Об электронном документе и цифровой подписи

Основные понятия в области правового регулирования ЭЦП

Впервые об электронной цифровой подписи заговорили еще в 60-70-х годах, хотя ни объективных предпосылок и технических условий, ни организационных структур для полноценного удостоверения личности автора электронного документа в то время еще не существовало. Под “электронной подписью” понимали некую последовательность символов, полученных в результате одностороннего преобразования документа (сообщения) по известному алгоритму.

Подобные алгоритмы одностороннего преобразования получили название хэш-функций. Хэш-функция превращает документ любой длины в конечную, обычно небольшую, последовательность символов, которая прикладывается к оригиналу. В настоящее время термин электронная подпись для данного метода аутентификации целостности документов уже не используют. Чаще применяют термины слепок, оттиск, дайджест документа. Очень хорошо подходит также термин электронная печать.

Если в оригинал документа будут внесены несанкционированные изменения, обработка его той же хэш-функцией явится сигналом, что документ не аутентичен (печать повреждена).

Для достижения соответствия воли и волеизъявления, выраженного в документе, необходимо, чтобы его реквизиты не только аутентифицировали содержание документа, но и идентифицировали личность его создателя (владельца, предъявителя). В обычной практике это основывается на том, что предъявитель документа и его потребитель имеют либо непосредственный, либо опосредованный, но непременно материальный контакт. Если контакт опосредованный, документ может иметь дополнительные заверяющие реквизиты, представленные третьей уполномоченной стороной, например нотариусом. С электронными документами стороны могут не иметь материального контакта и быть недосягаемо разнесены как в пространстве, так и во времени.

С глубокой древности известен прием идентификации удаленных партнеров, основанный на шифровании документа. Если две стороны считают, что только им известен алгоритм и ключ шифрования, то они могут также полагать, что реализация этого ключа в документе свидетельствует, что его отправил партнер. Если обе стороны пользуются при этом одним и тем же ключом, то данный метод шифрования называется симметричным. Для целей электронной подписи симметричные ключи не годятся, поскольку при обмене ими партнерам опять-таки нужен материальный контакт или посредник.

Технологии несимметричного шифрования начали развиваться сравнительно недавно (во второй половине 70-х годов). Именно они и легли в основу современного представления об электронной подписи. Создатель документа делает два ключа: открытый и закрытый. Эти ключи взаимосвязаны: все, что зашифровано одним ключом, может быть дешифровано другим (и наоборот).

Закрытый и открытый ключи образуют неразрывную пару. Для ее создания нужны специальные программные средства – средства электронной цифровой подписи, или сокращенно средства ЭЦП.

Открытый ключ обычно широко публикуется или прикладывается к каждому исходящему сообщению, зашифрованному закрытым ключом. Любой получатель сообщения имеет возможность его прочитать. Таким образом, шифрование документа закрытым ключом не имеет целью скрыть содержание, но однозначно идентифицирует его создателя при условии, что владельца закрытого ключа можно объективно установить.

Чтобы потребитель документа мог объективно установить личность предъявителя, требуется участие третьей стороны. Она свидетельствует, что открытый ключ, прилагаемый к документу, действительно корреспондирует с закрытым ключом, принадлежащим известному юридическому или физическому лицу. Организации, выполняющие сертификацию ключей ЭЦП, называются удостоверяющими центрами или центрами сертификации.

Создатель документа прикладывает к нему не только свой открытый ключ, но и так называемый сертификат ключа ЭЦП, выданный удостоверяющим центром. Для защиты от подделки этот сертификат шифруется закрытым ключом центра. Далее к документу прилагаются:

– открытый ключ органа сертификации (для чтения сертификата);

– сертификат ключа органа сертификации (для проверки полномочий центра).

Потребитель электронного документа может быть не удовлетворен сертификатом, выданным удостоверяющим центром, на том основании, что этот центр ему не известен и он ему не доверяет. В этом случае по сертификату ключа центра сертификации можно обратиться в вышестоящий центр и так далее. Движение вверх по цепочке продолжается до тех пор, пока не будет получен сертификат от органа, которому потребитель готов выразить доверие. Такой орган называется доверенным центром сертификации.

Если при движении вверх не встретится ни одного доверенного центра сертификации, то потребитель документа достигнет так называемого корневого центра сертификации. Далее цепочка прерывается, так как подтверждать правомочность этого центра уже некому, кроме как органам государственного управления.

Практика работы органов сертификации ключей ЭЦП в зарубежных странах показывает, что такая распределенная иерархическая модель наиболее удобна и надежна.

Совокупность органов сертификации разных уровней и система их взаимосвязи получила несколько неуклюжий, но устоявшийся в зарубежном законодательстве термин инфраструктура ЭЦП. Для функционирования инфраструктуры ЭЦП нужна соответствующая законодательная база. Отсутствие в стране инфраструктуры ЭЦП не позволяет в полной мере использовать в документальном и финансовом обороте современные коммуникационные технологии. В частности, в России, где полностью отсутствует инфраструктура ЭЦП и ее правовое регулирование, действует общая норма п.2 ст.160 ГК РФ*(3), устанавливающая, что “использование при совершении сделок: электронно-цифровой подписи: допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон”. В соответствии с п.2 ст.434 ГК РФ “договор в письменной форме может быть заключен путем: электронной: связи, позволяющей достоверно установить, что документ исходит от стороны по договору”. Эти положения устанавливают лишь первоначальный базис для более детального правового регулирования.

Наряду с понятием обычной электронной цифровой подписи в ряде законодательных актов стран Европейского союза встречается также понятие расширенной (advanced, fortgesсhritten) электронной цифровой подписи. Под расширенной ЭЦП понимается подпись, удовлетворяющая следующим требованиям:

– исключительная связанность с владельцем закрытого ключа;

– однозначная идентификация лица, подписавшего документ;

– создание ее средствами, находящимися в единоличном управлении лица, подписавшего документ;

– особый характер связи с данными, при котором любое их изменение может быть достоверно установлено.

Особенности нормативно-правового регулирования

Сравнительно-правовой анализ законодательств зарубежных государств об электронной цифровой подписи в настоящей статье производился по четырем основным “узловым” пунктам:

1) определение ЭЦП;

2) применение средств ЭЦП;

3) функционирование системы удостоверяющих центров;

4) ответственность участников правоотношений по поводу применения ЭЦП.

Зарубежные государства по-разному определяют ЭЦП, хотя основные, базовые черты и свойства ЭЦП указываются в каждом законе. Государства – члены Европейского союза в своих законодательных актах следуют за принятой в Европейском союзе Директивой Европейского Парламента и Совета N 1999/93/EС “Об общих рамочных условиях для электронных подписей”. В соответствии с ней ЭЦП – это “данные в электронной форме, которые приложены к другим электронным данным или логически с ними связаны и предназначены для аутентификации”. Федеральный закон Германии “О цифровой подписи” 1997 г., следуя положениям Директивы, практически повторяет это определение. Закон Ирландии “Об электронной коммерции”*(4) также практически повторяет это определение, добавляя лишь, что данные в электронной форме, являющиеся ЭЦП, включают расширенную ЭЦП.

Федеральный закон Австрии “О цифровой подписи” (Signaturgesetz) 2000 года*(5) определяет ЭЦП как “электронные данные, которые прилагаются к другим электронным данным или связаны с ними другим логическим способом и служат для аутентификации содержания документа и идентификации лица, подписавшего документ”. В данном определении добавлено, что ЭЦП служит не только для аутентификации содержания электронного документа, но и для идентификации лица, подписавшего документ.

Закон Великобритании “Об электронных коммуникациях” 2001 года*(6) дает такое определение ЭЦП: “Сущность, имеющая электронную форму, включенная в состав или иным образом связанная с электронными данными и предназначенная для их аутентификации”.

Федеральный закон США “Об электронных подписях в глобальной и национальной торговле” 2000 г.*(7) определяет ЭЦП как “электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другим документом и осуществленный или выбранный лицом с намерением подписать документ”.

“Аутентификация электронного документа с помощью электронных методов или процессов в соответствии с нормой закона” – такое определение содержится в Законе Индии “Об информационных технологиях”*(8).

Помимо этого указанные нормативно-правовые акты вводят дополнительные определения, например, квалифицированная электронная подпись. Такие понятия вводятся в законодательные акты для достижения оптимального нормативно-правового регулирования. Под квалифицированной ЭЦП понимается обычная ЭЦП, удовлетворяющая требованиям соответствующего закона и иных нормативно-правовых актов. В частности, в Директиве установлено, что “государства – члены Европейского союза должны заботиться о том, чтобы расширенная подпись была: создана защищенной системой средств ЭЦП”.

Качественные характеристики средств ЭЦП и данных, используемых при ее создании, устанавливаются национальным законодательством государств – членов Европейского союза. В частности, такие требования установлены законодательствами Ирландии, Германии и Австрии. В общих чертах эти требования сводятся к необходимости защиты ключей, применяемых при создании ЭЦП, от неправомерного их использования третьими лицами, не обладающими законными правами на них, а также от подделки. Что же касается средств ЭЦП, то они не должны в процессе ее создания изменять содержание электронного документа или препятствовать доступу владельца подписи к данным, содержащимся в электронном документе. Кроме того, средства ЭЦП должны быть защищены от несанкционированного доступа к ним со стороны третьих лиц.

Особого внимания заслуживает вопрос доступности средств шифрования и, в том числе, средств ЭЦП. В частности, определенным либерализмом отличается регламентация порядка использования средств ЭЦП в Германии. В соответствии с Принципами германской политики в области шифрования, разработанными Федеральным Правительством, от 2 июня 1999 года, “Федеральное Правительство не намеревается запрещать свободную доступность средств шифрования в Германии”*(9).

В Великобритании Законом “Об электронных коммуникациях” предусмотрено лицензирование деятельности, связанной с шифрованием. Такое лицензирование осуществляется Государственным секретарем (the Secretary of State), создающим и ведущим специальный реестр, в котором содержится информация об органах, предоставляющих услуги в области шифрования информации. Для получения лицензии необходимо соответствие ряду требований технического характера, устанавливаемых Государственным секретарем. Они касаются качественных характеристик средств ЭЦП. В целом в Великобритании установлены более жесткие требования к средствам ЭЦП, чем в Германии.

Законодательства зарубежных государств регламентируют деятельность системы удостоверяющих центров. В частности, в Европейском союзе Директивой удостоверяющий центр определяется как “орган или юридическое или физическое лицо, которое выдает сертификат или предоставляет другие услуги, связанные с электронной цифровой подписью”. Под сертификатом понимается “электронное удостоверение, с помощью которого происходит идентификация средств проверки подписи лица и подтверждение его личности”. Кроме того, Директива использует понятие квалифицированного сертификата, то есть выданного в соответствии с требованиями закона и иных нормативно-правовых актов.

Директива также устанавливает требования к содержанию сертификата. В соответствии с Приложением N 1 к Директиве квалифицированный сертификат должен содержать:

а) сообщение, что данный сертификат является квалифицированным;

б) сообщение удостоверяющего центра и государства, что данный сертификат действует;

в) имя лица, обратившегося за получением сертификата открытого ключа ЭЦП, или его псевдоним, который служит целям идентификации лица;

г) место для указания специфических черт лица, обратившегося для выдачи сертификата открытого ключа ЭЦП, которое используется в случае необходимости в целях определения лица;

д) информацию о средствах проверки подписи, которые соответствуют средствам ЭЦП, находящимся под контролем лица, желающего получить сертификат открытого ключа ЭЦП;

е) сообщения о начале и конце срока действия сертификата открытого ключа ЭЦП;

ж) уникальный номер сертификата;

з) расширенную ЭЦП удостоверяющего центра;

и) в случае необходимости – ограничение территории действия сертификата;

к) в случае необходимости – ограничение цены сделки, для которой может применяться сертификат.

Директива устанавливает также ряд требований к деятельности удостоверяющих центров. В частности, удостоверяющий центр должен:

а) доказать наличие необходимой надежности для оказания услуг по сертификации;

б) обеспечить быстрое и безопасное оказание услуг по регистрации, а также безопасный и немедленный отзыв сертификата открытого ключа ЭЦП;

в) обеспечить точное определение даты и времени выдачи или отзыва сертификата открытого ключа ЭЦП;

г) проверить подходящими средствами в соответствии с правом отдельных государств личность и, в случае необходимости, специфические черты лица, обратившегося за получением сертификата открытого ключа ЭЦП;

д) предоставить работу персоналу, обладающему специальными знаниями, опытом и квалификацией, в особенности знаниями в области управления, технологии и применения ЭЦП, а также основательными знаниями в области процедур обеспечения достаточной безопасности;

е) в дальнейшем соблюдать необходимые процедуры управления и иные нормы;

ж) применять пользующиеся доверием системы и продукты, защищенные от внесения изменений и обеспечивающие техническую и криптографическую защиту соответствующих процедур;

з) принять меры против фальсификации сертификатов, а в случаях, когда производятся средства и элементы ЭЦП, обеспечить конфиденциальность данных при их производстве;

и) обладать достаточным количеством финансовых средств для работы в соответствии с требованиями Директивы; быть в состоянии нести риск ответственности за убытки, например посредством заключения соответствующих договоров страхования;

к) указать всю соответствующую информацию о квалифицированном сертификате и о сроке его действия, чтобы, особенно в судебном процессе, можно было доказать сертификацию;

л) не разрешать хранение и копирование средств и элементов ЭЦП лицам, оказывающим услуги по управлению ключами ЭЦП;

м) информировать владельцев сертификатов об условиях применения сертификата открытого ключа ЭЦП, о существовании свободной системы лицензирования удостоверяющих центров, о жалобной и согласительной процедурах.

В целом законодательства государств-членов ЕС, таких как Ирландия, Германия, Австрия, повторяют (порой даже структурно), за некоторыми незначительными изменениями в деталях, требования Директивы. В Германии и Австрии федеральными правительствами приняты соответствующие постановления об ЭЦП во исполнение национальных законодательных актов. Национальные законодательные акты государств – членов ЕС по-разному регулируют процедуру лицензирования удостоверяющих центров. Например, Закон Ирландии “Об электронной коммерции” устанавливает обязательность лицензирования деятельности удостоверяющих центров. Такое лицензирование осуществляется министром общественных предприятий (Minister for Public Enterprise). Законы Германии и Австрии “О цифровой подписи”, следуя за Директивой, устанавливают добровольный порядок лицензирования удостоверяющих центров.

Существенной спецификой обладает также законодательство Великобритании. Закон “Об электронных коммуникациях” не предусматривает деятельность центров по удостоверению открытых ключей ЭЦП, он лишь говорит об удостоверении самой ЭЦП. Кратко нормативно-правовое регулирование деятельности удостоверяющих центров согласно этому закону сводится к следующему:

а) предусмотрена сертификация не открытого ключа ЭЦП, а самой подписи;

б) лицо может удостоверить подпись после того, как сделает заявление, что подпись, средства ее создания и проверки, а также средства и процессы связи, относящиеся к ЭЦП, действительно подтверждают неизменность данных и (или) условий связи.

Таким образом, законодательство Великобритании дает возможность сторонам самим осуществлять удостоверение ЭЦП.

Закон Индии “Об информационных технологиях” устанавливает обязательность лицензирования деятельности удостоверяющих центров одним уполномоченным государственным органом – Управляющим удостоверяющими центрами (Controller of Certifying Authorities). Лицензия может быть выдана удостоверяющему центру в случае удовлетворения требований по квалификации и численности кадров, финансовым ресурсам, инфраструктуре. При осуществлении деятельности удостоверяющий центр обязан:

а) использовать программное и аппаратное обеспечение и процессы, защищенные от неправомерного присвоения и злоупотребления;

б) обеспечить разумную степень надежности своих услуг, достаточную для их оказания;

в) придерживаться защищенных процессов для обеспечения конфиденциальности заверяемых ЭЦП;

г) соблюдать другие стандарты, установленные другими нормативно-правовыми актами.

Закон Индии не устанавливает требований к содержанию сертификата.

В США федеральное законодательство не регулирует деятельность удостоверяющих центров, но их нормативно-правовое регулирование осуществляется законодательством отдельных штатов, хотя и не всех. В частности, вопросы, связанные с инфраструктурой ЭЦП, регламентированы в таких штатах, как Айова, Миннесота, Миссури, Род-Айленд, Юта, Вермонт, Вашингтон.

Законодательства зарубежных государств не всегда устанавливают ответственность за нарушение режима применения ЭЦП. Нормы об ответственности могут содержаться в других нормативно-правовых актах, в частности, кодифицированных (уголовные, административные кодексы и т.п.).

Для государств – членов ЕС общее регулирование ответственности за нарушение законодательства об ЭЦП осуществляется на основе Директивы. В соответствии с ней государства – участники ЕС гарантируют, что удостоверяющий центр, опубликовавший квалифицированный сертификат, отвечает за:

а) актуальность информации, содержащейся в квалифицированном сертификате на момент его “выпуска”, и за то, что сертификат содержит все предписанные данные;

б) то, что лицо, указанное в квалифицированном сертификате, подписавшее документ (владелец сертификата открытого ключа ЭЦП), на момент выдачи сертификата владело средствами и элементами ЭЦП, которые соответствуют средствам проверки ЭЦП;

в) то, что в случаях, когда удостоверяющий центр производит как средства и элементы ЭЦП, так и средства проверки ЭЦП, обе составляющих могут использоваться совместно.

Помимо этого, Директивой установлено, что государства – члены ЕС гарантируют, что удостоверяющий центр, опубликовавший квалифицированный сертификат, несет ответственность в отношении убытков учреждения или юридического или физического лица, которое доверяет сертификату, в том случае, если отзыв сертификата не был зарегистрирован должным образом. Для избежания ответственности удостоверяющий центр должен доказать, что не действовал небрежно.

Законодательства государств-членов дополняют эти положения. Основное внимание в законах уделяется, прежде всего, ответственности удостоверяющих центров. В частности, Закон Ирландии “Об электронной коммерции” устанавливает, что удостоверяющий центр несет ответственность за убытки, причиненные лицу, которое доверяет сертификату, если не докажет, что не действовал небрежно. Он также несет ответственность за убытки, причиненные лицу или органу, которое доверяет сертификату, за отсутствие публикации об отзыве или приостановлении действия сертификата, если не докажет, что не действовал небрежно.

Федеральный закон Германии “О цифровой подписи” также уделяет внимание установлению ответственности удостоверяющего центра. В соответствии с § 11 Закона, если удостоверяющий центр нарушает требования закона или постановления Правительства или если его аппаратные и программные средства оказались непригодными, он должен возместить третьим лицам убытки, которые они понесли, доверяя информации, содержащейся в квалифицированном сертификате, в квалифицированной отметке времени, или другой информации. Обязанность компенсации не распространяется на те случаи, когда третья сторона знала или должна была знать, что информация неверна. Обязанность компенсации причиненного вреда исключается, если удостоверяющий центр не был ответственен за нарушение. В соответствии с данным параграфом удостоверяющий центр несет ответственность за деятельность своих агентов, если он передал им свои полномочия. Федеральным законом установлено, что в данном случае не применяется § 831 Германского гражданского уложения. Ответственность владельца сертификата и иных лиц, чьи интересы могут затрагиваться данными правоотношениями, Федеральным законом не регулируется.

Федеральный закон Австрии “О цифровой подписи” также регулирует только ответственность удостоверяющего центра. В соответствии с § 23 удостоверяющий центр, выпускающий квалифицированный сертификат, ответственен в отношении каждого лица, которое доверяет этому сертификату, за то, что:

1) все данные в квалифицированном сертификате в момент издания сертификата истинны;

2) лицо, указанное в сертификате в качестве владельца, владеет средствами и элементами ЭЦП, которые соответствуют средствам проверки подписи на момент выдачи сертификата открытого ключа ЭЦП;

3) сертификат открытого ключа ЭЦП будет незамедлительно отозван при наличии оснований (центр должен иметь в своем распоряжении службу по отзыву сертификатов);

4) процедуры создания и хранения средств и элементов ЭЦП и процессов, используемых в деятельности удостоверяющего центра, соответствуют требованиям Закона.

Правовое регулирование ответственности по Закону Индии “Об информационных технологиях” обладает значительной спецификой. В частности, этот закон перечисляет различные виды преступлений в области применения электронной цифровой подписи и устанавливает различные виды наказаний. Тем самым он структурно напоминает уголовный кодифицированный акт. Субъектами перечисляемых преступлений могут быть как стороны по сделке, осуществляющие применение ЭЦП, так и удостоверяющий центр. В качестве примера таких преступлений можно назвать: искажение сведений удостоверяющим центром для получения лицензии; нарушение конфиденциальности данных; обман при публикации сертификата; опубликование сертификата с целью мошенничества. В качестве наказания предусматриваются различные сроки лишения свободы.

Международным региональным законодательством ЕС и национальными законодательствами государств-членов предусматривается ряд случаев ограничения ответственности удостоверяющих центров. В частности, в соответствии с Директивой, а также законодательствами Ирландии, Германии, Австрии определена возможность ограничения ответственности. Такое ограничение может быть осуществлено путем установления определенного перечня сделок, при совершении которых возможно использование сертификата, либо через указание суммы сделки, для которой применим сертификат. При причинении стороне убытков в случае использования сертификата в сделке с суммой, превышающей сумму, указанную в сертификате, удостоверяющий центр ответственности не несет.

Федеральный закон Австрии также устанавливает, что удостоверяющий центр не несет ответственности перед другими лицами, если докажет, что нарушение обязанностей произошло не по вине самого удостоверяющего центра или его сотрудников. Потерпевший, в соответствии с законом, может ссылаться на то обстоятельство, что обязанности, установленные законом, были нарушены или имело место несоблюдение требований закона и принятых в его исполнение иных нормативно-правовых актов в области безопасности, а также если не были приняты надлежащие меры. При этом указанные обстоятельства должны привести к возникновению убытков у потерпевшей стороны.

Федеральный закон США “Об электронных подписях в глобальной и национальной торговле”, так же, как и Федеральный закон Германии, не содержит каких-либо положений об ответственности, вытекающей из правоотношений между партнерами по сделке в связи с ненадлежащим применением ЭЦП. Ответственность, связанная с применением ЭЦП, регулируется законодательством штатов. В частности, в Законе штата Юта (1996 г.)*(10) устанавливается ответственность удостоверяющего центра за неисполнение или ненадлежащее исполнение обязательств. В соответствии с ним удостоверяющий центр несет ответственность в пределах, установленных в сертификате открытого ключа ЭЦП.

Согласно ст.46-3-308 Закона штата Юта удостоверяющий центр, за некоторыми исключениями, не ответственен за:

а) любой ущерб, причиненный фальшивой или сфальсифицированной подписью владельца сертификата открытого ключа ЭЦП, если удостоверяющий центр действовал в соответствии с требованиями Закона;

б) искажение в сертификате, ошибку при его выдаче при превышении границ ответственности удостоверяющего центра, указанных в сертификате.

С удостоверяющего центра не могут быть взысканы штрафные убытки.

Становление российского законодательства об ЭЦП

Развитие электронной коммерции и электронного документооборота в России сталкивается с недостаточностью правового регулирования применения ЭЦП и электронного документооборота. В частности, как отмечается в пояснительной записке к проекту федерального закона “Об электронной цифровой подписи”, внесенному в Государственную Думу Федерального Собрания Российской Федерации 1 декабря 2000 года, “… неразвитость, фрагментарность, а иногда и противоречивость существующих в российском законодательстве правовых норм, относящихся к указанной сфере,… являются препятствием для развития электронного бизнеса, электронного документооборота в сфере государственного управления, обеспечения информационных прав граждан, а также успешного обмена электронными данными”*(11).

Базовыми нормативно-правовыми актами, регулирующими первоначальные основы правового регулирования ЭЦП, являются Гражданский кодекс РФ, а также Федеральный закон “Об информации, информатизации и защите информации”*(12). Они указывают лишь на условия, при которых возможно применение таких подписей.

В настоящее время ведется активная законотворческая работа, связанная с разработкой упомянутого закона “Об электронной цифровой подписи”, который, в силу его всеобъемлющего характера, должен стать основным регулятором общественных отношений по поводу применения ЭЦП. Первоначально существовало три законопроекта: два были разработаны в недрах Государственной Думы Федерального Собрания РФ, один – Правительством РФ с участием представителей Федерального агентства правительственной связи и информации при Президенте РФ, Гостехкомиссии, Минсвязи. В настоящее время в верховном законодательном органе РФ рассматривается только правительственный законопроект: альтернативные думские законопроекты отозваны.

Российский законопроект В.А. Тарачева и А.Н. Шохина “Об электронной цифровой подписи” определяет ЭЦП как “файл, формируемый из исходного файла при помощи алгоритма ЭЦП и содержащий информацию, используемую при проверке ЭЦП”. Такое определение выглядит не вполне корректным хотя бы по той причине, что в нем упоминается понятие файл, а далеко не всякий информационный объект представляется в виде файла. К примеру, электронной подписью могут заверяться отдельные записи в базах данных, а они файлами не являются.

Законопроект, разработанный Гостелекомом России совместно с Федеральным агентством правительственной связи и информации при Президенте РФ, Банком России, Гостехкомиссией России, определяет ЭЦП как “последовательность символов, полученную в результате криптографического преобразования исходной информации с использованием закрытого ключа ЭЦП, которая позволяет пользователю открытого ключа ЭЦП установить целостность и неизменность этой информации, а также владельца закрытого ключа ЭЦП”. С технической точки зрения данное определение более корректно.

В России порядок применения средств ЭЦП по сравнению с зарубежными странами регламентирован гораздо более жестко. В настоящее время действует Указ Президента Российской Федерации от 3 апреля 1995 года N 334 “О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации”. В соответствии с ним запрещена деятельность юридических и физических лиц, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте РФ согласно Федеральному закону “Об органах правительственной связи и информации”.

Запрещается также использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте РФ.

Такая политика государства в области регулирования применения и реализации криптографических средств, в том числе и средств ЭЦП, по-видимому, объясняется стремлением использовать только средства, сертифицированные уполномоченными государственными органами. Содержание нормативно-правовых актов России, регулирующих применение шифровальных средств, в том числе и средств ЭЦП, демонстрирует существующую тенденцию установления “тоталитарного подхода” в этом деле.

Безусловно, для решения множества проблем, связанных с национальной безопасностью, необходимо наличие определенных ограничений в области разработки, применения и оборота средств ЭЦП. Однако навязывание продукции только одного или нескольких производителей в этой области (а для самих производителей – обязательная платная сертификация их деятельности), особенно если оно сопровождается закрытостью алгоритма, может в итоге приводить к усилению коррупции и снижению подлинной, а не декларированной защищенности средств ЭЦП. Правовое регулирование применения средств ЭЦП должно стремиться к большей гибкости в отражении требований объективной действительности. Возможно, учитывая особенности России, было бы целесообразно рассмотреть многоуровневый подход к признанию действительности ЭЦП и лицензирования ее средств: одни требования – для административной сферы, другие – для корпоративной и третьи – для личного документооборота. В зарубежном законодательстве мы наблюдаем отдельные признаки многоуровневого подхода, например введение понятия квалифицированной ЭЦП в Директиве.

В России сейчас системы удостоверяющих центров нет. В значительной степени это связано с отсутствием правового регулирования такой деятельности. Установить порядок деятельности удостоверяющих центров должен федеральный закон “Об электронной цифровой подписи”. Закрепление порядка их деятельности в Российской Федерации из-за существующих в настоящее время центробежных тенденций должно происходить именно на федеральном уровне. Модель правового регулирования деятельности удостоверяющих центров в США, где таковое осуществляется на уровне субъектов федерации, для России не подходит. Существующие законопроекты предлагают различные подходы к правовому регулированию этой деятельности. В соответствии с законопроектом “Об электронной цифровой подписи” В.А. Тарачева и А.Н. Шохина под удостоверяющим центром понимается “юридическое лицо, осуществляющее деятельность по удостоверению соответствия открытого ключа ЭЦП владельцу закрытого ключа ЭЦП”. Таким образом, центром сертификации может быть любое юридическое лицо, получившее лицензию уполномоченного государственного органа.

Федеральным законом “О лицензировании отдельных видов деятельности”*(13) созданы основы для лицензирования деятельности удостоверяющих центров в силу его общей направленности. Однако в настоящее время в России нет нормативно-правовых актов, которые урегулировали бы порядок лицензирования деятельности центра сертификации с учетом ее специфики.

Российский законопроект В.А. Тарачева и А.Н. Шохина в некоторой степени также касается вопросов порядка лицензирования. В частности, им установлено, что деятельность юридических лиц по удостоверению принадлежности открытых ключей подписи осуществляется на основании лицензии, выдаваемой уполномоченным государственным органом в заявительном порядке в соответствии с законодательством РФ. При этом под заявительным порядком понимается отсутствие оснований для отказа в выдаче лицензии.

Центр сертификации должен располагать финансовыми ресурсами (в том числе собственным капиталом, заемными средствами и др.), достаточными для несения имущественной ответственности перед владельцами сертификатов, открытых ключей в случае ненадлежащего исполнения центром своих обязанностей. Однако нет нормативно-правовых актов, которые установили бы необходимый размер таких средств. Сам законопроект его также не определяет.

Процесс удостоверения открытого ключа ЭЦП, по замыслу разработчиков, оформляется в сертификате, выдаваемом центром сертификации владельцу закрытого ключа ЭЦП. Сам сертификат определяется как “выданный Центром сертификации открытых ключей ЭЦП документ, удостоверяющий соответствие открытого ключа ЭЦП владельцу закрытого ключа ЭЦП”. Его содержание также регламентируется российским законопроектом. Предоставление данных о владельце сертификата открытого ключа ЭЦП (в том числе паспортные данные либо иные сведения, позволяющие однозначно идентифицировать физическое лицо) возможно только с его согласия, выраженного в письменной форме.

Удостоверяющий центр в отношении выданного им сертификата вправе:

а) требовать предоставления ему владельцем сертификата открытого ключа ЭЦП достоверной информации;

б) требовать незамедлительного предоставления ему владельцем сертификата открытого ключа ЭЦП информации об изменении обязательных сведений, предоставленных ранее;

в) требовать обеспечения контроля использования закрытого ключа ЭЦП и предотвращения его раскрытия третьим лицом;

г) по требованию владельца закрытого ключа ЭЦП либо пользователя открытого ключа удостоверять целостность полученного файла в момент поступления его в центр сертификации.

В обязанности удостоверяющего центра сертификации входит:

а) прекратить действие выданных им сертификатов открытых ключей ЭЦП в случае компрометации закрытого ключа ЭЦП по требованию владельца закрытого ключа ЭЦП или по собственной инициативе;

б) по требованию пользователя открытого ключа ЭЦП обеспечить его информацией о выданных центром сертификатах, а также о сертификатах, действие которых было им приостановлено или прекращено;

в) иметь сертификат принадлежащего ему открытого ключа ЭЦП, выданный лицензирующим и (или) уполномоченным органом. При этом данный орган обязан обеспечить раскрытие информации о выданных им центрам сертификации сертификатах открытых ключей подписи.

Помимо этого центр сертификации в отношении выданного им сертификата обязан гарантировать:

а) соответствие сертификата открытого ключа ЭЦП требованиям настоящего закона и иных законодательных актов РФ, в том числе наличие в сертификате обязательных сведений;

б) тождественность сведений, содержащихся в сертификате открытого ключа ЭЦП, выданном центром сертификации, сведениям, предоставленным заявителем;

в) подтверждение владельцем закрытого ключа факта соответствия закрытого и открытого ключа ЭЦП, сертификат которого был выдан центром сертификации.

Положения об ответственности по российскому законопроекту можно разделить на две группы. В первую входят положения об ответственности, вытекающей из правоотношений между сторонами по договору в связи с применением ЭЦП, во вторую – положения об ответственности, вытекающей из правоотношений между сторонами и третьим лицом.

Законопроектом установлена ответственность владельца закрытого ключа ЭЦП, использующего несертифицированные средства для ее создания, в том случае, если он не обеспечил уведомление пользователей соответствующих открытых ключей о факте отсутствия сертификата на средство ЭЦП одновременно с получением ими открытого ключа ЭЦП. В этом случае владелец закрытого ключа ЭЦП должен возместить ущерб пользователю открытого ключа ЭЦП. При этом законопроектом не установлено, какой ущерб и в каком объеме должен быть возмещен. Возможно, исходя из смысла нормы законопроекта, вследствие отсутствия ограничений на счет возмещения ущерба, последний должен быть возмещен в полном объеме, то есть как реальный ущерб, так и упущенная выгода. Кроме того, из законопроекта не ясно, кто, в какой форме и в каком объеме будет возмещать ущерб, причиненный при использовании сертифицированных средств ЭЦП.

Законопроектом также установлено, что владелец закрытого ключа ЭЦП несет ответственность перед пользователем соответствующего открытого ключа за убытки, причиненные несанкционированным использованием закрытого ключа вследствие его ненадлежащего хранения. Однако, как и в предыдущем случае, к сожалению, не указаны конкретно ни вид, ни объем ответственности.

В то же время лица, неправомерно использующие ЭЦП другого лица, включая неправомерное получение закрытого ключа и (или) проставление ЭЦП другого лица без должных полномочий, несут уголовную, гражданско-правовую и административную ответственность в соответствии с законодательством РФ. Законопроектом урегулирована и ответственность удостоверяющего центра. В частности, установлено, что центр несет ответственность за убытки, возникшие в результате ненадлежащего исполнения им своих обязанностей. Установлена возможность ограничения ответственности центра сертификации: в сертификате могут быть указаны пределы его ответственности.