CC BY
237
М.В. Климович,
кандидат юридических наук
ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ В СФЕРЕ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ (СРАВНИТЕЛЬНЫЙ АНАЛИЗ ПОЛОЖЕНИЙ ЗАРУБЕЖНЫХ ЗАКОНОВ И ФЕДЕРАЛЬНОГО ЗАКОНА «ОБ ЭЛЕКТРОННОЙ
ЦИФРОВОЙ ПОДПИСИ»
Появление в 90-е годы разветвленной сети обмена текстовой и графической информацией, основанной на компьютерных технологиях, создало технологическую основу для организации оборота информации, представленной в форме документов, в виде электронных файлов, т.е. электронного документооборота. Начиная с середины 90-х гг ХХ в. в странах с развитой рыночной экономикой начинается подготовка законодательных актов, регулирующих отношения в сфере использования электронной цифровой подписи (далее — ЭЦП) как способа подтверждения подлинности документов в электронной форме отображения. Одним из первых законов об ЭЦП стал Закон штата Юта (США) от 09.03.1995 «О цифровой подписи». Затем, в 1997 г., был принят Закон Федерации Малайзии «О цифровой подписи». Большинство стран приняло такие законы в 1999—2001 гг., в Российской Федерации Федеральный закон «Об электронной цифровой подписи» был принят 10.01.2002 г.
Для понимания сущности данной системы правового регулирования подвергнем анализу принципиальный момент в этих законах — определение категории «электронная цифровая подпись».
В соответствии с нормами ст. 3 российского Закона об ЭЦП, под данной категорией понимается «реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе» [1].
В соответствии с нормами §2 Федерального закона Австрийской Республики от 19.08.1999 г. № 190 «Об электронных подписях» «элек-
тронная подпись: электронные данные, присоединенные или логически связанные с другими электронными данными, служащие для аутентификации и установления идентичности подписывающего лица» [2]. При этом под безопасной электронной подписью понимается «электронная подпись, которая: а) принадлежит исключительно подписывающему лицу; Ь)
предоставляет возможность идентификации подписывающего лица; с) создается с использованием средств, которые находятся под единоличным контролем подписывающего лица; d) связана с данными, к которым она относится, таким способом, что любое последующее изменение данных может быть установлено, а также е) основана на квалифицированном сертификате и создается с использованием технических компонентов и процедур, соответствующих требованиям к обеспечению безопасности настоящего Федерального закона и создаваемых на его основе постановлений».
В соответствии со ст. 13 Закона Республики Болгария от 07.04.2001 г. № 15 «Об электронном документе и электронной подписи» электронной подписью является:
1) любая информация, связанная с электронным сообщением способом, согласованным между автором и адресатом, достаточно надежным с учетом потребностей обращения, который:
а) раскрывает личность автора;
б) раскрывает согласие автора с электронным сообщением, и
в) защищает содержание электронного сообщения от последующего изменения;
2) усовершенствованная электронная подпись;
3) универсальная электронная подпись.
Электронная подпись согласно п. 1. и 2 имеет
значение собственноручной подписи, кроме случая, если владелец или адресат электронного сообщения является государственным органом или органом местного самоуправления.
В соответствии со ст. 16 данного Закона усовершенствованной электронной подписью является преобразование электронного сообщения, включенное, добавленное или логически связанное с тем же электронным сообщением до преобразования. Преобразование совершается посредством алгоритмов, включающих использование частного ключа в асимметричной криптосистеме. Требования к алгоритмам определяются распоряжением Совета Министров.
В соответствии со ст. 33 универсальной электронной подписью является усовершенствованная электронная подпись, удостоверение которой выдано поставщиком услуг по удостоверению,
зарегистрированному в Государственной комиссии по телекоммуникациям.
В соответствии со ст. 2 Ордонанса специального административного района Китая Гонконг № 553 от 2000 г. «Об электронных сделках» электронная подпись означает любые буквы, знаки, цифры и другие символы в цифровой форме, присоединяемые или логически ассоциируемые с электронной записью и применяемые или допускаемые в целях подтверждения подлинности или одобрения электронной записи.
В соответствии со ст. 3 Закона Королевства Дания от 31.05.2000 г. № 417 «Об электронных подписях» электронная подпись должна пониматься в значении данных в электронной форме, которые присоединяются к другим электронным данным посредством средства создания подписи и которые используются для проверки того, что источником таких данных является лицо, указываемое в качестве подписывающего лица, а также что эти данные не были изменены.
В соответствии со ст. 31 Закона Канады от
13.04.2000 г. «О защите персональной информации и электронных документах» электронная подпись означает подпись, которая содержит один или более знаков, букв, чисел или других символов в цифровой форме, включаемую, присоединяемую или связываемую с электронным документом.
В соответствии со ст. 2 Закона Республики Корея от 05.02.1999 г. № 5792 «О цифровой подписи» цифровая подпись означает информацию, которая является уникальной в отношении электронного сообщения, создаваемую закрытым ключом с использованием асимметричной криптосистемы таким образом, чтобы могли проверяться идентичность лица, создающего электронное сообщение, а также его любое возможное изменение.
В соответствии со ст. 2 Закона Литовской Республики от 11.07.2000 г. № УШ-1822 «Об электронной подписи» под электронной подписью понимаются данные, которые встраиваются, присоединяются или логически связываются с другими данными в целях подтверждения подлинности и (или) идентификации подписывающего лица. Безопасная электронная подпись — электронная подпись, которая соответствует всем указанным в настоящей части статьи требованиям: 1) однозначно связана с подписывающим лицом; 2) позволяет идентифицировать подписывающее лицо; 3) создана средствами, с которыми подписывающее лицо может обращаться только по своей воле; 4) связана с подписанными данными так, что любое изменение этих данных является заметным.
В соответствии со ст. 2 Закона Федерации Малайзии от 26.03.1997 г. «О цифровой подписи» цифровая подпись означает преобразование
сообщения с использованием асимметричной криптосистемы таким образом, что лицо, обладающее первоначальным сообщением и отрытым ключом подписывающего лица может точно установить: (а) порождено ли преобразование использованием закрытого ключа, который соответствует открытому ключу подписывающего лица, и (Ъ) изменялось ли сообщение с момента трансформации.
В соответствии со ст. 106 Федерального закона США от 30.06.2000 г. «Об электронных подписях в глобальной и национальной коммерции» термин электронная подпись означает электронный звук, символ или процесс, присоединяемый или логически ассоциируемый с договором или иной записью и выполняемый или допускаемый лицом с намерением подписать запись.
В соответствии со ст. 46-3-103 Закона штата Юта (США) от 09.03.1995 г. «О цифровой подписи» цифровая подпись является последовательностью битов, которую лицо, имеющее намерение подписать, создает по отношению к явным образом выделенному сообщению путем проведения сообщения через однонаправленную функцию, шифруя затем полученный дайджест сообщения с использованием асимметричной криптосистемы и закрытого ключа лица.
В соответствии со ст. 5 Закона Республики Филиппины от 14.06.2000 г. № 8792 «Об электронной коммерции» электронная подпись относится к любым различимым отметке, признаку и (или) звуку в электронной форме, представляющим сведения об идентичности лица и присоединяемым или логически ассоциируемым с электронным сообщением данных или электронным документом, либо любым принципам или процедурам, используемым или применяемым лицом и реализуемым или применяемым таким лицом с намерением аутентификации или подтверждения электронного сообщения данных или электронного документа.
Представляется небезынтересным определение категории «электронный документ», изложенного в филиппинском законе: электронный документ относится к информации или представлению информации, данных, цифр, символов или другим способам письменного выражения, описанным или, вместе с тем, представленным, которыми устанавливается право или прекращается обязательство либо которыми может быть доказан и подтвержден факт, полученным, записанным, переданным, хранимым, обрабатываемым, извлекаемым или представляемым электронным способом.
В соответствии со ст. 1316-4 Гражданского кодекса Французской Республики подпись, необходимая для усовершенствования юридического акта, идентифицирует того, кто ее поставил. Она свидетельствует о согласии сторон на
обязанности, вытекающие из этого акта. Когда она ставится должностным лицом, она придает достоверность этому акту. Если она является электронной, она состоит в использовании надежного способа идентификации, гарантирующего его связь с документом, к которому она прикрепляется. Надежность этого способа предполагается вплоть до доказательства противного, когда электронная подпись создана, идентичность подписи обеспечена и целостностью документа гарантирована в условиях, определенных декретом, принимаемым после заключения Государственного совета.
В соответствии с §2 Закона Федеративной Республики Германии от 16.05.2001 г. «О рамочных условиях для электронных подписей и изменении иных правовых актов» электронные подписи — данные в электронной форме, которые прилагаются к другим электронным данным или логически с ними связаны и служат для аутентификации. Усиленные электронные подписи — электронные подписи, которые отвечают следующим требованиям: (а) уникально связаны с подписывающим лицом; (Ъ) являются достаточными для идентификации подписывающего лица; (с) создаются с использованием средств, которые подписывающее лицо может держать под своим исключительным контролем; ^) связаны с данными, к которым они относятся, таким способом, что любое последующее изменение данных является обнаружимым. Квалифицированные электронные подписи — усиленные электронные подписи, которые: а) на момент создания основаны на действующем квалифицированном сертификате и Ъ) изготавливаются на защищенном средстве создания подписи. Практически аналогичные определения содержатся в § 2 Закона Королевства Швеция от 2000 г. № 832 «О квалифицированных электронных подписях».
В соответствии со ст. 2 Закона Эстонской Республики от 08.03.2000 г. «О цифровой подписи» цифровая подпись — единица данных, создаваемая с использованием системы технических и организационных средств, которую использует подписывающее лицо для обозначения своей связи с документом. Цифровая подпись создается подписывающим лицом с использованием средства создания подписи (закрытый ключ), которому однозначно соответствует средство проверки подписи (открытый ключ). Цифровая подпись вместе с системой ее использования должны: 1) позволять однозначно идентифицировать лицо, от имени которого проставлена подпись; 2) позволять устанавливать время проставления подписи; 3) связывать цифровую подпись с данными таким образом, что любые последующие изменения данных или их значения становятся обнаружимыми.
В соответствии со ст. 2 Закона Японии от
24.05.2000 г. «Об электронных подписях и сертификационных услугах» электронная подпись означает меру, предпринимаемую в отношении информации, которая может быть записана в виде электромагнитной записи (любая запись, которая производится электронными, магнитными или любыми другими средствами, нераспознаваемыми функцией человеческого восприятия, и используется для обработки данных компьютером), к которой применяется каждое из следующих требований: (а) эта мера указывает, что информация создана лицом, которое ее реализует; (б) эта мера способна подтвердить, было ли осуществлено любое изменение информации.
Несмотря на многообразие представленных определений, в них можно выделить некоторые черты сходства. Прежде всего, ни в одном из зарубежных актов подпись не имеет наименования «электронная цифровая», называясь преимущественно электронной. Ряд стран используют наименование «цифровая подпись».
Следует также отметить, что все три понятия являются однопорядковыми, обозначая в качестве правовой категории одну и ту же технологию, связанную с некоторой дополнительной фиксацией информации о структуре и содержании компьютерного файла. В этом смысле отечественное наименование — электронная цифровая подпись — является наиболее универсальным.
Существенный научный интерес вызывает предпринятая в ряде законодательных актов дополнительная квалификация ЭЦП. Так, в Австрии, Литве она подразделяется собственно на ЭЦП и безопасную ЭЦП. В Болгарии, ФРГ, Швеции градация ЭЦП имеет трехзвенную структуру: «простая» ЭЦП, «усиленная» ЭЦП и «квалифицированная» ЭЦП. С чисто научной точки зрения, является правильным определить ЭЦП в качестве юридической категории в самом общем виде. Практически все разработчики зарубежных законов с теми или иными частными отклонениями признают в качестве ЭЦП некий объем информации, имеющий логическую структуру, который связан с другими электронными данными с целью подтверждения, что они исходят от конкретного лица и в процессе передачи по каналам связи не были изменены. Только в двух законодательных актах (Болгария, Гонконг) содержится принципиально важное дополнение о цели использования ЭЦП — подтверждение согласия с содержанием подписываемого сообщения, т. е. единственной цели, с которой проставляется собственноручная подпись в бумажном документе.
В некоторых определениях (штат Юта США) содержится упрощенное описание математического алгоритма выработки ЭЦП способом сначала получения некоего «резюме» файла, именуемого хеш-функцией, а затем его
криптографического преобразования. Следует отметить, что такое определение не соответствует принципам построения юридических определений, которые имеют вполне обоснованное стремление описать категорию наиболее общо, чтобы впоследствии при изменении каких-то частностей не изменять закона. Учитывая, что математических схем выработки ЭЦП в мире существует довольно много, делать упор на одну из них в юридическом акте вряд ли целесообразно. Поэтому более приемлемым следует признать подход, согласно которому при определении ЭЦП в законах задаются некоторые юридически значимые свойства алгоритмов ЭЦП, т.е. их предназначение. Так, дефиниция немецкого закона прямо указывает на цель создания ЭЦП — аутентификацию. Особенно четко этот подход просматривается при определении квалифицированных видов подписи, когда в акте перечисляются параметры, которым должно отвечать средство ЭЦП. Исходя из этого, любой алгоритм, который будет отвечать заданным критериям безопасности, может быть применим.
Важным моментом в приведенных определениях, где описано несколько квалификаций ЭЦП, является то, что правоприменителям представляется несколько моделей использования ЭЦП. Здесь, для более глубокого понимания проблемы, напрашивается аналогия с формой сделок в гражданском праве, которые как, известно, подразделяются на устные, письменные и подлежащие обязательному нотариальному удостоверению. Причем градация делается из устных методом исключения. Отсюда следует, что законы предусматривают несколько уровней использования ЭЦП, предъявляя к более значимым с юридической точки зрения случаям более высокие требования по отношению к ЭЦП. Например, для категории «безопасная электронная подпись» предъявляются следующие дополнительные требования: однозначная связь с подписывающим лицом; возможность идентификации подписывающего лица; формирование с помощью средств, с которыми подписывающее лицо может обращаться только по своей воле; обеспечение связи с подписанными данными таким образом, чтобы любое их изменение являлось заметным.
По сути, перед нами план законодательного акта — он и должен состоять из взаимосвязанных групп норм, обеспечивающих правовыми средствами выполнение тех или иных из указанных выше правовых условий.
Определение российского Закона об ЭЦП тоже содержит некоторые элементы требований — направленность на защиту документа от подделки, идентификацию владельца сертификата ключа подписи, установление отсутствия искаженной информации в электронном доку-
менте. Однако его нельзя признать столь нейтральным по отношению к иным юридическим категориям, как большинство из представленных в иностранных законодательных актах. Прежде всего, в нем усматривается зависимость от категории «электронный документ». Представляется, что обозначение этой зависимости является логически обоснованным и правильным. Документ и подпись всегда взаимосвязаны, и именно подпись чаще всего делает документ юридически значимым.
Важной особенностью национального права Российской Федерации является указание в рассматриваемой дефиниции на то, что ЭЦП может быть получена в результате криптографического преобразования информации. Таким образом, подчеркивается отношение средств выработки ЭЦП к классу криптографических средств, для которых в нашей стране предусмотрены особые условия оборота (в частности, лицензирование отдельных видов деятельности с их использованием) [3]. Такой подход основан на национальном отношении к криптографии, тогда как, например, в соответствии со ст. 3 Закона великого герцогства Люксембург от 14.08.2000 № 96 «Об электронной коммерции» использование криптографических средств на территории данной страны является полностью свободным.
На использование определенных алгоритмов криптографического преобразования для выработки ЭЦП указывает также ссылка на закрытый ключ и владельца сертификата ключа подписи, т. е. открытого ключа. Представляется акцент на владельце сертификата ключа подписи в определении ЭЦП признать ошибочным. Если исходить из этой дефиниции, то четко усматривается связь между владельцем сертификата и удостоверяющим центром, хотя, как следует из контекста норм отечественного Закона об ЭЦП, в системе использования этого средства не во всех случаях должен быть задействован удостоверяющий центр.
Таким образом, можно прийти к следующему выводу относительно определения категории «электронная цифровая подпись» в российском Законе:
- в соответствии с тенденцией, присутствующей в аналогичном законодательстве большинства стран в нем имеется указание на предназначение данного способа подтверждения подлинности документа;
- в отличие от большинства из вышеприведенных определений, ЭЦП квалифицируется как реквизит электронного документа, а не просто данных или сообщения, что в общем и целом позитивно, т. к. информация, зафиксированная на материальном носителе с научной точки зрения должна приобретать статус юридически значимой только в случае придания ей статуса доку-
мента. Однако у данного утверждения имеется и оборотная сторона — собственноручная подпись в документе, как автор показал выше, имеет основополагающее значение и сводить ЭЦП к рангу одного из многочисленных реквизитов, тогда как основная цель Федерального закона об ЭЦП заключается в создании правовых условий признания электронной подписи равнозначной собственноручной, вряд ли является правильным подходом;
- неверным акцентом является также и сделанный в рассматриваемой дефиниции акцент на основное предназначение ЭЦП как средства защиты электронного документа от подделки. Дело в том, что без подписи в юридическом смысле документ не может быть документом, только зафиксированное волеизъявление управомоченного субъекта дает документу должную юридическую силу, защитные свойства ЭЦП, конечно, важны, но они вторичны по отношению к воле лица, проставившего подпись. В данном контексте нельзя также согласиться с утверждением С.И. Семилетова о том, что «юридическая сила документа зависит от степени защищенности записи документированной информации с реквизитами (содержания) от подделки и несанкционированных изменений» [4] . Если следовать данной логике, то денежная купюра будет иметь юридическую силу выше оригинала указа главы государства в связи с наличием на ней большего числа различных защитных полиграфических элементов.
На основании вышеизложенного предлагается следующее определение понятия электронная цифровая подпись: «основной реквизит электронного документа, полученный в результате криптографического преобразования с использованием закрытого ключа электронной цифровой подписи и предназначенный для подтверждения факта согласия владельца этого ключа с содержанием подписываемой информации, идентификации владельца ключа и установления отсутствия искажения информации в электронном документе».
ЛИТЕРАТУРА
1. Об электронной цифровой подписи: Федеральный закон от 10.01.2002 г. № 1-ФЗ // СЗ РФ. — 2002. — № 2. — Ст. 127.
2. Шамраев А.В. Правовое регулирование
информационных технологий: анализ проблем и основные документы / А.В. Шамраев. —
М.:Статут, 2003. — С. 557—996.
3. Семилетов С.И. Юридическое значение электронного документа / С.И. Семилетов. — Электронный документ и документооборот: правовые аспекты — М.: Статут, 2003. — С. 202.
4. Семилетов С.И. Документы и документооборот как объекты правового регулирования: дис. ... канд. юрид. наук / С.И. Семилетов. — М., 2003. — С. 112.
