CC BY
90
СРАВНИТЕЛЬНО-ПРАВОВОЙ АНАЛИЗ ЗАКОНОДАТЕЛЬСТВА НЕКОТОРЫХ СТРАН С РАЗВИТОЙ РЫНОЧНОЙ ЭКОНОМИКОЙ В СФЕРЕ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННЫХ ЦИФРОВЫХ ПОДПИСЕЙ
Щёголева Светлана Вячеславовна, инспектор отделения планирования, контроля и анализа учебного процесса учебного отдела.
Контакты автора: E-mail: calaisa@mail.ru
Аннотация. Данная статья посвящена анализу международного законодательства в сфере электронного документооборота, с указанием целесообразности использования опыта законодателей других стран, для дальнейшего внесения дополнений в ФЗ ««Об электронной цифровой подписи».
Ключевые слова: электронный документооборот, закрытый ключ, открытый ключ.
THE RATHER-LEGAL ANALYSIS OF THE LEGISLATION OF SOME COUNTRIES WITH THE DEVELOPED MARKET ECONOMY IN SPHERE OF USE OF ELECTRONIC DIGITAL SIGNATURES
Shchyegoleva Svetlana Vyacheslavovna, training department inspector.
Contacts of the author: E-mail: calaisa@mail.ru
Annotation. The article is devoted to the analysis of the international legislation in sphere of electronic document circulation with instructions of use of other countries legislators' experience for further additions into the law "About the electronic digital signature".
Keywords: electronic documents‘ use, the closed key, an open key.
В теории права является общепризнанным, что язык нормативных правовых актов должен быть кратким, четким и определенным. Как отмечает А.Ф. Чердан-цев, "многословие, расплывчатость дают повод различному толкованию норм права, препятствуют их единообразному применению. Для достижения точности и определенности терминов, их единообразного понимания могут использоваться легальные дефиниции (дефинитивные нормы), в которых даются определение термина, его разъяснение обязательное для адресатов нормативного акта. Формализация понятий привносит в правовое регулирование большую точность и определенность."1Определение должно исключать любую двусмысленность, делая ясным и дос-
1 Общая теория государства и права. Академический курс. М. 2001. Т. 2. С. 502.
товерным толкование и применение той или иной нормы или группы норм права2.
Для сферы электронного документооборота в целом и применения электронной цифровой подписи, в частности, дефиниции тем более важны, так как они определяют новые для права понятия и создают единое понятийное пространство, которое должно действовать не только в одном государстве. Изучение этих понятий с целью классификации и выбора наиболее приемлемых категорий представляет существенный научный и практический интерес.
Чтобы представить картину из этих определений более целостной, хотелось бы оттолкнуться от определений, изложенных в текстах актов международного уровня - Типовом законе ЮНСИТРАЛ "О цифровых подписях", Модельном законе государств - участниц СНГ "Об электронной цифровой подписи" и Директивы Европейского парламента и Совета 1999/93/ЕС от
13.12.1999 "О правовых основах Сообщества для электронных подписей".
Для актов, регулирующих отношения в сфере использования ЭЦП, центральным понятием и центральной дефиницией должно являться определение категории "цифровая подпись". Добавление термина "электронная" является в данном случае речевым излишеством. Аналогично, если используется категория "электронная подпись", то термин "цифровая" будет также излишеством. Наиболее адекватно отражает суть этой технологии категория "цифровая подпись", так как она может быть выражена и в виде файла, воспринимаемого компьютером, и в виде последовательности чисел, отображенных на бумажном носителе. Главное заключается в том, что для формирования данного вида подписи мы используем определенные математические преобразования, выраженные в числовой форме.
В указанном смысле весьма примечательной и логичной выглядит соответствующая дефиниция, содержащаяся в Законе Туркменистана от 19.12.2000 "Об электронном документе"3, где цифровая подпись определяется как "аналог собственноручной подписи в виде набора символов (последовательности чисел), признаваемый в качестве официальной подписи отправителя электронного документа". Далее следуют иные функциональные характеристики данного средства:
- задача подтвердить принадлежность цифровой подписи конкретному владельцу;
- задача подтверждения факта, что цифровая подпись (а точнее, по мнению автора, - ключи цифровой подписи) является действующей на момент подписания.
Совсем иначе выглядит категория "цифровая подпись" в интерпретации Закона Республики Беларусь от
01.01.2000 "Об электронном документе", где она определена как "набор символов, вырабатываемый средствами электронной цифровой подписи и являющийся неотъемлемой частью электронного документа".
В данной дефиниции одно понятие дается через другое понятие, что с точки зрения логики недопустимо. Помимо этого, вряд ли во всех случаях цифровая подпись является неотъемлемой частью документа - она может с ним логически ассоциироваться и указание на
2 Чиннова М.В. Правила формулирования легального опреде-ления//Право и политика. 2005. № 1.
3Шамраев А.В. "Правовое регулирование информационных технологий. Анализ проблем и основные документы". М. 2003.
Щёголева С.В. СРАВНИТЕЛЬНО-ПРАВОВОЙ АНАЛИЗ ЗАКОНОДАТЕЛЬСТВА
такую связь содержится в целом ряде аналогичных определений.
На основании изложенного можно заключить, что дефиниция белорусского закона не отражает ни юридической сущности, ни предназначения цифровой подписи.
Следующее определение, в котором содержатся несколько нестандартные по отношению к модельному законодательству (в дальнейшем по данным обобщенным термином будет пониматься одновременно и Типовой и Модельный законы) положения, представлено в Законе Украины от 04.04.2001 "О платежных системах и переводе денег". Здесь цифровая подпись определяется как "совокупность данных, полученная в результате криптографического преобразования содержимого электронного документа, которая предоставляет возможность подтвердить его целостность и идентифицировать лицо, которое его подписало".
Наиболее примечательным элементом данной дефиниции является категория "криптографическое преобразование", а в целом данное определение в качестве легального признает только один, довольно узкий класс цифровых подписей, в которых они получаются посредством зашифрования некоторого отрезка информации. Примерно также подходят к определению сущности цифровой подписи и российские законодатели (электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе4).
Конечно, в технологиях создания цифровых подписей, применяемых в России и на Украине, криптографическое преобразование присутствует. Данный факт признают и законодатели других стран (например, в индийском Законе от 09.06.2000 "Об информационных технологиях" прямо устанавливается, что любой абонент вправе аутентифицировать электронную запись путем присоединения своей цифровой подписи; аутентификация электронной записи производится использованием асимметричной криптосистемы и хэш-функции, которая охватывает и преобразует первоначальную электронную запись в другую электронную запись).
Как справедливо указано в индийском законе, собственно криптографическому преобразованию предшествует формирование хэш-функции - результата обобщенного анализа данных в электронном файле, который всегда одинаков по отношению к конкретному файлу. Изменение данных в файле должно изменять результат хэш-функции. Для того, чтобы злоумышленник не смог это реализовать, результат хэш-функции зашифровывается. Собственно тогда и получается цифровая подпись в понимании российского, украинского и индийского законодателей.
Ряд законодателей придают категории "хэш-функция" настолько важное значение, что выделают ее в соответствующих актах в качестве отдельной дефиниции. Так, например, поступили законодатели Гонконга, которые в Ордонансе № 533 от 2000г. "Об элек-
4 См.: Федеральный закон "Об электронной цифровой подписи".
СЗ РФ, 2002. № 2. Ст. 127.
тронных сделках" привели следующее определение данного понятия:
"хэш-функция означает алгоритм отображения или преобразования одной последовательности битов в другой, обычно меньший, набор в качестве результата хэш-функции, при котором:
(а) запись дает аналогичный результата хэш-функции каждый раз, когда применяется алгоритм с использованием одной и той же записи на входе;
(б) путем вычислений невозможно выделить или воссоздать запись из результата хэш-функции, созданного алгоритмом;
(в) путем вычислений невозможно обнаружить две записи, дающие одинаковый результата хэш-функции с использованием алгоритма".
Примерно аналогичное определение данной категории содержится и в индийском законе.
В данном случае возникает вопрос о целесообразности определения этого понятия в тексте законодательного акта. Оно излишне технологично и не несет должной правовой нагрузки. Вышеизложенные требования к характеристикам хэш-функции следует излагать в нормативно-технических актах, определяющих качественные параметры средств выработки цифровых подписей. Это могут быть стандарты или технические регламенты.
Вернемся к вопросу о том, насколько важным в определении цифровой подписи является упоминание о криптографическом преобразовании. С точки зрения формулирования общих правовых условий использования цифровых подписей не имеет значения, будет ли признан алгоритм выработки цифровой подписи криптографическим преобразованием, либо нет.
Еще в прошлом десятилетии в США велась острая дискуссия по поводу возможности экспорта компьютерных и телефонных криптосистем повышенной сложности. В конечном итоге победила точка зрения, которая в наиболее концентрированном виде нашла отражение в Законе Герцогства Люксембург от
14.08.2000 № 96 "Об электронной коммерции", где однозначно установлено, что использование криптографических средств является свободным.
Но на самом деле не все так просто. Криптосистемы, используемые для защиты коммерческой, банковской и частной информации, а также криптосистемы, используемые для защиты государственно-значимой информации во многом схожи друг с другом, так как в основе их лежат одни и те же математические принципы. Исходя из этого, в частности, в Российской Федерации, в отличие от Люксембурга, оборот криптографических систем не может быть полностью свободным. Второй момент, лежащий в основе собственно американской дискуссии, заключается в том, что спецслужбы государств в случае необходимости негласного ознакомления с зашифрованной информацией частных субъектов должны тратить слишком значительные усилия на аналитическое раскрытие этой информации без изначального знания ключей.
Именно поэтому в нашей стране до сего времени действует специализированный нормативный правовой акт - Указ Президента Российской Федерации от 03.04.1995 № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации"5, нормами которого, в частности, запрещается исполь-
5 СЗ РФ. 1995. № 15. Ст. 1285.
зование "государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата ФАПСИ".
Касаясь проблемы безопасной цифровой подписи, необходимо отметить, что законодательство ряда стран однозначно определяет критерии, которым должны отвечать программно-технические средства для формирования цифровой подписи. Так, в частности, Закон Литовской Республики от 11.07.2000 № VIII-1822 "Об электронной подписи" для безопасного оборудования для формирования цифровой подписи устанавливает следующие критерии:
а) данные для формирования подписи, используемые для создания цифровой подписи, практически возможно получить только однажды, и их секретность обеспечивается;
б) данные для формирования подписи, используемые для создания цифровой подписи, практически невозможно воссоздать;
в) данные для формирования подписи, используемые для создания цифровой подписи, подписывающее лицо может достоверно оберегать от других лиц;
г) оборудование для формирования подписи при создании подписи не изменяет, подписываемые данные и не препятствует подписывающему лицу знакомиться с этими данными до подписания.
По сути, в приведенных нормах перечислены основные критерии, которым должны отвечать средства выработки цифровой подписи. Соответственно, все лица, осуществляющие разработку таких устройств, при декларировании того, что они качественные (в контексте рассматриваемого акта - безопасные), обязаны подтвердить, что они соответствуют указанным критериям.
Указание непосредственно в тексте закона таких критериев для Литвы является вполне обоснованным, так как в этом акте нигде далее не упоминается о сертификации средств цифровой подписи, имеется только норма о том, что уполномоченное правительством этой страны учреждение, осуществляющее надзор за цифровой подписью, разрабатывает требования к оборудованию цифровой подписи.
Российский Закон об ЭЦП таких критериев не содержит, в ч.ч. 2, 4 ст. 5 приведена норма о том, что при создании ключей ЭЦП для использования в информационных системах общего пользования должны применяться только сертифицированные средства ЭЦП, сертификация которых должна осуществляться в соответствии с законодательством.
На основании всего вышесказанного сделаем вывод о том, что нормативное регулирование в части установления четких критериев качественных характеристик так называемой безопасной ЭЦП в Российской Федерации отсутствует, в связи, с чем целесообразно использовать опыт литовских законодателей в этой части и дополнить ст. 5 Федерального закона "Об электронной цифровой подписи" пунктом следующего содержания: «Средства электронной цифровой подписи должны отвечать следующим основным требованиям:
- закрытый и открытый ключи электронной цифровой подписи, вырабатываемые средством электронной цифровой подписи, должны быть гарантированно уникальными;
- средства хранения закрытых ключей электронной цифровой подписи должны исключать возможность копирования записанной на них ключевой информации;
- средства электронной цифровой подписи не изменяют содержание подписываемого электронного документа и не препятствуют владельцу сертификата ключа подписи знакомиться с содержанием электронного документа до его подписания".
Список литературы:
1. Общая теория государства и права. Академический курс. М. 2001. Т. 2. С. 502.
2. Чиннова М.В. Правила формулирования легального определения// Право и политика. 2005. № 1.
3. Шамраев А.В. "Правовое регулирование информационных технологий. Анализ проблем и основные документы". М. 2003.
4. Федеральный закон "Об электронной цифровой подписи". СЗ РФ, 2002. № 2. Ст. 127.
5. Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 № 334// СЗ РФ. 1995. № 15. Ст. 1285.
РЕЦЕНЗИЯ
Рассматриваемая автором тема является значимой и актуальной в условиях социального и технического прогресса. Международное сообщество достаточно давно осознало необходимость унификации законодательства в сфере международной и межгосударственной торговли. Как правило, оно шло путем заимствования наиболее выдающихся гражданских кодексов европейских стран другими странами.
Целью данной работы является анализ международного законодательства стран с развитой рыночной экономикой в сфере использования электронных цифровых подписей с указанием ряда положений, которые необходимо существенно доработать в ФЗ «Об электронных цифровых подписях» в целях усовершенствования российского законодательства.
В этой области достаточно много проблем юридического и организационного свойства и главная задача -в конечном итоге придти к желаемому результату, т.е. принятию законодательных актов и внесение в них дополнений, которые содержали нормы по основным позициям, позволяющие осуществлять беспрепятственный обмен сообщениями в электронной форме отображения, обладающими должной юридической силой для отношений, в которых они участвуют.
Решению данной задачи и посвящена представляемая работа автора.
Директор института информационного права и правовых основ безопасности , академик РАЕН, д.ю.н., профессор Фатьянов А. А.
