Александр Ткачев, доцент кафедры криминалистики юридического факультета МГУ им. М. В. Ломоносова, адвокат МГКА.
Российское законодательство признает электронную цифровую подпись (далее — ЭЦП) полноправным реквизитом электронных документов. Процесс легализации данного средства, длившийся почти 10 лет с принятия ГК РФ и ФЗ РФ от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» (в ред. от 10 января 2003 г.), завершился вступлением в силу Федерального закона от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи» (далее — Закон). Рассмотрим соотношение законодательного и локального правового регулирования использования ЭЦП участниками электронного документооборота в Законе.
В ст. 3 Закона ЭЦП определяется как реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
В то же время и после принятия Закона осталось достаточно много спорных вопросов, возникающих при применении ЭЦП в юридической практике. Одной из наиболее актуальных проблем является проблема полномочий участников электронного документооборота по правовому регулированию использования ЭЦП.
Сложность рассматриваемой проблемы обусловлена необычностью технологии изготовления ЭЦП, качественным отличием ее природы от традиционных реквизитов, что, в свою очередь, порождает трудности в использовании имеющихся в распоряжении юристов правовых инструментов, с помощью которых решаются вопросы, возникающие в связи с применением ЭЦП.
В данной статье не будут рассматриваться вопросы правового регулирования ЭЦП при использовании в корпоративной информационной системе, т. к. в соответствии со ст. 17 Закона для таких систем устанавливается особый порядок регулирования. Закон фактически передает владельцу корпоративной информационной системы или ее участникам все полномочия в данной области.
Надо отметить, что в отличие от других законодательных актов, устанавливающих правовой режим электронных документов, в Законе был выбран особый путь правового регулирования: правовая легализация ЭЦП и подписанного ей электронного документа происходит через распространение на нее юридического режима одного из традиционных реквизитов — собственноручной подписи человека (п. 1 ст. 1 Закона).
Ранее российское законодательство избегало такого прямого сопоставления. В ряде законодательных актов об ЭЦП упоминалось как об аналоге собственноручной подписи физического лица В частности, в п. 2 ст. 160 ГК РФ, ч. 3 ст. 75 АПК РФ ЭЦП названа среди других аналогов собственноручной подписи. С наличием ЭЦП ГК РФ связывает признание за электронным документом статуса письменного документа. В АПК РФ электронный документ, заверенный ЭЦП, допускается в арбитражный процесс в качестве письменного доказательства. ФЗ РФ «Об информации, информатизации и защите информации» рассматривает ЭЦП как самостоятельный реквизит, который закрепляет за «документом, полученным из автоматизированной информационной системы», правовой статус документа.
Таким образом, и ГК РФ, и АПК РФ, говоря об ЭЦП как об аналоге собственноручной подписи, тем не менее не допускают юридического отождествления ЭЦП с собственноручной подписью человека на бумажном документе. Они лишь закрепляют одинаковый правовой статус электронного и традиционного письменного документа, с использованием для данной цели различных средств ЭЦП и собственноручной подписи.
В Законе нигде не упоминается о правовом статусе электронного документа, не устанавливается, является ли он письменным документом (доказательством) или документом. Представляется, что законодатель, распространив на ЭЦП правовой режим собственноручной подписи, не учел, что различная физическая природа данных реквизитов неизбежно порождает отличия и в их правовом статусе.
Механизм выполнения собственноручной (физической) подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, в силу чего эта подпись неразрывно связана с биологической личностью подписывающего. Собственноручная подпись позволяет установить (идентифицировать) конкретного человека по признакам почерка.
ЭЦП, являясь криптографическим средством, не может рассматриваться в качестве свойства, присущего непосредственно владельцу ЭЦП как биологической личности. Между ЭЦП и человеком, ее поставившим (Закон рассматривает в качестве такового владельца сертификата ключа), существует взаимосвязь не биологического, а социального характера. Возникновение, существование и прекращение данной связи обусловлено совокупностью различных правовых, организационных и технических факторов.
Отождествление человека по собственноручной подписи и подтверждение на этой основе подлинности документа, которой он заверен, достигается путем проведения судебно-почерковедческой экспертизы, решающей данную идентификационную задачу.
Определение подлинности ЭЦП (согласно ст. 3 Закона под этим понимается техническая процедура) свидетельствует только о знании лицом, ее поставившим, закрытого ключа ЭЦП. Для того чтобы установить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо выяснить помимо подлинности ЭЦП и указанные выше факторы. Задача установления факта удостоверения электронного документа ЭЦП владельцем сертификата ключа подписи решается в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства. Для ее решения применяется весь арсенал правовых средств, используемых в деятельности по доказыванию: проведение экспертных исследований аппаратных и программных средств ЭЦП, изучение других документов, допрос свидетелей и т. д.
Понятие «идентификация», содержащееся в Законе, по своему значению становится тождественным понятию «доказывание», что существенным образом выделяет данный законодательный акт из действующей правовой базы.
В ст. 5 ФЗ РФ «Об информации, информатизации и защите информации» корректно разделена задача идентификации ЭЦП в традиционном смысле как программно-аппаратного средства и задача установления соблюдения режима использования средств ЭЦП: «Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования».
Задача идентификации будет решаться экспертным путем, а задача установления нарушения режима использования — в ходе доказывания.
Законодатель, провозглашая равнозначность ЭЦП и собственноручной подписи, тем не менее вынужден учитывать коренные различия в природе данных реквизитов. Поэтому в Законе выстраивается правовая конструкция, которая должна обеспечить возможность доказать связь ЭЦП с ее владельцем.
Такая правовая система должна включать в себя следующие элементы:
— правовой режим создания и передачи ЭЦП ее владельцу;
— правовой режим использования и хранения ЭЦП ее владельцем;
— правовой режим применения ЭЦП в информационных системах;
— правовой режим использования ЭЦП непосредственно в ходе электронного документооборота.
В Законе наиболее подробно регулируются вопросы правового режима создания и передачи ЭЦП ее владельцу и правового режима применения ЭЦП в информационных системах. В частности, из 21 статьи Закона 8 статей (более одной трети) полностью посвящены вопросам, связанным с деятельностью удостоверяющих центров (ст. ст. 7 — 11, ст. ст. 13 — 15, 21 Закона). Во многих других статьях Закона также содержатся положения, регулирующие деятельность данных организаций (ст. ст. 6, 19, 20 Закона и др.). В основном данные нормы имеют императивный характер и в большинстве случаев не предусматривают самостоятельного регулирования со стороны субъектов электронного документооборота.
В то же время ряд вопросов требует и их участия.
Прежде чем рассмотреть данные вопросы, необходимо выяснить, кто помимо владельца сертификата ключа подписи может принимать участие в регулировании правового режима создания и передачи ЭЦП.
Данная проблема имеет большое значение в тех случаях, когда речь идет о владельцах ЭЦП — работниках, осуществляющих ее использование в рамках своих должностных обязанностей или находящихся со своими партнерами в гражданско-правовых отношениях, но деятельность которых фактически определяется их контрагентами и осуществляется преимущественно в интересах последних. Например, это могут быть агенты — физические лица, реализующие продукцию организации, и т. п.
В указанных ситуациях именно работодатель или контрагент будут инициировать создание ЭЦП и нести соответствующие финансовые затраты, кроме того, они должны иметь возможность влиять на сам процесс создания и передачи ЭЦП ее владельцу.
Корректное решение данного вопроса затрудняет отсутствие в Законе способов регулирования прав собственности на средства ЭЦП и особенно закрытого ключа ЭЦП.
В соответствии с Законом владельцем сертификата ключа подписи может быть только физическое лицо (ст. 3 Закона). Однако, основываясь на буквальном прочтении его формулировок, а также ст. 209 ГК РФ, можно утверждать, что собственником закрытого ключа ЭЦП (как определенного программного средства) может быть не только владелец сертификата ключа подписи, но и третьи лица: физические и юридические.
Кроме того, в ст. 2 Закона указано, что правовое регулирование отношений в области использования электронной цифровой подписи осуществляется ГК РФ. В полномочия удостоверяющего центра входит создание ключей ЭЦП по обращению участников информационной системы, т. е. не только владельца сертификата ключа подписи. Аннулирование и приостановление действия сертификата также возможны удостоверяющим центром на основании указаний третьих лиц.
Перечисленные ограничения права по пользованию ЭЦП характерны для собственника или для другого лица, имеющего властно-распорядительные полномочия в отношении владельца сертификата ключа подписи.
Согласно п. 1 ст. 13 Закона действие сертификата ключа подписи может быть приостановлено удостоверяющим центром на основании указания лиц или органов, имеющих такое право в силу закона или договора, а в корпоративной информационной системе также в силу установленных для нее правил пользования.
Данная норма Закона, пожалуй, единственная, на основе которой участник информационной системы, не являющийся владельцем сертификата ключа подписи, но обладающий в отношении его властно-распорядительным полномочиями или иным законным образом контролирующий его деятельность по использованию ЭЦП, может путем заключения отдельного договора с удостоверяющим центром обеспечить соблюдение своих интересов при создании ЭЦП и передаче ее владельцу сертификата ключа подписи.
В содержание такого договора целесообразно включать следующие положения:
— указание на финансирование создания ЭЦП;
— указание на основание, дающее право участнику информационной системы участвовать в создании и использовании ЭЦП;
— сведения об отношениях, при осуществлении которых ЭЦП может использоваться для удостоверения электронного документа;
— случаи, при которых возможно приостановление действия сертификата ключа подписи или он может быть аннулирован.
Владелец сертификата ключа подписи должен быть ознакомлен с данным договором и письменно подтвердить свое согласие с его условиями. В сертификат ключа подписи наряду с другими сведениями, предусмотренными в ст. 6 Закона, должна быть включена ссылка на данный договор.
Рассмотрим основные правовые средства, которые Закон использует для регулирования использования ЭЦП непосредственно в ходе документооборота.
В Законе перечислены условия признания равнозначности ЭЦП и собственноручной подписи, т. е. условия, при которых ЭЦП имеет правовой статус реквизита документа (письменного документа).
Сертификат ключа подписи является документом, который выдается участнику электронного документооборота удостоверяющим центром. Данный документ содержит: установочные данные владельца сертификата ключа подписи; описание средств ЭЦП, отношений, в которых используется ЭЦП; период времени использования ЭЦП; сведения об удостоверяющем центре, выдавшем данный сертификат, а также открытый ключ ЭЦП.
Сертификат ключа подписи является документом, с помощью которого контрагент владельца ЭЦП удостоверяет «личность» ЭЦП, ее своеобразным паспортом. Без наличия сертификата у участников электронного документооборота применение ЭЦП невозможно. Поэтому содержание сертификата ключа подписи жестко регламентировано Законом и его заполнение возложено на удостоверяющий центр. При этом необходимо, чтобы данный паспорт не был «просрочен», т. е. действовал на момент обмена электронным документом.
Требование Закона о наличии действующего сертификата ключа подписи корреспондируются с другим условием, предусмотренным в той же статье — «электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи». Данное требование направлено на то, чтобы контрагент владельца ЭЦП мог реализовать свои полномочия по проверке ЭЦП, предусмотренные в сертификате ключа подписи, а владелец ЭЦП использовал именно ту ЭЦП, сведения о которой имеются у его партнера.
Реализация двух вышеназванных условий не требует от владельца ЭЦП самостоятельного нормотворчества.
Владелец ЭЦП должен лишь следить за тем, чтобы отношения, в которых используется ЭЦП, и период времени ее действия, совпадали с соответствующими сведениями, указанными в сертификате ключа подписи, имеющемся у его партнеров.
Последним условием, при соблюдении которого за ЭЦП признается юридический статус, является подтверждение подлинности электронной цифровой подписи в электронном документе.
Выполнение данного условия обеспечивается математическими и программными средствами, которые проверяют правильность функционирования соответствующих средств ЭЦП. Данные математические и программные средства разработаны не владельцем ЭЦЦ и находятся вне его контроля.
Таким образом, перечисленные в ст. 4 Закона инструменты регулируют использование ЭЦП непосредственно в ходе электронного документооборота, имеют прямое действие и не предоставляют участникам электронного документооборота полномочия по регулированию соответствующих правоотношений.
Конечно, используемые в Законе правовые инструменты не позволяют исчерпывающим образом регулировать соответствующие правоотношения. Однако в тех случаях, когда они применимы, предписания Закона имеют прямое действие и владелец ЭЦП, участвуя в соответствующих правоотношениях, должен их выполнять.
Наименее подробно в Законе регламентированы вопросы правового режима использования и хранения ЭЦП ее владельцем. Закон практически не содержит правовых средств, которые могли бы быть использованы для решения данной проблемы.
В ст. 12 Закона среди прочего установлено, что владелец сертификата ключа подписи обязан хранить в тайне закрытый ключ электронной цифровой подписи.
Эта обязанность как раз и относится к установлению правового режима использования и хранения ЭЦП ее владельцем.
Закон, устанавливая данную обязанность под угрозой наступления для владельца негативных последствий — «возмещение причиненных вследствие этого убытков», совершенно не описывает, каким образом он должен выполнять эту обязанность.
Видимо, законодатель предполагает, что участники электронного документооборота должны самостоятельно разработать и установить режим тайны закрытого ключа электронной цифровой подписи (далее — тайны ключа).
Первым шагом в данном направлении является установление, к какому виду тайны относится тайна ключа, поскольку от этого зависит правовой режим данной тайны.
Действие Закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством РФ случаях.
Основываясь на положениях Закона, для определения вида тайны ключа необходимо использовать ГК РФ и ФЗ «Об информации, информатизации и защите информации».
ГК РФ знает два вида тайн: служебная и коммерческая (ст. 139 ГК РФ). В ст. 10 ФЗ «Об информации, информатизации и защите информации» также выделены два вида тайн: государственная тайна и конфиденциальная информация. Понятие конфиденциальной информации в законодательстве не содержится. В литературе данное понятие трактуется весьма разнообразно. Для наших целей является важным, что конфиденциальная информация является родовым понятием, в которое входит различные виды тайн, отнесенные к данной категории соответствующими законодательными актами (п. 5 ст. 10 ФЗ «Об информации, информатизации и защите информации»). Служебная и коммерческая тайны включаются в понятие конфиденциальной информации.
Очевидным является, что тайна ключа не относится ни к государственной тайне, ни к профессиональной тайне (не связана с природой той или иной профессиональной деятельности).
ЭЦП, как и другие реквизиты документа, выполняющие удостоверительную функцию (собственноручная подпись, печать и др.), является средством, обеспечивающим конфиденциальность информации. В качестве таковых она вряд ли может рассматриваться как объект гражданских прав. Конечно, это не исключает признание объектом гражданских прав математических и программных средств ЭЦП, например, когда она является товаром при реализации ее производителем. В документе же ЭЦП выступает только как средство фиксации соответствующих отношений. Поэтому непосредственное распространение на ЭЦП как на реквизит, предназначенный для удостоверения документа, положений гражданского законодательства, рассматривающих служебную и коммерческую тайну через призму коммерческой ценности, нецелесообразно.
Вместе с тем понятие «служебная тайна» широко используется в праве при установлении режима защиты информации, не предназначенной для коммерческого использования. Именно в таком значении используется данное понятие в Трудовом кодексе РФ. В ФЗ «О государственной гражданской службе Российской Федерации» используется разновидность понятия «служебная тайна» — «служебная информация».
Представляется возможным установить режим обеспечения тайны ключа, определив его как вид служебной тайны или служебной информации. Нормативной базой локального правового регулирования будут выступать Федеральные законы «Об информации, информатизации и защите информации» и «Об электронной цифровой подписи». В соответствующих локальных нормативных актах не должно содержаться ссылок на ГК РФ. При этом вполне правомерно обращение к ГК РФ и ФЗ «О коммерческой тайне» с целью заимствования правовых средств для такого регулирования.
Весьма важно определить, кто будет устанавливать режим тайны ключа. Как уже подчеркивалось выше, решение данного вопроса имеет большое значение в случае, когда владельцем сертификата ключа подписи является человек, использующий ЭЦП в деятельности, которую он ведет в интересах своего работодателя или контрагента по гражданско-правовому договору. Далее в целях удобства изложения будет использоваться термин «работодатель».
При определении тайны режима ключа надо учитывать, что работодатель в конечном счете в значительно большей степени, чем его работник — владелец сертификата ключа подписи ЭЦП, заинтересован в сохранении тайны ключа. Это вполне понятно, т. к. в соответствии с действующим гражданским и трудовым законодательством права и обязанности в результате деятельности работника будут возникать у работодателя.
Фактическое осуществление режима тайны ключа работником также возможно только при содействии работодателя: технические средства защиты, пропускной режим, организационные меры и т. п., — все это может быть установлено исключительно работодателем. Наконец, вряд ли работник, если он не руководитель предприятия, может издать нормативный документ, обязательный для других работников работодателя.
Все это позволяет утверждать, что локальное правовое регулирование режима тайны ключа должно быть осуществлено работодателем (организацией или индивидуальным предпринимателем) владельца сертификата ключа подписи.
В то же время такое регулирование должно учитывать требования ст. 12 Закона, согласно которой именно владелец сертификата ключа подписи обязан хранить в тайне закрытый ключ ЭЦП. Следовательно, владелец сертификата ключа подписи либо должен принимать участие в установлении режима тайны ключа, либо им должно быть прямо выражено согласие присоединиться к данному режиму, разработанному работодателем.
Режим тайны ключа должен быть установлен в письменной форме.
Видимо, для большинства работодателей потребуется использовать два вида нормативных актов: трудовой договор (контракт) и инструкцию (положение или т. п.).
В трудовом договоре (контракте) с работником — владельцем сертификата ключа подписи должны быть отражены:
— требования, предъявляемые Законом к режиму тайны ключа;
— требование о неразглашении работником режима тайны ключа;
— вопросы собственности на ЭЦП, в том числе и после прекращения трудовых отношений с работником;
— момент возникновения прав на использование ЭЦП и условия прекращения полномочий по ее использованию;
— количество ЭЦП, которые может использовать определенный работник;
— описание отношений, при осуществлении которых работник может использовать ЭЦП: может быть дан перечень таких отношений либо указание на должностные обязанности;
— режим хранения ЭЦП владельцем, в том числе указание точного места хранения и/или описание условий хранения, возможность выноса ЭЦП за пределы территории работодателя и режим хранения в данном случае;
— последствия уничтожения и утраты ЭЦП работником, в том числе возмещение ущерба;
— действия работника в случае, если ему стало известно о нарушении тайны ключа;
— основные требования при удостоверении работником ЭЦП электронных документов, в том числе право работника требовать соблюдения режима секретности от других работников и партнеров работодателя;
— полномочия работодателя и работника по приостановлению действия и аннулированию сертификата ключа подписи, в том числе приоритетное право работодателя на обращение в удостоверяющий центр с этими требованиями;
— вопросы возмещения ущерба при несоблюдении работником требований Закона и режима тайны ключа.
Надо отметить наличие противоречий между обязанностью владельца сертификата ключа подписи возместить убытки (включая упущенную выгоду) в случае несоблюдения требований Закона и ограничением ответственности работника по ТК РФ только возмещением прямого действительного ущерба. Данная норма Закона в полном объеме может быть распространена только на владельцев сертификата ключа подписи, связанных с лицом, которому они причинили убытки гражданско-правовыми отношениями.
Положение (инструкция) об установлении режима тайны закрытого ключа ЭЦП либо другой подобный акт должны быть адресованы всем работникам работодателя, в том числе и не являющимся владельцами сертификатов ключей подписи, и быть обязательным для исполнения.
В положении должны содержаться следующие основные условия:
— тайна закрытого ключа ЭЦП относится к конфиденциальной информации — служебной тайне или служебной информации;
— работники, не являющиеся владельцами сертификатов ключей подписи или специально не уполномоченные работодателем, не имеют доступа к средствам ЭЦП и другим техническим средствам защиты ЭЦП;
— работники должны соблюдать требования по охране средств ЭЦП, устанавливаемые работодателем и владельцем ЭЦП в пределах своих полномочий;
— работники должны извещать работодателя обо всех случаях нарушения режима охраны тайны закрытого ключа ЭЦП;
— работники несут ответственность за нарушение режима охраны тайны закрытого ключа ЭЦП, в том числе вплоть до возмещения ущерба. Работники должны быть ознакомлены с положением под расписку.
В тех случаях, когда у работодателя работает достаточно большое количество владельцев сертификатов ключей ЭЦП, возможно, потребуется расширение локальной нормативной базы.
Например, в целях учета может вестись реестр сертификатов ключей подписей (в ст. 16 Закона такой инструмент предусмотрен для федеральных органов государственной власти). Для усиления режима охраны ЭЦП возможно издание специального нормативного акта для лиц, непосредственно обеспечивающих безопасность ЭЦП или включение соответствующих требований в их должностные инструкции.
В настоящее время готовится к принятию закон «Об электронном документе». Введение в действие данного законодательного акта неизбежно отразится на правовой деятельности участников электронного документооборота. С учетом рассмотренных в настоящей статье вопросов было бы целесообразно с единых позиций отразить в новом законе следующие положения и внести соответствующие изменения в ФЗ «Об электронной цифровой подписи»:
— отказаться от увязывания правового статуса ЭЦП с правовым статусом собственноручной подписи;
— определить режим собственности на средства ЭЦП;
— точно очертить взаимоотношения работника — владельца ЭЦП и его работодателя;
— упростить режим использования ЭЦП в правоотношениях.
В последнем случае, в частности, предусмотреть возможность использования ЭЦП при внесении изменений в сертификат ключа подписи без его аннулирования, когда это не влияет на отношения, в которых применяется ЭЦП. Например, при изменении должности владельца сертификата ключа подписи, если он продолжает работать у одного и того же работодателя.
Снятие ограничений на внесение дополнительных сведений в сертификат ключа подписи для индивидуальных предпринимателей, как скажем, это установлено сейчас в п. 2 ст. 6 Закона.
Возможность передачи владельцем сертификата ключа подписи ЭЦП своему представителю. Тем более что в Модельном законе «Об электронной цифровой подписи», принятом на Шестнадцатом пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ 9 декабря 2000 г., предусмотрена возможность передачи владельцем ключа закрытого ключа ЭЦП своему представителю (ст. ст. 2, 3 Модельного закона «Об электронной цифровой подписи»).
