среда, 6 февраля 2019 г.

Франция: Нормативное определение понятия «электронный сейф»


Данная заметка Кристиана Дюбура (Christian Dubourg – на фото), директора по маркетингу компании Spark Archives (входит в состав группы Klee Group) была опубликована 22 января 2019 года в социальной сети LinkedIn

Вернемся к появлению в законодательстве Франции понятия электронный сейф (coffre-fort numérique).

Есть в законодательно-нормативном регулировании такие вопросы, которые требуется время, чтобы обрести форму. Тема «электронного сейфа» как раз из их числа. Знаете ли вы, что это понятие проникло во французский Кодекс почтовых услуг и электронных коммуникаций (Code des postes et des communications électroniques)? Конечно, часто трудно приветствовать появление нового нормативного текста, который добавляется ко многим другим, в дополнение к уже существующим нормам. Однако в случае с электронным сейфом законодатель счёл необходимым защитить потребителя ввиду множества предложений на рынке, точно определив, чего потребитель вправе ожидать от услуги электронного сейфа. С 1 января 2019 года во Франция введено чёткое нормативное определение, которое позволяет рассортировать существующие предложения рынка. Электронный сейф наконец нашёл свое место, сильно ориентированное на обслуживание широкой публики, - при этом также разъяснено, как электроный сейф соотносится с системами управления электронными документами (Système d’Archivage Electronique, SAE – это либо собственная система организации, либо система доверенной третьей стороны – поставщика услуг хранения, которая принимает на хранение электронные документы и обеспечивает их надёжную сохранность, в том числе в длительной перспективе – Н.Х.).

Статья L103 Кодекс почтовых услуг и электронных коммуникаций, отмененная в январе 1992 года, получила новое рождение 4 октября 2017 года благодаря Постановлению № 2017-1426, статья 1 которого была посвящена новому определению услуги электронного сейфа (см. https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000035723778&dateTexte=20190123&categorieLien=id#LEGIARTI000035723778 ). Три дня спустя это определение было повторено в Законе № 2016-1321 от 7 октября 2016 года «Об электронной Республике» (LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique,  https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033202746&dateTexte=20190123 , о нём см. также http://rusrim.blogspot.com/2016/10/blog-post_55.html - Н.Х.).

Ряд игроков на рынке услуг электронного сейфа приложили массу усилий для того, чтобы услуги электронного сейфа были упомянуты во французском законодательстве, с тем, чтобы упростить их использование потребителями. Согласно ст. 87 этого закона, часть II книги III Кодекса почтовых услуг и электронных коммуникаций была дополнена статьей L.137 (см.  https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000033206958&dateTexte=20190123&categorieLien=id#LEGIARTI000033206958 ), установившей 5 «столпов» оказания услуги электронного сейфа:
  • Услуга должна позволять подтверждать целостность и точность происхождения управляемого ею электронного контента;

  • Должны быть реализованы отслеживаемость операций, выполняемых над документами или данными, и доступность этой информации пользователю;

  • Услуга должна позволять идентифицировать пользователя при доступе к ней с помощью электронных средств идентификации, соответствующих положениям статьи L.136;

  • Услуга должна предоставлять доступ к электронным документам, пользовательским данным и данным, связанным с использованием услуги пользователем, исключительно тем третьим сторонам (помимо самого поставщика услуги «электронного сейфа»), которые явным образом авторизованы пользователем на доступ к этим документам и данным и, где это необходимо, поставщику услуг электронного сейфа, выполняющему обработку этих документов или данных исключительно в интересах пользователя и после получения его явного согласия в соответствии с Законом №78-17 от 6 января 1978 года «Об информатике, о делах и свободах»  (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés,  см. https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20190601 );

  • У пользователя должна быть возможность получать документы и данные в открытом стандартизованном формате, обеспечивающим их легкое повторное использование и обработку с помощью автоматизированной системы обработки данных, - за исключением документов, первоначально поданных в неоткрытом формате или в формате, не способствующем их повторному использованию, которые могут быть возвращены в их исходном формате.
Статья добавлена в текст закона с целью регламентации данной услуги и предоставлению потребителю средства воздействия на своего поставщика в случае несоблюдения тем нормативных требований. В статье говорится: «Поставщик, который оказывает услугу «электронного сейфа», определенную в пп.1–5 статьи L.137 Кодекса почтовых услуг и электронных коммуникаций, и который не соблюдает свои обязательства, подлежит наказанию согласно ст.ст. L.132-2 и L.132-3 настоящего Кодекса.»

Завершая создание нормативной базы для сервиса «электронного сейфа», 30 мая 2018 г. был опубликован Декрет №2018-418 от 30 мая 2018 года о порядке оказания услуг «электронного сейфа» (Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036964260&dateTexte=20190125о нём см. также http://rusrim.blogspot.com/2018/06/blog-post_72.htmlН.Х.).

Данный декрет добавил новые положения, касающиеся электронного заказного письма (lettre recommandée électronique).

Мой комментарий: Возможно, автором здесь  допущена ошибка, т.к. заказным электронным письмам был посвящён  другой нормативный документ – Декрет №2018-347 от 9 мая 2018 года об электронных заказных письмах (Décret n° 2018-347 du 9 mai 2018 relatif à la lettre recommandée électronique, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036896852&dateTexte=20190125 ).

Также в Кодекс была добавлена статья R.55-1 об обязанности предоставления поставщиком, до заключения договора, четкой и достоверной информации о порядке функционирования и использования услуги. В статью R.55-2 также была добавлена обязанность поставщика указать в технической документации способ, при помощи которого он будет обеспечивать соблюдение нормативных требований. Были даны разъяснения в части обязанности обеспечить прослеживаемость операций, выполняемых сервисом «электронного сейфа», а именно:
  • Протоколирование и фиксация времени и даты фактов доступа и попыток доступа;

  • Протоколирование операций, влияющих на содержание или организацию данных и документов пользователя;

  • Протоколирование операций технического обслуживания, влияющих на данные и документы, хранящиеся в электронных сейфах;

  • Сроки хранения этих контрольных данных в обязательном порядке должны быть установлены в договоре о предоставлении услуг «электронного сейфа».
Наконец, статья R55-6 завершила составление списка обязанностей, связанных с механизмом доступа к услуге, сделав обязательным:
  • Механизм контроля доступа, позволяющий открывать электронный сейф только авторизованным пользователем лицам;

  • Меры безопасности, обеспечивающие конфиденциальность хранимых документов и данных, а также соответствующих метаданных;

  • Шифрование при оказании услуги электронного сейфа всех документов и данных, хранящихся в электронном сейфе или передаваемых в него или из него. Такое шифрование должно выполняться с использованием современных криптографических механизмов и должно допускать изменение длины используемых ключей и применяемых алгоритмов. Соответствие требованию об использовании современных технологий презюмируется в случае, когда применяемые в этих операциях шифрования механизмы  соответствуют правилам и рекомендациям Национального агентства по безопасности информационных систем (Agence nationale de sécurité des systèmes d'information) в отношении выбора криптографических механизмов и их параметров.
Упомянутый декрет вступил в силу с 1 января 2019 года.

Кристиан Дюбур (Christian Dubourg)

Источник: сайт LinkedIn
https://www.linkedin.com/pulse/coffre-fort-num%C3%A9rique-d%C3%A9finition-r%C3%A9glementaire-christian-dubourg/

Комментариев нет:

Отправить комментарий