Правовое обеспечение использования ЭПЦ как необходимое условие организации электронного документооборота
На современном этапе развития общества в Российской Федерации в процессы повседневной деятельности активно внедряются новые высокопроизводительные информационно-телекоммуникационные технологии. В этих условиях использование корпоративных, региональных и глобальных телекоммуникационных систем для обеспечения нормальной деятельности системы государственного управления и деловой жизни общества приобретает первостепенное значение. Процесс обмена электронными документами существенным образов отличается от обычной формы обмена документами на бумажных носителях. Осуществление электронного документооборота требует соответствующих законодательных мер, направленных на придание юридической силы собственно электронному документу. Одновременно при широком внедрении в деловую и административную практику обмена электронными документами необходимо решить проблему подтверждения подлинности содержащейся в них информации и ее соответствия смыслу волеизъявления человека. Со временная криминальная хроника и судебная практика на Западе поли; примерами мошенничества с ис пользованием новейших информационно-телекоммуникационных систем и циркулирующих в них электронных документов. В настоящее время эта проблема эффективно может быть решена только путем использования средств электронной цифровой подписи (ЭЦП).
В развитых странах мира, в том числе и в Российской Федерации, электронная цифровая подпись широко используется в хозяйственном обороте. Банк России и другие банки Российской Федерации активно исполь-зуют ЭЦП для осуществления своих операций путем пересылки банковских электронных документов по корпоративным и общедоступным телекоммуникационным сетям. Основой для этого являются Гражданский кодекс Российской Федерации, который признает возможность использования электронной цифровой подписи при совершении сделок и иных гражданских актов в электронной форме на территории России, а также Федеральный закон "Об информации, информатизации и защите информации", предусматривающий возможность применения электронной цифровой подписи для придания юридической силы документам, хранимым, обрабатываемым и передаваемым с помощью автоматизированных информационных и телекоммуникационных систем. Однако общезначимый, единый для всех, правовой механизм применения электронной цифровой подписи в России в настоящее время отсутствует. Это, по существу, вынуждает участников электронного документооборота использовать ЭЦП как техническое средство подтверждения волеизъявления конкретного юридического или физического лица исключительно на основании предварительных договоренностей, оформленных в соответствии с нормами Гражданского кодекса.
Очевидно, что в торговых отношениях, а также при осуществлении
информационного обмена между субъектами, не связанными предварительной договоренностью, неизбежны существенные трудности в разрешении конфликтов сторон. Регулирование подобных отношений должно осуществляться законодательно и регламентировать действия субъектов информационных отношений независимо от каких-либо корпоративных соглашений.
Проект федерального закона "Об электронной цифровой подписи", разработанный Минсвязи России совместно с ФАПСИ и другими заинтересованными ведомствами, обеспечивает правовые условия для использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи человека в документе на бумажном носителе. Следует отметить, что в законопроект вводится собственно понятие электронного документа.
Проект федерального закона "Об электронной цифровой подписи", разработанный Минсвязи России совместно с ФАПСИ и другими заинтересованными ведомствами, обеспечивает правовые условия для использования электронной цифровой подписи в процессах обмена электронными документами.
Он определяется как документ, представленный в электронной цифровой форме, а ЭЦП является неотъемлемым реквизитом электронного документа.
Данный проект отражает особенности использования электронной цифровой подписи в электронных документах органами государственной власти и государственными организациями, а также физическими и юридическими лицами, определяет требования к средствам электронной цифровой подписи и к сертификату ключа подписи, выдаваемому удостоверяющим центром, устанавливает правовой статус удостоверяющих центров и их функции, учитывает особенности использования электронной цифровой подписи в сфере государственного управления и в корпоративных информационных системах.
Нормы, устанавливаемые правительственным законопроектом не противоречат Конституции Российской Федерации, федеральным конституционным законам, федеральным законам, а также общепринятым нормам и принципам международного права. Содержащиеся в нем подходы согласуются с аналогичными зарубежными законодательными актами и учитывают мировой опыт использования ЭЦП.
Большинство таких законодательных актов признает аналогом собственноручной подписи исключительно электронную цифровую подпись, реализованную на основе применения асимметричного криптографического преобразования. Например, Декретом Республики Аргентина от 1997 года асимметричная криптография признана единственным методом, способным в настоящее время осуществить точную идентификацию автора и проверку подлинности и целостности электронного сообщения. Законодательные акты штатов Вашингтон и Юта также опираются на признание свойств асимметричных криптографических алгоритмов. Вместе с тем Федеральный закон США об электронных подписях в национальной и глобальной коммерции в отличие от упомянутых законодательных актов отдельных штатов этого не делает, за что и подвергается критике. По заключению ряда американских экспертов, этот закон, введенный в действие с 1 октября 2000 года, не обеспечивает сколько-нибудь существенной защиты потребителя от фальсификации, так как в нем не зафиксированы надежные (криптографические) методы обеспечения ее подлинности. В проекте российского закона электронная цифровая подпись определяется как реквизит электронного документа, защищенный от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП, позволяющий установить отсутствие утраты, искажения или подделки содержащейся в электронном документе информации, а также обладателя электронной цифровой подписи.
Одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи.
Все зарубежные законодательные акты об ЭЦП требуют от удостоверяющих центров гарантий качества используемых технических и программных средств электронной цифровой подписи.
В связи с этим, к удостоверяющим центрам (Сертифицирующим органам - по законодательству Штата Вашингтон или сертификационным бюро - по немецкому законодательству) предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота зачастую не могут проверить корректность осуществления подобными организациями своих функций. Поэтому, в целях защиты прав потребителей государство берет на себя регулирование деятельности этих центров, например, посредством выдачи разрешения (лицензии) или одобрения на их работу со стороны уполномоченного государственного органа. В частности, закон ФРГ о цифровой подписи устанавливает, что "для деятельности сертификационного бюро необходимо разрешение компетентной инстанции". Законодательным актом штата Вашингтон вообще установлено, что сертифицирующий орган (удостоверяющий центр) обязан ежегодно подтверждать свое разрешение (лицензию) путем проведения аудиторской проверки на предмет соответствия установленным требованиям. Одновременно большинство зарубежных законодательных актов содержат общие требования к организациям и физическим лицам, желающим исполнять обязанности удостоверяющих центров. Во-первых, эти требования касаются безусловного законопослушания и благонадежности как самих организаций, осуществляющих подобную деятельность, так и их персонала. Во-вторых, - квалификации персонала. В-третьих, - наличия соответствующих финансовых ресурсов для возмещения возможного ущерба, возникающего в результате ненадлежащего исполнения удостоверяющим центром своих обязанностей. Российский законопроект устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация, осуществляющая свою деятельность на основании лицензии. При оформлении лицензии организация, претендующая на ее получение, должна представить обоснование своей способности нести гражданскую ответственность.
В корпоративной информационной системе по соглашению участников системы функции удостоверяющего центра могут выполняться одним из участников, чей правовой статус определяется владельцем или участниками этой системы.
Использование средств ЭЦП участниками как информационных систем общего пользования, так и корпоративных лицензированию не подлежит.
Абсолютно все рассмотренные зарубежные законодательные акты об ЭЦП требуют от достоверяющих центров гарантий качества используемых технических и программных средств электронной цифровой подписи. Вместе с тем большинство этих законов не отражают конкретных требований по уровню специальных качеств используемых криптографических средств формирования и подтверждения подлинности ЭЦП, но содержат отсылочные нормы, в соответствии с которыми необходимый и достаточный уровень безопасности определяется нормативными актами правительства или компетентными уполномоченными государственными органами. В частности, в соответствии с немецким законодательством об ЭЦП "для создания и хранения ключей подписи, а также изготовления и проверки цифровых подписей должны использоваться такие технические средства, которые с высокой степенью надежности позволяют гарантировать уверенное выявление подделок цифровых подписей и защищенных ими данных. При этом технические средства должны подвергаться проверкам с учетом требований, предъявляемых состоянием науки и техники, и получать подтверждение относительно их соответствия нормам, установленным компетентной инстанцией". Восемнадцатая статья закона об электронной коммерции Республики Корея вообще устанавливает, что правительство может регулировать использование криптографических технологий и принимать при этом любые необходимые меры, чтобы получить доступ к зашифрованной информации или самой технологии криптографического преобразования информации. В этой связи необходимо отметить, что подготовленный Минсвязи и ФАПСИ законопроект не содержит подобных недемократических норм, и публикации на эту тему отдельных (пусть даже уважаемых) средств массовой информации не соответствуют реальной действительности.
Подготовленный законопроект "Об электронной цифровой подписи" включает требование об обязательной сертификации средств ЭЦП используемых при создании ключей ЭЦП в информационных системах общего пользования, а также средств ЭЦП, применяемых в корпоративных информационных системах федеральных органов исполнительной власти, органов власти субъектов Российской Федерации и органов местного самоуправления. В других корпоративных системах решение об использовании тех или иных средств ЭЦП принимается владельцем или соглашением между участниками системы.
Данный подход, как нам кажется, соответствует основным направлениям государственной политики в информационной сфере, изложенной в Доктрине информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 года. Он не противоречит и международным договоренности России и иным международным документам, в том числе директиве Европейского Союза по ЭЦП.
Как известно, Европейский Союз издал директиву, направленную на гармонизацию национальных законодательных актов стран - участие ков, регулирующих электронный документооборот и определяющих прядок применения ЭЦП. В числе основных положений директивы следует отметить требование одобрить или лицензирования деятельность удостоверяющих центров, проверки соблюдения этими центрами необходимых для их деятельности условия. Требование к уровню надежности технических и программных средств, используемых этими центрами и т.д.
Предлагаемый проект федерального закона "Об электронной цифровой подписи" близок по духу законам ФРГ и Австрии, которые оказали большое влияние на формирование соответствующих институтов в Западной Европе. Однако наличие в нашем законопроекте отсылочных норм к законодательству Российской Федерации о сертификации продукции и услуг, как нам кажется, в значительной мере повышает ответственность органов, устанавливающих требования и подтверждающих специальные качества средств ЭЦП, за принимаемые в данной области решения, поскольку позволяет обжаловать любые их решения в порядке, установленном законодательством.
Хотелось бы отметить, что российский законопроект не противоречит международным договоренностям . России и рекомендациям Комиссии ООН по международному торговому законодательству, в достаточной мере гармонизирован с международной практикой в данной области и не будет служить препятствием, в случае его принятия, вступлению России во Всемирную Торговую Организацию.
В настоящее время в различной степени готовности находятся ряд так называемых "электронных" законопроектов "Об электронной торговле", "О предоставлении электронных финансовых услуг" "Об электронных сделках" и т.д. Они в той или иной степени опираются на использование надежных методов обеспечения подлинности и целостности электронных документов или сообщений. Поэтому внесенный Правительством Российской Федерации В Государственную Думу проект федерального закона "Об электронной цифровой подписи" является краеугольным камнем для правового обеспечения становления и развития электронной коммерции в России.