Rambler's Top100
  интернет финансы главная | карта | поиск | | реклама  
главнаяПраво  Публикации  Интернет Финансы Закон об ЭЦП: будет ли востребован пользователем? Проект федерального закона "Об электронной цифровой подписи" разрабатывался в Правительстве РФ около двух лет. Когда, наконец, появился правительственный вариант, большинство экспертов отметило его низкое качество. Опираясь на рекомендации Экспертного совета и учитывая дефектность концептуальных положений законопроекта, Комитет по безопасности Думы рекомендовал его доработать. Но Государственная Дума, пойдя навстречу Правительству (и ведомствам, отвечавших за подготовку законопроекта — Минсвязи и ФАПСИ), 6 июня приняла правительственный проект в первом чтении.

XIV Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2024»
XIV Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2024»
Новости
Публикации
События
Ресурсы
Глоссарий
Партнеры
О проекте
Форум

Решения:

Интернет-банкинг


Интернет-трейдинг


Интернет-страхование


Интернет-расчеты


Безопасность

Aplex.ru Разработка веб-сайтов

Intersoft Lab (17.06.11)

XXIV Международный Форум iFin-2024 "Электронные финансовые услуги и технологии"

X Международный Форум ВБА-2023 «Вся банковская автоматизация»

XIII Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2023»



Спецпредложение:

Автострахование, страхование автомобиля, страхование жизни, медицинское страхование - cкидка 5% для посетителей iFin.ru подробнеe >>

Астраброкер 


-=startpage=-
П У Б Л И К А Ц И И


Закон об ЭЦП: будет ли востребован пользователем?
Елена Волчинская, консультант аппарата Комитета Государственной Думы РФ по безопасности

Необходимость согласования условий применения и признания электронных подписей (ЭП) привела к принятию в 1996 г. Типового закона ЮНСИТРАЛ об электронной торговле, где содержались некоторые требования к ЭП, признавалась юридическая сила сообщений, подписанных ЭП, в том числе их доказательственная сила. Совет Европы также принял в 1999 г. Директиву о правовых основах использования электронных подписей. Этим летом на 34-й сессии ЮНСИТРАЛ планируется принять Типовой закон об электронных подписях, разработка которого началась в 1997 г.
Принципиальные положения этих модельных актов существенно отличаются от концепции правительственного законопроекта. Для России они не носят обязательный характер, но надо признать, что мы никогда и не станем полноправным членами Совета Европы, если будем игнорировать правила, устанавливаемые им для своих членов. Кроме того, ЕС гармонизирует свои нормативные решения с ГАТТС/ВТО, куда Россия также планирует войти.
В целом предлагаемая правительственным законопроектом система правового регулирования представляется исключительно жесткой, что в корне противоречит международной тенденции, предусматривающей гибкую систему: субъект, использующий ЭП, сам решает, какая степень защиты ему необходима. Хотя для отдельных сфер использования ЭП (например, в государственном управлении) требования могут быть установлены законом. Рассмотрим в связи с этим основные расхождения.
Предмет правового регулирования. Международные акты (за исключением Модельного закона) регулируют применение не электронной цифровой подписи (ЭЦП), а электронной подписи (ЭП). При этом учитываются два обстоятельства. Прежде всего, правовое регулирование не принято связывать исключительно с одной технологией — это не соответствует природе права. Во-вторых, общемировая тенденция заключается в юридическом признании любого типа электронной подписи. В качестве удостоверения подлинности сообщения могут использоваться персональные идентификационные имена (ПИН), специальные маркеры или «умные карты», принадлежащие подписывающему лицу. Эксперты ЮНСИТРАЛ отмечают, что применение криптографии с открытым ключом достаточно ограничено и не будет играть определяющую роль в перспективе.
Наш законопроект ориентирован исключительно на ЭЦП, создаваемую закрытым ключом. При этом в тексте проекта наблюдается путаница между понятиями «закрытый ключ», «открытый ключ» и «ЭЦП».
Связь подписи с данными. Наш законопроект базируется на понятии «электронный документ», одним из реквизитов которого является ЭЦП. Это не верно на физическом уровне, так как ЭЦП может существовать отдельно от электронного сообщения, с которым она связана (в виде отдельного файла). Это, казалось бы, незначительное обстоятельство, выливается в необходимость «регистрировать каждую ЭЦП» (п.2 ст. 9), получать сертификат для каждых новых правоотношений, в которых используется ЭЦП (п. 1 ст. 6) и подтверждать подлинность ЭЦП к каждому электронному документу (ст. 3), что многократно увеличивает затраты пользователей. «Регистрация электронной цифровой подписи», а не открытого ключа ЭЦП, как это принято в мире, означает регистрацию каждого документа и предъявляет особые требования к его содержанию. Причем эти требования в законопроекте не установлены, а в законодательстве они различны не только в правовых ситуациях, но и в правовых системах. Кроме того, данное положение законопроекта отражается на масштабах архивного хранения электронных документов, а в некоторых случаях не вписывается в технологию обработки информации (например, в банковской сфере, когда полученный финансовый «электронный документ», подписанный ЭЦП, автоматически обрабатывается таким образом, что не сохраняет свою первоначальную форму).
Директива ЕС и иные международные акты не оперируют термином «электронный документ», а используют термины «цифровые данные», «электронные сообщения» и т.п.
Юридическая сила ЭП. Правительственный проект закона признает ЭЦП равнозначной собственноручной подписи физического лица в документе при следующих условиях:
а) сертификат ключа подписи не утратил силу (авторы исключили содержащееся в ранних редакциях уточнение: сертификат должен действовать «на момент подписания», а в итоге любая сделка, совершенная с использованием ЭЦП, сертификат на которую перестал действовать, может быть признана ничтожной);
б) подтверждена подлинность ЭЦП в электронном документе (проверка ЭЦП с помощью открытого ключа);
в) ЭЦП используется в отношениях, в которых она имеет юридическое значение.
В отличие от данной концепции, Директива СЕ предостерегает: нельзя отрицать юридическую силу электронной подписи или отвергать ее использование в судебных процедурах только на том основании, что она в электронной форме, не имеет особого сертификата, выпущенного аккредитованным центром, и не создана надежным (сертифицированным) устройством электронной подписи.
Надежность средств ЭП. Законопроект в качестве гарантии надежности рассматривает сертификацию. Причем вне корпоративных систем должны применяться только сертифицированные средства ЭЦП (п. 2 ст. 5). Напрашивается аналогия с требованием установить во всех квартирах металлические двери и кодовые замки, вне зависимости от состоятельности жильцов.
Излишне говорить, что Директива СЕ допускает возможность использования несертифицированных средств ЭП.
В этом контексте уместно напомнить, что ЭЦП не защищает подписанное сообщение от искажений. Для его защиты существуют средства шифрования. Кстати, в Директиве СЕ они упоминаются наряду со средствами ЭЦП, что свидетельствует об их различии. В тексте правительственного законопроекта нет указания на то, что средства ЭЦП рассматриваются как средства шифрования, однако системой сертификации средств ЭЦП занимается одно и то же ведомство и обозначенное различие может раствориться в подзаконных актах о порядке сертификации средств ЭЦП.
Сертификаты ЭП. Наличие сертификата ключа подписи, в котором указан законный обладатель ключа, является дополнительным средством гарантирования доверия к подписи. Этот механизм достаточно распространен в мире. Вопрос только в том, какого рода сертификаты могут быть получены, кто их выдает и насколько обязательно их получение.
В законопроекте сертификаты обязательны и должны быть получены в удостоверяющем центре, имеющем лицензию. При этом установлено требование о предоставлении обязательных сведений о «правоотношениях, при осуществлении которых ЭЦП имеет юридическое значение» (п. 1 ст. 6), а также положение о «максимальном пределе цены сделки» (п. 1 ст. 8), указываемом в сертификате. В совокупности это может трактоваться как необходимость получения сертификата ключа подписи на каждую сделку. Следует отметить, что ряд национальных законов предусматривают выдачу так называемого операционного сертификата (на одну сделку), но это рассматривается как право владельца ЭЦП, а не его обязанность.
Привязка сертификата ключа подписи к конкретным правоотношениям усложняет также механизм хранения сертификата. Законопроектом предусмотрено (ст. 7), что срок хранения определяется самостоятельно в каждом конкретном случае и зависит от «срока исковой давности для правоотношений, указанных в сертификате». Чтобы определить этот срок, работник удостоверяющего центра должен не только быть квалифицированным юристом, но и обладать подробной информацией о содержании правоотношений, то есть иметь в распоряжении договор, в рамках которого используется ЭЦП. Неэффективность такого подхода очевидна.
Законопроект содержит также требования к обладателю ЭЦП «не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи где-либо используются или использовались ранее» (ст. 12), что может пониматься как обязанность регистрировать новую ЭЦП для подписания любого нового документа.
Причем для регистрации ключей надо лично присутствовать их владельцу, дабы поставить собственноручную подпись на бумажном экземпляре сертификата (пп. 2 и 3 ст. 9). Это требование законопроекта выглядит довольно забавно, учитывая цель и сферу применения ЭЦП, но можно представить, в какие расходы для владельца ключей оно выльется.
Статус Центров регистрации открытых ключей и выдачи сертификатов. Законопроект предусматривает обязательное лицензирование деятельности таких центров. Модельный закон МПА СНГ идет по пути более «мягкого» регулирования, исходя из рекомендаций СЕ и отсутствия объективных причин для лицензирования, тем более, что заявительный порядок, так же, как и разрешительный обязывает Центр выполнять требования закона, а орган или организацию, выдавшую разрешение или зарегистрировавшую, — контролировать его деятельность. Как показывает практика, наличие лицензии увеличивает затраты пользователей лицензируемых услуг, но не защищает их от убытков.
Директива СЕ предусматривает добровольную аккредитацию Центров. Дополнительные требования могут вводиться отдельными странами, но это не должно препятствовать оказанию трансграничных услуг для граждан и свободному обращению услуг на внутреннем рынке. При этом пределы ответственности Центра могут быть установлены в сертификате. Согласно Модельному закону Центр регистрации открытых ключей ЭЦП несет ответственность только в размере прямого реального ущерба (без штрафных санкций, возмещения упущенной выгоды, компенсации морального вреда и т.п.). Центр не несет ответственность за ущерб, понесенный лицом не по вине Центра, и за ущерб свыше предела доверия, указанного в свидетельстве. Для обеспечения ответственности в качестве условия деятельности Центра предусмотрено наличие у него определенного уставного капитала.
Очевидно, что удостоверяющие центры должны отвечать по своим обязательствам, однако критерий, предусмотренный законопроектом, нельзя признать удачным — «организация при оформлении лицензии должна обосновать способность нести гражданскую ответственность в размере, не менее чем в 1 тысячу раз превышающем максимальный предел цены сделки, который данный удостоверяющий центр может указывать в сертификате ключа подписи» (п. 1 ст. 8).
Законопроект допускает возможность получения лицензии коммерческими организациями (п. 1 ст. 8), но запрещает им зарабатывать на лицензируемой деятельности, поскольку услуги по выдаче сертификатов должны быть «безвозмездными» (п.4 ст. 9). Маловероятно, чтобы такие условия привлекли коммерческие структуры, а значит, эту деятельность «вынуждена» будет осуществлять государственная организация.
Субъекты правоотношений. В законопроекте корректно не определены специальные субъекты правоотношений и, как следствие, не предусмотрена их ответственность, а права и обязанности крайне ограничены и не вполне продуманы. Вводится понятие «обладатель ЭЦП», т.е. лицо, на имя которого она зарегистрирована. (Здесь снова путаница понятий ЭЦП и ключей ЭЦП — ЭЦП уникальна под каждым документом, созданным одними и теми же средствами ЭЦП и одним и тем же ключом.) «Пользователь информационной системы», которому центр выдает сертификат для подтверждения ЭЦП (ст. 3), «может быть обладателем любого количества электронных цифровых подписей, имеющих одинаковое или различное юридическое значение, в зависимости от правоспособности их обладателя при осуществлении соответствующих отношений» (п.2, ст. 4). Эти же пользователи могут самостоятельно создавать ключи ЭЦП (п.1 ст. 5), становясь таким образом обладателями ключей и окончательно запутывая правоприменителя.
Помимо органов, сертифицирующих средства ЭЦП, органов, лицензирующих деятельность удостоверяющих центров, законопроект предусматривает, что Правительством назначается Уполномоченный федеральный орган исполнительной власти с весьма невнятными, но достаточно широким функциями (ст. 10). В частности, он должен вести реестр ключей удостоверяющих центров, заверять и выдавать им ключи, «имеет право контролировать правильность использования электронных цифровых подписей» (видимо, любых, причем только этот орган знает, что такое «правильное использование ЭЦП» и может, наверное, наказывать за «неправильное»). Можно только догадываться о целях введения нового субъекта правоотношений.
Субъектами правоотношений в Директиве ЕС являются «подписывающее лицо», которое владеет устройством, создающим электронную подпись (в нашем случае — средствами ЭЦП и закрытым ключом), «поставщик услуг по сертификации» (юридическое или физическое (!) лицо, которое выпускает сертификат и оказывает иные услуги) и «получатели сообщений» — это просто физические и юридические лица.
Таким образом, есть основания утверждать, что концептуальные положения принятого в первом чтении законопроекта идут вразрез с мировыми тенденциями. В такой ситуации Россия не сможет стать равноправной участницей международных отношений с использованием ЭП, хотя бы потому, что не сможет признавать иностранные сертификаты, выданные в рамках иной системы. С другой стороны, деятельность внутри страны с использованием ЭЦП будет сопровождаться таким количеством неоправданных ограничений и поборов, что ее применение становится бессмысленным и пользователь вынужден будет искать альтернативу ЭЦП.
24.09.2001Источник: Банковское дело в Москве № 7, 2001
все публикации | подписка на рассылку

 

-=endpage=-



Размещение информации на сайте | Условия размещения рекламы


Copyright 2000-2010 iFin.ru, e-mail:
создание сайта: Aplex, Дизайн: Максим Черемхин
TopList Rambler's Top100