среда, 26 апреля 2017 г.

Французский подход к использованию электронных подписей, часть 2


(Окончание, начало см. http://rusrim.blogspot.ru/2017/04/1.html )

Уровни технической и правовой надёжности

Во Франции электронные подписи бывают различных уровней, которые следует понимать не как уровни действительности подписи, а как уровни её технической и правовой надежности и защищённости.

Уровень 1: Простая электронная подпись (signature électronique simple)

При использовании «простой» электронной подписи на лицо, предоставившее инструмент для электронного подписания ложится бремя доказывания надежности этого процесса (Статья 1 декрета № 2001-272 от 30 марта 2001 года о применении ст. 1316-4 Гражданского кодекса в отношении электронных подписей определяет электронную подпись как «Данные, полученные в результате использования процесса, отвечающего условиям, установленным в первом предложении второго абзаца статьи 1367 Гражданского кодекса». Данные для создания электронной подписи далее определяются как «Специфические для подписанта элементы, такие как закрытые криптографические ключи, используемые им для создания электронной подписи»). На практике для исполнения этого бремени доказывания требуются дополнительные правовые гарантии, такие, как договорные обязательства поставщика электронной подписи, аудит соответствия, юридическое заключение, политика электронной идентификации, правила доказывания и соответствующие документы по управлению доказательствами.

Простая электронная подпись была признана вполне допустимой французской судебной практикой, в частности, решениями Кассационного суда (Cour de Cassation – высшей судебной инстанции Франции – Н.Х.) в отношении договоров страхования (см. статью Полианны Бигль «Онлайн-подписание страховых документов электронной подписью» - L’assurance assure avec la signature électronique en ligne, https://www.alain-bensoussan.com/avocats/signature-electronique-en-ligne/2016/06/22/ ).

Французская «простая электронная подпись» не совсем идентична обычной «электронной подписи», предусмотренной законом eIDAS, поскольку закон Евросоюза гораздо менее требователен в этом вопросе, чем французские правила (согласно п.10 ст.3 закона eIDAS, электронная подпись – это «данные в электронной форме, которые присоединены или логически ассоциированы с другими данными в электронной форме, и которые используются подписантом для подписания).

Уровень 2: Защищённая электронная подпись (signature électronique sécurisée)

Защищённая электронная подпись должна удовлетворять требованиям к простой электронной подписи, а также дополнительным требованиям, предусмотренным статьей 1 декрета от 30 марта 2001 года, а именно:
  • подпись должна быть неразрывно связанной с подписантом (être propre au signataire);

  • подпись должна создаваться с помощью средств, находящихся под единоличным контролем подписанта;

  • должна быть обеспечена неразрывная связь подписи с документом, к которому она прикреплена, таким образом, чтобы любое последующее изменение в документе могло быть обнаружено.
В законе eIDAS используется термин «усиленная электронная подпись». Хотя французский законодатель не счел нужным воспользоваться реформой Гражданского кодекса, проведенной в октябре 2016 года, для гармонизации французской и европейской терминологии, однако требования к таким видам подписи соответственно во французском и европейском праве аналогичны.

Примечание: согласно ст.26 eIDAS и «Исполнительному решению Еврокомиссии 2015/1506 от 8 сентября 2015 года, устанавливающему требования к форматам усиленных электронных подписей и усиленных печатей,  признаваемых учреждениями и организациями государственного сектора в соответствии со ст. 27(5) и 37(5) утвержденного Европейским Парламентом и Советом Регламента № 910/2014 относительно электронной идентификации и услугам в области доверия для электронных транзакций на внутреннем рынке» (Commission Implementing Decision (EU) 2015/1506 of 8 September 2015 laying down specifications relating to formats of advanced electronic signatures and advanced seals to be recognised by public sector bodies pursuant to Articles 27(5) and 37(5) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market, http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:JOL_2015_235_R_0006&from=EN  ), «Усиленная электронная подпись обязана удовлетворять следующим требованиям:
  • Подпись однозначно связана с подписантом;

  • Подпись способна идентифицировать подписанта;

  • Подпись создана с помощью данных для создания электронной подписи (говоря попросту, ключа подписания – Н.Х.), которые подписант с высокой степенью уверенности может использовать под своим единоличным контролем; и 

  • Подпись взаимосвязана с подписываемыми данными таким образом, что любое последующее изменение данных может быть обнаружено.»
Есть и определенное различие: согласно eIDAS, данные для создания электронной подписи могут использоваться под исключительным контролем подписанта «с высокой степенью доверия» (п.(с) ст 26 eIDAS). Таким образом, концепция «единоличного контроля» французского права (основанная на Евродирективе 1999 года) становится более гибкой, допуская – судя по всему – дистанционное создание усиленных электронных подписей.

Преимущество защищённой – или усиленной - электронной подписи заключается в том, что бремя доказывания надежности процесса снижается благодаря тем требованиям по безопасности, которым такая подпись должна удовлетворять.

На практике могут возникать трудности, связанные с тем, что в настоящее время нет официальной маркировки или сертификации, подтверждающей, что подпись является защищённой или усиленной. Иными словами, в этом случае также придётся обеспечить дополнительные правовые гарантии, описанные выше для простой электронной подписи.

Уровень 3: Электронная подпись с презумпцией подлинности (signature électronique présumée fiable)

Согласно статье 2 вышеупомянутого декрета от 30 марта 2001 года электронная подпись пользуется презумпцией подлинности в случае, когда «в процессе подписания защищенная электронная подпись создается с помощью защищённого устройства для создания защищённой электронной подписи, и проверка такой подписи основана на квалифицированном электронном сертификате».

Преимущество презумпции подлинности заключается в перекладывании бремени доказывания на другую сторону: теперь уже сторона, оспаривающая электронную подпись, должна представить технические доказательства того, что устройство для создания подписи или квалифицированный сертификат электронной подписи являются недоброкачественными.

В законе eIDAS этот вид подписи называется «квалифицированной электронной подписью», и к ней предъявляются требования, аналогичные требованиям к французской электронной подписи с презумпцией подлинности (согласно eIDAS, под квалифицированной подписью понимается «усиленная электронная подпись, созданная с помощью квалифицированного устройства для создания подписи и основанная на квалифицированном сертификате электронной подписи». – Таким образом, практически все российские квалифицированные подписи не являются квалифицированными в смысле eIDAS, поскольку при их создании не используются «квалифицированные устройства для создания подписи» - Н.Х.).

В этом плане интересно отметить, что закон eIDAS идёт дальше французского законодательства, поскольку вводит следующие два принципа:
  • принцип эквивалентности: квалифицированная электронная подпись имеет ту же юридическую силу, что и собственноручная подпись;

  • принцип недискриминации: юридическая сила электронной подписи в ходе судебного процесса не может отрицаться исключительно на том основании, что подпись является электронной или же не является «квалифицированной».
Статус и знак доверия

Закон eIDAS, который начал непосредственно применяться во всех государствах-членах Евросоюза с 1 июля 2016 года, направлен на дополнение существующего законодательства и на расширение взаимного признания и принятия электронной идентификации (eID), электронной аутентификации и электронных подписей.

Данный закон также вводит единый статус, создает в каждой стране национальный контролирующий орган, и вводит знак доверия (trust mark) для поставщиков услуг доверия (trust service providers, TSP). Для того, чтобы воспользоваться этим знаком, поставщики должны получить квалификацию, которая будет признана в Евросоюзе. В таком случае в их отношении будет применяться двойная презумпция: их услуги будут предполагаться надежными, но они также будут считаться по умолчанию виновными в случае возникновения проблем, связанных с их услугами в области доверия.

Последствия

Несмотря на европейскую стандартизацию, позволяющую уверенно выбирать среди различных предложений TSP-услуг доверия в масштабе всей Европе, при внедрении электронной подписи все еще требуется решить две проблемы:
  • Во первых, согласно французскому законодательству, необходимо выполнить определенные специфические требования в отношении некоторых правовых инструментов и их формирования;

  • Во-вторых, на международном уровне отсутствуют единые или единообразные правила для электронных подписей. В эпоху глобализации торговли и деловых транзакций, этот недостаток порождает риск непризнания документов, подписанных электронным способом в другой стране.
Выводы

В заключение можно сказать, что электронная подпись является правовым и техническим инструментом, признаваемым законодательством Франции и Евросоюза.

Примечание: дополнительную информацию об электронных подписях см. в опубликованном в ноябре 2015 года журналом Archimag практическом руководстве  №53 «Информационное право» (Droit de l’information). См. также на сайте фирмы Lexing - Alain Bensoussan Avocats публикацию Полианны Бигль и Эрика Барбри (Eric Barbry) «Закон eIDAS об идентификации при выполнении электронных транзакций» (Règlement eIDAS sur l’identification pour les transactions électroniques,  https://www.alain-bensoussan.com/avocats/reglement-eidas-identification-transactions-electroniques/2016/04/19/ , апрель 2016 г.) и заметку Полианны Бигль «Электронная подпись в Европе: Новый этап» (Signature électronique en Europe : nouvelle étape, https://www.alain-bensoussan.com/avocats/signature-electronique-europe-2/2014/09/17/ , сентябрь 2014 г.).

Мой комментарий: В случае проблем с доступом к сайту фирмы Lexing - Alain Bensoussan Avocats ( https://www.alain-bensoussan.com ) используйте анонимайзер.

При всём этом, анализ правовых и технических рисков является необходимой предпосылкой для реализации любых проектов, связанных с использованием электронной подписи. В противном случае проект может зайти в тупик, юридическая сила документов может быть оспорена, в результате чего под угрозой окажется деловая деятельность организации. Также рекомендуется принятие дополнительных мер, обеспечивающих правовую безопасность, с тем, чтобы в упреждающем режиме управлять техническими спорами, касающимися электронной подписи.

Полианна Бигль (Polyanna Bigle)

Источник: сайт фирмы Lexing - Alain Bensoussan Avocats
https://www.alain-bensoussan.com/wp-content/uploads/2017/04/34237175.pdf

Комментариев нет:

Отправить комментарий