Publikacja zawiera ontologiczną analizę pojęć dokument, podpis, uwierzytelnienie i prawdziwość treści oraz dedukcyjne wnioski na temat prawdziwości treści i pojęcia autorskich praw osobistych. Zbudowano i opisano dziedzinowy model pojęciowy obszaru utrwalania treści i jej prawdziwości a także problem wiarygodności treści, omówiono pojęcie utrwalania i archiwizacji. Poruszono także tematykę pojęć dane i metadane.

Wprowadzenie

W styczniu 2025 UOKiK wydał decyzję, w której

Za trwały nośnik można uznać m.in. dokument papierowy, kartę pamięci, pendrive, wiadomość mailową lub załączony do niej plik, np. w formacie pdf. Samo hiperłącze przekierowujące na stronę internetową nie spełnia wymogów trwałego nośnika, jeżeli tego rodzaju strona internetowa nie spełnia cech trwałego nośnika. (https://uokik.gov.pl/zwrot-i-rekompensata-od-mpay-i-revolut-bank-uab)

Decyzja ta wywołała pewne “oburzenie” w środowisku programistów: “jak to tak, wszystko jest zapisane w bazie danych”. Problem w tym, że jako ludzie komunikujemy się przekazując sobie określone treści w postaci komunikatów (utrwalonych jako dokumenty), a nie w postaci “bazy danych” (zwracam uwagę, że “baza danych” to jest jeden plik na dysku), zaś dynamicznie (na żądanie) generowane z baz danych treści nie są dokumentami na co między innymi zwraca tu uwagę UOKiK.

Od wielu lat toczą sie spory np. o to czy system ERP to dokumenty i okazuje sie, że jednak nie (opis w dalszej części). Pisałem już o dokumencie jako metodzie zarządzania danymi , ten artykuł to ontologiczna analiza pojęcia dokument, gdyż jest on przedmiotem stanowiącym podstawę komunikacji między ludźmi, między ludźmi i maszynami i między maszynami (np. REST API) jest także przedmiotem w prawie. Jedną z kluczowych cech, i zarazem kluczowym wymaganiem wobec dokumentów, jest ich wiarygodność czyli prawdziwość ich treści. Pojęcie prawdziwości zdania (czyli także dokumentu) jest definiowane jako zgodność jego treści z faktami .

Artykuł ten piszę nie tylko jako analityk, ale także także jako biegły prywatny, i czasami sądowy ad-hoc. Jego treść to dedukcyjny wywód na temat tego czym jest dokument i jego prawdziwość. Z uwagi na to, że podpis wiąże się nierozerwalnie z dokumentem bo często jest jego częścią, oraz pełni dwie role: osoba i jej uwierzytelnienie, poświęciłem mu także trochę miejsca. Tekst ten nie jest poradą prawną.

Metoda

Podstawową metodą i narzędziem analizy w obszarze treści i informacji jest analiza pojęciowa i ontologia. Wykorzystano przede wszystkim specyfikacje OMG: oraz .

Rezultaty

Kluczowym celem badania było ontologiczne uporządkowanie pojęć dokument i podpis. Jest to istotne z perspektywy cyfryzacji działalności organizacji gdyż rosnąca rola komputerów w funkcjonowania państwa i rynku powoduje, że komunikacja przechodzi z formy materialnej (papier) na niematerialną (elektroniczne nośniki treści).

Dokument – definicje i model pojęciowy

Nie ma jednej formalnej (i prawnej) definicji pojęcia dokument, dlatego tu podjęto próbę zebrania i integracji definicji z różnych źródeł. Internetowy Słownik Języka Polskiego (podkreślenie moje) podaje (podkreślenie autora):

dokument: 1. «pismo urzędowe» 2. «dowód stwierdzający czyjąś tożsamość» 3. «materiał w postaci tekstu, fotografii lub jakikolwiek przedmiot, mający wartość dowodową lub informacyjną» 4. «plik komputerowy zawierający informacje zapisane w odpowiednim formacie»

Cechy dokumentu z perspektywy prawa karnego (na podst. Barbara Pardo, 2010-02-15, kraj24.pl):

– postać pisemna,
– wykonanie ręczne lub wydruk,
– wyrażona myśl ludzka w postaci oświadczenia woli lub wiedzy,
– materiał, na którym dokument został wykonany,
– autor dokumentu,
– data i miejsce sporządzenia,
– podpis [zwracam uwagę, że jest już “autor dokumentu”, przyp. autora].

Internetowy Słownik Języka Polskiego tak definiuje podpis:

podpis: 1. «imię i nazwisko, rzadziej godło, inicjały, napisane własnoręcznie przez kogoś» 2. «napis umieszczony pod rysunkiem, zdjęciem, wykresem itp. objaśniający jego treść» 3. «potwierdzenie pisma przez napisanie na nim własnego nazwiska»

Ważne: słowo podpis oznacza zarówno wpisanie w treści dokumentu (np. drukowanego) imienia i nazwiska jego autora, jak i odręczne napisane imię i nazwisko na nośniku, co stanowi uwierzytelnienie jego autora (patrz dalej: Podpis odręczny jako uwierzytelnienie).

Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne:

„dokument elektroniczny – stanowiący odrębną całość znaczeniową zbiór danych uporządkowanych w określonej strukturze wewnętrznej i zapisany na informatycznym nośniku danych”, oraz: „informatyczny nośnik danych – materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej”.

Tak więc w obrocie prawnym, jako dokument elektroniczny traktuje się każdą treść, którą daje się utrwalić w postaci cyfrowej a także nośnik jako taki. Jednak ten sam dokument, także elektroniczny, może być zapisany w wielu różnych miejscach i na różnych nośnikach jednocześnie (zależnie od rodzaju). Naczelna Dyrekcja Archiwów Państwowych opublikowała dobre praktyki dot. dokumentu elektronicznego w postaci przewodnika, większa część tej publikacji dotyczy archiwizacji, autorzy dzielą dokumenty na typy zależne od nośnika co ma znaczenie techniczne, ale nie znajduje potwierdzenia w realiach dotyczących prawnego użycia dokumentów: kluczową cechą dokumentu jest jego treść i jej niezmienność, a nie fizyczna postać. Podobnie z perspektywy prawa autorskiego: to czy określona treść jest plagiatem nie zależy od formy jej utrwalenia (o czym będzie jeszcze w dalszej części).

Kolejny omawiany i istotny element to “forma dokumentowa oświadczenia woli” czyli narzucenie dokumentom określonej struktury (atrybuty). Kodeks Cywilny:

Art.  772. [Forma dokumentowa]
 Do zachowania dokumentowej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci dokumentu, w sposób umożliwiający ustalenie osoby składającej oświadczenie.

Kluczem jest minimalne wymaganie (co wystarczy): treść oświadczenia oraz kto oświadcza i pamietamy, że data oświadczenia też może mieć znaczenie. Nie wskazano konkretnej formy “Umożliwienia ustalenia”, więc dopuszczalna jest każda forma prowadząca do potwierdzenia tego “kto oświadcza”. Jeżeli osoba składająca oświadczenie “podpisuje się” odręcznie pozwala to na bezpośrednie ustalenie tego kim ona jest.

Poniżej przykład dokumentu:

Podpis odręczny, poza tym, że niesie treść (np. imię i nazwisko) jest także cechą biometryczną podpisującego się, dlatego jest także uwierzytelnieniem tej treści na nośniku użytym do jej utrwalenia. Podpis elektroniczny (imię i nazwisko w treści utrwalonej komputerowo) nie jest cechą biometryczną człowieka, co ogranicza jego funkcję tylko do treści (funkcji informacyjna podpisu) a to wymaga dodatkowego działania by to potwierdzić. Kwalifikowany podpis także.

Każdy dokument to określona treść, można w niej wyróżnić treść oświadczenia, date i podpis. Każda treść, dla zachowania swojej trwałości, jest utrwalana na określonym nośniku. Kiedyś były to ściany jaskiń, potem gliniane tabliczki, następnie papier. Od pewnego czasu tym nośnikiem są także pliki na nośnikach zwanych komputerowymi. Tak więc mamy zapisany nośnik i mamy treść. I jak pokazano na początku tego artykułu, prawo nadal idzie tymi dwoma drogami (patrz Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne).

Era komputerów zmieniła zasady bo treść może łatwo zmieniać nośnik: z dysku twardego na pendrive albo na papier, z papieru z powrotem na dysk komputera itd. Jedyną stałą rzeczą jest tu treść. Dlatego w dobie cyfryzacji “wygrywa” definicja mówiąca, że dokument to “stanowiący odrębną całość znaczeniową zbiór danych uporządkowanych w określonej strukturze wewnętrznej i zapisany na informatycznym nośniku danych”. UOKiK doprecyzowuje: “Za trwały nośnik można uznać m.in. dokument papierowy, kartę pamięci, pendrive, wiadomość mailową lub załączony do niej plik, np. w formacie pdf.“. Kluczowe stwierdzenie to “plik PDF”. Pozostaje wskazanie jego lokalizacji.

PDF to tak zwany format nieedytowalny. Celem utworzenia tego formatu było (i jest) stworzenie ekwiwalentu papieru: utrwalenie treści wraz z jej wizualizacją, w formie dostępnej dla człowieka, i nie wymagającej posiadania narzędzia, które posłużyło do jego wytworzenia. Dlatego często bywa nazywane elektronicznym wydrukiem. To, że powstały narzędzia do ekstrakcji tekstu z plików PDF czy ich bezpośredniej edycji, nie zmienia faktu, że jest to “elektroniczny wydruk”.

Jeżeli mamy w prawie konkurencyjne określenia mówiące, że “dokument to określona utrwalona treść” oraz “dokument to nośnik niosący określoną treść” i jednocześnie zgadzamy się z tym, że “powielona treść to jeden dokument w kilku egzemplarzach a nie kilka dokumentów” (umowa wydrukowana kilkukrotnie lub powielona jako plik PDF, do podpisania przez każda ze stron, to nadal jedna umowa i kilka jej egzemplarzy a nie kilka umów), to wniosek jest prosty: “dokument to określona i utrwalona treść, zaś sposób i krotność utrwalenia nie ma znaczenia”.

Powyższe ustalenia i wnioski zobrazowano poniżej (notacja UML):

Popatrzmy na definicję dokumentu przytaczaną w odniesieniu do repozytoriów dokumentowanych (tak zwane bazy danych NoSQL):

Dokumenty to zbiory atrybutów i wartości, w tym atrybutów wielowartościowych. Każdy dokument zawiera klucz identyfikacyjny, który jest unikalny w obrębie zbioru i identyfikuje dany dokument .

Nie ma tu kolizji z wcześniejszymi definicjami bo: dokument może mieć postać strukturalną (w szczególności np. formularz urzędowy). Atrybutem, jednym i jedynym, może być niestrukturalna treść dokumentu czyli cały dokument. Ale dokument może mieć atrybuty takie jak np. ww. czas, treść i autor. Można uznać, że te atrybuty to kolejne akapity, rozdziały (tak powstają treści w sieci Internet w formacie HTML).

Notacja UML, standard w modelowaniu także systemów informacyjnych. Specyfikacja UML (UML v.2.5.1., Table 22.1 Description of the Stereotypes in the UML Standard Profile):

«Document», Artifact, A human-readable file. Subclass of «File».

Czyli tak zwany artefakt, plik w formacie czytelnym dla człowieka, podklasa (specjalizacja) klasy „File” (plik). (przypominam za SJP, że: artefakt to “coś, co jest dziełem ludzkiego umysłu i ludzkiej pracy w odróżnieniu od wytworów natury”). Tak zdefiniowane pojęcie dokument również wpasowuje się w powyższe definicje. :

Z powodów ontologicznych nie jest więc artefaktem (i dokumentem także) treść wygenerowana przez maszynę np. AI.

Czym jest klucz identyfikacyjny (który jest unikalny)? To w najprostszym ontologicznym znaczeniu treść dokumentu, która (także uznana jak ciąg znaków) z zasady jest unikalna, bo – jak już ustalono – powielona identyczna treść to ten sam dokument (na tej podstawie ustalamy czy dana treść jest, czy nie jest, plagiatem). Oczywiście dla wygody często oznaczamy dokumenty (identyfikator) sztucznymi, krótkimi oznaczeniami (np. sygnatura w urzędzie), jednak jest to jedynie forma zastępcza, czysto “narzędziowa”. Treść dokumentu z zasady sama dla siebie jest swoim identyfikatorem, bo zakładamy jej unikalność. Może się pojawić potrzeba identyfikowania (rozróżniania) nośników (egzemplarzy, np. w bibliotece), wtedy są to metadane egzemplarza (dodana cecha np. nr nośnika egzemplarza: indeks w bibliotece pozwala odróżnić egzemplarze tej samej książki).

Metadane

Dokument to także obraz, film, dźwięk dlatego powstało pojęcie metadane. Metadane definiuje się jako:

Metadane (dane o danych) – ustrukturyzowane informacje stosowane do opisu zasobów informacji lub obiektów informacji , dostarczające szczegółowych danych, dotyczących atrybutów zasobów lub obiektów informacji, w celu ułatwienia ich znalezienia, identyfikacji, a także zarządzania tymi zasobami .

Jeden z czytelników bloga pyta: Jeżeli metadane nie są treścią dokumentu i jednocześnie nie są dokumentem, to czym są? Przyjmijmy prostą definicje: “metadane to dane o danych”. Warto tu uporządkować to co jest literaturze. Z perspektywy tabel i baz danych metadane to nagłówki kolumn. Z perspektywy formularzy metadane to etykiety pól (znaczniki). Z perspektywy “dokumentu” rozumianego jako tekst, metadane to każda forma opisania jego treści w sposób pozwalający na maszynowe przetwarzanie.

My jako ludzie “czytamy” obraz, komputer “przetwarza znaki”. Dlatego w przypadku treści audiowizualnych metadane to takie cechy jak data i miejsce powstania, słowa kluczowe opisujące treść itp. Jest to tekstowy (znaki) opis jego treści (komputer nie rozumie obrazu). Patrząc identycznie na dokumenty “pisane” cały tekst w formie “komputerowej” (treść dokuemntu) można także uznać za metadane tej treści (może być to skan dokumentu np. w formacie tiff). Komputer “nie rozumie” też treści pól formularza, dlatego wystarczy znaki opatrzyć znacznikami “to jest nazwisko” a “to jest imię” a procedury (program komputerowy) będą je, jako ciągi znaków, porównywały z wzorcami itp. Dlatego ustawowa faktura ustrukturyzowana w 2018 roku to była wizualizacja i metadane, w praktyce plik PDF zawierający:

  • wizualizację dla człowieka,
  • XML dla maszyny.

Generalnie “metadane dokumentu” to określone cechy jego treści. Standardowo np. nazwa, data utworzenia, modyfikacji, itp. zależnie od potrzeby (patrz cechy plików na dysku twardym). Gdyby dokument był napisany ręcznie (maszynowe przetwarzanie niemożliwe), to tekst “komputerowy” (np. produkt OCR) to będą także jego metadane. Poniżej schemat ilustrujący powyższe:

Na powyższym schemacie pokazano plik PDF zawierający wizualizacje dokumentu i jego tekstową zawartość oraz metadane. Co do zasady metadane (po prawej stronie, to osobny plik – zestaw danych) to informacje “o dokumencie” a nie dokument (dokument to to co można podpisać, także elektronicznie jako plik).

Jak wygląda to w aplikacji? Blog zawiera portfolio, jest to kilka przykładowych dokumentów zawierających wyniki analizy biznesowej i specyfikacje (projekt) aplikacji. Wszystkie zawierają modele dokumentów i metody ich przechowywania (wzorzec projektowy repository i envelope).

Treść dynamicznie generowana przez maszynę to nie dokument

Dokument to utrwalona, zwarta, nienaruszalna treść. Nie jest więc dokumentem zbiór danych służących do dynamicznego generowania treści, jednak tak wygenerowana treść, po jej utrwaleniu, może być dokumentem o ile człowiek uzna tę treść “za swoją’ i podpisze się pod nią (patrz także wyżej, uwaga o treści generowanej prze systemy AI). Dlatego zaleca się, by nie traktować np. systemów ERP (relacyjne bazy danych i zapytania SQL generujące ad-hoc treść) jako archiwów dokumentów, poniżej przykład jednej z wielu publikacji na ten temat:

Integracja ERP, OLAP i baza dokumentów

Podpis odręczny jako uwierzytelnienie

Z uwagi na materialny rodowód nośników dokumentów (głównie papier), intuicyjną i naturalną formą potwierdzenia autentyczności autora i treści dokumentu jest tak zwany “mokry podpis”, czyli odręczne napisanie imienia i nazwiska na tym samym nośniku. W czasach gdy dokument w całości pisany był odręcznie była to jedyna i naturalna forma. Od czasu pojawienia się maszyn do pisania i później komputerów z drukarkami, dokumenty drukowano ale podpis, czyli uwierzytelnienie autora, nadal stanowiło odręczne napisanie imienia i nazwiska, gdyż odręczny podpis to cecha biometryczna człowieka .

Czym więc jest podpis elektroniczny?

Podpisując umowę chcemy w przyszłości udowodnić, że “X i Y zawarli umowę mówiącą, że…”. Co to znaczy? To znaczy, że chcemy wykazać, że treść określonego dokumentu to prawda, a tą treścią, poza opisem zobowiązania, są także wskazane z imienia i nazwiska osoby zawierające tę umowę. Podobnie w przypadku oświadczenia woli lub opisu zdarzenia (relacja, zeznanie, itp.).

Wg. eIDAS:

„Podpis elektroniczny” oznacza dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis (art. 3 pkt 10 rozporządzenia eIDAS).

Tak więc umieszczenie w treści dokumentu elektronicznego swoich danych (np. imię i nazwisko), jest podpisem elektronicznym. Ważna uwaga: dokumentowa forma oświadczenia i prawdziwość dokumentu to dwa aspekty: Czy prawdą jest to, że to oświadczenie podpisanej osoby, oraz Czy prawdą jest to co oświadczono.

Uprawdopodobnienie: “Czy to prawda, że był to…” czyli podpis

Wg. Słownika Języka Polskiego słowo uprawdopodobniać oznacza “sprawić, że coś staje się prawdopodobne”. Pozostaje jedynie stopień (poziom) uprawdopodobnienia. Nie mamy miary bezwględnej, ale możemy użyć metod porównawczych czyli porównać metody uprawdopodobnienia między sobą.

Podpis to treść wskazująca na “osobę podpisaną”, jednak weryfikacja treści, w tym podpisu, to procedura. Podpis odręczny można weryfikować z pomocą wzorów podpisów, a w przypadkach szczególnie ważnych, z pomocą grafologa. Dlatego podpis to nie tylko tekst (imię nazwisko), to także uprawdopodobnienie treści dokumentu. Dokumenty drukowane (maszyna do pisania, drukarka) niosą indywidualne cechy użytej maszyny, nie niosą jednak cech osoby podpisanej. Dlatego wydruki często podpisujemy także odręcznie.

Trwałym łącznikiem pomiędzy osobą a dokumentem jest odręczny podpis, który jest cechą biometryczną. Pismo odręczne jest unikalną i trwałą, powiązaną z człowiekiem, cechą.

Druga poważną różnicą między dokumentem elektronicznym a dokumentem np. na papierze, jest łatwość powielania i modyfikowania treści. W przypadku dokumentów na materialnych nośnikach jest to trudne i można też mówić o oryginale i kopii (jako materialne wersje są odróżnialne), można mówić o kopii uwierzytelnionej (inna, ale znana, osoba wykonała kolejny egzemplarz), jednak w przypadku dokumentów elektronicznych, ich kolejne egzemplarze są nieodróżnialne. Dlatego można mówić o kolejnych egzemplarzach, ale nie o różnych kopiach, podobnie jak w przypadku książek tego samego nakładu z drukarni.

Jak wspomniano można się odręcznie podpisać na wydruku, jednak nie jest to już dokument elektroniczny. Skan (cyfrowe odwzorowanie) podpisanego wydruku daje pewne uprawdopodobnienie, ale biorąc pod uwagę łatwość tworzenia dokumentów w wersji elektronicznej, poziom tego uprawdopodobnienia jest mały. Podsumowując: jeżeli jesteśmy w stanie potwierdzić prawdziwość (uprawdopodobnić) treści dokumentu to znaczy, że osiągnęliśmy cel. Jak to potwierdzamy? Najprostszą metodą jest uwierzytelniony, kontrolny egzemplarz dokumentu, u zaufanej trzeciej strony. Od setek lat jest to jedna z funkcji notariusza (drugą jest potwierdzenie zgodności treści dokumentu z obowiązującym prawem).

Wymagania eIDAS (na bazie eIDAS, Art. 26.):

1.  Zaawansowany podpis elektroniczny musi spełniać następujące wymogi:
a) jest unikalnie przyporządkowany podpisującemu;
b) umożliwia ustalenie tożsamości podpisującego;
c) jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą; oraz
d) jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.

Co to znaczy:

ad.a. podpis jako treść musi być unikalny, dlatego poza imieniem i nazwiskiem często dodajemy np. adres i/lub nr. dowodu tożsamości,
ad.b. podanie nr dowodu tożsamości pozwala na ustalenie tożsamości (a szerzej “dane osobowe” definiowane w RODO),
ad.c. tu pojawia się kwestia środowiska w jakim ten podpis jest składany, a w zasadzie nie tyle “składany podpis” co “utrwalenie treści dokumentu”, takim środowiskiem jest zarówno osobista wizyta u notariusza jak i aplikacja wymagająca uwierzytelnienia by z niej skorzystać,
ad.d. to oznacza, że całość: data, treść i podpis, stanowią sobą jeden dokument (pamiętamy, że na trwałym nośniku) a możliwość potwierdzenia, że treści nie zmodyfikowano, mozna dokonać np. przez porównanie z egzemplarzem składowanym w innym miejscu (np. egzemplarz u notariusza, dlatego zaufane i niezależne od podpisujących środowiska archiwalne nazywane są e-notariuszem).

Zaufany podpis elektroniczny, jest wystraczającym narzędziem uwiarygadniającym treść dokumentów elektronicznych. Powszechne uznawanie podpisów kwalifikowanych to nie to samo co ich wymóg (głównie w Polsce), ich zrównanie w prawie z podpisem odręcznym jest nieadekwatne do “mocy” podpisu odręcznego jako cechy biometrycznej (więcej w artykule Analiza systemowa komunikacji i jej bezpieczeństwa a e-Podpis).

Czym jest środowisko tworzenia i zachowania (utrwalenie) dokumentu? Np. osobiste stawiennictwo z dowodem tożsamości. Pozwala na praktycznie 100% potwierdzenie tożsamości (uwierzytelnienie) autora oświadczenia: dowód tożsamości to fizyczny nośnik, na którym utrwalono cechę biometryczną człowieka (z reguły biometryczne zdjęcie twarzy) i dane takie jak imię, nazwisko, adres, data urodzenia, taki dokument ma także unikalny numer. Porównujemy twarz osoby ze zdjęciem w dowodzie tożsamości.

Alternatywą jest zdalna forma uwierzytelnienia czyli podanie zestawu np. login i hasło. Jest to niestety dość niski poziom wiarygodności. Dlatego popularne są tak zwane wieloskładnikowe metody uwierzytelnienia, polegają na podaniu kilku niezależnych od siebie treści, znanych tylko osobie uwierzytelnianej. Prawdopodobieństwo tego, że inna osoba je zna jest bardzo małe, o ile sami pilnujemy, by nie były publicznie dostępne, jednak powszechne ich podawanie w wielu miejscach (np. media społecznościowe) powoduje, że tak zwana kradzież tożsamości (inna osoba posiada wiele informacji o nas) staje relatywnie łatwa.

Uodpornienie na kradzież tożsamości można uzyskać z pomocą tak zwanych haseł jednorazowych przesyłanych zaufanym kanałem komunikacji. Czym jest “zaufany kanał komunikacji”? Jeżeli niestety musimy sie pogodzić z tym, że ludzie nie chronią danych “o sobie”, także z tego tego powodu, że znaczną część życia spędzamy w przestrzeni publicznej, to musimy także zgodzić sie z tym, że jednak telefon komórkowy i skrzynkę email chronimy dość skrupulatnie: są to nasze osobiste, nie raz intymne, kanały komunikacji. Trzecim “pilnie strzeżonym”, i bardzo prywatnym, środowiskiem jest nasza bankowość elektroniczna. Pierwsze dwa to podstawowe kanały przekazywania jednorazowych haseł w celu uwierzytelnienia drugiej osoby. Tak zwane “logowanie przez bank” to trzecia możliwość (np. w Polsce zrównano ją prawnie z profilem zaufanym ePUAP).

Większość dostępnych źródeł (np. https://bank.pl/) wskazuje, że najwyższą wiarygodność uwierzytelnienia daje kwalifikowany podpis elektroniczny, potem bankowość elektroniczna, a dopiero potem email i smartfon. Na dzień pisania tego artykułu w Polsce z płatnych certyfikatów od kwalifikowanych dostawców korzystało szacunkowo kilkaset tysięcy osób (głownie przedsiębiorcy, księgowi czy urzędnicy). Od października 2025 r., dzięki usłudze rządowej, darmowy podpis kwalifikowany zyskał ogromną popularność – tylko w samej aplikacji mObywatel podpisano w ten sposób ponad 200 tys. dokumentów. Biorąc pod uwagę fakt, że dorosłych obywateli mamy kilkanaście milionów jest to nisza. Prawdopodobnym powodem małej popularności tej formy (podpis kwalifikowany) podpisywania jest także konieczność stosowania dodatkowego oprogramowania oraz fakt, że wygaśnięcie certyfikatu może powodować problemy z potwierdzeniem podpisu.

Kilka wybranych faktów dotyczących podpisów elektronicznych:

  1. Kwalifikowany podpis elektroniczny, dla jego złożenia, wymaga wyłącznie “zalogowania się”, nie ma tu dwuskładnikowego uwierzytelnienia, forma internetowa składania tego podpisu nie wymaga fizycznego klucza(formalnie traktowanego jako drugi składnik uwierzytelnienia), podobnie jak autoryzowanie własnym kwalifikowanym podpisem np. serwera do komunikacji z KSeF, tradycyjny kwalifikowany podpis elektroniczny w Polsce zazwyczaj wymaga osobistego stawiennictwa ale tylko przy pierwszym wydaniu, od 2025 r. kwalifikowany podpis w aplikacji mObywatel można uzyskać całkowicie zdalnie, bez wizyty u dostawcy.
  2. Założenie konta w banku wymaga osobistego stawiennictwa (banki, które tego nie wymagają, mają niższy status), bankowość elektroniczna wymusza wieloskładnikowe potwierdzenia transakcji, w przypadku smartfona jest to często dedykowana aplikacja wymagająca osobnego uwierzytelnienia (ochrona przed kradzieżą czy pożyczeniem).
  3. Konto email, do uwierzytelnienia coraz częściej wymaga wieloskładnikowego logowania, co ważne, udostępnienie hasła do konta email (czy odblokowania smartpfona) przez osoby dorosłe (czyli zdolne do czynności prawnych) ocenia sie na ok. 3% do 5% i dotyczy to głównie bliskiej rodziny (małżonek, partner).
  4. Smartfon, wymaga logowania podobnego jak do konta email, coraz częściej wyposażone są one także dodatkowo w uwierzytelnienie z pomocą linii papilarnych czy prezentacji twarzy.
  5. Profil zaufany to praktycznie każdy serwis internetowy, w którym: można trzymać dokumenty, do korzystania wymaga uwierzytelnienia, gwarantuje rozliczalność aktywności użytkowników. Stanowi formę elektronicznego notariusza.

Podsumowując: na pierwszym miejscu wiarygodności są metody wykorzystujące cechy biometryczne i profile zaufane wykorzystujące te metody bezpośrednio lub pośrednio, do założenia konta. Uwierzytelnienie wieloskładnikowe z użyciem osobistych kanałów komunikacji (email, SMS) daje bardzo wysoki poziom uprawdopodobnienia uwierzytelnienia. Kwalifikowany podpis elektroniczny nie jest cechą biometryczną i jego prawne zrównanie z podpisem odręcznym budzi wiele kontrowersji, szacunkowo 1–3% dorosłych użytkowników kwalifikowanego podpisu w Polsce przekazuje token i PIN innej osobie, zwykle asystentce, księgowej lub współpracownikowi.

Certyfikat nie jest cechą biometryczną człowieka, jest przez niego używany na podstawie umowy.

Tak więc na pytanie: “Czy to prawda, że XXX podpisał te dokument” w przypadku podpisu odręcznego, na dokumencie w formie papierowej, odpowiedź brzmi “Z prawdopodobieństwem graniczącym z pewnością, tak”. W przypadku elektronicznego podpisu zaufanego i kwalifikowanego, ich realna wartość jest porównywalna, wielu ludzi uważa, że zaufane podpisy dają większą pewność.

(na podstawie: https://www.credenceresearch.com/report/europe-digital-signature-market, https://eurocert.pl/podpis-zaufany-a-podpis-kwalifikowany/, https://trustlynx.com/pl/blog/post/podpisy-elektroniczne-w-ue-i-polsce:-kompleksowy-przewodnik):

Kwalifikowany podpis elektroniczny (QES) cieszy się w Polsce umiarkowaną, ale stale rosnącą popularnością, podczas gdy poza granicami kraju (zwłaszcza w Europie Zachodniej oraz USA) podejście do niego jest skrajnie odmienne.

W Polsce rynek jest silnie zdominowany przez darmowe alternatywy rządowe, co ogranicza komercyjne e-podpisy do sektora biznesowego. Z kolei na świecie standard dyktuje wygoda użytkownika końcowego, a nie restrykcyjne wymogi technologiczne.

Porównanie popularności i wdrożenia na świecie:

CechaPolskaKraje Unii Europejskiej (UE)Kraje poza UE (np. USA, UK)
Poziom popularności QESŚredni / Niski (wypierany w życiu codziennym przez darmowy Podpis Zaufany).Wysoki (szczególnie w Niemczech, we Włoszech, w Belgii czy Hiszpanii).Bardzo niski (stosowany niemal wyłącznie w niszowych, transgranicznych transakcjach o wysokim ryzyku).
Główni użytkownicyBiznes (B2B), księgowi, zarządy spółek, kontakt z administracją publiczną (ZUS, KRS).Zarówno administracja publiczna, jak i masowy klient indywidualny (B2C).Sektor korporacyjny o specyficznych wymogach regulacyjnych.
Dominujące standardyPodpis Zaufany (niekwalifikowany) oraz komercyjny QES w chmurze.Krajowe ekosystemy tożsamości (np. itsme w Belgii, SPID we Włoszech) zgodne z eIDAS.Podpisy proste (SES) i zaawansowane (AES) na platformach typu DocuSign.

Poza Unią Europejską panuje prymat elastyczności nad formalizmem. W krajach anglosaskich (USA, Wielka Brytania) oraz wielu innych regionach świata podejście do e-podpisów opiera się na innej filozofii prawnej (np. ustawa ESIGN Act w USA).

  • Marginalizacja QES: Podpis kwalifikowany (wymagający weryfikacji tożsamości przez akredytowanego dostawcę i specjalnych certyfikatów) jest tam uważany za zbyt skomplikowany i drogi.
  • Dominacja platform komercyjnych: Globalny rynek jest zdominowany przez platformy takie jak DocuSign czy Adobe Sign. Opierają się one na zwykłych podpisach elektronicznych (SES) lub zaawansowanych (AES). W tamtejszych systemach prawnych o ważności umowy decyduje intencja stron i tzw. audit trail (ścieżka audytowa – np. adres IP, weryfikacja e-mail), a nie posiadanie certyfikatu kryptograficznego. QES jest tam wykorzystywany niemal wyłącznie przy transakcjach międzynarodowych z podmiotami z UE.

Taka ciekawostka: elektroniczne publikacje naukowe na świecie nie są podpisywane elektronicznym podpisem kwalifikowanym, ale nikt nie powie że nie mają one znaczenia dla ich autorów. Warto się się zastanowić dlaczego tak jest. I co ważne: PIN i klucz do składania kwalifikowanego podpisu elektronicznego nie są cechą człowieka.

Dodatek: Archiwizacja dokumentów

Kilka słów o archiwizacji dokumentów. Słownik Języka Polskiego podaje:

archiwizacja: zbieranie i porządkowanie materiałów archiwalnych

Co ciekawe, Słownik podaje także, że:

archiwum: uporządkowany zbiór nieaktualnych już dokumentów, mających wartość historyczną.

Definicje te brzmią anachronicznie w dobie powszechnej cyfryzacji. W branży IT archiwizacja danych i dokumentów jest najczęściej definiowana jako “czynność przeniesienia danych w inne miejsce, w celu ich długotrwałego przechowywania”. W aktualnej literaturze najczęściej można spotkać wyjaśnienie mówiące, że archiwizacja danych to długoterminowe przechowywanie danych, które nie są już aktywnie wykorzystywane, ale muszą zostać zachowane na przyszłość, natomiast przechowywanie danych oznacza przechowywanie danych w bezpiecznym miejscu w celu ich bieżącego wykorzystania w ramach realizowanych projektów. Archiwizacja służy zazwyczaj zapewnieniu zgodności z przepisami oraz umożliwieniu odzyskiwania danych, natomiast przechowywanie ma na celu zapewnienie natychmiastowego dostępu do danych i możliwość ich przetwarzania (co ciekawe ani przechowywanie ani archiwizacja nie jest w literaturze przedmiotu utożsamiana z przetwarzaniem).

Jeżeli dodamy do tego fakt, że zewnętrzne archiwum może być zaufanym miejscem gwarantującym nienaruszalność struktury i treści dokumentów oraz metadanych, staje sie ono “doskonałym” e-notariuszem (tak działa wiele systemów zaufanego podpisu elektronicznego). Warto tu przypomnieć, że metadane dokumentu często zawierają tzw. status dokumentu, który nie jest treścią (cechą) dokumentu, jest to informacja o dokumencie przechowana poza nim (patrz stan vs status oraz pojęcie metryka pliku): przeniesienie dokumentu do archiwum (ustawienie statusu na archiwalny) nie zmienia jego treści.

Pojęcia archiwizacji danych i archiwizacji dokumentów nie są tożsame: nie każde “dane” to dokumenty. Po pojęciem dane rozumiemy wszelkie cyfrowe zapisy na elektronicznych nośnikach, pojęcie dokument to – jak wyżej opisano – ich wąski podzbiór. Kopie archiwalne (a także zapasowe) oprogramowania i baz danych to nie są dokumenty. Typowy przypadek to relacyjne bazy danych: są to dane i nie są to dokumenty.

Swego czasu usłyszałem, że “archiwizując jedynie źródłowe dane i jakieś standardowe raporty na nich, utrzymamy pełną dostępność informacji z systemu” co niestety nie jest prawdą. Dokumentem jest z zasady treść mająca “ludzkiego” autora, która nie wymaga żadnych dodatkowych narzędzi by zapoznać się z ich treścią. Dlatego żadne archiwa nie przechowują kodu aplikacji a jedynie dokumenty (głownie w formacie tiff, jpg, pdf) . Dlatego mówimy o archiwizacji dokumentów i kopiach (także zapasowych) oprogramowania.

Wdrożenie KSeF unaoczniło ten problem bardzo mocno: plik XML to nie dokument to jedynie dane użyte do kontroli skarbowej i dane do automatycznego księgowania, ale nie są to dokumenty. Dlatego operujemy w KSeF także pojęciem “zobrazowania”, które dopiero jest dokumentem.

Dodatek 2: Doręczenie i wydanie

Z dokumentami nierozerwalnie wiąże sie ich obieg czyli przekazywanie. Przekazanie (wydanie) polega na tym, że dokument (generalnie przedmiot) staje dostępny dla jego adresata. W przypadku przedmiotu jest to możliwość jego użycia, w przypadku dokumentu, jest to możliwość zapoznania się z jego treścią. Na tym schemacie logicznym zbudowane jest np. wydanie dzieła (a jest nim często także dokument). Wydanie dokumentu, np. przekazanie go jego kolejnemu użytkownikowi w systemie workflow, polega więc na udostępnieniu tego dokumentu metodą (w miejscu) znaną adresatowi. Takim miejscem jest opis umieszczony w umowie o dzieło lub instrukcji stanowiskowej systemu workflow, z którą adresat (użytkownik) jest zapoznany. Dlatego dowieść należy “wydania” a nie “odebrania” dokumentu (dzieła, jeżeli dokument – jego treść – jest zamówionym produktem:

Oddanie dzieła następuje jednak także wówczas – jeżeli z umowy o dzieło inaczej nie wynika – gdy przyjmujący zamówienie stawia dzieło do dyspozycji zamawiającego i zamawiający może je odebrać, choć tego nie czyni (np.: bezzasadnie odmawia podpisania protokołu odbioru dzieła). Nieodebranie dzieła przez zamawiającego mimo braku ku temu przeszkód jest naruszeniem obowiązku zamawiającego wynikającego z art. 643 k.c. (np. wyrok Sądu Najwyższego z dnia 15 marca 2012 r., I CSK 287/11 – lex nr 1168727; wyrok Sądu Najwyższego z dnia 7 października 2010 r., IV CSK 173/10 LEX nr 707913). Za wydanie dzieła należy uznać każdy akt przyjmującego zamówienie, z którego wynika, że prace uważa za skończone. Wystarczy wystawić i wręczyć zamawiającemu fakturę na całość wynagrodzenia, aby uznać że doszło do wydania dzieła. (https://prawnik-piaseczno.pl/umowa-o-dzielo-wydanie-odebranie-dziela/)

W praktyce więc umieszczenie dokumentu w archiwum (repozytorium), uprawnienie danej osoby do dostępu do niego i poinformowanie jej o tym, stanowi wydanie wydanie tego dokumentu tej osobie. Z mechanizmu tego korzystają powszechnie banki, biura rachunkowe a także internetowe sklepy oferujące e-booki. Identycznie realizowane jest przekazywanie dokumentów do sądów drogą elektroniczną poprzez portal sądowy.

Podsumowanie

Operowanie pojęciem dokument stało sie trudne od czasu pojawienia sie pojęcia “dokument elektroniczny”. Dlatego definiowanie go jako “treści adresowanej i zrozumiałej dla człowieka przez człowieka” jest wyjściem dającym obiektywizm klasyfikacji: utrwalony na nośniku, zrozumiały dla człowieka, tekst, obraz, film, nagranie dźwiękowe. Na to nakłada się pewne ograniczenie, jakim jest konieczność posiadania dostępu do sprzętu technicznego pozwalającego odtworzyć nośnik z dźwiękiem czy filmem. Dlatego mówimy o nagraniach archiwalnych czy filmach dokumentalnych, ale pisząc testament czy wysyłając zamówienie na rower w sklepie wysyłkowym, użyjemy papieru lub PDF, nie będziemy nagrywali filmu czy głosu. Tam gdzie tak (głos, film) przekazana treść ma znaczenie wykonywana jest transkrypcja fonetyczna do tekstu, dawniej spotkania były stenografowane z nagrania a tego samego powodu.

Podpis to wskazanie autora dokumentu (określonej treści): osoby, która tę treść firmuje. Podpis jako poświadczenie autentyczności treści i uwierzytelnienie autora to inne zagadnienie: służył do tego podpis odręczny (a nie raz gryzmoł zwany krzyżykiem lub kilkoma krzyżykami bo to dawało większość pewność unikalności, od czasu odkrycia unikalności linii papilarnych, osoby niepiśmienne często zostawiają na dokumentach odcisk palca).

Jednak celem jest wyłącznie to czego wymaga ww. eIDAS. Nie jest celem np. “użycie kwalifikowanego podpisu”, celem dowieść, że treść dokumentu jest prawdą, do tego wystarczy trzecia strona zwana profilem zaufanym. Jest nim w zasadzie każde niezależne archiwum, a jeżeli założenie konta w takim archiwum wymaga dodatkowo osobistego stawiennictwa z dowodem tożsamości, staje sie ono silnym narzędziem dowodowym, dlatego większość Państwa poprzestaje na podpisach zaawansowanych, a kwalifikowane uznaje ale nie wymaga.

Automatyzacja: “Nasz system automatycznie generuje zamówienia, faktury”. Automatyzacja oznacza wyłącznie “wyręczenie” człowieka w określonej pracy a nie jego “zastąpienie”. Tal więc np. automatycznie wystawiona faktura to dokument firmowany przez określona osobę (pamiętamy, że podmioty prawne maja ludzką reprezentację).

Na koniec ciekawostka: bardzo często bardziej istotne jest nie to “kto napisał” a to “co i kiedy napisano”, dotyczy to pojęcia plagiatu. Plagiat to co do zasady kopia wcześniejszej (już istniejącej) treści. To czyje autorskie prawa osobiste naruszono pada na drugi plan, choćby z tego powodu, że prace anonimowe także są chronione: skopiowanie anonimowej publikacji także jest plagiatem. Dlatego ochrona przed plagiatem wymaga jedynie publikowania u wydawców znakujących czasem publikowane treści. Publikacje naukowe coraz częściej nie są podpisywane odręcznie, wystarczy założenie profilu z dwuskładnikowym uwierzytelnieniem, kwalifikowany podpis elektroniczny to raczej rzadkie zjawisko u wydawców pism naukowych.

Źródła

{5085975:A8499Q4J};{5085975:2QTI3KBI};{5085975:B7SVMTNQ},{5085975:WKY42UYX};{5085975:5UDNT9PM};{5085975:FZBBDUDC};{5085975:6Q43W9BI};{5085975:AE9WP93Y};{5085975:9JPQY2LW};{5085975:SJCGKLMW};{5085975:5IKDWW5P};{5085975:UWPK75G6};{5085975:FZBBDUDC} apa default asc 0 56145

Jarosław Żeliński

Jarosław Żeliński: Po ukończeniu WAT w 1989 roku pracownik naukowy katedry Transmisji Danych i Utajniania. Od roku 1991 roku, po rozpoczęciu pracy w roli analityka i projektanta systemów przetwarzania informacji, nieprzerwanie realizuje kolejne projekty dla urzędów, firm i organizacji. Od 1998 roku prowadzi także samodzielne studia i prace badawcze z obszaru analizy systemowej i modelowania systemów: modele jako przedmiot badań: ORCID, publikując je nieprzerwanie także na tym blogu. Od 2005 roku, jako wykładowca akademicki wizytujący (nieetatowy), prowadzi wykłady i laboratoria (ontologie i modelowanie systemów informacyjnych, aktualnie w Wyższej Szkole Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk w Warszawie.). Od 2020 roku na stałe mieszka w Szkocji (Zjednoczone Królestwo), nadal realizuje projekty dla firm i organizacji także w Polsce.

Ten post ma 2 komentarzy

  1. Krzysztof

    Super materiał

Dodaj komentarz

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.