пятница, 4 марта 2011 г.

Проект закона об электронной подписи: Насколько он гармонизирован с европейским законодательством? Часть II

Продолжая тему гармонизации, сравним, что о трех видах подписи говорится в проекте федерального закона и в Евродирективе.

Простая электронная подпись

В проекте закона об электронной подписи простая подпись определяется следующим образом:
Проект № 305592-5 федерального закона «Об электронной подписи» (второе чтение, февраль 2011 года)

Статья 5. Виды электронных подписей

2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Статья 2. Понятия, используемые в настоящем Федеральном законе

1) электронная подпись - информация в электронной форме, которая присоединена или иным образом связана с другой информацией в электронной форме (подписываемой информацией) и которая используется для определения лица, подписывающего информацию
Европейское законодательство не содержит специального определения «простой подписи», под нею понимается электронная подпись, не удовлетворяющая требованиям к усиленной электронной подписи. Общее же определение электронной подписи, напомню, следующее:
Директива 1999/93/EC Европейского Парламента и Совета от 13 декабря 1999 года об основах использования электронных подписей в Европейском Сообществе

Статья 2. Определения

1. «электронная подпись» - данные в электронной форме, которые присоединены или логически ассоциированы с другими электронными данными, и которые используются в качестве метода аутентификации
На мой взгляд, Евродиректива написана более логично, и определение «простой электронной подписи» в отечественном проекте избыточное.

Усиленная (неквалифицированная) электронная подпись

В данном случае наши законодатели не преминули внести свой вклад в мировую терминологию, и придумали не слишком благозвучный термин «неквалифицированная подпись».
Проект № 305592-5 федерального закона «Об электронной подписи» (второе чтение, февраль 2011 года)

Статья 5. Виды электронных подписей

3. Неквалифицированной электронной подписью является электронная подпись, которая соответствует следующим признакам:
а) электронная подпись получена в результате криптографического преобразования информации с использованием ключа подписи;
б) электронная подпись позволяет определить лицо, подписавшее электронный документ;
в) электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после его подписания;
г) электронная подпись создается с использованием средств электронной подписи.
Европейская директива содержит следующее определение:
Директива 1999/93/EC Европейского Парламента и Совета от 13 декабря 1999 года об основах использования электронных подписей в Европейском Сообществе

Статья 2. Определения

2. Под "усиленной электронной подписью" понимается электронная подпись, соответствующая следующим требованиям:
(a) она однозначно взаимосвязана с подписантом;
(b) она позволяет идентифицировать подписанта;
(c) она создается с помощью средств, которые подписант может полностью держать под своим личным контролем ; и
(d) она взаимосвязана с теми данными, к которым она относится, таким образом, что любое последующее изменение этих данных может быть обнаружено.
В европейском определении не упоминаются конкретные технологии (криптографическое преобразование). Зато есть требование о возможности для подписанта держать средства создания подписи под своим полным контролем. На мой взгляд, здесь имеет место существенное расхождение требований.

Квалифицированная электронная подпись

Определение, данное в проекте, следующее:
Проект № 305592-5 федерального закона «Об электронной подписи» (второе чтение, февраль 2011 года)

Статья 5. Виды электронных подписей

4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
а) ключ проверки электронной подписи указан в квалифицированном сертификате;
б) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Европейское законодательство, однако, требует – к добру или к худу - от квалифицированной подписи существенно большего. Специально термин «квалифицированная подпись» не вводится, а используется понятие «усиленная электронная подпись, основанная на квалифицированном сертификате», и требования устанавливаются в отношении квалифицированного сертификата.
Директива 1999/93/EC Европейского Парламента и Совета от 13 декабря 1999 года об основах использования электронных подписей в Европейском Сообществе

Статья 2. Определения

10. «квалифицированный сертификат» - сертификат, соответствующий требованиям, перечисленным в Приложении 1, и выпускаемый поставщиком сертификационных услуг, соответствующим требованиям, перечисленным в Приложении 2.

Приложение 1. Требования к квалифицированным сертификатам

Квалифицированные сертификаты должны содержать:
  • (a) указание на то, что сертификат выпущен как квалифицированный;

  • (b) идентификацию поставщика сертификационных услуг и страны, в которой он зарегистрирован;

  • (c) имя либо псевдоним подписанта, и соответствующую идентификацию, является ли это именем или псевдонимом;

  • (d) возможность включения специфических атрибутов подписанта, где это уместно, в зависимости от цели выпуска сертификата;

  • (e) данные для проверки подписи, соответствующие данным для создания подписи, находящимся под контролем подписанта;

  • (f) указание начала и конца периода действительности сертификата;

  • (g) идентификационный код сертификата;

  • (h) усиленную электронную подпись поставщика сертификационных услуг, выпустившего сертификат;

  • (i) ограничения на использование сертификата, где это уместно), и

  • (j) ограничения на величину транзакций, для выполнения которых может быть выпущен сертификат (где уместно).

Приложение 2. Требования к поставщикам сертификационных услуг, выпускающих квалифицированные сертификаты

Поставщики сертификационных услуг должны:
  • (a) продемонстрировать необходимый уровень надёжности оказания сертификационных услуг;

  • (b) обеспечить функционирование актуального и защищённого справочника и защищённой и мгновенно действующей службы отзыва сертификатов;

  • (c) обеспечить возможность точно определить даты выпуска и отзыва сертификата;

  • (d) проверять, используя надлежащие средства, соответствующие национальному законодательству, личность и, где это уместно, иные специфические атрибуты лица, для которого выпускается квалифицированный сертификат;

  • (e) нанимать персонал, обладающий экспертными знаниями, опытом и квалификацией, необходимой для оказания услуг; в частности, обладающий компетенцией в плане руководства, опытом работы с технологией электронной подписи и знакомый с надлежащими процедурами безопасности. Поставщики сертификационных услуг должны также использовать адекватные и соответствующие признанным стандартам процедуры администрирования и управления;

  • (f) использовать заслуживающие доверия системы и продукты, защищённые от модификации, и обеспечивать техническую и криптографическую безопасность поддерживаемого ими процесса;

  • (g) принимать меры против подделки сертификатов, и, в тех случаях, когда поставщик сертификационных услуг создает данные для создания подписи, гарантировать конфиденциальность в ходе процесса создания таких данных;

  • (h) иметь достаточные финансовые ресурсы для функционирования в соответствии с требованиями, установленными Директивой, - в частности, в части взятия на себя риска материальной ответственности за причинённый ущерб (например, оформив соответствующую страховку);

  • (i) документировать всю соответствующую информацию, касающуюся квалифицированных сертификатов, и сохранять её в течение надлежащего периода времени, в особенности с целью обеспечить доказательства сертификации на случай судебных разбирательств. Подобное документирование может вестись в электронной форме;

  • (j) не сохранять и не копировать данные для создания подписей лица, которому поставщик сертификационных услуг оказал услуги по управлению ключами;

  • (k) перед вступлением в контрактные обязательства с лицом, желающим получить сертификат в целях электронного подписания, проинформировать это лицо, с использованием долгоживущих средств передачи информации, о точных условиях использования сертификата, - в том числе обо всех ограничениях на его использование, о существовании схемы добровольной аккредитации и о процедурах подачи жалоб и разбора конфликтных ситуаций. Подобная информация, которая может быть передана в электронной форме, должна быть представлена в письменной форме и изложена понятным языком. Соответствующие части этой информации могут также быть предоставлены по запросу третьим сторонам, которые полагаются на сертификат;

  • (l) использовать заслуживающие доверия системы для хранения сертификатов в проверяемой форме, так что:
    • только авторизованные лица могут вносить записи и изменения,
    • должна быть возможность проверить аутентичность информации,
    • сертификаты должны быть публично доступными для извлечения только в тех обстоятельствах, на которые было получено согласие владельца сертификата; и
    • любые технические изменения, компрометирующие данные требования по безопасности, должны быть очевидными для операторов.
Помимо этого, Евродиректива (в п.1 ст.5) устанавливает презумпцию подлинности усиленной электронной подписи на квалифицированном сертификате, но при условии, что она создана с помощью защищённого устройства для создания подписи. Таким образом, европейское понимание квалифицированной подписи включает и использование защищённого устройства для создания подписи.

Учитывая всё это, можно уверенно сказать, что подавляющее большинство российских квалифицированных подписей не будут признаны таковыми нашими европейскими партнерами.

Источники: сайт Государственной Думы / Европейский правовой портал
http://rusrim.blogspot.com/2011/02/blog-post_2505.html
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:EN:PDF

7 комментариев:

  1. Ко всему прочему, я бы добавил ещё и противоречивость нашего закона, ну например самое очевидное, Статья 5 электронная подпись позволяет определить лицо, подписавшее электронный документ; а дальше смотрим, Статья 10: 1) обеспечивать конфиденциальность ключа подписи, в частности, не допускать использование принадлежащих им ключей подписи без их согласия;
    ===================
    Из всего этого вывод, как только ключи будут переданы другому лицу (пусть даже с согласия владельца), то сразу перестаёт выполнятся Статья 4, поскольку будет возможно определить владельца ключа, но не возможно определить автора подписи! Разница понятна?

    ОтветитьУдалить
  2. Если я правильно понимаю идеологию проекта, то в случае передачи ключей усиленной ЭП с соглавия владельца, именно владелец сертификата будет считаться подписантом и нести всю ответственность за последствия подписания. Это IMHO не особенно отличается как от практики использования факсимиле, так и от заложенной в проекте возможности использования автомата для подписания документов - и по сути легализует общераспространенную практику подписания за начальника.

    ОтветитьУдалить
  3. 1. практика подписания взамен кого то - это пагубная практика и противоречит процедурам "доверенностей", порождает безответственность и провоцирует злоупотребления.
    2. Тот вывод который вы делаете - это ваша логика, законы следует читать буквально без домыслов, а там написано, "электронная подпись позволяет определить лицо, подписавшее электронный документ;". А каким например образом разрулить ситуацию, если я представлю доказательства что в данный момент находился где то в самолете и не мог физически "подписать" документ. Это что уже тогда не электронная подпись выработана? Неряшливое какое то обращение со словами в законопроекте. Я бы и не придирался, если бы написали, что то в роде "электронная подпись позволяет определить лицо, чей закрытый ключ использовался при выработке подписи;"

    ОтветитьУдалить
  4. Я согласна, что нехорошо, когда такие положения остаются открытыми для интерпретации.

    Замечу, что вообще-то, с тем же успехом, можно было бы и применение ЭП/ЭЦП в целом назвать "пагубной практикой, порождающей безответственность и провоцируеющей злоупотребления". То ли дело подписывать только лично, вручную, в присутствии нотариуса, полицмейстера, врача и двух понятых (и, конечно, чтобы видеозапись велась)! :)))

    Не нужно самих себя перепугивать - подписание "за начальника" не исключение, а, скорее, правило, в том числе и в госорганах. И ничего, за все эти годы проблемы, конечно, случались, но в не таком уж большом количестве. А раз реальный риск невелик, зачем гнаться за идейной чистотой и криминализировать общепринятую практику? Кто выиграет от такого завинчивания гаек?

    Что же касается примера с физической невозможностью подписать, то, раз законопроект не исключает передачу средства создания ЭЦП в другие руки, и раз человек не известил УЦ об утрате/компрометации средства для создания ЭЦП, - то, думаю, суд с большой вероятностью скажет, что в таком случае все негативные последствия должен нести сам владелец ЭЦП, и признает подпись подлинной.

    Конечно, разбор полётов будет гораздо сложнее в ситуации, в которой владелец сертификата уже успел уйти в мир иной, либо был признан недееспособным.

    ОтветитьУдалить
  5. "подписание "за начальника" не исключение, а, скорее, правило" - вопрос, а на кой тогда вообще начальник нужен?
    И разговор тут не о закручивании гаек , а о том, что ЭЦП должен вырабатывать только владелец ключей, а вот имел ли он право это делать на конкретном документе - это уже второй вопрос.
    Пример из обычной бумажной жизни - в зарплатной ведомости, если идёт получение денег взамен, но с согласия другого лица, я не думаю что вы в графе пишите (подделываете) ручкой подпись исходного получателя денег. Пишется подпись текущего получателя и основание (доверенность) в противном случае вам никто ни когда денег не выдаст.
    Зачем плодить разные сущности и процедуры?

    ОтветитьУдалить
  6. ...я не думаю что вы в графе пишите (подделываете) ручкой подпись исходного получателя денег...

    Сергей, Вы точно в этой стране живёте? :))))))

    ОтветитьУдалить
  7. Сдаюсь :-(
    Какая страна - такие и законы.
    Не жили богато, не чего и привыкать.

    ОтветитьУдалить