среда, 6 января 2010 г.

В государственную Думу внесен проект федерального закона «Об электронной подписи»

Законопроект «Об электронной подписи» внесен в Государственную Думу 25 декабря. С его текстом, а также с сопровождающими документами, можно познакомиться по адресу: http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=305592-5&02 (чтобы раскрыть список документов, иногда надо щекнуть по тексту "Внесение законопроекта в Государственную Думу")

Посмотрев текст проекта, хочется отметить несколько наиболее важных, с моей точки зрения моментов.

Концепция электронной подписи в проекте аналогична европейской: предусмотрены три вида подписи – простая, усиленная и усиленная на основе квалифицированного сертификата. В то же время соответствие это неполное: в проекте квалифицированная подпись приравнивается в усиленной подписи на основе квалифицированного сертификата, в то время, как в Европе сейчас к квалифицированным подписям предъявляются дополнительные требование (использование защищённого устройства для создания подписи – см., например, п.1 ст.5 европейской Директивы 1999/93/EC).

Новый проект, безусловно, учел ряд критических замечаний, которые высказывались в адрес предыдущих проектов.
  • Технологическая нейтральность законопроекта,

  • Важно, что привычная ЭЦП объявляется видом усиленной электронной подписи (п.2 ст.7), что позволит не разрушать уже сложившуюся инфраструктуру открытых ключей.

  • Допускается выдача сертификатов ключа подписи юридическим лицам,

  • Информация, связанная с выдачей сертификатов, хранится до ликвидации удостоверяющего центра, при этом аккредитованные УЦ должны в случае ликвидации передать эту информацию уполномоченному федеральному органу.
Отдельная глава законопроекта посвящена простой электронной подписи, которая определяется как «информация в электронно-цифровой форме, присоединенная к другой информации в электронно-цифровой форме или логически связанная с ней, которая только указывает на лицо, подписавшее такую информацию, и не позволяет установить неизменность подписи и подписанной информации после подписания. Простая электронная подпись не имеет сертификата ключа подписи».

Законопроект открывает возможность достаточно широкого использования простой электронной подписи, в том числе (в отсутствие законодательно-нормативных актов, устанавливающих иное) содержит положение о том, что «электронные сообщения, подписанные простой электронной подписью, поступившие в государственный орган, орган местного самоуправления или должностному лицу, признаются документами, равнозначными документам на бумажном носителе, подписанным собственноручной подписью и заверенным печатью». Данный подход может помочь в реализации программ «электронного правительства», при оказании услуг, не требующих строгой идентификации граждан.

У проекта есть IMHO и ряд недостатков. Например, в определениях используются термины «ключ подписи» и «ключ проверки». Понятно, что сделана попытка уйти от конкретной технологии открытых ключей, однако, учитывая, что эта технология сейчас доминирует, следовало бы прямо указать соответствие терминологии законопроекта и терминологии инфраструктуры открытых ключей.

С моей точки зрения, нелогична конструкция, согласно которой квалифицированные сертификаты выдаются либо аккредитованными удостоверяющими центрами, либо уполномоченным федеральным органом. Лучше было бы указать, что сертификаты всегда выдаются удостоверяющими центрами - либо аккредитованными удостоверяющими центрами, либо удостоверяющими центрами, находящимися в ведении уполномоченного федерального органа.

Как мне кажется, неверно сохранять среди определений действующее определение ЭЦП, поскольку оно выбивается из общей терминологии законопроекта, и наделяет ЭЦП качествами, которыми не обладают основные виды подписей.

В п.5 ст.9 об удостоверяющем центре содержится, на мой взгляд, абсурдное положение, позволяющее – хуже, обязывающее! -  в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам, уничтожить информацию из реестра сертификатов. Такой подход исключает возможность перепроверки уже созданных электронных подписей, и может привести к существенному ущербу для заинтересованных сторон.

Ряд положений законопроекта вызвали у меня вопросы. Так, согласно п.1 ст.8 «Для создания и проверки усиленной электронной подписи должны использоваться средства электронной подписи… Средство электронной подписи при создании усиленной электронной подписи должно удовлетворять следующим требованиям: 1) показывать лицу, подписывающему информацию, под какой информацией он ставит усиленную электронную подпись». Как мне кажется, трактовать это положение можно по-разному – например, так, что средство электронной подписи должно иметь собственные независимые программно-аппаратные средства для показа подписываемых документов.

4 комментария:

  1. Я обратил внимание на то, что в законопроекте активно применяется термин "электронный документ", а самого определения электронного документа нет.
    Фразы типа пункта 1 в статье 6 ("Информация в электронно-цифровой форме, подписанная простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных нормативными правовыми актами или соглашением участников отношений."), строго говоря, нельзя рассматривать как определение "электронного документа".

    ОтветитьУдалить
  2. Действительно, нет его. Впрочем, это пока лишь проект, и, вполне вероятно, его ещё будут редактировать.

    Впрочем, это одно из немногих определений, по которым вроде бы нет споров. Хотя лично мне больше нравится определение из стандарта американского военного ведомства DoD 5015.2: "Электронный документ - это информация, зафиксированная в форме, требующей применения компьютера или другой машины для её обработки, и подпадающая под юридическое определение понятия «документ» в соответствии с законодательством".

    ОтветитьУдалить
  3. >> Впрочем, это одно из немногих определений, по которым вроде бы нет споров.

    Мне кажется, что споров нет, потому что у наших чиновников и парламентариев понятие "документ" определено на уровне генетической памяти (достаточно вспомнить "официальный документ - это документ...") :). Т.е. они даже не задаются вопросом, что подобные понятия нужно определять. А судам и арбитражам генетической памяти чиновников для определения правых и крайних будет недостаточно...

    ОтветитьУдалить
  4. Al_Bert>> А судам и арбитражам генетической памяти чиновников для определения правых и крайних будет недостаточно...

    Согласна.

    ОтветитьУдалить