В отсутствии закона
Фактически с 1990 года в России на коммерческий
рынок стали продвигаться так
называемые технологии цифровой подписи (ЦП). Системы
ЦП позволяют создавать в
электронных документах аналог
собственноручной подписи. При этом речь не идет, например,
о технологиях, позволяющих сохранять
в электронном виде графическое
изображение подписи, механизмы ЦП,
существенно отличаются от простого анализа
изображения, и основаны на сложных
математических задачах. Иными словами, подпись
в электронном виде -- это набор цифр,
позволяющий не только идентифицировать
лицо, сформировавшее
эту подпись, но и обеспечить неизменность
документа после подписания.
Гражданский
кодекс РФ закрепил возможность
использования ЦП, наряду с иными аналогами
собственноручной подписи (АСП) в
электронном документообороте.
Часть первая, Статья 160, п. 2
"Использование
при совершении сделок ... цифровой подписи ...допускается
в случаях и порядке, предусмотренных
законом, иными правовыми актами или
соглашением сторон";
Часть первая, Статья 434, п.1
"Если стороны
договорились заключить договор в
определенной форме, он считается
заключенным после придания ему условленной
формы, хотя бы законом для договоров
данного вида такая форма не требовалась".
Часть первая, Статья 434, п.2
"Договор
в письменной форме может быть заключен ...путем
обмена документами посредством почтовой,
телеграфной, телетайпной, телефонной,
электронной или иной связи, позволяющей
достоверно установить, что документ
исходит от стороны по договору".
Таким
образом, с момента принятия части первой
гражданского кодекса системы электронного
документооборота стали полностью
юридически легальными. С момента принятия
первой части ГК, в России сложилась
богатая практика, в т.ч. судебная по
использованию систем ЦП в коммерческом
секторе. Базой для упорядочения
взаимоотношений сторон, использующих ЦП в
бизнес процессах являлся т.н. договор
сторон, или договор участников системы с
использованием ЦП. В системах
документооборота государственных органов
применение ЦП пробуксовывало, поскольку
регулировать использование ЦП в этих
системах договорным правом не возможно.
Вследствие
вышеупомянутых причин к 1997 году, сложилась
ситуация, в которой принятие закона О
цифровой подписи становилось актуальным в
первую очередь для государства.
Дополнительную актуальность принятию
указанного закона, являлось стремление
России вступить в ВТО, страны же члены ВТО
уже имели аналогичные законы, позволяющие
вести бизнес в киберпространстве не только
на основе предварительно заключенного
договора, но и на основе действующих
законов.
Теоретически
принятие закона О цифровой подписи несло
потенциальные выгоды и потребителям услуг,
позволяя им вступать в правоотношения без
предварительного заключения договора в
бумажном виде.
Исходя
из этого, следует заметить, что в каждой из
областей затрагиваемых законом --
экономической, политической и социальной
разные субъекты имели сильно отличающиеся
интересы.
Предприниматели
ждали:
- Упрощения правил использования ЦП, и отход от схемы с
использованием договорного регулирования, основанного непосредственно на ГК.
- Согласования правил
использования ЦП в России и за рубежом с
целью активизации международной
экономической деятельности.
Государство
преследовало несколько иные цели:
- Упрощения правил использования ЦП в соответствии с
концепцией дебюрократизации экономики.
- Получение эффективного механизма регулирования
применения ЦП в органах государственной власти и иных государственных
учреждениях.
- Выполнение требований
выдвинутых к России со стороны ВТО
Для
компаний связанных с разработкой систем ЦП
ожидания были связаны в, первую очередь, с:
- Возможностью интегрироваться в новый бизнес,
связанный с обслуживанием инфраструктуры систем ЦП.
- Оживлением рынка,
связанного с использованием систем ЦП.
О разработке закона
Круг
разработчиков изначально предопределил
его будущую несостоятельность. Основными
исполнителями являлись организации с
серьезными межведомственными
противоречиями -- ЦБ РФ, Минсвязи РФ и ФАПСИ
(федеральное агентство правительственной
связи и информации). С 1997 по 2001 было создано
более 20 (!!!) вариантов законопроекта. При
этом наибольшую деструктивную роль в
принятие согласованной версии вносило
ФАПСИ. К январю 2001 года из рабочей группы
фактически были вытеснены ЦБ РФ и Минсвязи,
представители бизнеса и юристы были
отстранены практически одновременно.
Таким
образом, фактически монопольным
разработчиком закона оказалось ФАПСИ.
Истинная подоплека происходящего
прояснилась вместе с принятием программы Электронная
Россия, в которой одним из приоритетов
провозглашалась информатизация органов
государственной власти. Либеральные
тенденции программы Электронная Россия
должны были, по мнению руководства ФАПСИ, компенсированы
жестким законом о ЦП. А, иначе говоря,
закон о ЦП должен был помочь ФАПСИ
монополизировать сферу информатизации
государственных организаций, с последующим
финансированием этих проектов из бюджета.
В
результате принятие закона сопровождалось
беспрецедентным давлением на
законодателей, первое, второе и третье
чтение закон прошел перед летними
каникулами, ноябрьскими праздниками и
новогодними каникулами, то есть тогда,
когда на серьезное обсуждение времени
просто не было. Кроме того, апеллируя к
заинтересованности правительства
практически везде (на комитетах,
парламентских слушаниях и т.д.) закон
представляли сотрудники ФАПСИ. Отказать
этим бравым ребятам в погонах законодатели
не решились.
Что же в результате принято
В
результате вместо ожидаемого закона О
цифровой подписи, принят закон Об
электронной цифровой подписи в редакции
фактически предложенной ФАПСИ.
Анализирую
положения закона, следует констатировать
неутешительные факты, ни одна из сторон,
потенциально заинтересованных в принятии
закона о цифровой подписи не решила
поставленных перед ней задач. Более того,
для государства, как заинтересованной
стороны закон не только не упростил, но даже
усложнил ситуацию.
В области задач решаемых
государством.
Ожидалось:
- Упрощение правил использования ЦП в соответствии с
концепцией дебюрократизации экономики.
- Получение эффективного механизма регулирования
применения ЦП в органах государственной власти и иных государственных
учреждениях.
- Выполнение требований
выдвинутых к России со стороны ВТО.
Получено:
- Из всех возможных систем ЦП, выбрана одна --
электронная цифровая подпись (ЭЦП)
- Применение систем с использованием ЭЦП подлежит
лицензированию, продукты обязательной сертификации.
- Введен ряд новых видов предпринимательской
деятельности, подлежащих лицензированию
- Закон не соответствует рекомендациям ВТО, ПАСЕ и
UNCITRAL, из этих влиятельных организаций уже получены отрицательные отзывы.
- Закон содержит ряд внутренних
противоречий, не позволяющих реально
использовать его на практике.
В области предпринимательской
деятельности.
Ожидалось:
- Упрощения правил использования ЦП, и отход от схемы с
использованием договорного регулирования, основанного непосредственно на ГК.
- Согласования правил
использования ЦП в России и за рубежом с
целью активизации международной
экономической деятельности.
Получено:
- Отход от договорного регулирования возможен только в
случае использования конкретной системы ЦП -- ЭЦП. При этом переход к ЭЦП
связан с обязательным получением лицензии от ФАПСИ и использованием систем
сертифицированных ФАПСИ.
- Системы ЭЦП, описанные в
законе Об ЭЦП, заведомо несовместимы с
международными стандартами.
Компании,
связанные с разработкой систем ЦП.
Ожидалось:
- Возможность интегрироваться в новый бизнес, связанный
с обслуживанием инфраструктуры систем ЦП.
- Оживление рынка,
связанного с использованием систем ЦП.
Получено:
- Нового бизнеса, связанного с использованием ЦП не
появилось.
-
Ситуация на рынке не
изменилась, поскольку закон не затрагивает
регулирование иных АСП, отличных от ЭЦП,
описанной в законе.
Таким
образом, с точки зрения социальных,
экономических и политических последствий
принятый закон следует считать крайне
негативным, причем с особой силой
отрицательное влияние закона сказывается в
области государственных интересов России.
Влияние
закона на бизнес
Особый
интерес представляет влияние закона на
бизнес, который сегодня практически весь
тесно связан с использованием систем
цифровой подписи.
Да не
покажется это странным, несмотря на
глубокое проникновение систем цифровой
подписи в бизнес процессы большинства
организаций (системы клиент банк,
электронный документооборот, электронная
торговля, клиринг и т.д.) следует заметить,
что закон не несет ничего нового в эти
области.
Основная
причина этого заключается в том, что в
определении закона Об электронной
цифровой подписи 95% процентов систем ЦП
присутствующих на рынке не являются
системами ЭЦП в смысле закона, и
следовательно не подпадают под его
регулирование. С другой стороны,
практически все на сегодняшний день
существующие системы, использующие ЦП и
иные АСП, являются
корпоративными, а для корпоративных систем
Закон об ЭЦП устанавливает особый статус
регулирования, определяемый владельцем
системы.
Тем не
мене, следует отметить, что закон
предусматривает обязательное
лицензирование деятельности т.н.
удостоверяющих центров (УЦ -- в некотором
смысле электронный аналог нотариуса --
подписывает в электронном виде образцы
подписей). И эта сфера бизнеса, интерес к
которой во всем мире постепенно возрастает,
оказывается жестко зарегулированной и
практически недоступной для частного
бизнеса.
В связи с
изложенным, необходимо дать несколько
практических рекомендаций владельцам
систем, использующих ЦП, и их пользователям.
Как правильно оформить
документы для ведения бизнеса с
использованием ЦП
Согласно п. 2. статьи 1.
закона Об электронной цифровой подписи:
Действие настоящего
Федерального закона распространяется на
отношения, возникающие при совершении
гражданско-правовых сделок и в других
предусмотренных законодательством
Российской Федерации случаях. Действие
настоящего Федерального закона не
распространяется на отношения, возникающие
при использовании иных аналогов
собственноручной подписи.
Следовательно,
необходимо определить сферу действия
настоящего закона.
В федеральном законе Об
электронной цифровой подписи (далее по
тексту закон об ЭЦП) вводится понятие ЭЦП:
электронная
цифровая подпись -- реквизит электронного
документа, предназначенный для защиты
данного электронного документа от подделки,
полученный в результате
криптографического преобразования
информации с использованием закрытого
ключа электронной цифровой подписи и
позволяющий идентифицировать владельца
сертификата ключа подписи, а также
установить отсутствие искажения
информации в электронном документе;
Таким образом, понятие
ЭЦП неразрывно связывается с понятием
сертификата ключа и понятием
криптографического преобразования.
Следовательно, к
системам ЭЦП следует относить системы
подтверждения подлинности с
использованием сертификатов и основанных
на криптографических преобразованиях.
В законе дано
определение сертификата ключа, электронной
цифровой подписи:
сертификат ключа подписи
-- документ на бумажном носителе или
электронный документ с электронной
цифровой подписью уполномоченного лица
удостоверяющего центра, которые включают в
себя открытый ключ электронной цифровой
подписи и которые выдаются удостоверяющим
центром участнику информационной системы
для подтверждения подлинности электронной
цифровой подписи и идентификации владельца
сертификата ключа подписи;
Понятие
криптографического преобразования в
законе и иных нормативных документах,
имеющих юридическую силу,
отсутствует.
С другой стороны,
понятие средств криптографической защиты
информации (СКЗИ) и шифровальных средств
имеется в ведомственных документах ФАПСИ.
Так же некоторые производители
позиционируют свою продукцию, как СКЗИ, или
как шифровальные средства.
В связи с этим средства
цифровой подписи (устоявшийся
международный термин digital
signature), построенные без
использования системы сертификатов, а
именно такие системы в большинстве
используют Российские потребители не
являются системами ЭЦП, с точки зрения
определения закона. Более того, системы с
использованием сертификатов, но без
создания удостоверяющих центров, а также
системы в которых подписи зарегистрированы
на юридическое лицо, с точки зрения
рассматриваемого закона относятся к иным
аналогам собственноручной подписи и
законом не регулируются.
Таким образом:
Системы без использования
сертификатов или УЦ
Не регулируются
законом Об ЭЦП. Регулирование в них
основано на следующих документах:
-
"Гражданский Кодекс Российской
Федерации":
-
Федеральный Закон "Об информации,
информатизации и защите информации",
- Официальные материалы Высшего
Арбитражного Суда РФ:
Какое положение по
отношению закона занимают системы,
использующие сертификаты и
удостоверяющие центры.
Возможно несколько
случаев:
Корпоративная
система без использования СКЗИ.
Если Ваша система
цифровой подписи не является СКЗИ или
шифровальным средством , квалифицирующим
признаком чего является наличие
сертификата ФАПСИ на используемые средства,
или позиционирование разработчиком своих
разработок, как шифровальных средств или
СКЗИ. В этом случае регулирование ее
использования находится вне сферы
рассматриваемого закона, и регулируется
аналогично случаю.
Системы без
использования сертификатов или УЦ.
Дополнительная
информация.
Как
определить корпоративный статус системы.
В случае
если пользователи системы, подключены к
единому поставщику услуг, имеющему
удостоверяющий центр, и работают на основе
договора. Система является корпоративной.
Для однозначного отнесения системы к
корпоративной в договоре на оказание услуг
необходимо:
- Обязательно указать статус системы, как
корпоративный.
- Указать, что доступ к систем возможен только при
получении специального абонентского комплекта (программно-аппаратного
обеспечения), отсутствие которого не позволяет подключаться к системе.
- Указать,
что получить указанный абонентский
комплект (скачать с сайта или получить
иным, нежели при непосредственном
контакте путем) пользователь может,
только согласившись с правилами
корпоративной системы, в т.ч. в
электронном виде (путем акцепта
предложения на сайте, направления письма
или напрямую подписав договор).
В этом случае
система определяется как корпоративная
в независимости от каналов доступа (интернет,
телефон и т.д.), поскольку в этом случае сети
публичных провайдеров используются
исключительно как транспортная среда и не
служат для оказания публичной услуги.
Квалифицирующим признаком корпоративная
система, служит отсутствие возможности
подключения к системе пользователя
публичных систем без предварительного
заключения договора.
Публичная система
без использования СКЗИ.
Поскольку, как и в
предыдущем случае Ваша система цифровой
подписи не является СКЗИ или шифровальным
средством , квалифицирующим признаком чего
является наличие сертификата ФАПСИ на
используемые средства, или
позиционирование разработчиком своих
разработок, как шифровальных средств или
СКЗИ. Постльку регулирование ее
использования находится вне сферы
рассматриваемого закона, и регулируется
аналогично случаю Системы без
использования сертификатов или УЦ.
Корпоративная
система с использованием СКЗИ
Если Ваша система
основана на криптографических
преобразованиях, квалифицирующим
признаком чего является наличие
сертификата ФАПСИ на используемые средства,
или позиционирование разработчиком своих
разработок, как шифровальных средств или
СКЗИ.
В этом случае согласно
закону, система является
корпоративной системой ЭЦП и
регулируется по Статье 17 закона Об ЭЦП:
С т а т ь я 17.
2. Порядок
использования электронных цифровых
подписей в корпоративной информационной
системе устанавливается решением
владельца корпоративной информационной
системы или соглашением участников этой
системы.
Дополнительно в этом
случае, согласно закону о лицензировании
отдельных видов деятельности Вам
необходимо получить:
- Лицензию на право ведения деятельности, связанной с
оказанием услуг, связанных с использованием ЭЦП.
- Лицензию
на деятельность УЦ.
Публичная система с
использованием СКЗИ
По сравнению с
предыдущим вариантом, накладывается
дополнительное ограничение, связанное с
необходимостью использовать только,
сертифицированное программное обеспечение.
В случае использования
внешнего УЦ, требование на получение
лицензии на деятельность УЦ, снимается.
Выводы:
Таким образом,
существуют две схемы регулирования, одна
наиболее общая -- на основе Гражданского
Кодекса и решениях Арбитражного суда (эта
схема в ближайшее время найдет свое
отражение в новом законе Об электронных
подписях), другая более узкая,
регулирующая использование ЭЦП (в смысле
определений, данных в законе).
Обозначив, первую схему
I, а
вторую II,
можно указать способы регулирования для
всех типов систем в виде таблицы, во второй
строке указано наличие дополнительных
лицензий, получение которых необходимо.
Лицензия N1 -- лицензия
на деятельность по оказанию услуг,
связанных с использованием ЭЦП.
Лицензия N2 -- лицензия на деятельность
УЦ.
| Система без использования сертификатов |
Система с использованием сертификатов |
| без использования шифровальных средств |
с использованием шифровальных средств |
без использования шифровальных средств |
с использованием шифровальных средств |
Корпора-
тивная |
Публичная |
Корпора-
тивная |
Публичная |
Корпора-
тивная |
Публичная |
Корпора-
тивная |
Публичная |
| I |
I |
I |
I |
I |
I |
II |
II |
| Нет |
Нет |
N1 |
N1 |
Нет |
Нет |
N1, N2 |
N1 |
