ЮРИДИЧЕСКИЕ ПРОБЛЕМЫ В МОДЕЛЬНОМ ЗАКОНЕ ОБ «ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»
Щёголева Светлана Вячеславовна, инспектор отделения планирования, контроля и анализа учебного процесса учебного отдела.
Контакты автора: 8-920-460-03-18
Аннотация. Данная статья посвящена анализу Модельного закона «Об электронной цифровой подписи» с указанием ряда положений, которые существенно надо переработать, чтобы они были встроены в национальные системы права, которые регулируют отношения в сфере электронного документооборота.
Ключевые слова: электронный документооборот, закрытый ключ, открытый ключ.
LAW PROBLEMS IN THE MODELING LAW ABOUT “THE ELECTRONIC DIGITAL SIGNATURE”
Shchyegoleva Svetlana Vyacheslavovna, Training department inspector.
Contacts of the author: 8-920-460-03-18
Annotation. Given article is devoted to the analysis of the Modeling law “About the electronic digital signature” with instructions of some positions which essentially should be processed that they have been built in national systems of law, which regulate the relation in sphere of electronic document circulation.
Keywords: electronic documents‘ use, the closed key, an open key.
Международное сообщество достаточно давно осознало необходимость унификации законодательства в сфере международной и межгосударственной торговли. Сначала оно шло путем заимствования наиболее выдающихся гражданских кодексов европейских стран другими странами, а в период после Второй мировой войны, по мере того, как Организация Объединенных Наций расширяла свою деятельность, появился даже специализированный орган ООН в виде Комиссии ООН по праву международной торговли, для которого была выбрана аббревиатура ЮНСИТРАЛ.
Как отмечает Х.А.Э. Фария, данная комиссия в конце 80-х гг. ХХ в. была уполномочена разработать единообразные частноправовые нормы в области электронной торговли. Первым документом в этом направлении стал Типовой закон ЮНСИТРАЛ об электронной торговле 1996 г., а затем, спустя 5 лет, Типовой закон ЮНСИТРАЛ об электронных подписях. А позже появился Модельный закон «Об электронный цифровых подписях», принятый на 16-м пленарном заседании Межпарламентской ассамблеи государств-участников СНГ (постановление № 16-10 от 09.12.2000)1, который мы и рассмотрим.
В качестве цели данного акта его разработчики выделяют обеспечение правовых условий для использо-
1 Информационный бюллетень. Межпарламентская Ассамблея государств-участников СНГ. 2001. № 26.
вания электронных цифровых подписей, при соблюдении которых подпись признается достоверной, а также права, обязанности и ответственность организаций, предоставляющих услуги по удостоверению электронных цифровых подписей. При этом действие Модельного закона не распространяется на использование иных электронных аналогов собственноручной подписи, в том числе на оцифрованное изображение личной подписи, а также на использование средств криптозащиты электронного сообщения.
Рассматриваемый акт содержит довольно значительное число специальных дефиниций, среди которых наиболее значимыми являются категории "электронные данные (электронное сообщение)" и "электронная цифровая подпись". Первая категория определяется довольно просто, как "цифровое представление любой информации, воспринимаемой ЭВМ". Вторая категория определяется развернуто, как "электронные данные, полученные в результате преобразования исходных электронных данных с использованием закрытого ключа подписи, которые с помощью соответствующей процедуры при использовании открытого ключа подписи позволяют:
- подтвердить неизмененность исходных данных после подписания их электронной цифровой подписью;
- установить, что электронная цифровая подпись создана с использованием закрытого ключа, соответствующего открытому;
- установить владельца регистрационного свидетельства на открытый ключ электронной цифровой подписи, при наличии такого свидетельства.
Как можно заменить, ЭЦП здесь определяется через конечный результат выполняемой ей задачи. И только пара "открытый ключ - закрытый ключ" указывает на подстройку норм Модельного закона под определенный алгоритм выработки ЭЦП.
Категория "закрытый ключ электронной цифровой подписи" определяется как "электронные данные, используемые для создания электронной цифровой подписи, известные только подписывающему лицу". Соответственно категория "открытый ключ электронной цифровой подписи" определяется как "электронные данные, предназначенные для проверки подлинности электронной цифровой подписи и известные пользователю открытого ключа".
Документы, подтверждающие факт принадлежности открытого ключа конкретному субъекту, определяются в Модельном законе следующим образом:
- "регистрационное свидетельство на открытый ключ электронной цифровой подписи - документ, подтверждающий соответствие этого открытого ключа электронной цифровой подписи закрытому ключу, выданный Центром регистрации открытых ключей владельцу закрытого ключа электронной цифровой подписи или его полномочному представителю";
- "операционное регистрационное свидетельство -регистрационное свидетельство на открытый ключ электронной цифровой подписи, содержащее информацию об ограничении использования электронной цифровой подписи, в том числе выданное на одну или несколько конкретных сделок".
Наличие двух этих документов вызывает определенные сомнения, так как ограничения на использование ЭЦП можно отражать в основном регистрационном свидетельстве, как это сделано в российском Законе об ЭЦП. Кстати говоря, сама категория "регистрационное свидетельство" по сравнению с отечественной ка-
Щёголева С. В.
ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ
тегорией "сертификат" в большей степени отражает функциональное предназначение данного документа.
Далее следуют дефиниции, определяющие основных субъектов правоотношений по применению электронных цифровых подписей:
- "владелец закрытого ключа электронной цифровой подписи - физическое или юридическое лицо, которое создает ключи электронной цифровой подписи с использованием принадлежащих ему на законном основании средств электронной цифровой подписи";
- "владелец регистрационного свидетельства на открытый ключ электронной цифровой подписи - физическое или юридическое лицо, на имя которого выдано регистрационное свидетельство на открытый ключ электронной цифровой подписи, и которое владеет закрытым ключом, соответствующим открытому ключу, указанному в свидетельстве";
- "подписывающее лицо - физическое или юридическое лицо, создающее электронную цифровую подпись на электронных данных - владелец закрытого ключа электронной цифровой подписи или его представитель, которому доверен закрытый ключ электронной цифровой подписи";
- "пользователь открытого ключа электронной цифровой подписи - физическое или юридическое лицо, использующее открытый ключ электронной цифровой подписи".
Применительно к процитированным дефинициям хотелось бы сделать несколько замечаний. Во-первых, владелец закрытого ключа и владелец регистрационного свидетельства - это одно и то же лицо, поэтому вряд ли целесообразно их разделять. Во-вторых, и это самое важное - предоставляемая Модельным законом возможность легального владения закрытым ключом юридическому лицу в корне меняет концепцию применения ЭЦП, резко отрывая данную систему подтверждения подлинности документа от бумажного документа, где собственноручная подпись несет юридическую функцию. Из данного факта может проистекать много следствий, в том числе имеющих негативный характер. Например, совершив противоправное действие путем оформления какого-то документа, ответственность несет то лицо, которое его подписало. Это может быть, в том числе и уголовная ответственность. А она, как известно, на юридические лица не распространяется. Таким образом, применив ЭЦП юридического лица, различного рода махинаторы могут уйти от ответственности.2
Основная задача юридического свойства - это исключить возможность использовать закрытый ключ ЭЦП третьими лицами против воли обладателя. В нормах Модельного закона делается определенная попытка как-то разграничить подпись физического лица и "подпись" юридического лица. Пункт 4 ст. 3 устанавливает следующее:
"Электронная цифровая подпись при соблюдении требований настоящего закона, действующего законодательства и (или) в порядке, установленном соглашением сторон, равнозначна собственноручной подписи физического лица, в том числе полномочного представителя юридического лица, если:
- она прошла проверку на подлинность при помощи открытого ключа электронной цифровой подписи, имеющего регистрационное свидетельство аккредито-
2 ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма» - М., 1994.
ванного Центра регистрации или в порядке, предусмотренном соглашением сторон;
- подписавшее лицо правомерно владеет закрытым ключом, используемым для создания электронной цифровой подписи;
- электронная цифровая подпись является действующей на момент подписания".
Пункт 5 той же статьи устанавливает:
"Регистрационное свидетельство, выданное юридическому лицу без указания имени должностного лица, уполномоченного на использование данного ключа, считается выданным на имя лица, которое в силу закона или учредительных документов юридического лица выступает от его имени".
Одними из важнейших в Модельном законе являются нормы, устанавливающие статус и порядок деятельности центров регистрации открытых ключей ЭЦП. Попробуем именно под этим углом зрения проанализировать ряд нормы главы 2 данного акта.
Как следует из части 1 ст. 8, "Центром регистрации может быть юридическое лицо, созданное в соответствии с национальным законодательством, а также обособленное подразделение юридического лица, выполняющее все или часть функций юридического лица. Регистрация открытых ключей электронной цифровой подписи может осуществляться в качестве единственного вида деятельности или наряду с иными видами деятельности юридического лица".
Предложенная юридическая конструкция излишне осложнена возможностью функционирования "обособленного подразделения", так как в ч. 3 той же статьи устанавливается, что "Центр регистрации должен располагать финансовыми ресурсами (в том числе собственным капиталом, заемными средствами и др.), достаточными для осуществления деятельности, включая возможную имущественную ответственность перед лицами, полагающимися на выданные им свидетельства, за убытки, понесенные указанными лицами, вследствие недостоверности содержания свидетельств". Такими финансовыми возможностями может обладать только само юридическое лицо, но не его "обособленное подразделение". Следовательно, никакого смысла в этом "обособлении" не имеется.
Часть 2 ст. 8 устанавливает, что "деятельность по регистрации открытых ключей электронной цифровой подписи осуществляется в заявительном порядке (путем государственной аккредитации). Условия и порядок аккредитации Центров регистрации и требования, предъявляемые к указанным юридическим лицам при получении аккредитации, устанавливаются Правительством".
Предположительно, что такой административный механизм деятельности Центров регистрации (заявительный порядок) устанавливается для того, чтобы стимулировать занятие данной деятельностью тех или иных субъектов.
По данному вопросу можно радикально сказать: если мы хотим обеспечить действенность системы удостоверения подлинности ЭЦП, то данную деятельность необходимо лицензировать, причем условия для получения лицензии должны быть одинаковыми для всех стран СНГ.
Часть 4 ст. 8 устанавливает, что "Центр регистрации обязан иметь свидетельство на принадлежащий ему открытый ключ электронной цифровой подписи, которым Центр заверяет выдаваемые им свидетельства. Свидетельство на открытый ключ Центра заверяется уполномоченным государственным органом. При этом
уполномоченный орган обязан обеспечить, чтобы любое лицо по общедоступным телекоммуникационным каналам или иным образом имело возможность проверить любое из выданных данным органом свидетельств ключа подписи". При всей, казалось бы, прозрачности данного положения, в нем заложена ошибка, должен подлежать регистрации не открытый ключ Центра, а открытые ключи должностных лиц, которые вправе удостоверять сертификаты ключа подписи. В противном случае данная норма входит в противоречие с п. 8 ст. 9, согласно которым Центр регистрации "обязан выдавать и заверять бумажные копии сообщения, подписанного электронной цифровой подписью, на закрытый ключ которой выдано свидетельство, по требованию владельца закрытого ключа данной подписи, пользователя соответствующего открытого ключа, а также уполномоченных государственных органов и судов. При этом в документе указывается место и дата заверения, а также средство проверки и соответствующее регистрационное свидетельство. Документ заверяется подписью должностного лица Центра и его печатью". Таким образом, если у Центра один ключ ЭЦП для заверения сертификатов и несколько должностных лиц, уполномоченных выдавать сертификаты в бумажной форме, то это нелогично.
Однозначно установлены Модельным законом пределы юридической ответственности центров регистрации. В соответствии с нормами ст. 16 Центр несет ответственность за убытки в объеме реального ущерба, понесенного лицом в результате доверия к представленным в сертификате данным, которые Центр обязан проверить и подтвердить. Ответственность Центра не включает штрафные санкции, возмещение упущенной выгоды, возмещение морального вреда. В то же время при возникновении обстоятельств непреодолимой силы ответственность Центра не наступает только в случае, если иное не предусмотрено законом или договором. Ответственность Центра не наступает также за ущерб, свыше суммы, указанной в свидетельстве в качестве установленного предела (ограничения) доверия, понесенный в результате доверия к представленным в сертификате данным, которые Центр обязан проверить и подтвердить.
Модельный закон в данном случае излишне вторгается в компетенцию национальных законодателей, устанавливая процитированные императивы, например, ответственность, только за реальный ущерб.
Более или менее однозначно урегулированы Модельным законом отношения в части признания иностранных свидетельств на открытый ключ ЭЦП (ст. 20). Так, ЭЦП, которая может быть проверена открытым ключом, имеющим иностранное свидетельство, выпущенной одной из стран СНГ или государством, с которым есть договор о признании таких свидетельств или иной договор, обеспечивающий равноценную безопасность электронных сообщений, признается электронной цифровой подписью в соответствии с настоящим законом. Правом, применимым к правоотношениям, возникающим между Центром регистрации и владельцем свидетельства является материальное право страны, в которой было выдано регистрационное свидетельство.
Из процитированных положений следует, что Модельный закон допускает свободное признание открытых ключей ЭЦП для стран СНГ. Для остальных государств - на основании договоров. Последнее положение является самоочевидным, так как в любом случае правоотношения между Центром регистрации и заре-
гистрированным лицом (владельцем свидетельства) регулируются национальным законодательством.
Подводя итог краткому анализу наиболее значимых норм Модельного закона "Об электронной цифровой подписи", хотелось бы констатировать, что не все его нормы являются логичными и взаимоувязанными, ряд положений данного акта излишне вторгается в компетенцию национальных законодателей. Хотя структура Закона и может служить основой для структуры национальных законов, однако многие его положения необходимо существенно перерабатывать для того, чтобы они были встроены в национальные системы права.
Список литературы:
1. Информационный бюллетень. Межпарламентская Ассамблея государств-участников СНГ. 2001. № 26.
2. Бачило И.Л. Комментарий к Федеральному закону "Об электронной цифровой подписи" / И.Л. Бачило, С.И. Семилетов. - М., 2002.
3. ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма» - М., 1994.
РЕЦЕНЗИЯ
Рассматриваемая автором тема является значимой и актуальной в условиях социального и технического прогресса. Международное сообщество достаточно давно осознало необходимость унификации законодательства в сфере международной и межгосударственной торговли. Как правило, оно шло путем заимствования наиболее выдающихся гражданских кодексов европейских стран другими странами.
Целью данной работы является анализ Модельного закона «Об электронной цифровой подписи» с указанием ряда положений, которые необходимо существенно доработать в целях адаптации к национальным системам права, регулирующим отношения в сфере электронного документооборота.
В этой области достаточно много проблем юридического и организационного свойства и главная задача -в конечном итоге придти к желаемому результату, т.е. принятию в большинстве стран законодательных актов, которые содержали бы схожие нормы по основным позициям, позволяющие осуществлять беспрепятственный обмен сообщениями в электронной форме отображения, обладающими должной юридической силой для отношений, в которых они участвуют.
Решению данной задачи и посвящена представляемая работа автора.
Директор института информационного права и правовых основ безопасности, академик РАЕН, д.ю.н., профессор Фатьянов А. А.