УДК 34:002 Д.А. Рагимханова
Некоторые вопросы правового регулирования электронной подписи
Дагестанский государственный университет; dinarus77@mail. ru
Статья посвящена характеристики условий, необходимых для применения электронной подписи. Дан сравнительный анализ нового и действующего законодательства в этой области.
Ключевые слова: электронная подпись, электронная цифровая подпись, удостоверяющий центр, ключ электронной подписи.
The article is devoted to defining the conditions which are necessary for application of a digital signature. It gives comparative analysis of the new and current legislation in this area.
Keywords: digital signature, electronic digital signature, certifying center, digital signature key.
В настоящее время значительные массивы данных передаются, обрабатываются и хранятся в электронной форме в автоматизированных информационных системах. Однако для электронного документа неприемлемы такие способы идентификации, как собственноручная подпись лица, печать организации и т. п., и поэтому для обеспечения юридической силы такого документа применяются специальные правила, определяющие все детали такого документооборота и имеющие силу закона. Для решения этой проблемы применяется электронная подпись (ЭП).
Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.
Согласно Федеральному закону от 06.04.2011 г. № бЗ-ФЗ "Об электронной подписи", электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Данный закон существенным образом изменяет правовое регулирование отношений, связанных с подписанием электронных документов. Ранее данные отношения регулировались Федеральным законом от 10.01.2002 г. № 1-ФЗ "Об электронной цифровой подписи", который действует до 1 июля 2012 г., однако сертификаты электронных цифровых подписей (ЭЦП), выданные в соответствии с этим нормативным актом, можно будет использовать и далее.
Действующие до нового закона положения не отвечали требованиям сегодняшнего дня, так как Федеральный закон № 1-ФЗ содержит концептуальные и техническо-юридические недостатки, которые не позволили обеспечить правовые условия, необходимые для широкого применения ЭЦП в РФ. Как следует из пояснительной записки к проекту нового закона, к таким недостаткам можно отнести следующее:
- вопреки сложившейся мировой практике Федеральный закон № 1-ФЗ допускает использование единственной технологии ЭЦП (основанной на так называемой технологии ассиметрич-ных ключей подписи), делает необходимой единую иерархическую систему удостоверяющих центров, обязывает применять сертифицированные средства ЭЦП;
- его положения не соответствуют основным принципам, реализуемым в иностранном законодательстве и международном праве при осуществлении правового регулирования ЭП, таким, как «технологическая нейтральность» законодательства, правовое признание различных видов электронной подписи, свободное использование средств ЭП, аккредитация удостоверяющих центров;
- недостаточна сфера регулирования закона, из нее исключены как отношения по использованию иных видов ЭП, так и отношения, не являющиеся гражданско-правовыми сделками;
- не допускается ЭЦП юридических лиц;
- Федеральный закон № 1-ФЗ не согласован с иными законодательными актами РФ, в т. ч. о лицензировании отдельных видов деятельности и техническом регулировании.
Федеральный закон № бЗ-ФЗ направлен на устранение указанных недостатков, а также на расширение сферы использования допустимых видов электронных подписей.
Новый закон регулирует отношения в области использования электронных подписей в следующих случаях:
- при совершении гражданско-правовых сделок;
- при оказании государственных и муниципальных услуг;
- при исполнении государственных и муниципальных функций;
- при совершении иных юридически значимых действий.
В Федеральном законе № бЗ-ФЗ заявлены следующие принципы использования ЭП:
- право участников электронного взаимодействия использовать ЭП любого вида по своему усмотрению, если требование об использовании конкретного вида ЭП в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
- возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования закона применительно к использованию конкретных видов ЭП;
- недопустимость признания ЭП и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая ЭП создана не собственноручно, а с использованием средств ЭП для автоматического создания и (или) автоматической проверки ЭП в информационной системе.
Согласно новому закону предполагается два вида ЭП: простая электронная подпись и усиленная электронная подпись. Усиленная электронная подпись, в свою очередь, может быть неквалифицированной и квалифицированной.
Простая электронная подпись (ПЭП) - это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Неквалифицированная электронная подпись (НЭП) - это электронная подпись, которая:
- получена в результате криптографического преобразования информации с использованием ключа ЭП;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств ЭП.
Квалифицированная электронная подпись (КЭП) - это электронная подпись, которая соответствует всем признакам НЭП и следующим дополнительным признакам:
- ключ проверки ЭП указан в квалифицированном сертификате;
- для создания и проверки ЭП используются средства ЭП, получившие подтверждение соответствия требованиям, установленным с законом.
При использовании НЭП сертификат ключа проверки ЭП может не создаваться, если соответствие ЭП признакам НЭП, установленным законом, может быть обеспечено без использования сертификата ключа проверки ЭП.
Условия признания электронных документов, подписанных электронной подписью, являются равнозначными документам на бумажном носителе, подписанным собственноручной подписью, следующие.
Во-первых, информация в электронной форме, подписанная КЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручно, кроме случая, когда федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
Во-вторых, информация в электронной форме, подписанная ПЭП или НЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручно, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками элек-
тронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных НЭП, равнозначными документам на бумажных носителях, подписанным собственноручно, должны предусматривать порядок проверки ЭП.
В-третьих, если по федеральным законам, принимаемым в соответствии с ними нормативным правовым актам или обычаю делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручно, признается равнозначным документу на бумажном носителе, подписанному собственноручно и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия, могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.
Кроме того, устанавливается, что одной ЭП могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании ЭП пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным ЭП того вида, которой подписан пакет электронных документов.
Электронный документ считается подписанным ПЭП при выполнении одного из следующих условий:
- ПЭП содержится в самом электронном документе;
- ключ ПЭП применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанным собственноручно, должны предусматривать, в частности:
- правила определения лица, подписывающего электронный документ, по его ПЭП;
- обязанность лица, создающего и (или) использующего ключ ПЭП, соблюдать его конфиденциальность .
Использование ПЭП для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
- обеспечивать конфиденциальность ключей ЭП, в частности не допускать использование принадлежащих им ключей ЭП без их согласия;
- уведомлять удостоверяющий центр, выдавший сертификат ключа проверки ЭП, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа ЭП в течение не более одного рабочего дня со дня получения информации о таком нарушении;
- не использовать ключ ЭП при наличии оснований полагать, что его конфиденциальность нарушена;
- использовать для создания и проверки КЭП, создания ключей КЭП и ключей их проверки средства ЭП, получившие подтверждение соответствия требованиям, установленным согласно рассматриваемому закону.
КЭП признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
- квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
- квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания
электронного документа не определен;
- имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата КЭП, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств ЭП, получивших подтверждение соответствия требованиям, установленным согласно Федеральному закону № бЗ-ФЗ, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
- КЭП используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).
Электронный документ, подписанный ЭЦП до даты признания утратившим силу Федерального закона № 1-ФЗ, то есть до 1 июля 2012 г., признается электронным документом, подписанным КЭП в соответствии с новым законом.
Для создания и проверки ЭП, создания ключа и ключа проверки ЭП должны использоваться средства ЭП, которые:
1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа ЭП из электронной подписи или из ключа ее проверки.
При создании ЭП средства ЭП должны:
- показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
- однозначно показывать, что ЭП создана.
При проверке ЭП средства ЭП должны показывать содержание электронного документа, подписанного ЭП, информацию о внесении изменений в подписанный ЭП электронный документ, а также указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Данный центр создает сертификаты ключей проверки ЭП и выдает такие сертификаты лицам, обратившимся за их получением (заявителям), устанавливает сроки действия сертификатов ключей проверки ЭП, аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки ЭП. Кроме этого, по обращению заявителя выдает средства ЭП, содержащие ключ ЭП и ключ проверки ЭП или обеспечивающие возможность создания ключа ЭП и ключа проверки ЭП заявителем.
Также удостоверяющий центр обязан вести реестр выданных и аннулированных им сертификатов ключей проверки ЭП со всей необходимой информацией, а также осуществляет еще целый ряд функций по работе с ЭП.
Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки ЭП на основании соглашения между удостоверяющим центром и заявителем. Сертификат ключа проверки ЭП должен содержать:
- даты начала и окончания срока его действия;
- фамилию, имя и отчество (если имеется) - для физических лиц, наименование и место нахождения - для юридических лиц или иную информацию, позволяющую идентифицировать владельца сертификата ключа проверки ЭП;
- ключ проверки ЭП;
- наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствуют ключ ЭП и ключ проверки ЭП;
- наименование удостоверяющего центра, который выдал сертификат ключа проверки ЭП;
- иную информацию, предусмотренную законом.
Если сертификат ключа проверки ЭП выдается юридическому лицу, в качестве владельца сертификата ключа проверки ЭП наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности, но допускается и не указывать такое
физическое лицо. Владельцем такого сертификата ключа проверки ЭП признается юридическое лицо, информация о котором содержится в сертификате.
Сертификаты ключей проверки ЭП могут выдаваться в форме электронных документов или документов на бумажном носителе. Владелец сертификата ключа проверки ЭП, выданного в форме электронного документа, вправе получить также копию сертификата ключа проверки ЭП на бумажном носителе, заверенную удостоверяющим центром.
Сертификат ключа проверки ЭП действует с момента его выдачи, если иная дата начала действия не указана в самом сертификате ключа проверки ЭП.
Сертификат ключа проверки ЭП прекращает свое действие:
- в связи с истечением установленного срока его действия;
- на основании заявления владельца сертификата ключа проверки ЭП, подаваемого в форме документа на бумажном носителе или в форме электронного документа;
- в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам;
- в иных случаях, установленных законом или соглашением между удостоверяющим центром и владельцем сертификата ключа проверки ЭП.
Действие сертификата ключа проверки ЭП прекращается с момента внесения записи об этом в реестр сертификатов.
Использование аннулированного сертификата ключа проверки ЭП не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием.
Применение электронной подписи позволяет осуществить:
- контроль целостности передаваемого документа (при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему);
- защиту от изменений (подделки) документа (гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев);
- невозможность отказа от авторства (так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом);
- доказательное подтверждение авторства документа (так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом).
В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Таким образом, новый закон об ЭП направлен на устранение недостатков и пробелов в правовом регулировании ЭП в России при сохранении уже сложившейся практики использования ЭЦП.
Литература
1. Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» - М.: Проспект, 2002.
2. Федеральный закон от 06.04.2011 г. № бЗ-ФЗ «Об электронной подписи». - М.: Рид Групп, 2011.
3. Кодатчиков В. Подпись на выбор // Ведомости. - 2011. - 14 апреля.
4. Кирилловых А.А. Постатейный комментарий к ФЗ «Об электронной подписи». - М.: Юс-тицинформ, 2011.
Поступила в редакцию 13 декабря 2011 г.