Генеральный партнер 2020 года

Издательство ЮРИДИЧЕСКАЯ ПРАКТИКА
Главная » Выпуск №51 (209) » ЭЛЕКТРОННАЯ ПОДПИСЬ: ЗАРУБЕЖНЫЙ ОПЫТ

ЭЛЕКТРОННАЯ ПОДПИСЬ: ЗАРУБЕЖНЫЙ ОПЫТ

Чья электронная подпись будет безопасней?

В прошлых номерах «Юридической практики» мы рассказали о том, что представляет собой электронная подпись. Ведущие страны мира уже приняли законы, в соответствии с которыми электронная подпись действует наравне с обычной и влечет за собой правовые последствия. Соседние с Украиной страны также близки к принятию аналогичных законов. Например, в Российской Федерации недавно прошел второе чтение закон «Об электронной цифровой подписи», а в польском парламенте рассматривается закон «Об электронной подписи» (проект от 21 декабря 2000 года). В настоящей статье мы остановимся на некоторых существенных моментах данных законопроектов. Принципиального отличия электронной цифровой подписи от «просто» электронной мы обнаружить не смогли, однако будем использовать эту разницу в названиях проектов для их отличия.

КРАТКОСТЬ — СЕСТРА ТАЛАНТА?

Сразу же отметим, что польский законопроект выглядит внушительнее российского аналога, превосходя его как по объему (приблизительно в два раза), так и по уровню детализации. Складывается впечатление, что российский проект в значительной степени носит рамочный характер, либо создавался в спешке и его разработчики рассчитывали на подзаконное урегулирование многих существенных вопросов. Чтобы не быть голословными, перейдем к непосредственному изучению норм законопроектов.

Статья 4 законопроекта РФ об электронной цифровой подписи весьма лаконично определяет условия признания равнозначности электронной цифровой подписи (ЭЦП) и собственноручной подписи. К ним относятся следующие три условия, которые должны выполняться одновременно:

1) сертификат ключа подписи, относящийся к данной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

2) подтверждена подлинность электронной цифровой подписи в электронном документе;

3) электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

При создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (т.е. аппаратные и/или программные средства, обеспечивающие создание и подтверждение подлинности электронной подписи, а также создание закрытых и открытых ключей ЭЦП). Сертификация таких средств осуществляется в соответствии с законодательством РФ о сертификации продукции и услуг.

И это — практически все требования, предъявляемые проектом к электронной подписи и средствам, при помощи которых данная подпись создается.

БЕЗОПАСНАЯ ЭЛЕКТРОННАЯ ПОДПИСЬ

В польском проекте заложен несколько иной подход. Законопроект вводит понятие безопасной электронной подписи. Последняя должна удовлетворять следующим условиям:

1) однозначно связана с подписывающим лицом;

2) делает возможным определение личности подписывающего лица;

3) создается при использовании средств и информации, над которыми подписывающий субъект имеет полный и исключительный контроль, а также

4) связана с данными, к которым присоединяется таким способом, что каждое позднейшее изменение может быть подтверждено;

5) опирается на квалифицированный сертификат, была создана при помощи безопасных средств и удовлетворяет другим требованиям в сфере мер обеспечения, определенных данным законом, и предписаний, изданных на его основании.

Более того, безопасная электронная подпись должна быть создана при помощи безопасных средств, гарантирующих, по крайней мере, что:

1) данные, составляющие электронную подпись и служащие для ее создания:

— были неповторяющимися;

— были гарантированно конфиденциальными;

— не могли быть получены неуполномоченным лицом;

— были максимально ограждены от подделки;

— были ограждены лицом, уполномоченным на создание подписи, от использования третьими лицами;

2) не изменяли данных, которые должны быть подписаны;

3) данные, которые должны быть подписаны, были представлены подписывающему лицу перед процессом создания подписи.

Однако не все электронные трансакции требуют непременного соблюдения всех перечисленных выше условий. Статья 5 проекта, в частности, определяет, что:

— если изъявление воли осуществилось посредством записи на электронном носителе, для соблюдения письменной формы правовой сделки требуется подтверждение содержания этого волеизъявления безопасной электронной подписью, если предписания права или договор не предусматривают иного;

— нельзя отказать в действительности электронной подписи лишь на том основании, что публичный ключ либо данные для верификации электронной подписи не имеют сертификата либо создаются при помощи средств, которые не удовлетворяют критериям безопасных.

СЕРТИФИКАТЫ КЛЮЧЕЙ

Из приведенных выше норм можно заключить, что два законодателя решают вопрос о сертификации ключей электронных подписей по-разному.

В соответствии с положениями польского законопроекта одно лишь отсутствие сертификата ключа не может послужить причиной признания подписи недействительной. То есть фактически разрешается использование электронной подписи без сертификата публичного ключа, кроме случаев, определенных законопроектом. Об этом ясно говорится в статье 6 польского проекта закона об электронной подписи, определяющей, что подписывающее лицо может использовать электронную подпись:

1) связанную с сертификатом публичного ключа;

2) связанную с сертификатом публичного ключа, выданным аккредитованным лицом;

3) без сертификата публичного ключа, если получатель данных, подписанных электронной подписью, не требует этого либо если это предусмотрено договором между сторонами.

Что же касается российского законопроекта, то прямого ответа на этот вопрос мы в нем не нашли, однако это можно сделать при анализе ряда статей. Так, о необходимости наличия сертификата ключа говорится в упомянутой ранее статье 4, прямо указывающей на необходимость наличия сертификата ключа для признания равнозначности ЭЦП и собственноручной подписи.

Проект закона «Об электронной цифровой подписи» выделяет информационные системы двух типов: общего пользования (т.е. открытые для пользования всеми физическими и юридическими лицами и в услугах, которых этим лицам не может быть отказано) и корпоративные (участниками которых может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников данной информационной системы).

Однако независимо от этого разграничения деятельность информационной системы любого типа должна обеспечиваться удостоверяющим центром (основной функцией которого, как известно, является именно выдача сертификатов ключей).

В первом случае этот центр должен являться юридическим лицом, а также обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед владельцами сертификатов ключей подписей за убытки, которые могут быть понесены им вследствие недостоверности сведений, содержащихся в сертификатах.

Что же касается корпоративной системы, то проект определяет, что правовой статус удостоверяющего центра, обеспечивающего ее деятельность, определяется владельцем этой системы или соглашением ее участников.

При этом деятельность удостоверяющих центров подлежит лицензированию в соответствии с законодательством РФ о лицензировании отдельных видов деятельности (отметим, что в соответствии с польским проектом для осуществления деятельности в сфере выдачи сертификатов не требуется даже разрешения).

Таким образом, напрашивается вывод, что в соответствии с российским проектом электронная подпись в любом случае должна быть подтверждена сертификатом ее публичного ключа.

В пользу такого вывода свидетельствует и часть 2 статьи 17 проекта, посвященной особенностям использования ЭЦП в корпоративных системах. Эта норма указывает, что в корпоративных информационных системах содержание информации в сертификатах ключей подписей, порядок ведения реестра сертификатов ключей подписей, хранения аннулированных сертификатов ключей подписей, вопросы утраты указанными сертификатами юридической силы регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы.

КВАЛИФИЦИРОВАННЫЕ СЕРТИФИКАТЫ

Проект закона «Об электронной подписи», разработанный в Польше, различает сертификаты и квалифицированные сертификаты. Электронные подписи, опирающиеся на квалифицированные сертификаты, применяются, в частности, в отношениях с государственными органами. Квалифицированные сертификаты могут выдаваться лишь лицами, оказывающими услуги в сфере выдачи сертификатов, аккредитованными Краевым бюро аккредитации. О такой аккредитации может ходатайствовать любое лицо.

Аккредитованное лицо, выдающее квалифицированные сертификаты, может предоставлять соответствующие услуги лишь после получения от Краевого бюро аккредитации сертификата своего публичного ключа.

Проект предъявляет определенные требования к финансовому обеспечению лиц, имеющих право выдавать квалифицированные сертификаты. Так, в случае ходатайства об аккредитации лицо, выдающее сертификаты, должно представить Краевому бюро аккредитации письменное подтверждение о владении финансовым обеспечением в размере не менее 1 миллиона злотых, а также обязательство о том, что данная сумма будет целиком потрачена на средства организации сертификационных услуг.

Кроме того, ходатайствующее лицо должно представить страховой полис, позволяющий покрыть претензии в сумме, превышающей имеющееся минимальное финансовое обеспечение, по крайней мере, в два раза.

ВАШИ ПРАВА ЗАПИСАНЫ В КОНСТИТУЦИИ

Обращает на себя внимание тщательная регламентация польским законодателем прав и обязанностей участников отношений, связанных с электронной подписью.

Так, множество потенциальных споров может возникнуть между владельцем сертификата ключа и лицом, выдающим и обслуживающим данный сертификат. В этом случае необходимо четкое разграничение ответственности этих субъектов в законе.

В качестве характерного примера можно привести статьи, регламентирующие прекращение деятельности лиц, предоставляющих услуги по выдаче сертификатов. Довольно неопределенной выглядит статья 15 проекта закона РФ «Об электронной цифровой подписи», касающаяся прекращения деятельности удостоверяющих центров. В соответствии с частью 2 этой статьи в случае прекращения деятельности удостоверяющего центра, выдающего сертификаты ключей подписей для использования в информационных системах общего пользования, сертификаты, выданные этим удостоверяющим центром, могут быть переданы другому удостоверяющему центру по согласованию с их владельцами. Сертификаты ключей подписей, не переданные в другой удостоверяющий центр, аннулируются и передаются на хранение уполномоченному федеральному органу исполнительной власти.

При этом в данной статье не прописана даже элементарная обязанность удостоверяющего центра об уведомлении владельцев сертификатов о прекращении его деятельности. Впрочем, определенной гарантией может послужить установленная в статье 11 проекта обязанность удостоверяющего центра по уведомлению владельца сертификата о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования сертификата ключа подписи.

Что же касается польского проекта закона «Об электронной подписи», здесь будет уместным привести статью 25, в которой, в частности, указывается следующее.

«В случае, когда лицо, выдающее сертификаты, имеет намерение завершить свою деятельность либо находится в состоянии ликвидации, оно обязано:

1) уведомить об этом Краевое бюро аккредитации не позднее, чем за месяц до запланированного окончания деятельности;

2) уведомить об этом владельцев сертификатов;

3) предоставить даты окончания выданных им сертификатов, находящихся в реестре, а также огласить их публично.

В случае невыполнения обязанности об уведомлении лицо, выдающее сертификаты, несет ответственность по возмещению ущерба, нанесенного владельцам сертификатов».

Оценить в полной мере, насколько блеклым выглядит российский проект на фоне польского, можно лишь при непосредственном ознакомлении с данными документами. Отметим лишь, что польский законодатель проявил в целом более гибкий подход при правовой регламентации соответствующих отношений, заложив в законопроект возможность многовариантного поведения субъектов, подпадающих под его действие, и широко используя разрешительный принцип. В то же время польский проект закона «Об электронной подписи» детально прописывает нормы, касающиеся прав, обязанностей и ответственности участников данных отношений (что, впрочем, верно и в отношении других, не менее важных, аспектов отношений, связанных с применением электронной подписи).

Поделиться

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Подписывайтесь на «Юридическую практику» в Facebook, Telegram, Linkedin и YouTube.

0 Comments
Встроенные отзывы
Посмотреть все комментарии
Slider

Другие новости

PRAVO.UA

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: