Замечания и дополнения к Проекту Закона"Об электронной цифровой подписи", предложенные ЦБ и Минюстом

Проект
Вносится Правительством
Российской Федерации

См. предыдущую версию,
версию от 27.01.2000г.
и текущую версию от 15.05.2000г.

РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
"Об электронной цифровой подписи"

ГЛАВА I. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящий Федеральный закон регулирует отношения, возникающие при использовании электронной цифровой подписи в обороте документов в электронной форме отображения.

2. Действие настоящего Федерального закона распространяется на органы государственной власти и органы местного самоуправления Российской Федерации, а также на юридических и физических лиц, находящихся под юрисдикцией Российской Федерации.

3. Действие настоящего Федерального закона не распространяется на использование иных аналогов собственноручной подписи, в том числе на оцифрованное изображение личной подписи.

4(3). Законодательство об электронной цифровой подписи состоит из настоящего Федерального закона, иных федеральных законов, регулирующих данные отношения, а также изданных на их основе нормативных правовых актов. (АРТК)

Статья 2. Понятия, используемые в настоящем Федеральном законе

В настоящем Федеральном законе используются следующие понятия:

• документ в электронной форме отображения (электронный документ) -- информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущей быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющей атрибуты для идентификации документа; (АРТК)
• электронная цифровая подпись (ЭЦП) -- последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа ЭЦП, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство при условии использования открытого ключа ЭЦП (и его сертификата); (АРТК)
• средство электронной цифровой подписи -- совокупность программных и технических средств, реализующих функцию выработки и проверки электронной цифровой подписи;
• открытый ключ ЭЦП -- общедоступная последовательность символов, предназначенная для проверки электронной цифровой подписи;
• закрытый ключ ЭЦП -- последовательность символов, предназначенная для выработки электронной цифровой подписи и известная только правомочному лицу;
• центр по удостоверению подлинности электронной цифровой подписи (удостоверяющий центр) -- юридическое лицо или (выделенное) структурное подразделение юридического лица, обладающие правомочиями на удостоверение принадлежности конкретного открытого ключа ЭЦП определенному пользователю; (АРТ)
• сертификат открытого ключа электронной цифровой подписи (сертификат ключа подписи) -- документ, выданный и заверенный удостоверяющим центром, подтверждающий принадлежность открытого ключа ЭЦП определенному лицу. (Сертификат может содержать дополнительную информацию, необходимую для обеспечения безопасности использования открытого ключа ЭЦП. В случае, когда сертификат выдается в форме электронного документа, он подписывается ЭЦП этого центра); (АРТК)
• сертификат на средство электронной цифровой подписи -- документ, выданный по правилам соответствующей системы сертификации, удостоверяющий соответствие этого средства специальным требованиям и гарантирующий в течение определенного срока действия возможность использования данного средства в качестве инструмента (подтверждения целостности, неизменности и авторства электронного документа) выработки и проверки ЭЦП; (АРТК)
• подтверждение подлинности ЭЦП -- положительный результат проверки правильности ЭЦП, выработанной правомочным лицом из исходной информации путем применения принадлежащего ему закрытого ключа ЭЦП, полученный с использованием зарегистрированного и сертифицированного открытого ключа ЭЦП.

ГЛАВА II. ОБЩИЕ ПРИНЦИПЫ ПРЕДСТАВЛЕНИЯ ДОКУМЕНТОВ В ЭЛЕКТРОННОЙ ФОРМЕ ОТОБРАЖЕНИЯ

Статья 3. Условия придания электронному документу юридической силы

1. Электронная цифровая подпись может быть использована для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица.

2. Во всех случаях, когда в соответствии с действующим законодательством Российской Федерации необходимо наличие собственноручной подписи, таковым требованиям удовлетворяет электронный документ, имеющий соответствующие идентификационные атрибуты и подписанный электронной цифровой подписью при соблюдении следующих условий:

• (электронная цифровая подпись подтверждена при помощи открытого ключа ЭЦП) получен положительный результат проверки открытого ключа ЭЦП принадлежность и подлинность которого подтверждена соответствующим сертификатом; (АРТК)
• подписавшая сторона правомерно владеет закрытым ключом, используемым для выработки электронной цифровой подписи;
• электронная цифровая подпись выработана и проверена средством электронной цифровой подписи, сертифицированным в установленном порядке.

3. Все экземпляры подписанного электронной цифровой подписью документа имеют юридическую силу оригинала за исключением случаев, когда (подписывающее лицо не указало оригинальный экземпляр или) в соответствии с законодательством Российской Федерации или соглашением сторон юридической силой обладает единственный экземпляр документа на бумажном носителе -- его оригинал. Для заверения таких документов электронная цифровая подпись не применяется. (АРТЮ)

Статья 4. Идентификационные атрибуты документа в электронной форме отображения

1. Документ в электронной форме отображения должен содержать следующие обязательные атрибуты:

2. Нормативными правовыми актами, регулирующими организацию делопроизводства, могут быть установлены дополнительные атрибуты документа в электронной форме отображения.

ГЛАВА III. ОБЩИЕ УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

Статья 5. Предназначение и сфера применения электронной цифровойподписи

1. Электронная цифровая подпись может быть использована для подтверждения целостности и неизменности, а также для подтверждения авторства любой информации, представленной в форме электронных документов, текстовых или графических файлов, отдельных строк и записей в базах данных.

2. Электронная цифровая подпись может использоваться физическими лицами, а также (полномочными представителями) должностными лицами органов государственной власти, органов местного самоуправления и юридических лиц, находящихся под юрисдикцией Российской Федерации. (АРТЮ)

Статья 6. Содержание сертификата ключа электронной цифровойподписи

1. Сертификат ключа подписи должен содержать следующие обязательные сведения:

• наименование юридического лица или имя гражданина -- владельца закрытого ключа ЭЦП;
• открытый ключ электронной цифровой подписи;
• наименование средств электронной цифровой подписи, с которыми разрешено использовать присвоенный владельцу открытый ключ электронной цифровой подписи;
• (открытый ключ электронной цифровой подписи удостоверяющего центра, наличие, номер сертификата соответствия данного средства и срок его действия;) (АРТК)
• регистрационный номер сертификата открытого ключа ЭЦП;
• даты начала и окончания срока действия сертификата открытого ключа ЭЦП;
• данные об ограничении вида или области применения сертификата открытого ключа ЭЦП; (АРТК)
• данные о представительских полномочиях третьего лица;
• открытый ключ ЭЦП удостоверяющего центра, выдавшего сертификат.

2. Иные данные о (заявителях) владельце закрытого ключа ЭЦП могут включаться в сертификат ключа электронной цифровой подписи только с его согласия. (АРТК)

Статья 7. Сроки хранения ключей и сертификатов ключей электронной цифровой подписи

Сроки хранения сертификатов ключей электронной цифровой подписи должны соответствовать срокам хранения, установленным нормативными правовыми актами для документов, которые заверены электронной цифровой подписью. Минимальный срок хранения открытых ключей ЭЦП должен соответствовать сроку исковой давности, устанавливаемому для защиты прав субъектов правоотношений, в регулировании которых использовались документы, заверенные электронной цифровой подписью.

При отсутствии специальных сроков исковой давности хранение открытых ключей и сертификатов открытых ключей должно осуществляться в течение трех лет.

Статья 8. Порядок выработки закрытых ключей электроннойцифровой подписи

1. При использовании средств электронной цифровой подписи органами государственной власти и органами местного самоуправления выработка и распределение закрытых ключей электронной цифровой подписи осуществляется уполномоченным федеральным органом, либо юридическими лицами, действующими по поручению этого органа.

(Уполномоченный федеральный орган определяется Правительством Российской Федерации.) (АРТЮ)

2. При использовании электронной цифровой подписи в гражданском обороте и в процессах взаимодействия юридических и физических лиц с органами государственной власти и органами местного самоуправления выработку и распределение закрытых ключей ЭЦП осуществляют лица, использующие эти средства. В случае необходимости выработка и распределение закрытых ключей ЭЦП может быть поручена юридическому лицу, выполняющему функции удостоверяющего центра, на основании договора сторон.

Статья 9. Лицензирование деятельности (по выработке и распределению закрытых ключей ЭЦП, по), связанной с сертификацией открытых ключей ЭЦП (и по подтверждению подлинности электронной цифровой подписи)

1. Деятельность (юридических лиц по выработке и распределению закрытых ключей ЭЦП, а также их деятельность по) удостоверяющих центров, связанная с сертификацией открытых ключей ЭЦП, (и деятельность по подтверждению подлинности электронной цифровой подписи) подлежит лицензированию в соответствии Федеральным законом "О лицензировании отдельных видов деятельности". (АРТК)

2. Лицензирование указанных видов деятельности осуществляется уполномоченным федеральным органом (определенным в статье 8) в соответствии с положением утверждаемым Правительством Российской Федерации. (АРТ)

Статья 10. Использование электронной цифровой подписи органами государственной власти и органами местного самоуправления

1. Электронная цифровая подпись может применяться органами государственной власти и органами местного самоуправления для следующих целей:

• подтверждения факта волеизъявления правомочного лица, содержащегося в нормативных правовых актах, исполнительно-распорядительных и иных служебных документах, передаваемых по общегосударственным, региональным и локальным информационным системам и сетям, а также хранимых средствами электронной вычислительной техники;
• подтверждения юридической силы электронного документа при направлении его юридическим или физическим лицом в органы государственной власти и органы местного самоуправления.

2. Электронная цифровая подпись не может быть использована для подтверждения факта волеизъявления правомочного лица на постановлениях, решениях, определениях, приговорах судов и судебных приказах, постановлениях судей и прокуроров, следователей и лиц, проводящих дознание, издаваемых в пределах их компетенции.

Статья 11. Использование электронной цифровой подписи в гражданском обороте

1. Электронная цифровая подпись может использоваться физическими и юридическими лицами в качестве аналога собственноручной подписи при совершении сделок, заключении договоров и иных юридически значимых действий.

2. Допускается использование электронной цифровой подписи без обращения к услугам удостоверяющих центров. В этом случае отношения между пользователями электронной цифровой подписи устанавливаются договором, существенными условиями которого являются:

• сохранение сторонами в тайне ключей, используемых при формировании электронной цифровой подписи, сведений о пользователях электронной цифровой подписи, а также конструктивных особенностей средств электронной цифровой подписи в случае, если данное требование выдвигается разработчиком средства электронной цифровой подписи или организацией, осуществляющей сертификацию средства электронной цифровой подписи;
• обязательства пользователя электронной цифровой подписи по сохранению в тайне ключей, используемых при формировании электронной цифровой подписи, и конструктивных особенностей средства электронной цифровой подписи, если такое требование выдвигается уполномоченным федеральным органом (определенным в статье 8), юридическим или физическим лицом, действующим по поручению вышеуказанного органа, удостоверяющим центром, собственником, владельцем или организатором корпоративной информационной сети; (АРТ)
• обязательства сторон, организующих использование средства электронной цифровой подписи либо использующих данное средство, по соблюдению правил пользования средством электронной цифровой подписи;
• распределение риска убытков, понесенных системой или ее участниками, в результате использования недостоверной электронной цифровой подписи;
• установление прав и обязанностей сторон по возмещению ущерба, наступившего при предоставлении недостоверных сведений, заверенных электронной цифровой подписью, а также возмещению ущерба, наступившего при использовании неисправного либо некачественного средства электронной цифровой подписи.

ГЛАВА IV. УДОСТОВЕРЯЮЩИЕ ЦЕНТРЫ И УПОЛНОМОЧЕННЫЙ ФЕДЕРАЛЬНЫЙ ОРГАН (арт)

Статья 12. Правовой статус удостоверяющих центров

1. Удостоверяющим центром может быть юридическое лицо (коммерческая или некоммерческая организация).

2. Допускается возложение функций удостоверяющего центра на (самостоятельное) структурное подразделение в рамках организации -- владельца (организатора) корпоративной информационной сети;

3. В наименовании юридических лиц или самостоятельных структурных подразделений, выполняющих функции удостоверяющих центров, должна присутствовать фраза "центр по удостоверению подлинности электронной цифровой подписи".

4. При выдаче сертификата удостоверяющий центр предоставляет следующие гарантии:

• подлинности сведений, содержащихся в сертификате, им подтвержденным;
• наличия в удостоверяющем центре всех необходимых сведений.

Статья 13. Удостоверяющие центры органов государственной власти и органов местного самоуправления

1. Для организации использования электронной цифровой подписи в своих интересах органы государственной власти и органы местного самоуправления организуют удостоверяющие центры.

2. Удостоверяющие центры организуются по территориальному принципу либо ведомственной принадлежности. Допускается организация межведомственных территориальных удостоверяющих центров.

3. Иные особенности правового статуса удостоверяющих центров органов государственной власти и органов местного самоуправления определяются Правительством Российской Федерации.

Статья 14. Основные функции и обязанности удостоверяющих центров

1. Удостоверяющий центр подтверждает факт закрепления конкретного открытого ключа электронной цифровой подписи и соответствующего ему закрытого ключа за конкретным пользователем путем издания соответствующего сертификата открытого ключа ЭЦП.

2. Регистрация пользователя электронной цифровой подписи в удостоверяющем центре производится на основании заявки, в которой должны содержаться сведения об юридическом лице или физическом лице в объеме, необходимом для выполнения данным центром своих функций по подтверждению подлинности сертификата ключа. Перечень таких сведений определяется уполномоченным федеральным органом (определенным в статье 8). (АРТ)

3. Удостоверяющий центр обязан обеспечить условия, при которых сертификаты открытых ключей ЭЦП либо рассылаются (в бумажной или электронной форме) всем участникам определенного документооборота, либо любой участник этого документооборота должен иметь возможность проверить подлинность сертификата открытого ключа ЭЦП по общедоступным телекоммуникационным каналам или иным способом.

4. Открытый ключ ЭЦП удостоверяющего центра, которым заверяются сертификаты, выдаваемые этим центром, заверяется уполномоченным федеральным органом (определенным в статье 8) либо юридическими лицами, действующими по поручению этого органа.

5. Уполномоченный федеральный орган обязан обеспечить, чтобы любое лицо по общедоступным телекоммуникационным каналам или иным способом имело возможность проверить любой из выданных данным органом либо юридическим лицом по его поручению сертификатов открытого ключа ЭЦП удостоверяющего центра. Данное требование касается также информации об адресах удостоверяющих центров, данных о заблокированных сертификатах, приостановке или прекращении деятельности какого-либо удостоверяющего центра, а также прекращения или отзыва лицензий.

6. Удостоверяющий центр обязан информировать заявителей на получение ключей электронной цифровой подписи о мерах обеспечения безопасности средств электронной цифровой подписи, а также сообщать им сведения о сертифицированных средствах электронной цифровой подписи.

Статья 15. Условия блокирования сертификатов ключа электроннойцифровой подписи

1. Удостоверяющий центр обязан заблокировать сертификат ключа электронной цифровой подписи в следующих случаях:

• по требованию владельца ключа электронной цифровой подписи или его представителя;
• при обнаружении в сертификате ключа электронной цифровой подписи недостоверных сведений;
• при получении сведений о нарушении тайны ключей, используемых при формировании электронной цифровой подписи, и конструктивных особенностей средства электронной цифровой подписи; (АРТ)
• перед прекращением деятельности удостоверяющего центра либо перед передачей им полномочий другому центру;
• по мотивированному решению уполномоченного федерального органа;

2. Уполномоченный федеральный орган (определенный в статье 8) обязан заблокировать выданный им сертификат ключа электронной цифровой подписи в следующих случаях:(АРТ)

• при прекращении деятельности удостоверяющего центра;
• при отзыве лицензии на деятельность удостоверяющего центра;
• при получении сведений о нарушении тайны ключей, используемых при их формировании в удостоверяющем центре. (АРТ)

Статья 16. Условия прекращения деятельности удостоверяющего центра

При принятии решения о прекращении своей деятельности удостоверяющий центр обязан заблаговременно проинформировать об этом уполномоченный федеральный орган (определенный в статье 8) и обеспечить передачу действующих на момент прекращения деятельности сертификатов открытых ключей ЭЦП и служебной документации, касающейся его деятельности по удостоверении подлинности открытых ключей ЭЦП, другому удостоверяющему центру, уполномоченному федеральному органу, либо заблокировать сертификаты открытых ключей ЭЦП. (АРТ)

Статья 17. Уполномоченный федеральный орган

1. Уполномоченный федеральный орган определяется Правительством Российской федерации из числа федеральных органов исполнительной власти.

2. Порядок выполнения уполномоченным федеральным органом функций, установленных настоящим Федеральным законом, утверждается Правительством Российской Федерации.

Статья 18. Признание иностранных сертификатов (АРТ)

Признание иностранных сертификатов открытых ключей ЭЦП осуществляется в соответствии с действующими международными договорами с участием Российской Федерации.

Статья 19. Защита прав лиц, использующих электронную цифровую подпись в обороте документов в электронной форме отображения

1. Владельцы ключей ЭЦП вправе обжаловать действия удостоверяющих центров, уполномоченного федерального органа и юридических лиц, действующих по поручению этого органа, в арбитражных и третейских судах в порядке, установленном законодательством Российской Федерации.

2. Владельцы ключей ЭЦП и удостоверяющие центры несут ответственность за нарушения правил сохранения тайны ключей ЭЦП в соответствии с законодательством Российской Федерации.

3. Лица совершившие подделку ЭЦП и использовавшие эту подделку в противоправных действиях несут ответственность в соответствии с уголовным законодательством Российской Федерации.

4. Споры по поводу порядка и формирования и использования ЭЦП, возникающие между владельцами ключей ЭЦП, удостоверяющими центрами и уполномоченным федеральным органом разрешаются арбитражными или третейскими судами. (АРТ)

ГЛАВА V. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 20. Приведение нормативных правовых актов в соответствие с настоящим Федеральным законом

1. Президенту Российской Федерации привести свои нормативные правовые акты в соответствие с настоящим Федеральным законом.

2. Правительству Российской Федерации:

• привести свои нормативные правовые акты в соответствие с настоящим Федеральным законом;
• принять нормативные правовые акты, обеспечивающие реализацию настоящего Федерального закона.

Статья 21. Вступление в силу настоящего Федерального закона

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Замечания общего характера к законопроекту:

• закон не содержит никаких положений об ответственности за подделку ЭЦП;
• непонятно как поступать при комрометации ключей удостоверяющих центров;
• что делать владельцу сертификата ЭЦП, если его удостоверяющий центр прекратил свою деятельность, и что делать в этом случае владельцам документов, подписанных такими ЭЦП.

Экономический советник
начальника Главного управления ЦБ
безопасности и защиты информации
С.А. Данилов