym chápaním postavenia Úradu (v poslaneckom návrhu má úlohu koreňovej certifikačnej autority, metodického a kontrolného centra, strediska vykonávajúceho certifikáciu technických prostriedkov elektronického podpisu, vo vládnom návrhu je postavenie úradu slabšie)

  8. rozdielnym chápaním úlohy štátu vo vzťahu k PKI (v poslaneckom návrhu je štát garantom dodržiavania bezpečnostnej úrovne zaručeného elektronického podpisu a má na to vytvorené príslušné nástroje, vo vládnom návrhu sú úlohy štátu foormulované voľnejšie)

Poslanecký návrh zákona zavádza naviac aj právny inštitút krížového certifikátu, ale ho len definuje a v návrhu zákona nemá normatívny charakter, nie je vysvetlený účel jeho použitia.

Tento právny inštitút je nadbytočný, pretože hierarchia certifikačných autorít (poskytovateľov certifikačných služieb) nie je v zákone upravená a v praxi sa ani nepredpokladá.

Ak PKI nemá hierarchickú výstavbu (t.j. neexistuje najvyššia certifikačná autorita, ktorá by vydala certifikáty verejných kľúčov všetkým podriadeným certifikačným autoritám), nie je možné používať certifikáty vydané jednou certifikačnou autoritou v doméne inej certifikačnej autority. Aby bolo možné prepojiť oddelené domény PKI, príslušné certifikačné autority si vzájomne vydajú certifikáty svojich verejných kľúčov (krížové certifikáty) a a vytvoria tak prepojenie medzi predtým izolovanými doménami. Keďže poslanecký návrh predpokladá, že hierarchickú štruktúru budú mať len akreditované CA, s Úradom plniacim úlohu koreňovej certifikačnej autority, ale neakreditované CA do tejto štruktúry nebudú zapojené, aby sa "obyčajné" certifikáty mohli používať v celej (neakreditovanej PKI), bude na to potrebné vydávanie krížových certifikátov. Naviac, slovenská PKI bude (dúfajme) súčasťou medzinárodnej PKI a technicky sa prepojenie medzi inými národnými PKI a slovenskou PKI uskutoční vydaním krížových certifikátov (buď na úrovni koreňových CA, alebo akreditovaných CA). Takéto použitie krížového certifikátu sa používa v § 25, ods. (1), písm. (b).

Poslanecký návrh zákona ďalej predpokladá aj právny inštitút auditu certifikačných autorít, pričom by si však takáto právna úprava vyžadovala podrobné rozpracovanie, zjavne osobitnou právnou normou.

Pri návrhu zavedenia povinnosti auditu certifikačných autorít sme vychádzali z prirodzenej požiadavky pravidelného kvalifikovaného overenia skutočnej (nie len deklarovanej) úrovne zaistenia bezpečnosti systému certifikačnej autority. Špeciálne, mali sme na mysli nezávislé overenie plnenia všeobecných ale aj špeciálnych požiadaviek na úroveň bezpečnosti všetkých kľúčových činností certifikačnej autority, nakoľko iba ich náležité plnenie môže poskytnúť celému systému certifikátov a elektronických podpisov potrebnú dôveryhodnosť. Potreba takéhoto overovania azda nie je sporná – nakoniec aj vládny návrh zákona predpokladá istú formu kontroly certifikačných autorít. Vládny návrh predpokladá, že uvedenú kontrolu bude vykonávať zásadne Národný bezpečnostný úrad (ktorý si môže prizvať ďalších odborníkov), zatiaľ čo náš návrh predpokladá overenie nezávislými audítormi podľa metodického rámca stanoveného Národným bezpečnostným úradom.

Nesúhlasíme s tvrdením, že by si náš návrh vyžadoval rozpracovanie osobitnou právnou normou. Pri našom návrhu sme sa inšpirovali existujúcim zákonom o bankách, ktorý bankám a pobočkám zahraničných bánk ukladá povinnosť raz ročne sa podrobiť auditu bankového informačného systému (zákon v skutočnosti používa formuláciu “overenie spoľahlivosti”, avšak v kontexte ktorým sa v zahraničí chápe audit IS). Navrhli sme teda použiť model, ktorý na Slovensku už existuje – zákon uloží povinnosť podrobiť sa auditu IS a dozorný orgán (v prípade bánk to je bankový dohľad NBS, v prípade certifikačných autorít sa predpokladá Národný bezpečnostný úrad) vyhláškou stanoví základný rámec pre vykonávanie auditu a požiadavky na audítorov. Dozorný orgán samozrejme má právo si kedykoľvek overiť, či povinnosť vykonať audit bola splnená a audit bol realizovaný v náležitej kvalite.

Poznamenávame, že náš návrh, obdobne ako je to v prípade bánk, predpokladá že náklady spojené s auditom znáša auditovaný subjekt, nie dozorný orgán. Predstavu, s ktorou prichádza vládny návrh, teda dozorný orgán s dostatočným počtom kvalifikovaných špecialistov pre výkon zmieneného overenia, považujeme za nerealistickú. Podľa nášho názoru je nezávislý špecialista (špecializovaná firma), ktorý pôsobí v oblasti auditu IS existenčne závislý na svojej kvalifikácii a je v konkurenčnom prostredí vysoko motivovaný udržiavať, resp. zvyšovať svoju odbornú úroveň. Model, presadzovaný vládnym návrhom, na rozdiel od nášho, ničím nemotivuje subjekty, ktoré majú vykonávať požadované overenie, k zvyšovaniu svojej odbornej úrovne. Následne, certifikačné autority nebudú pod dostatočným tlakom na zaistenie vysokej úrovne bezpečnosti v súlade s najnovšími trendami vývoja informačných technológií.

K návrhu zákona nie je pripojený ani náčrt vykonávacích predpisov, ktorých vydanie zákon predpokladá.

K návrhu zákona je pripojený materiál Návrh štruktúry a obsahu všeobecne záväzných predpisov k poslaneckému návrhu zákona o elektronickom podpise. Tento materiál popisuje 5 vykonávacích vyhlášok k návrhu zákona o elektronickom podpise. Materiál je dostupný na webovskej stránke NR SR ako súčasť dokumentu č. 984. Naviac, poslanecký návrh obsahuje aj Odhad nákladov na zriadenie Úradu pre elektronické podpisy, zatiaľ čo vládny návrh zákona uvádza v dôvodovej správe len celkovú sumu.

Legislatívny jazyk poslaneckého návrhu zákona je zložitý, až nezrozumiteľný, v našom právnom poriadku nezaužívaný

V slovenskom právnom poriadku sa po prvý raz objavuje zákon o elektronickom podpise. Nikdy predtým sa v ňom nič podobného nevyskytovalo. Zákon o elektronickom podpise definuje zložitý informačno-komunikačný systém (PKI) a musí zohľadniť viacero aspektov: právny, kryptologický, technický, informačno-bezpečnostný, technologicko-štandardizačný, organizačný, finančný a i. Ak má vytvoriť rámec pre vybudovanie a fungovanie slovenskej PKI, musí definovať potrebné objekty, subjekty, vzťahy medzi nimi a činnosti, ktoré sa v systéme (PKI) majú vykonávať jednoznačne. Keďže vykonávacie predpisy k zákonu nemôžu ukladať povinnosti, ktoré nie sú uvedené v zákone, je tieto náležitosti potrebné uviesť priamo v zákone.

a neobvyklý viaceré ustanovenia nemajú normatívny charakter, niektoré právne inštitúty sú vymedzené len v definícii pojmov a nemajú primerané vyjadrenie v konkrétnej právnej úprave, pojmy sú vymedzené inými rovnako nezrozumiteľnými pojmami.

Poslanecký návrh exaktne definuje použité pojmy. Aby nevznikli pochybnosti o kľúčových pojmoch ako je elektronický podpis, zaručený elektronický podpis, certifikát, kvalifikovaný certifikát, časová pečiatka, certifikačná autorita, vytváranie a overovanie elektronického podpisu, rušenie certifikátov a pod., všetky tieto pojmy sú v zákone podrobne definované. Pri definícii základných pojmov boli použité pomocné pojmy, ktoré boli stručne definované v § 3. Žiadny z týchto pojmov nie je samoúčelný, väčšina zodpovedá pojmom uvedeným v Direktíve EU. V definícii pomocných pojmov sa použili elementárne pojmy ako napr. znak, informácia, číslo, kódovanie, technický prostriedok a pod. Ak by Ministerstvo hospodárstva konkrétne uviedlo, ktoré pojmy považuje za nezrozumiteľné a prečo, bolo by možné § 3 rozšíriť a dodefinovať pojmy, ktoré MH považuje za potrebné.

Návrh zákona obsahuje právne, ale aj organizačne neprijateľné riešenie kompetencie “národnej certifikačnej autority” - § 12 ods. 1. “Zriaďuje sa Úrad pre elektronický podpis ako súčasť Národného bezpečnostného úradu podľa § 34 ods. 1 tohto zákona.”

Vzhľadom na pokročilé štádium legislatívneho procesu vládneho návrhu zákona o elektronickom podpise a uvedené výhrady voči poslaneckému návrhu zákona odporúčame vláde Slovenskej republiky nesúhlasiť s poslaneckým návrhom zákona.

Vládny návrh zákona o elektronickom podpise bol "v pokročilom štádiu" už vyše roka. Napriek tomu nerieši základné problémy PKI a používania elektronického podpisu a vychádzajúc z posledných verzií vládneho návrhu, pri použitej filozofii ich ani nie je schopný riešiť. Výhrady, ktoré jeho tvorcovia prezentovali v tomto materiáli k poslaneckému návrhu zákona, nie sú podložené, resp. sa zakladajú na nepravdivých tvrdeniach. Predkladacia správa neobsahuje objektívne argumenty, ktoré by oprávňovali na prijatie navrhovaného záveru.