Правовое регулирование применения электронной цифровой подписи

В условиях глобальной информатизации и внедрения новых информационно-компьютерных технологий (ИКТ) практически во все сферы общественно-производственной деятельности (от поддержки финансовых и товарных рынков, взаимодействия населения с органами государственной власти до сферы услуг, розничной торговли, образования и досуга) актуальными становятся проблемы правового регулирования электронного документооборота как внутри суверенных государств, так и на международной арене.

Поэтому перед мировым сообществом и каждым государством в отдельности стоит сложная многоаспектная проблема создания эффективного организационно-правового механизма, обеспечивающего необходимый уровень защищённости электронных документов, с учётом того, что сфера электронных сетей практически не контролируется государственными органами, и каждый «информационный деятель» (пользователь, оператор АИС) может самостоятельно участвовать в общедоступных глобальных процессах информационного обмена. Создание систем юридически значимого электронного документооборота, осуществляемого с использованием информационных систем, возможно, в частности, на основе применения так называемой электронной цифровой подписи^[72] (ЭЦП) как средства удостоверения авторства и аутентичности электронных данных (см. рис. 1.3, 3.1).

Общими юридическими функциями ЭЦП являются: гарантирование подлинности и целостности подписанного документа; гарантирование, что электронный документ подписан уполномоченным лицом; предотвращение негативных последствий отсутствия собственноручной подписи; «символизирование» выражения воли сторон по сделке; «символизирование» необходимой письменной формы сделки, заключённой посредством электронного документооборота (рис. 3.1).

С использованием ЭЦП возможны следующие три схемы правовых взаимоотношений в зависимости от статуса физических и юридических лиц — участников информационного обмена.

1. Использование государственными органами и организациями надёж

ных средств ЭЦП и квалифицированных («усиленных») сертификатов ключей, выданных аккредитованными центрами сертификации ключей (ЦСК).

2. Использование другими юридическими и физическими лицами меха

низмов ЭЦП на основе сертификатов ключей, выданных неаккредитованными ЦСК.

3. Не использование другими юридическими и физическими лицами услуг ЦСК.

В последних двух случаях правовые взаимоотношения регулируются на основе договоров, в которых оговаривается признание юридической силы электронного документа, подписанного одним из названных способов.

Сегодня в ряде стран ближнего зарубежья и в России основным правовым препятствием на пути развития юридически значимого электронного документооборота является невозможность предоставлять электронные документы, например, договоры, в качестве доказательств в суде при возникновении споров. В некоторых случаях, например, на фондовом рынке, эту правовую проблему решают с помощью специальных соглашений между участниками торговли о возможности использования электронных документов в качестве доказательств при возникновении конфликтных ситуаций, но такой подход удобен далеко не всегда.

«Боб»,

«Алиса»,

x-*-s⁰⁼ S?

----- ► S⁰

Экспликация: X — исходный текст; S — сигнатура исходного текста; Y — передаваемый текст; Ф_А, Ф_А — открытые и закрытые персональные данные Алисы, соответственно; — тайные ключи абонентов; S⁰ — сигнатура принятого Бобом текста.

Рис. 3.1. Принцип организации защищённого двустороннего информационного обмена с использованием ЭЦП

Другую группу проблем порождает анонимность пользователей в глобальных телематических сетях. Например, в сети Интернет, общаясь с контрагентом, невозможно быть полностью уверенным в том, что полученный по открытым каналам электронный документ идентичен отправленному документу- оригиналу, а отправитель и есть вторая сторона в информационном обмене.

Удобная, быстрая и дешевая практика использования электронных подписей стала внедряться на Западе с середины 90-х гг. XX в. Мировой опыт показал, что на настоящий момент сложились три модели развития законодательной базы в сфере электронного документооборота и ЭЦП.

Первая модель принята в США. Правительство США предоставляет право самостоятельно регулировать внутренние процессы в сфере электронной коммерции. Данная модель основана на принципах «бизнес-выбора», концепции свободы заключения контракта и использовании при этом любой конкретной информационно-компьютерной технологии. Выбор любой технологии подписи электронных документов сторон, участвующих в сделке, признаётся законным. Стороны сами могут решить — использовать или не использовать ЭЦП, причём они не обязаны обращаться к третьей, независимой стороне, удостоверяющей сертификаты ключей.

Вторая модель принята в Европейском Союзе (ЕС). Базовый принцип соответствующей Директивы^[73] об ЭЦП — система лицензирования не должна быть обязательной. Каждая страна-член ЕС может создавать структуры, регулирующие процесс добровольного лицензирования для того, чтобы сформировать у клиентов или потенциальных деловых партнёров авторитет и доверие к организации, предоставляющей услуги в сфере применения ЭЦП. Правительства должны обеспечить функционирование соответствующей системы надзора за деятельностью поставщиков услуг по сертификации, которые созданы на территории этой страны и осуществляют выдачу квалификационных сертификатов населению.

Третья модель принята в России и в Индии, где законы об ЭЦП жестко регулируют рынок услуг в сфере электронной цифровой подписи путём лицензирования деятельности по предоставлению таких услуг. Базовый принцип модели — признание ЭЦП действенной и необходимой везде, в том числе и на международном уровне. Данный подход лишен достаточной гибкости и практически не способен своевременно реагировать на меняющиеся условия и механизмы развития инфосферы. В частности, в Индии первая лицензия на деятельность по предоставлению услуг в сфере ЭЦП была выдана через три года после принятия закона об ЭЦП. В итоге электронная торговля была «заморожена», а в гражданских судах Индии скопилось около 40 млн. дел по поводу споров по контрактам.

По степени детализации требований к самой электронной подписи в мировой практике исторически сложились также три подхода.

Первый подход (самый общий) основан на признании в отношении электронной подписи тех же требований, что и в отношении собственноручной, включая уникальность, возможность верификации подписи и «подконтрольность» использующему её лицу.

Второй подход наряду с этим предполагает, что электронная подпись должна быть связана с передаваемыми данными так, что если они изменяются, то электронная подпись становится недействительной.

Третий подход выдвигает наиболее детализированные требования к электронной подписи, в частности, предусматривает использование технологии асимметричных криптографических преобразований [51]. И именно такой тип электронной подписи называется электронной цифровой подписью.

Выбор конкретного подхода при разработке соответствующего национального законодательства обусловливается, главным образом, социальнополитической обстановкой в стране, когда поиск наиболее подходящего средства безопасной передачи данных либо доверяется рынку электронной коммерции, либо осуществляется централизованно с целью защиты агентов складывающегося рынка от вероятных конфликтных ситуаций.

Например, правительство США считает законными все электронные подписи (например, PIN-код, ЭЦП, электронный маркер и др.), признаваемые обоими контрагентами по сделке, включая биометрические данные (отпечатки пальцев, голоса, рисунки радужных оболочек глаз, геометрия рук и др.). В частности, файл с текстом закона «Об электронных подписях в глобальной и национальной торговле» (аналог отечественного закона об ЭЦП) подписан фотографической копией собственноручной подписи Президента США Билла Клинтона, сделанной им на компьютерном графическом планшете.

Европейское законодательство более жестко подходит к вопросу о том, какой должна быть электронная подпись. Соответствующая Директива ЕС об ЭЦП предписывает применять второй подход, который и был использован, в частности, при принятии национальных законов в Австрии, Великобритании, ФРГ и др.

Проблемы правового регулирования отношений, предусматривающих использование электронной подписи, по существу связаны с регулированием применения технологий электронного документооборота. Каждая страна должна решить для себя, насколько конкретная технология надёжна, как велика вероятность искажения воли стороны в электронном документе, кто обладает правом решать в каждом конкретном случае вопрос об аутентичности и на основании каких критериев.

В ООН работа по юридическому регулированию отношений в области электронной коммерции сосредоточена, главным образом, в Комиссии по международному торговому праву — ЮНСИТРАЛ (UNCITRAL). В модельных законах ЮНСИТРАЛ «Об электронной торговле»^[74] 1996 г. и «Об электронной подписи» 2001 г. правовой режим электронного обмена данными в международных коммерческих операциях представлен в виде примерного свода правил.

ЕС как континентальный международный центр разработки базовых правил регулирования электронной коммерции также акцентирует внимание на двух направлениях — собственно электронная коммерция и электронная подпись. Европейским парламентом и Советом Министров ЕС по первому направлению приняты директивы «О заочной торговле» 1997 г. и «Об электронной коммерции» 2000 г. В сфере, касающейся регулирования вопросов применения электронной подписи, в качестве базового европейского закона принята ранее упомянутая Директива ЕС об ЭЦП.

В России Закон предусматривает только один вид электронной подписи — собственно ЭЦП, жестко регламентируя деятельность по предоставлению услуг в сфере электронной цифровой подписи и предусматривая обязательное лицензирование этой деятельности, а также применение стандартизированных алгоритмов ЭЦП. Закон предусматривает различные правовые режимы для информационных систем общего пользования («открытых систем») и корпоративных информационных систем. При корпоративном режиме регламентация ЭЦП формально передаётся на усмотрение участников системы, однако требуется заключение предварительных соглашений о регламенте электронного документооборота и процедурах разрешения конфликтов, предполагается физический обмен магнитными носителями с ключами ЭЦП и сертификатами ключей (см. рис. 1.3). Законом также предусмотрено создание удостоверяющих центров для информационных систем общего пользования, но на практике оперативность создания таких структур оставляет желать лучшего и др.

Всё это приводит к возникновению ряда прикладных юридических проблем [28, 35]. В частности, выбор стандартизированного алгоритма ЭЦП и его реализации не гарантируют обеспечения доказательного подтверждения подлинности и авторства электронного документа, поскольку в отличие от обычной собственноручной подписи ЭЦП отчуждаема от своего владельца, то есть если подпись под бумажным документом неотделима от человека и практически никто другой не может подделать её так, чтобы это не было обнаружено криминалистической экспертизой, то любой злоумышленник, завладевший секретным ключом подписи, сможет сделать ЭЦП так же легко и правдоподобно, как и законный владелец этого ключа. Решить данную проблему возможно при условии осуществления каждым участником электронного документооборота самостоятельной тайной процедуры генерации своих ключей и обеспечения конфиденциальности закрытого ключа.

Следствием отчуждаемости ЭЦП является также необходимость юридически корректного подтверждения принадлежности открытого ключа ЭЦП. Арбитр должен не только убедиться в корректности ЭЦП под электронным документом, но и удостовериться, что использованный при проверке ЭЦП открытый ключ действительно принадлежит тому абоненту, авторство которого проверяется. Решение проблемы юридического удостоверения подлинности и принадлежности открытых ключей подписи участников-абонентов возможно на основе применения механизмов заверения ключей ЭЦП на уже известных ключах, а для первичных ключей — заверения традиционными способами (мастичными печатями и собственноручными подписями уполномоченных лиц) после распечатки на бумаге.

Арбитражный характер разрешения конфликтных ситуаций предопределяет разработку такого механизма правового выхода из конфликтов, связанных с электронными документами, который был бы понятен арбитру, не являющемуся специалистом в области защиты информации, и максимально адекватен механизму выхода из аналогичных конфликтов в случае использования бумажных документов. Кроме того, для обеспечения самой возможности рассмотрения электронных документов в арбитраже должен быть создан необходимый юридический базис. Здесь, кстати, следует отметить, что юридические аспекты электронного документооборота исследовались Институтом государства и права РАН в рамках НИР [62] в 1990-х гг. Полученные результаты с учётом обоснованных криптографических решений правового выхода из конфликтных ситуаций позволили, в частности, разработать «Типовой договор обмена электронными документами и оказания информационно-вычислительных услуг при многорейсовой обработке платежей в системе «АСБР-Москва»^[75], обеспечивающий юридическую значимость (легитимность) электронных межбанковских платежей в корпоративной информационной сети Центрального банка Российской Федерации.

Более либеральный Закон об ЭЦП, предусматривающий другие виды электронной подписи, принят в Украине. Данный Закон базируется на общей концепции соответствующей Директивы ЕС, рекомендующей единые правила признания юридической силы цифровой подписи и добровольную аккредитацию центров сертификации ключей (ЦСК) [11]. Определение термина «электронная подпись» по уровню детализации выдвигаемых к электронной подписи требований разделено на два понятия. Собственно электронная подпись, которая представляет собой данные в электронной форме, присоединяемые к другим данным или логически с ними объединённые, предназначенные для идентификации подписавшего лица. Второе определение — электронная цифровая подпись — ЭЦП, конкретизирующая используемую технологию и определяемая как результат криптографического преобразования некоторого набора данных, который присоединяется к этому набору данных или логически с ним объединяется и даёт возможность подтвердить целостность этого набора данных и идентифицировать подписавшее лицо.

В Законе об ЭЦП Украины сформулированы условия, при которых именно ЭЦП приравнивается к собственноручной подписи, в частности:

• цифровая подпись проверена с использованием «усиленного» (квалифи

цированного) сертификата ключа при помощи надёжных средств ЭЦП, т.е. средств, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации;

• во время проверки использовался «усиленный» сертификат ключа под

писи (действующий на момент наложения цифровой подписи), который имеют право формировать только аккредитованные ЦСК;

• личный ключ подписавшего лица отвечает открытому ключу, который

находится в сертификате.

Юридическое признание электронной подписи, в том числе переведенного в цифровую форму изображения собственноручной подписи, не опровергается. Юридическое признание электронной подписи может регламентироваться на основании отдельных договоров между участниками информационного обмена или определяться другими нормативными правовыми актами.

Таким образом, электронный документ, подписанный электронной подписью, может служить доказательством в судебном процессе. Споры, которые могут возникнуть между сторонами информационного обмена, разрешаются судами в общем порядке, предусмотренном законодательством Украины. Суд не может однозначно опровергнуть юридическую силу электронной подписи исключительно на основании того, что она представлена в электронной форме, не основана на «усиленном» сертификате ключа, сформирована с использованием ненадёжных средств цифровой подписи.

С целью повышения и усовершенствования уровня услуг, а также международного признания цифровой подписи предусмотрены механизмы добро

вольной аккредитации ЦСК, а также создание системы, которая осуществляет процедуру аккредитации и надзор за работой аккредитованных центров. Данные нормы основываются на соответствующих требованиях Директивы ЕС об ЭЦП. Таким образом, определяются два типа поставщиков услуг в сфере ЭЦП — центр сертификации ключей и аккредитованный центр сертификации. Центром сертификации ключей может быть юридическое или физическое лицо — субъект предпринимательской деятельности, который удостоверил свой открытый ключ в органе технического управления сферы ЭЦП — центральном удостоверяющем органе. Закон не устанавливает практически никаких требований к деятельности не аккредитованных ЦСК относительно предоставления услуг юридическим и физическим лицам. В то же время чётко определены права и обязанности аккредитованных ЦСК, порядок отмены, блокирования и возобновления «усиленных» сертификатов. При этом юридическая сила цифровой подписи, проверенной с использованием сертификата ключа, который сформирован ЦСК, а также при помощи ненадёжных средств ЭЦП, не может быть опровергнута.

В соответствии с требованиями Закона ЦСК несут ответственность за невыполнение своих обязанностей перед юридическими и физическими лицами согласно законодательству Украины.

В некоторых аналогичных законодательных актах стран — членов ЕС и в России предусмотрена финансовая ответственность ЦСК перед своими клиентами и третьими лицами за несоответствующее выполнение своих обязанностей. В частности, одним из требований к аккредитованному центру является обязательное наличие страховой суммы определённого размера, дающее возможность гарантировать способность ЦСК нести финансовую ответственность перед третьими лицами вследствие невыполнения требований законодательства в области ЭЦП.

В законах России и Украины определяется и контролирующий орган в области ЭЦП — специально уполномоченный федеральный (центральный) орган исполнительной власти в сфере криптографической защиты информации, который проверяет выполнение удостоверяющими центрами (ЦСК) требований законодательства в области ЭЦП, а также отвечает за оценку соответствия средств цифровой подписи установленным требованиям.

Таким образом, комплексный сравнительно-правовой анализ основных правовых проблем и особенностей моделей развития национальных законодательств в области электронного документооборота и электронной подписи показывает, что в мировом сообществе наметилась устойчивая тенденция гармонизации законодательств об ЭЦП на базе единых принципов и подходов. Становится понятным, что жестко регламентированная обязательная государственная система сертификации ЭЦП, обеспечивая высокую степень безопасности и надёжности использования электронных подписей, практически перечеркивает возможность участия в международной электронной торговле, включая продуктивное участие в ВТО.

Вместе с тем остаётся ещё много не решённых частных проблем правового регулирования применения электронной подписи у нас в стране и за рубежом, обусловленных различиями в национальных законодательствах, потребностями и динамикой развития национальных экономик и другими социально-политическими факторами.

3.4.