Podwójna delegacja z ustawy o informatyzacji

Podwójna delegacja.

„Ustawa o informatyzacji podmiotów realizujących zadania publiczne” – w dwóch miejscach deleguje te same uprawnienia różnym ministrom. Art. 16 deleguje uprawnienia dla Premiera w celu określenia warunków organizacyjno-technicznych doręczania dokumentów elektronicznych w tym formę UPO. Za to art. 36 wprowadza w KPA zapis, że to minister właściwy ds. informatyzacji określi warunki organizacyjno-techniczne doręczania dokumentów elektronicznych i formę UPO. No niech by się ustawodawca zdecydował, komu daje delegację w tym zakresie. I zatem doczekaliśmy się dwóch rozporządzeń definiujących to samo!

Pierwszy był Prezes RM (Dz.U.2005/200/1651) – i jest to sławne rozporządzenie o HSM-ie. W tym miejscu odnotować również warto, że rozporządzenie to mówi o automatycznym wytworzeniu UPO, przy doręczaniu za pomocą elektronicznej skrzynki podawczej. Proszę zauważyć, że jeśli automatycznym to bez udziału człowieka, a zatem UPO nie zawiera podpisu elektronicznego, gdyż w myśl Ustawy o Podpisie Elektronicznym podpis jest związany z osobą a nie z automatem. Tak, więc UPO może zawierać coś, co można nazwać najwyżej materiałem kryptograficznym służącym do określenia tożsamości automatu generującego UPO.

Drugi - minister właściwy ds. informatyzacji - minister MSWiA opublikował rozporządzenie w Dz.U 2005/227/1664 w tej samej sprawie oczywiście. Widać, że twórca rozporządzenia wzorował się na poprzednim rozporządzeniu, część wprost przepisał, ale sobie go też urozmaicił. I tak oprócz normy FIPS-2 dla HSM-a mamy też normę CEN-CWA 14167-2. Ale poprzednie rozporządzenie obowiązuje nadal i zawiera wyłącznie FIPS-2!
Ciekawy jest art. 4 pkt 7, który niby rozszerza to, co wydano na podstawie art. 18 ustawy o informatyzacji (chodzi o rozp. w sprawie minimalnych wymagań dla systemów teleinformatycznych Dz. U 2005/1766) o protokół https. Z tym, że w rozp. w sprawie minimalnych wymagań dla systemów teleinformatycznych jest zarówno http jak i ssl. No i mamy https (=http+ssl)!
Należy też zwrócić uwagę na par. 5 rozp MSWiA, który w pkt. 3 mówi o podpisanym (o zgrozo!) urzędowym poświadczeniu odbioru. Jak wcześniej opisałem UPO nie jest nigdy podpisywane bo jest generowane automatycznie i taka jest jego idea.
Czytając uzasadnienie pod projektem rozporządzenia możemy wyczytać, że założeniem było, aby wszystkie podpisy były w formacie XAdES. No tak – a co z dokumentami, które nie są XML-em? Na szczęście brak takiego zapisu w rozporządzeniu.

Konkludując – stosujmy sobie te przepisy jak chcemy! Jeden punkt z jednego rozporządzenia drugi z drugiego. A ten kto narobił bałaganu niech sprząta.

Wojciech Sobczyk

Wątpliwości w

Wątpliwości w interpretacji "kogo dotyczy która ustawa" były sygnalizowane już podczas ubiegłorocznej dyskusji sierpniowej:

http://securitystandard.pl/news/97504/E.podpis...przeniesiony..czy.nie..html

Autorzy ustawy o informatyzacji pięknie utrudnili tutaj wszelkie interpretacje dodając do niej art. 1, pkt 6, który mówi co m.in. określa ta ustawa. Wynika z niego, że poza komunikacją podmiot publiczny-podmiot publiczny określa ona:

"zasady wymiany informacji drogą elektroniczną, w tym dokumentów elektronicznych, pomiędzy podmiotami publicznymi a podmiotami niebędącymi podmiotami publicznymi"

Jak to rozumieć?

Submitted by pkrawczyk on śr., 2007-02-28 12:26.

Odpowiedź jest prosta.

Odpowiedź jest prosta. Zakres delegacji nie wynika wyłącznie z brzmienia przepisu, ale także, a może przde wszystkim z zakresu regulacji ustawy i jej przepisów. Zwracam uwagę, że zasady komunikacji uzrąd->obywatel reguluje art 39(1) KPA i nikt tego nie kwestionuje, mimo brzmienia art 1 pkt 6, o którym wspomniano. Njważniejsze w mojej interpretacji jest tytuł Rozdziału 3 ustawy o informatyzacji:
"Systemy teleinformatyczne używane do realizacji zadań publicznych, rejestry publiczne oraz wymiana informacji w formie elektronicznej między PODMIOTAMI PUBLICZNYMI".
Wszystkie przepisy w tym rozdziale dotyczą tylko podmiotów publicznych i ten również. I nie mam co do tego wątpliwości. Gdyby chociaż z delegacji wprost wynikało, że dotyczy także komunikacji z obywatelem, to może bym odpuścił, ale tak nie jest. Tak więc, należy czytać ustawę w całości.
Pozdrawiam,
Robert Podpłoński

Submitted by Robert Podpłoński (niezweryfikowany) on śr., 2007-07-25 17:45.

zasady wymiany informacji

zasady wymiany informacji drogą elektroniczną, w tym dokumentów elektronicznych, pomiędzy podmiotami publicznymi a podmiotami niebędącymi podmiotami publicznymi

Jako nie-prawnik, nie zagłębiając się zbytnio w zagadnienie, zinterpretowałbym to jako wymianę informacji, czyli proces dwustronnej komunikacji. Nie jest tu bowiem zapisane nic w stylu "przesyłania" informacji, co sugerowałoby proces jednostronny. Na podstawie przytoczonego fragmentu uważam zatem, że ustawa dotyczy komunikacji zarówno na polu obywatel->państwo, jak i państwo->obywatel.

Niestety, życie nie jest aż tak proste i zapewne istnieją też paragrafy, które potrafią dowieść, że jest zupełnie inaczej. Także i ja chętnie bym się z nimi zapoznał...

Submitted by lklimek on pt., 2007-03-02 00:00.

Witam, Widzę że dyskusja

Witam,
Widzę że dyskusja się rozwija więc postanowiłem się przyłączyć.

Co do wypowiedzi Pana Wojtka,

Rozporządzenie wydane na podstawie art. 16 ustawy o informatyzacji dotyczy jedynie wniosków składanych do urzędu (czyli interesant --> urząd lub urząd --> urząd . nie dotyczy pism wysyłanych do interesanta przez urząd ). UPO generowane na podstawie tego rozporządzenia jest tworzone (podpisywane) przez system informatyczny urzędu (lub usługę zakupioną przez urząd).

Rozporządzenie Dz.U 2005/227/1664 wydane na podstawie art. 39 Kodeksu Postępowania Administracyjnego (rozdział doręczenia) dotyczy dokumentów wysyłanych przez urząd do interesanta oraz urząd do urzędu (tak jest przynajmniej delegacja) .... dlatego pominę dyskusję na temat par 3 punkt 7. UPO generowane na podstawie tego rozporządzenia jest podpisywane przez Interesanta a nie urząd

W skrócie można powiedzieć że pierwsze rozporządzenie dotyczy wniosków składanych do urzędu a drugie odpowiedzi udzielanych prze urząd (pomijamy na razie wątpliwości wynikające z art. 109 KPA mówiące że decyzje doręcza się na piśmie (czyli papierowo) ).

Jeżeli chodzi o wymóg podpisywania w formacie XAdES to jest to jedno z nielicznych zapisów rozporządzenia co do których nie mam żadnych wątpliwości. Podpis w formacie XAdES umożliwia podpisywanie plików XML ale również plików binarnych takich jak pdf, doc, jpg)

Podsumowując zgadzam się, że w niektórych obszarach rozporządzenia się pokrywają (zwłaszcza w kwestii publikowania wzorów dokumentów)

Co do wypowiedzi Pana Roberta.
Osobiście mam odmienne zdanie w kwestii zakresu i delegacji obu rozporządzeń.
Moim zdaniem:
- pierwsze rozporządzenie (pisma składane do urzędu) swoim zakresem obejmuje relacje Administracja- Administracja ale również Obywatel-Administracji .. podobnie jak Pan Robert niektóre osoby interpretują pierwsze rozporządzenie jako określenie relacji jedynie administracja-administracja chciałbym poznać punkt/zapis/wskazówkę z której to wynika osobiście nie udało mi się takowej znaleźć

- drugie rozporządzenie (pisma wysyłane przez urząd) swoim zakresem powinno obejmować relację Administracja-Obywatel lub Administracja-Administracja ale ktoś chyba przekroczył delegacje wynikającą z KPA i zaczął określać sprawy dotyczące składania wniosków przez Obywateli. Rozdział KPA z delegacją dotyczy doręczeń pism do Interesantów ... więc chyba rozporządzenie nie powinno dotykać obszarów opisanych już w innych rozporządzeniach

Podsumowując:
Mam nadzieję że juz niedługo akty prawne będą tworzone w taki sposób, że nie będzie trzeba ich interpretować.

Pozdrawiam

Submitted by Anonymous (niezweryfikowany) on wt., 2007-02-27 23:11.

Odpowiedź jest prosta.

Odpowiedź jest prosta. Zakres delegacji nie wynika wyłącznie z brzmienia przepisu, ale także, a może przde wszystkim z zakresu regulacji ustawy i jej przepisów. Zwracam uwagę, że zasady komunikacji uzrąd->obywatel reguluje art 39(1) KPA i nikt tego nie kwestionuje, mimo brzmienia art 1 pkt 6, o którym wspomniano. Njważniejsze w mojej interpretacji jest tytuł Rozdziału 3 ustawy o informatyzacji:
"Systemy teleinformatyczne używane do realizacji zadań publicznych, rejestry publiczne oraz wymiana informacji w formie elektronicznej między PODMIOTAMI PUBLICZNYMI".
Wszystkie przepisy w tym rozdziale dotyczą tylko podmiotów publicznych i ten również. I nie mam co do tego wątpliwości. Gdyby chociaż z delegacji wprost wynikało, że dotyczy także komunikacji z obywatelem, to może bym odpuścił, ale tak nie jest. Tak więc, należy czytać ustawę w całości.
Pozdrawiam,
Robert Podpłoński

Submitted by Robert Podpłoński (niezweryfikowany) on śr., 2007-07-25 17:44.

XAdES (w rozwinięciu XML

XAdES (w rozwinięciu XML Advanced Electronic Signatures) moim zdaniem tylko do XML-a, jak nazwa wskazuje. Zresztą XAdES jest rozwinięciem (jest zgodny) z W3C XMLdSig. Inaczej mówiąc podpis XAdES jest podpisem XMLdSig, w którym dodano trochę informacji do węzła . W zasadzie informacje w węźle nie są obligatoryjne, więc "zwykły" XMLdSig też jest XAdES-em. Ale moim zdaniem to wszystko jest do XML-a i nie wiem jak podpisać tym PDF-a o czym mówi przedmówca. Mogę się jednak mylić. Może ktoś wie coś więcej na ten temat?

pozdrawiam, Wojciech Sobczyk

Submitted by Anonymous (niezweryfikowany) on pon., 2007-03-26 10:58.

Witam, Nie ma ograniczeń co

Witam,
Nie ma ograniczeń co do formatów plików podpisywanych za pomocą podpisu XML. Nazwa podpisu XML wzięła się z tego że wynik tego podpisu jest zapisywany w tagach xml’owych a nie że służy do podpisywania jedynie xml’i

W podpisie XML’owym do wskazania co podpisujemy wykorzystujemy tak zwaną referencję. Dzięki temu możemy podpisać praktycznie wszystko (zarówno plik/i binarne, fragmenty dokumentu itp). Jednym podpisem XML możemy objąć wiele plików.
Wspomniana wyżej referencja może wskazywać:
- Na cały dokument do którego zostanie dołączony podpis (zostanie podpisany cały dokument XML)
- Na fragment dokumentu (zostanie podpisany fragment dokumentu XML) co oznacza ze pozostała część dokumentu może zostać zmodyfikowana a podpis będzie się nadal weryfikował
- na plik zewnętrzny (np. gif,jpg,doc,pdf)

W jednym podpisie możemy mieć wiele referencji czyli podpisać fragment dokumentu wraz z załącznikami

Submitted by Anonymous (niezweryfikowany) on wt., 2007-03-27 08:56.

Nawiasem mówiąc, jak to

Nawiasem mówiąc, jak to jest zrobione w praktyce można zobaczyć w plikach formatu ODF, które są archiwami ZIP zawierającymi szereg plików (XML, obrazki itd) oraz plik signature.xml, który zawiera podpisane skróty plików - odwołuje się do nich właśnie przez referencje.

Wiąże się z tym jednak kilka problemów natury czysto praktycznej. Sam standard XML-DSig określa format podpisu, natomiast tutaj jak widać pojawia się konieczność opakowania tych zewnętrznych plików wraz z plikiem podpisu w jeden kontener. Tutaj panuje na razie swoboda - to znaczy o ile mi wiadomo żadne rozporządzenie nie określa formatu takiego kontenera. Poniekąd na razie słusznie, bo lista życzeń wobec takiego kontenera jest dość długa w zależności od tego kto je zgłasza:

Oczekiwania wobec kontenera dokumentu elektronicznego (ipsec.pl)

Można skorzystać z gotowego wzorca jakim jest format ODF ale tutaj pojawia się problem bo XML-DSig nie stanowi integralnej części specyfikacji ODF 1.1 - tak przynajmniej wynika z mojej lektury specyfikacji wczoraj w nocy. OpenOffice2 oczywiście obsługuje podpis elektroniczny w formacie XML-DSig ale jak wynika z dotychczasowej lektury jest to funkcja OpenOffice2 a nie ODF.

Można wykorzystać OpenXML (ECMA-376) Microsoftu, ale ten z kolei nie jest standardem dopuszczonym przez ustawę o informatyzacji. OpenXML ma XML-DSig jawnie opisany w specyfikacji (tom II "Packaging Conventions").

Przykład można zobaczyć tutaj:

Plik należy po prostu rozpakować Rarem lub Unzipem nie zwracając uwagi na rozszerzenie. Chciałem też zrobić przykład z ODF ale w OpenOffice 2.1 nie udało mi się złożyć podpisu (nie wiem dlaczego).

Submitted by pkrawczyk on wt., 2007-03-27 09:51.

Niestety, ale poglądy

Niestety, ale poglądy wyrażone w tym tekście nie znajdują pokrycia w rzeczywistości i w prawie. Oczywiście nie zgadzam sie z treścią artykułu. Jakkolwiek idiotyzmy tych rozporządzeń są powszechnie znane (wiele krwi i potu zmarnowałem, żeby coś z nimi zrobić, ale jak grochem o ścianę), a jest ich masa i w ogóle są do niczego, to z treścią komentarza się nie zgadzam. Chodzi jednak o różny zakres delegacji ustawowej. Ponadto wbrew treści komantarza w istocie mamy brak regulacji w pewnym zakresie, co MSWiA próbuje nielegalnie nadrabiać nadregulacjami w rozporządzeniach.
1. oba rozporządzenia regulują inny rodzaj obiegu dokumentów - administracja<->administracja i administracja->obywatel,
2. brak natomiast regulacji o wysyłaniu pism obywatel->administracja. Oczywiście można stosować podpis elektroniczny itp, ale brak regulacji o formatach itd.

Tak więc, autor komentarza niestety nie wgryzł się w treść delegacji wystarczająco głęboko. Choć brzmienie jest podobne, nie oznacza tego samego, co wynika z różnych przepisów, w tym przede wszystkim z pierwszych artykułów KPA i ustawy o informtyzacji. Stanowią one o tym, do czego ta ustawa znajduje zastosowanie, np. przesyłanie wg KPA nie stosuje się do dostarczania dokumentów między organami administracyjnymi, chyba że wyjątkowo jeden z nich reprezentuje stronę stosunku administracyjnego.

Submitted by Podpłoński Robert (niezweryfikowany) on wt., 2007-02-20 12:33.