Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это можно исправить / Хабр

Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это можно исправить / Хабр Электронная цифровая подпись
На чтение 18 мин. Просмотров 81 Опубликовано
Содержание
  1. Государство vs. удостоверяющие центры
  2. Решение проблемы № 1 («идентификация клиентов удостоверяющими центрами»)
  3. Электронная подпись: проблемы правового обеспечения. способы защиты в суде

Государство vs. удостоверяющие центры

Услышав о проблемах закона «Об электронной подписи», люди в первую очередь предлагают упразднить удостоверяющие центры и передать их функции государству. Одним из основных аргументов сторонников этой точки зрения является то, что эти «шарашкины конторы» не могут обеспечить безопасность предоставляемых услуг и сами являются потенциальными участниками конфликтов интересов (могут неправомерно выпустить подпись третьего лица и ей воспользоваться).

Следует отметить, что данные мысли не лишены логики, но для принятия взвешенных решений нужно учитывать и другие нюансы.

Экономические аспекты взаимодействия государства и частного бизнеса

Государство в эпоху цифровой экономики — это провайдер инфраструктурных сервисов, позволяющих экономике существовать и развиваться. Глобализация — неизбежный спутник цифровизации экономики — серьезно обострит конкуренцию между государствами. Инвестиции и человеческий капитал будут направляться в те страны, государственные сервисы которых наиболее эффективны.

Для победы в конкурентной борьбе государству, как и бизнесу, нужны инвестиции. Где их взять?
Увеличивать налоги — не вариант, так как это приведет к снижению эффективности гос. сервисов: за ту же работу государство будет брать больше. Где еще тогда можно взять деньги?

Наиболее перспективными вариантами получения инвестиций являются государственно-частное партнерство и делегирование бизнесу части государственных полномочий. В качестве примеров подобного взаимодействия можно привести:

Таким образом, мы приходим к выводу, что государство всеми силами должно сохранить вовлеченность частного бизнеса в реализацию своих функций, обязательно обеспечив должный уровень их качества. В противном случае подобное взаимодействие несет больше вреда, нежели пользы, и от него лучше отказаться.

Дополнительным аргументом в пользу сохранения коммерческих удостоверяющих центров как общественных институтов, как ни странно, является человеческий фактор. Сам факт того, что человек служит в госоргане, а не трудится в частной фирме, не делает его честней и порядочней.

Если человек не проводил идентификацию заявителя на выпуск электронной подписи, будучи работником коммерческого удостоверяющего центра, то он не будет этого делать и будучи госслужащим. Для того чтобы процесс заработал, нужны дополнительные усилия: грамотная мотивация труда, обеспечение контроля и др. Все эти меры можно успешно реализовать как в коммерческих компаниях, так и в госструктурах — в общем случае разницы нет.

С учетом вышесказанного в данной статье мы будем исходить из того, что коммерческие удостоверяющие центры будут и дальше продолжать выпускать электронную подпись.

Решение проблемы № 1 («идентификация клиентов удостоверяющими центрами»)

Для обычного гражданина получение электронной подписи по значимости равносильно получению национального паспорта. По сути это два практически равносильных удостоверения личности, только первое — для реального мира, а второе — для «цифрового». Раз ценность удостоверений равна, то и защита их также должна быть равносильной. Другими словами электронная подпись должна выдаваться столь же строго, как и паспорт.

Но все же по сравнению с паспортом у электронной подписи есть важные отличия:

  1. Если паспорт выдается на длительный срок (десятки лет), то электронная подпись — на короткий, как правило, не больше года и трех месяцев.
  2. Обладание паспортом не требует специальных знаний. Обладание же электронной подписью требует. Например, при использовании электронной подписи часто возникают сугубо ИТ-шные вопросы, требующие оперативной технической поддержки.
  3. Для того чтобы воспользоваться краденными паспортом или электронной подписью, злоумышленник должен преодолеть их систему защиты, например, переклеить фотографию в паспорте или взломать пароль на электронной подписи. При этом определить, что злоумышленник воспользовался краденным паспортом, можно по показаниям очевидцев или записям видеонаблюдения, установить же факт неправомерного использования электронной подписи практически невозможно.

Паспорта выдает МВД России. Следуя принципу равной защищенности, рассмотренному выше, получается, что оно же должно выдавать и электронные подписи. Однако, сделать это в рамках существующей структуры МВД России невозможно:

  • Во-первых, потому что наряду с государственными функциями (идентификация, учет и контроль удостоверений личности, …) МВД потребуется выполнять еще сугубо ИТ-шные функции: техническая поддержка, консультации и др.
  • Во-вторых, для МВД потребуется организовать закупки технических и криптографических средств в массовых масштабах, а это будут гигантские бюджетные траты.
  • В-третьих, МВД потребуется существенно расширить штат, так как количество выпускаемых / отзываемых электронных подписей существенно больше аналогичного количества паспортов.

Здесь упоминается МВД России, но приведенные рассуждения будут справедливы и для любых других гос. структур. Как ни крути, а затраты государства на передачу функций удостоверяющих центров в любой из своих органов будут гигантскими. Реальный экономический эффект, выраженный в снижении потерь от экономических преступлений, связанных с использованием электронной подписи, вряд ли будет значительным.

Оптимальный вариант решения сложившейся проблемы видится в совершенствовании процедуры выпуска электронных подписей. В частности, предлагается следующий набор мер:

  1. Запрет оформления электронной подписи по доверенности (паспорт по доверенности получить нельзя).
  2. Законодательное принятие методики идентификации заявителей на оформление электронной подписи, как минимум включающей в себя:
    • наличие не менее двух людей, проводящих идентификацию заявителей своими глазами (как во многих банках при оформлении вкладов или кредитов);
    • наличие процедур проверки документов, удостоверяющих личность заявителя, на предмет подделки.
  3. Обязательная фиксация процедуры идентификации личности заявителя на фискальный видеорегистратор (исключающий возможность подделки видеозаписей) и хранение записей в течение 3 лет (срок исковой давности) со дня окончания срока действия сертификата ключа подписи.
Читайте также:  Меркурий 115Ф. Дополнительная инструкция

Основным нюансом данного набора мер будет выбор второго человека, проводящего идентификацию личности заявителя на выпуск электронной подписи. Рассмотрим несколько вариантов, отличающихся друг от друга ожидаемой достоверностью идентификации и затратами на реализацию. Вторым человеком, проводящим идентификацию, может быть:

  1. Еще один работник удостоверяющего центра. Самый дешевый вариант, обладающий минимальной безопасностью.
  2. Нотариус. Более дорогой вариант, обладающий максимальной безопасностью без привлечения госслужащих.
  3. Сотрудник МВД России. Самый затратный, самый безопасный вариант (если не они то кто?).

Реализация любой из предлагаемых мер неизбежно приведет к увеличению стоимости электронной подписи. Это, к сожалению, — неизбежное зло.

Усиливая процедуру идентификации заявителей на выпуск электронной подписи, нужно аналогичным образом усиливать и процедуры выдачи SIM-карт, и процедуры авторизации учетных записей на портале «Госуслуги».

Электронная подпись: проблемы правового обеспечения. способы защиты в суде

Электронная подпись: проблемы правового обеспечения.

Способы защиты в суде

С развитием Интернета бизнес постепенно перемещается в виртуальное пространство. Информационные технологии, основанные на компьютерной технике, требуют радикальных изменений организационных структур управления, его регламента, документации, фиксирования и передачи информации. Одной из новых технологий является электронная подпись (ЭП), которая позволяет пройти все этапы, начиная с разработки проекта электронного документа (ЭД)  до его доставки адресату за считаные секунды, что отвечает требованиям современного документооборота.

Правовая основа применения электронной подписи и экономическая целесообразность

Юридическое значение электронной подписи определяется п. 2 статьи 160 Гражданского кодекса РФ (ГК РФ), из которого следует, что электронная подпись является аналогом собственноручной.    Правовые условия использования электронной подписи в электронных документах регламентирует  Федеральный закон от 06.04.2021 № 63-ФЗ (ред. от 23.06.2021) «Об электронной подписи» (с изм. и доп., вступ. в силу с 31.12.2021), который отменил Федеральный закон «Об электронной цифровой  подписи» от 10.01.2002 № 1-ФЗ. В соответствии с новым законом термин «электронная цифровая  подпись» заменяется на «электронная подпись». Содержание понятия «электронная подпись» дано в п. 1 ст.2Закона № 63-ФЗ: «ЭП представляет собой информацию в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с информацией, которая используется для определения лица, подписывающего информацию». Таким образом, закон предусматривает условия признания электронных документов, подписанных ЭП, равнозначными документам на бумажном носителе с собственноручной подписью (ст. 6 Закона № 63‑ФЗ).

Электронные подписи разделяются законом на три вида: простая ЭП, усиленная неквалифицированная ЭП (НЭП) и усиленная квалифицированная ЭП (КЭП) (ст. 5Закона № 63-ФЗ). Усиленная НЭП и усиленная КЭП создаются с помощью средства криптографической защиты информации – специальной программы, которая шифрует и расшифровывает передаваемую информацию для создания и проверки ЭП. При использовании НЭП сертификат ключа проверки ЭП может не создаваться, если соответствие электронной подписи признакам НЭП, установленным Законом № 63-ФЗ, может быть обеспечено   без использования сертификата ключа проверки ЭП (п.5 ст.5 ФЗ №63).Усиленная КЭП обладает аналогичными возможностями и приобретается в аккредитованном удостоверяющем центре. Владелец усиленной КЭП получает открытый и закрытый ключи проверки ЭП и квалифицированный сертификат проверки ЭП. Экономическая целесообразность перехода на обмен ЭД очевидна: их проще хранить и передавать. Электронная форма сокращает время подготовки и согласования документов, минимизирует затраты. Еще одним преимуществом электронного документооборота является высокая защищенность.Для ЭП используется криптопровайдер с квалифицированным сертификатом. Защита обеспечивается программными комплексами (ключи I-Token, смарт-карты), в которых находится безопасное хранилище для применения PIN-кодов при работе с квалифицированным сертификатом.

Вот основные аспекты и целесообразность использования ключа ЭП. Но есть и проблемы правового характера при использовании ЭП, связанные с несовершенством российского законодательства.

Проблемы правового регулирования применения электронной подписи и пути их решения

  1. Проблема идентификации субъекта (лица), подписавшего ЭД

            ЭП не дает возможность определить с абсолютной точностью лицо, подписавшее ЭД. Проблема надлежащей идентификации субъекта и неопределенности субъектного состава, выражается в том, что достоверность идентификации участника электронных отношений возможна только при применении субъектом усиленной КЭП. Во всех остальных случаях – применение простой ЭП, IP‑адреса, доменного имени, логинов и паролей — идентификация лица, участвующего в данных правоотношениях сторон, является недостоверной.

            Решение:

            — пропишите в учредительных документах, в нормативных ведомственных актах лицо,      имеющее правомочия владельца сертификата ЭП;

    — разработайте Положение об электронном документообороте, в котором предусмотритезапрет на передачу ЭП иному лицу с целью соблюдения конфиденциальности  (ст. 10Закона № 63-ФЗ), а также должностные инструкции для владельцев ЭП с учетом требований Приказа Минфина  России от 10.11.2021 N 174н «Об утверждении Порядка выставления и получения счетов-фактур в электронной форме по телекоммуникационным каналам связи с применением усиленной КЭП» (Зарегистрировано в Минюсте России 18.02.2021 N 41145)

  1. Проблема территориальной подсудности

Проблема в том, что субъект коммерческой деятельности в Интернете может не иметь офиса. Единственным его идентифицирующим признаком выступает адрес веб-сайта или веб-сервера.   При этом оферент может разместить оферту, находясь в другой стране, а акцептант — отправить акцепт с  персонального компьютера, находясь, например, в купе поезда или с борта самолета.

Читайте также:  ЭЦП - электронная цифровая подпись: что это такое и для чего нужна

Решение: Через сайт направьте провайдеру заявление с просьбой предоставить сведения об IP‑адресе (уникальном  числовом идентификаторе конкретного устройства в составе компьютерной  сети)  и   все подключения пользователя (отправителя ЭД в Ваш адрес).  Если провайдер откажется предоставить сведения об IP‑адресе, Вы сможете получить сведения об IP-адресе отправителя,обратившись в территориальное подразделение Управления  «К»  МВД   России, с заявлением  о проведении проверки по факту и отправке запроса в адрес провайдера о предоставлении необходимых             сведений, сославшись на предоставленное им право в соответствии с п. 4 ч.1 ст.13   Федерального закона от 07.02.2021 № 3-ФЗ «О полиции», статью 15 Федерального закона от 12.08.1995 №144-ФЗ «Об ОРД» или путем подачи ходатайства в суд об  отправке судебного запроса  о предоставлении сведений об IP‑адресе отправителя ЭД   (ст.57 ГПК РФ, ст.66 АПК РФ). После получения сведений  от провайдера об  IP‑адресе отправителя ЭД подписанных ЭП Вы можете подать иск по подсудности или если иск уже подан ходатайствовать перед судом овозврате иска,мотивируя, что дело неподсудно данному суду

  1. Отсутствие законодательства и критериев, предъявляемым к электронным документам

Законодательство не регламентирует порядок составления, передачи, архивного хранения ЭД. Нет критериев достоверности сведений, содержащихся в электронных документах. В законе не прописана процедура защиты интересов потребителей, заключающих электронные сделки.

Решение: составьте договор о взаимоотношениях сторон в корпоративных информационных системах, опишите все документы и их машинное представление, пропишите процедуру разбора конфликтных ситуаций в случае использования ЭД подписанных ЭП, основываясь на Постановлениях Правительства РФ от 08.06.2021 № 451 «Об инфраструктуре, обеспечивающей технологическое взаимодействие информационных систем…» и от 08.09.2021 № 697 «О системе электронного взаимодействия».

4.Проблематичность представления ЭД, подписанного ЭП, в суд в качестве доказательства

Несмотря на то, что законодатель допускает представление в суд письменных доказательств в виде электронных документов (ст. 41, п. 3 ст. 75, п. 2 ст. 126 АПК РФ), в силу ст. 64 и 75 АПК РФ,доказательства должны быть приобщены к делу, то есть представлены на бумажном носителе.

 Решение: нотариальное заверение электронных документов или проведение экспертизы ЭП.                   

Проведение экспертизы  (исследования) ЭП в ЭД  необходимо заказать в аккредитованном  удостоверяющим  центре, в котором сертификат ключа проверки ЭП создан. Удостоверяющий центр подтвердит (или опровергнет) действительность сертификата ключа ЭП на  дату подписания ЭД.      Есть нюанс: удостоверяющий центр не сможет подтвердить подлинность ЭП, выданной другим удостоверяющим центром. Поэтому если электронный документ удостоверен несколькими ЭП, выданными  разными удостоверяющими центрам, в случае спора о содержании  электронного документа экспертизу (исследование) необходимо заказать в каждом из таких удостоверяющих центров.

Если же и после обращения в удостоверяющий центр спор разрешить не удалось, то нужно будет обратиться в суд с ходатайством о назначении судебной технико-криминалистической экспертизы   подлинности ЭД, подписанного ключом проверки ЭП (ст. 79 ГПК РФ, ст. 82 АПК РФ)  для подготовки и предоставления в суд  экспертного заключения (или рецензии специалиста) о юридической значимости электронного документа, включающего протокол проверки ЭП, а также всей необходимой информации об электронной подписи, сертификате ключа проверки электронной подписи и его владельце

  1. Недостатки электронного взаимодействия

Порядок электронного взаимодействия коммерческих структур с банками, ФНС и различными фондами  закреплен их ведомственными инструкциями. Вместе с тем работники указанных структур перестраховываются и игнорируют просьбу клиента о блокировке ЭП даже при наличии заявления.

Решение данной проблемы возможно не иначе как в судебном порядке.

             Судебный спор

Расскажу Вам о таком судебном споре, когда работником банка проигнорировано письменное заявление клиента о временной блокировке электронной подписи с целью исключения несанкционированного списания средств со счета в системе АС Сбербанк Бизнес Онлайн. В результате чего через пять дней после уведомления денежные средства были списаны со счета истца в пользу третьего лица.

Между Клиентом и Банком заключен договор банковского счета, предмет которого — открытие счета и предоставление клиенту расчетных и кассовых услуг. Весной 2021 года директором Общества было  подано  заявление  о  временной блокировке  ЭП  в  системе  АС  Сбербанк  Бизнес Онлайн.   

Несмотря на это, через пять банковских дней кредитным учреждением были списаны денежные  средства со счета истца в пользу третьего лица. В поле «Назначение платежа» в платежных поручениях указано основание списания  платежа: «Оплата по договору №», который фактически не заключался.                           

Поскольку платежные поручения не оформлялись и не подписывались ключом проверки ЭП, а договор не заключался, Общество подготовило и вручило сотруднику банка заявление о возврате денежных средств, в котором изложило обстоятельства хищения ЭП к  клиент-банку АС Сбербанк Бизнес Онлайн, а также логина и пароля для входа в систему,  с пояснением о том, что на дату подачи заявления о  временной блокировке ключа проверки ЭП о  его хищении Общество подозревало, но доказательств не имело. На заявление о возврате денежных средств Банк прислал отказ. Досудебную претензию ответчик   проигнорировал. Заинтересованные лица: УМВД, Банк России, Роскомнадзор – рекомендовали обратиться в суд.   Истец, полагая,   что ответчик должен компенсировать ущерб, обратился с иском в суд.

Читайте также:  Квест. Как получить государственную электронную цифровую подпись в Беларуси / Хабр

           В суде

       Истец настаивал, что списание средств со счета должно осуществляться банком на основании распоряжения клиента, по судебному решению или на основании закона (договора) (ст. 845, 854 ГК РФ).   По мнению истца при наличии заявления о блокировке ЭП, банк должен был осуществить дополнительные мероприятия с целью установления волеизъявления клиента на совершение операций по счету.  Ответчик иск не признал и пояснил суду, что обращение истца о временной блокировке ЭЦП расценено банком, как намерение временно приостановить предоставление услуг по договору. Суд счел доводы ответчика несостоятельными. Суд пришел к выводу, что истцом доведены сведения до сотрудника банка, принявшего заявление о блокировке счета, надлежащим образом. Ответчик осознавал, что сделал выбор в пользу идентификации поручения клиента и принял на себя риск негативных последствий,   которые повлекли совершение действий противных волеизъявлению клиента. Истцом представлены доказательства, подтверждающие нарушение ответчиком принятых обязательств, причинную связь          между понесенными истцом убытками и ненадлежащим исполнением ответчиком обязательств, размеру убытков в результате действий ответчика. Вина ответчика в причинении убытков истцу установлена.

Судебное решение и способы защиты в суде

Суд взыскал с ответчика в пользу истца убытки и проценты согласно за пользование чужими   денежными средствами в соответствии со статьей  395 ГК РФ.

Приведенный пример из моей судебной практики показывает, что при составлении ЭД,  подписанных ЭП, нужно соблюдать следующие рекомендации по заключению и подписанию договоров в электронной форме:

1) Если стороны решили заключить сделку дистанционно без обмена бумажными договорами, подписанными собственноручно, то перед заключением договора целесообразно договориться,  что стороны признают юридическую силу за электронным договором, подписываемым аналогом    собственноручной подписи (ч. 2 ст.160 ГК РФ, п. 2 ст. 6Закона № 63-ФЗ).

2) Чтобы не возникало споров при применении простой ЭП, в электронном  договоре возможно прописать фразу о том, что стороны достигли соглашения о подписании ЭД путем простой ЭП  или  просто составить Соглашение о применении простой ЭП при подписании ЭД, которое подписать  собственноручно в письменном виде либо усиленной КЭП (ст. 9Закона № 63-ФЗ).

3) Технически целесообразно использование электронного договора в формате PDF. Данный формат ЭД обеспечивает целостность документа и удобен для архивного хранения.

4) С целью недопущения возможных споров тех лиц, которые хотят видеть в договоре подпись руководителя или требуют копии документов по сделкам, например: сотрудники пенсионного возраста, сомневающиеся контрагенты, ФНС или банки — есть смысл предусмотреть в договоре следующее:

— электронные документы дублировать бумажными;

— ставить оттиск факсимиле подписи руководителя на электронных документах.

В последнем случае при распечатке ЭД на них отображается копия собственноручной подписи руководителя организации, что успокоит сомневающихся лиц.

Если же иск подан, принят судом к производству, то вероятность выигрыша спора  увеличится, если Вы представите в материалы дела надлежащие письменные доказательства.

Исходя из сложившейся судебной практики, такими доказательствами могут быть:

1.Соглашение сторон о применении электронного документооборота с использованием ЭП.  (Например,  Решение Арбитражного суда Омской области от 27.05.2021   по делу № А46‑4990/2021)

2.Скриншоты электронных документов, заверенные нотариусом (например, Постановление   Суда по интеллектуальным  правам от 09.07.2021 № С01-456/2021 по делу № А40-102329/2021)               

3. Подписанные товарные накладные и подтверждение провайдером подлинности ключа ЭП. (Например, Постановление Девятого арбитражного апелляционного суда от 07.07.2021 № 09АП-21682/2021 по делу № А40-26656/2021)

4. Подтверждение (отчет) провайдера, что при использовании IP-адреса ответчика всеподключения ответчика (отправителяэлектронных документов)идентифицируются в Интернет с IP‑адресом ответчика(переписка, договор, финансовые документы и прочее. (Например, Решение Арбитражного суда Свердловской области от 29.05.2021 по делу № А60-5531/2021)

Список можно продолжать в связи с тем, что законом не установлен перечень допустимых доказательств, на основании которых устанавливается факт нарушения при рассмотрении споровв случае использования ЭД подписанных ЭП(статья 55 ГПК РФ, статья 64 АПК РФ). Поэтому при разрешении вопроса о том, имел ли место такой факт, суд в силу статей 55 и 60 ГПК РФ, статей 64 и 68 АПК РФ вправе принять любые средства доказывания, предусмотренные процессуальным законодательством.И здесь, как понимаете, многое зависит от квалификации Вашего представителя в суде.

Заключение

Фиксация в учредительных документах лиц, имеющих правомочия владельца сертификата ЭП, заключение с этими сотрудниками договоров о материальной ответственности в случае передачи ключа ЭП третьему лицу, обучение этих сотрудников, установка антивирусной лицензионной программы   минимизирует риски передачи ЭП третьим лицам и технические риски. Согласование с контрагентами и партнерами признания юридической силы за электронными документами, подписываемыми ЭП, а также осуществление мероприятий по сохранению на почтовых серверах всех электронных документов, предшествующих заключению хозяйственных договоров и подписанных ЭП, способствует выигрышу дела в случае спора хозяйствующих субъектов

Источник: lawmobile.ru

хэширование цифровая подпись ЭЦП
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт