Федеральный закон «Об электронной цифровой подписи»: основные положения и проблемы, связанные с применением

(Шишаева Е.)

(«Юрист», N 3, 2004)

ФЕДЕРАЛЬНЫЙ ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»:

ОСНОВНЫЕ ПОЛОЖЕНИЯ И ПРОБЛЕМЫ, СВЯЗАННЫЕ С ПРИМЕНЕНИЕМ

Е. ШИШАЕВА

Шишаева Е., кафедра предпринимательского (хозяйственного) права МГЮА.

Прошло более двух лет с момента вступления в силу Федерального закона N 1-ФЗ от 10.01.2002 «Об электронной цифровой подписи» (далее по тексту — ФЗ), что позволяет подвести некоторые итоги, связанные с его принятием.

В соответствии со ст. 1 ФЗ его целью является обеспечение правовых условий использования электронной цифровой подписи (далее по тексту — ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Очерчивая сферу правового регулирования ФЗ, в первую очередь называется электронный документооборот, связанный с заключением и реализацией гражданско-правовых сделок. Однако даже в гражданско-правовой сфере могут возникнуть некоторые трудности, связанные с использованием электронных документов, в частности в случае необходимости соблюдения нотариального заверения сделки использование электронного документа, в том числе заверенного ЭЦП, пока невозможно.

Что касается распространения действия ФЗ на обмен электронными документами в иных областях деятельности, то оно возможно, но только в случаях, прямо предусмотренных законодательством.

Хотелось бы коротко остановиться на некоторых понятиях, используемых в ФЗ «Об электронной цифровой подписи».

1. Электронный документ — документ, в котором информация представлена в электронно-цифровой форме.

2. Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

3. Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

В соответствии с п. 2 ст. 9 ФЗ изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы, которое содержит сведения, необходимые для внесения в сертификат, а также идентификации владельца сертификата ключа подписи и передачи ему сообщений.

Тот факт, что заявление об изготовлении подписывается собственноручно владельцем сертификата ключа подписи, говорит о том, что заявление об изготовлении сертификата может быть подано не любым участником информационной системы, а только владельцем сертификата ключа.

Сертификаты ключей подписей оформляются удостоверяющим центром в форме документов на бумажных носителях (два экземпляра), которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица удостоверяющего центра, а также печатью удостоверяющего центра. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй — остается в удостоверяющем центре.

Перечень сведений, которые должен содержать сертификат ключа подписи, приведен в ст. 6 ФЗ. В случае необходимости в сертификате ключа подписи на основании подтверждающих документов дополнительно указываются должность (с указанием наименования и места нахождения организации, в которой установлена эта должность) и квалификация владельца сертификата ключа подписи, а по его заявлению в письменной форме — иные сведения, подтверждаемые соответствующими документами.

Таким образом, изготовление сертификата предполагает оформление и выдачу владельцу сертификата документа именно на бумажном носителе.

Однако сертификат ключа подписи необходим не только его владельцу, но и другим участникам информационной системы. Так, в соответствии с п. 4 ст. 6 ФЗ для проверки принадлежности электронной цифровой подписи соответствующему владельцу сертификат ключа подписи выдается пользователям с указанием даты и времени его выдачи, сведений о действии сертификата ключа подписи (действует; действие приостановлено; сроки приостановления его действия; аннулирован; дата и время аннулирования сертификата ключа подписи) и сведений о реестре сертификатов ключей подписей.

В данном случае сертификат может быть выдан как на бумажном носителе, так и в электронной форме.

В случае выдачи сертификата ключа подписи в форме документа на бумажном носителе этот сертификат оформляется на бланке удостоверяющего центра и заверяется собственноручной подписью уполномоченного лица и печатью удостоверяющего центра.

В случае выдачи сертификата ключа подписи и указанных дополнительных данных в форме электронного документа этот сертификат должен быть подписан электронной цифровой подписью уполномоченного лица удостоверяющего центра.

При этом важно помнить, что в соответствии с п. 4 ст. 9 ФЗ услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно.

Таким образом, участник информационной системы, не являющийся владельцем сертификата ключа подписи, вправе безвозмездно получить в удостоверяющем центре электронную форму зарегистрированного сертификата ключа подписи его контрагента, но это не лишает удостоверяющий центр права взимать плату за изготовление и выдачу сертификата ключа подписи на бумажных носителях. Данное положение является очень важным для организаций, выполняющих функции удостоверяющих центров.

4. Владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Таким образом, юридическое лицо, государственный или муниципальный орган не могут быть владельцами ЭЦП, однако это не является ее характерной особенностью.

Действительно, юридическое лицо приобретает гражданские права и принимает на себя гражданские обязанности через свои органы, как правило через его руководителя или иное лицо, уполномоченное на это учредительными документами. Уполномоченное лицо, действуя от имени юридического лица, вправе подписывать договоры и иные официальные документы путем проставления собственноручной подписи и приложения печати организации. Следовательно, в случае с рукописной подписью она тоже принадлежит не юридическому, а физическому лицу.

Таким образом, организация, желающая использовать ЭЦП в своей деятельности, должна заключить соответствующий договор с удостоверяющим центром, произвести оплату, однако владельцем сертификата ключа подписи будет лицо, уполномоченное подписывать те или иные документы ЭЦП.

Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций.

Но что же произойдет в случае, если уполномоченное лицо юридического лица или государственного (муниципального) органа перестанет таковым являться, например, вследствие прекращения действия трудового или иного договора, перевода на другую должность и т. д., будет ли продолжать действовать принадлежащий ему сертификат ключа подписи?

В соответствии со ст. 14 ФЗ одним из оснований для аннулирования удостоверяющим центром выданного им сертификата ключа подписи является получение достоверных сведений о прекращении действия документа, на основании которого оформлен сертификат ключа подписи.

Следовательно, в указанном случае по общему правилу владелец сертификата должен предоставить в удостоверяющий центр заявление об аннулировании сертификата. Но более надежным способом защиты интересов организации являются ее собственные активные действия. Как уже упоминалось, сертификат ключа подписи должен, помимо прочего, содержать сведения об отношениях, при осуществлении которых электронный документ, подписанный ЭЦП, будет иметь юридическое значение, кроме того, дополнительно в нем могут указываться должность, квалификация владельца сертификата и другие сведения. Таким образом, в случае документального подтверждения юридическим лицом изменения данных, указанных в сертификате, удостоверяющий центр обязан аннулировать выданный сертификат в связи с прекращением действия документа, на основании которого он был оформлен.

В случае аннулирования сертификата ключа подписи удостоверяющий центр оповещает об этом пользователей сертификатов ключей подписей путем внесения в реестр сертификатов соответствующей информации с указанием даты и времени аннулирования сертификата ключа подписи, за исключением случаев аннулирования сертификата ключа подписи по истечении срока его действия, а также извещает об этом владельца сертификата ключа подписи и полномочное лицо (орган), от которого получено указание об аннулировании сертификата ключа подписи.

5. Обратимся к понятиям «информационная система общего пользования» и «корпоративная информационная система».

Информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

Корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Основные различия между вышеназванными системами сводятся к следующему:

1) В соответствии с ФЗ в информационной системе общего пользования создание ключей электронных цифровых подписей осуществляется ее участником или по его обращению удостоверяющим центром. Корпоративная информационная система сама определяет порядок и процедуру создания ключей.

2) Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные ФЗ.

При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. К сожалению, на сегодняшний день ФЗ не устанавливает требований, предъявляемых к материальным и финансовым возможностям удостоверяющих центров, и ссылается на нормативные акты Правительства, которые до настоящего времени не приняты.

В отличие от сетей общего пользования, статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.

В действительности установление требований к материальным и финансовым возможностям удостоверяющих центров имеет очень большое значение, более того, представляется вполне обоснованным, помимо этих требований, ввести обязательное страхование деятельности удостоверяющих центров (по аналогии с деятельностью нотариусов), а также установить зависимость между размером собственных активов удостоверяющего центра и суммой сделки, ЭЦП в которой он вправе удостоверять.

Реальная возможность пользователей ЭЦП компенсировать за счет удостоверяющего центра убытки, понесенные вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей, формирует, с одной стороны, большее доверие к ЭЦП, а с другой стороны, вынуждает удостоверяющий центр подходить более ответственно к выполнению своих функций. Возможно, это позволило бы приравнять документ (подпись) на бумажном носителе, заверенный нотариусом, к электронному документу, заверенному ЭЦП, подтвержденной удостоверяющим центром, действующим в сети общего пользования.

В соответствии с п. 2 ст. 8 ФЗ деятельность удостоверяющих центров подлежит лицензированию. Существующая формулировка данного положения позволяет говорить о том, что законодатель устанавливает необходимость лицензирования деятельности удостоверяющих центров, действующих как в информационных сетях общего пользования, так и в корпоративных сетях. Учитывая, что положение о лицензировании данного вида деятельности до сих пор не принято, остается только предположить, что оно, помимо прочих требований к претенденту на получение лицензии, будет содержать требования, направленные на защиту имущественных прав участников информационной системы.

3) Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.

4) В отличие от информационной системы общего пользования, в корпоративной системе содержание информации в сертификатах ключей подписей, порядок ведения реестра сертификатов ключей подписей, порядок хранения аннулированных сертификатов ключей подписей, случаи утраты указанными сертификатами юридической силы, а также порядок приостановления действия сертификата ключа подписи и ликвидации удостоверяющего центра в корпоративной информационной системе регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы.

5) В соответствии с ФЗ при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи.

На первый взгляд такая формулировка позволяет сделать вывод о том, что в корпоративных сетях, за исключением корпоративных информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления (п. 3 ст. 5 ФЗ), могут использоваться несертифицированные средства ЭЦП, но и здесь не все так однозначно.

6. Всегда ли на практике можно однозначно отличить эти два вида сетей?

Возьмем, к примеру, информационную сеть банка. С одной стороны, ее участниками могут быть клиенты и партнеры банка, т. е. банк сам определяет круг участников. С другой стороны, договоры, заключаемые банком с клиентами, как правило, носят публично-правовой характер (например, ст. 834, ст. 846 ГК РФ), что означает, что банк не вправе отказать физическому или юридическому лицу в их заключении. Следовательно, клиентом банка, а также участником информационной сети может стать любое обратившееся в банк лицо. Тем не менее ФАПСИ в письме «О разъяснении положений нормативных правовых актов Российской Федерации» от 20.01.2003 N 18/3-212 указывает, что исходя из сложившейся практики информационные системы, создаваемые банками для обслуживания клиентов, рассматриваются как корпоративные.

Другой пример — информационная сеть, сформированная налоговыми органами в г. Москве для сдачи налоговой и бухгалтерской отчетности в электронном виде. Пользователями созданной сети могут быть налогоплательщики г. Москвы, т. е. круг участников ограничен по территориальному признаку. Несмотря на это, любой налогоплательщик г. Москвы вправе при наличии технических возможностей перейти на безбумажную технологию сдачи налоговой (бухгалтерской) отчетности.

Исходя из формулировки, данной ФЗ, представляется более логичным считать приведенные информационные сети корпоративными, однако в таком случае существует ли в настоящее время в России хотя бы одна информационная система общего пользования? А если такой системы не существует, то большинство наиболее важных положений ФЗ повисают в воздухе, так как отношения, на урегулирование которых они направлены, еще не сложились. Что касается корпоративных сетей, то, как уже было сказано, большую часть условий их функционирования определяют их собственники и участники.

Таким образом, отсутствие четких законодательных определений, позволяющих однозначно охарактеризовать информационную систему как корпоративную или систему общего пользования, вносит неопределенность в правовое положение участников электронного документооборота и создает благодатную почву для нарушения их прав. Обращает на себя внимание и тот факт, что данный пробел в законодательстве пытаются восполнить министерства и ведомства путем издания на основе имеющейся практики подзаконных нормативных актов, что не может, на взгляд автора, рассматриваться как нормальный ход вещей, учитывая ключевой характер разрешаемых вопросов.

7. Теперь остановимся на средствах ЭЦП и их сертификации.

Средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

Сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

Как уже говорилось, в соответствии с п. 2 ст. 5 ФЗ при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Формулировка данного положения и отсутствие в ФЗ каких-либо указаний на этот счет относительно корпоративных сетей позволяют сделать вывод о том, что в них ЭЦП может создаваться с помощью несертифицированных средств ЭЦП.

Однако следует обратить внимание на то, что создание ЭЦП — это только одна из функций средств ЭЦП; другой не менее важной функцией является подтверждение подлинности ЭЦП с использованием открытого ключа подписи.

Законодатель дает следующее определение подтверждения подлинности ЭЦП в электронном документе — это положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности ЭЦП в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной ЭЦП электронном документе.

Таким образом, подтверждение подлинности ЭЦП возможно только с помощью сертифицированного средства ЭЦП, и здесь законодатель не делает исключений для корпоративных информационных систем.

Сложно сказать, случайным или умышленным является соседство двух этих формулировок, но в пользу последнего свидетельствует тот факт, что законодатель, запрещая использование несертифицированных средств ЭЦП в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, применяет термин «использование», не разделяя его на создание ЭЦП и подтверждение ее подлинности. Но, так или иначе, нынешние положения ФЗ позволяют говорить о том, что средства ЭЦП, обеспечивающие подтверждение подлинности подписи, должны быть сертифицированными как в сетях общего пользования, так и в корпоративных сетях.

Данное обстоятельство может стать основанием для привлечения к ответственности участников электронного документооборота, использующих несертифицированные средства ЭЦП.

В заключение хотелось бы обратить внимание на то, что в соответствии с п. 2 ст. 5 ФЗ возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.

Представляется, что данный пункт является не совсем корректным, т. к. создатели и распространители средств ЭЦП не в состоянии отследить то, с какой целью приобретается их программный продукт, в какой сети предполагается его использование. В связи с этим возложение на создателя или распространителя ответственности за вред, причиненный в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, является нелогичным и, более того, может позволить недобросовестным пользователям средств создания ЭЦП избежать ответственности путем ее переложения на плечи производителя (распространителя) средства ЭЦП.

Итак, на Закон «Об электронной цифровой подписи» возлагались большие надежды, предполагалось, что он создаст правовую основу для постепенного развития электронной коммерции, широкого использования электронного документооборота и электронных цифровых подписей. Однако прошедшее время показало, что принятие Закона «Об электронной цифровой подписи» не повлекло каких-либо стремительных изменений ни в работе организаций, уже использующих ЭЦП, ни организаций, которые ЭЦП пока не применяют. Принятый Закон только заложил основы для дальнейшего развития, и в этом его безусловная заслуга, однако за пределами его регулирования остался целый ряд вопросов, что поставило эффективность его применения в зависимость от дальнейшего нормотворчества, в том числе от принятия многочисленных подзаконных ведомственных актов, его конкретизирующих.

——————————————————————