Вопрос: Мой вопрос касается практики взаимодействия в электронной форме граждан и организаций с органами государственной власти. Методические рекомендации по применению ГОСТ Р 7.0.97-2016, опубликованные Федеральным архивным агентством, в пункте 4.23 «Отметка об электронной подписи» содержат примечание о том, что реквизит впервые введен стандартом. При этом в документе отсутствует методика практического использования данного реквизита.
В действительности реквизит впервые появился в совместном приказе Минкомсвязи России №186, ФСО России №258 от 27.05.2015 «Об утверждении Требований к организационно-техническому взаимодействию государственных органов и государственных организаций посредством обмена документами в электронном виде» (далее — Требования). Именно этот документ содержал описание отметки, требования к её оформлению и порядок формирования и применения. Впоследствии данный реквизит в апреле 2016 года1 был введен в Правила делопроизводства в федеральных органах исполнительной власти, утверждённые постановлением Правительства РФ от 15.06.2009 №447 (далее — Правила) — только термин, без требований к оформлению и порядка формирования и использования, а в декабре 2016 года в стандарт — почти дословно требования к оформлению, но без порядка формирования и использования.
В Требованиях в примечании к термину содержится предложение «Отметка об ЭП не является аналогом ЭП и доказательством верности данной ЭП на момент обращения пользователя к документу». Однако ни в Правила, ни в стандарт это предложение не вошло. В результате возникла коллизия, реализующаяся при взаимодействии в электронной форме граждан и организаций с органами государственной власти. При этом опубликованные рекомендации, на мой взгляд, ещё более усугубляют ситуацию.
Порядок формирования и использования реквизита, установленный Требованиями, подразумевал, что на некотором этапе работы с электронным документом в СЭД организации включался файл электронного образа документа с внедренными графическими элементами регистрационных данных и отметок об ЭП и, по всей видимости, именно этот файл предоставляется пользователю СЭД при работе с подписанным документом. Если ответ на обращение гражданина или организации составляется изначально в электронном виде, то заявителю направляется именно файл с электронным образом, при этом исполнитель уверен, что документ подписан электронной подписью и, соответственно, направляемый заявителю файл не подписывает.
В то же время законодательством предусмотрено требование к, в том числе, органам государственной власти и местного самоуправления предоставлять заявителям информацию в форме электронных документов, подписанных усиленной квалифицированной электронной подписью. Логика этого требования очевидна — такая информация юридически равносильна бумажному документу, подписанному собственноручной подписью. Однако практика, сложившаяся в организациях, применяющих СЭД, созданных на основе Требований, практически исключает исполнение требований закона.
Прошу Вас прокомментировать описанную выше проблему и дать свою оценку её значимости с точки зрения перспектив развития электронного документооборота. Если Вы сочтёте проблему достаточно значимой, прошу Вас высказать своё мнение о возможных способах устранения коллизии.
Ответ: Прежде всего, рекомендую, если будет такая возможность, познакомиться с моей статьей «Визуализация электронной подписи: отечественные и зарубежные подходы», которая была опубликована в журнале «Делопроизводство и документооборот на предприятии» еще в 2014 году, № 12, см.: https://www.eos.ru/upload/analitica/Delo_2014-12%2002.pdf
На мой взгляд, никакой коллизии нет. Мы имеем дело с двумя разными сущностями, решающими разные задачи.
- Электронный документ, подписанный успешно проверяемой усиленной квалифицированной электронной подписью, является подлинником (или, в определенных случаях, надлежащим образом заверенной копией) и имеет правовую силу.
У нас электронная подпись часто является отделенной и представляет собой отдельный файл.
Некоторым неудобством является то, что при открытии электронного документа для того, чтобы понять, что он подписан, и проверить подпись, нужны «правильные» программные средства и определенные знания; - Электронный документ, снабжённый отметкой о наличии подписи (и только ею) является незаверенной копией электронного подлинника (причём даже статус копии потенциально может быть оспорен, поскольку в подлиннике такой отметки нет, а отметка проставляется так, что неочевидно, что она – как это делается с заверяющими отметками и штампами – является добавлением к образу документа).
В ряде случаев, когда подлинник не нужен и источнику копии получатель доверяет, такой документ может быть удобен, поскольку информация о подписи и подписанте легко читается. Он не лучше и не хуже, скажем, информации, распечатанной из Интернета :)
Проблема здесь в том, что правовой силы такая копия, вообще говоря, не имеет; а отметку о наличии подписи можно легко скопировать из любого другого документа или подделать – никакой защиты она не обеспечивает, и содержащиеся в ней данные могут быть точными, а могут и не быть.
Требования к организационно-техническому взаимодействию государственных органов и государственных организаций посредством обмена документами в электронном виде, утв. Приказом Минкомсвязи России № 186, ФСО России № 258 от 27.05.2015Передавая электронный документ с визуализацией и без электронной подписи, Вы передаете незаверенную копию электронного документа. Подлинником же будет считаться только тот электронный документ, в котором имеется «настоящая» электронная подпись.
10. В процессе регистрации документа должны формироваться:
- элементы визуализации регистрационных данных и отметки об ЭП [1]
[1] Здесь и далее: отметка об ЭП предназначена только для отображения сведений о том, что документ был подписан ЭП должностного лица, информация о сертификате которого приводится в указанной отметке. Отметка об ЭП является подтверждением того, что данная ЭП была верна на момент включения документа в СЭД. Отметка об ЭП не является аналогом ЭП и доказательством верности данной ЭП на момент обращения пользователя к документу.
Разработчики ГОСТ Р 7.0.97-2016 и Правил делопроизводства в федеральных органах исполнительной власти хотели, конечно, как лучше, но результат получился «как всегда». Полностью всех запутав, в том числе и самих себя, они не поняли, что «отметка об электронной подписи» никакого отношения к реквизитам (в их традиционном понимании – обязательным элементам оформления документа) не имеет :(
Во исполнение законодательно-нормативных требований все органы государственной власти должны отправлять гражданам подлинники электронных документов с усиленной квалифицированной электронной подписью. При этом желательно информировать граждан о том, каким образом они могут эту электронную подпись проверить. Использование визуализации допустимо там, где достаточно проинформировать гражданина о каком-либо решении и нет необходимости и обязанности выдать ему имеющий юридическую силу полноценный электронный документ. Я сама уже несколько раз получала для сведения такие визуализированные копии, и, поскольку мне этого было достаточно, а источнику я доверяла, у меня такая практика возражений не вызывала.
Представление на экране или на бумаге электронного документа, подписанного электронной подписью, это копия этого электронного документа? Или это иная, неизвестная традиционному документоведению, сущность? Вне зависимости от ответа на этот вопрос - представление на экране или на бумаге электронного документа, подписанного электронной подписью, это документ или нет? Если документ, то отметка об электронной подписи - вполне себе реквизит. Если не документ, то о чем все Ваши рассуждения?
ОтветитьУдалитьПредставление на экране или на бумаге электронного документа, подписанного электронной подписью, это копия этого электронного документа? Или это иная, неизвестная традиционному документоведению, сущность?
УдалитьС моей точки зрения, когда мы создаем на экране представление на основе целостных и аутентичных файлов исходного документа, мы имеем дело именно с представлением подлинника. Чтобы это представление было верным, помимо целостности и аутентичности файлов, нужны дополнительные гарантии. Мы должны доверять программно-аппаратной среде в том, что она верно отображает файлы соответствующего формата. Мы должны быть уверены в отсутствии в электронном файле опасных элементов типа встроенного кода, которые документ превращают по сути дела в программу, способную в разных условиях выдавать разный результат. Мы должны доверять своим криптосредствам и используемой PKI-инфраструктуре, и так далее.
Если все эти гарантии есть, мы можем, конечно, назвать представление на экране подлинником, – но как только файл будет «закрыт», это представление исчезнет. Если же его каким-то образом зафиксировать, возникнет уже копия.
С бумагой ситуация иная. Возможны три основных варианта
1) С точки зрения деловых процессов, практически одновременно создаются бумажный экземпляр документа, подписанный «мокрой подписью» подписанта, и электронный документ, подписанный его же электронной подписью. Их можно считать подлинными экземплярами одного и того же документа в различной форме, а если это кого-то смущает по идеологическим соображениям, можно называть один из них «дубликатом» - который также имеет статус подлинника.
2) Документ, скажем, в бумажной форме создается позже (с точки зрения деловых процессов – например, документ, созданный первым, уже был кому-то послан, пошёл «в работу» и т.п., т.е. ход деловых операций здесь важнее астрономического времени) – и подписывается подлинной подписью того же подписанта. Он будет иметь статус «дубликата» т.е повторно созданного подлинника.
3) Документ в бумажной форме точно воспроизводит существенную информацию электронного документа, но не подписан тем лицом (лицами), которое создало электронный документ. Это копия, которая, в зависимости от наличия заверения, может быть простой, заверенной, нотариально заверенной, архивной.
В остальных случаях – это некий иной документ, непонятно как связанный с первоначальным.
Вне зависимости от ответа на этот вопрос - представление на экране или на бумаге электронного документа, подписанного электронной подписью, это документ или нет? Если документ, то отметка об электронной подписи - вполне себе реквизит. Если не документ, то о чем все Ваши рассуждения?
УдалитьДокументом в смысле стандарта ГОСТ Р ИСО 15489-1-2019 можно считать почти что всё :) Однако представление на экране – всё-таки не документ, а представление документа, поскольку его невозможно сохранить (не создав копии). Сохранение во времени – существенный признак документа.
Реквизитом можно считать любой элемент оформления, например, смайлик.
Проблема с отметкой о подписи, во-первых, в том, что в «визуализациях» часто отсутствуют положенные элементы, делающие их подлинниками либо заверенными копиями; и, во-вторых, создается ложное представление о том, что отметка о подписи действительно присутствует в оригинале, а не создана задним числом. Беседы с коллегами показывают, что многие этого не понимают!
В ряде зарубежных стран, использующих визуализацию, существуют обязательные требования о том, что всякие штампы и отметки, которые отсутствуют в оригинале, должны четко отделяться от содержания документа. Наконец, в приличных странах требуют, чтобы подобного рода отметки динамически создавались программным обеспечением на стороне получателя документа при его открытии, «вытягивая» нужные сведения непосредственно из электронной подписи в подлинном электронном документе. Для сравнения: заверяющая надпись или штамп на копии документа в нашем бумажном делопроизводстве ставились таким образом, чтобы было очевидно – это не часть оригинала, а добавленный позднее элемент.
Отметку же a la Минкомсвязи любой школьник запросто приляпает к любому документу, а хоть как-то доверять ей можно (и то до первого конфуза!) лишь на свой страх и риск, скажем, при информационном взаимодействии в доверенной среде типа СМЭВ. В суде можно доказывать, что такая визуализация примерно равноценна бумажному факсу.
Наталья, спасибо за пост по этой теме!
УдалитьСкажите, пожалуйста, если сопоставлять подходы наш и ETSI, можно ли сказать, что основное различие в том, что
- "они" при создании подписи используют функциональность формата PDF, позволяющую внедрять ЭП внутрь файла pdf (PADeS и т.п.)
- "мы" же не используем эту функциональность, подписываем файл PDF как любой другой двоичный файл, подпись хранится отдельным файлом
Как следствие, у "них" визуализацию подписи обеспечивает Adobe Reader (или иное ПО для просмотра PDF), причем достаточно просто открыть подписанный PDF, а у "нас" сложнее - до просмотра надо как-то программно сформировать рабочую копию (из исходного файла и графических штампов), а потом уже выводить этот рабочий PDF на просмотр. Верно ли такое понимание?
Добрый день, Егор. Ситуация чуть сложнее. Европейские органы по стандартизации (а, во многом с их подачи, и ИСО) выделяют 3 вида подписей – универсальную, встроенную в PDF-файлы и встроенную в XML-файлы. У нас на практике чаще используется универсальная отсоединённая подпись, а за рубежом, где усиленные электронные подписи не слишком популярны, встроенные подписи нравятся пользователям больше. Но и в России встроенные подписи тоже используются.
УдалитьДействительно, когда подписи встроенные, это позволяет и более гибко применять их (с учётом структуры файла), и защищаться от некоторых видов атак (правда, одновременно появляются и новые возможности для атак!), и более грамотно визуализировать. Проблема, с моей точки зрения, здесь во многом в том, что, по известным причинам, не во всех областях применения можно положиться на импортные продукты типа решений Adobe – своих же аналогичных пока не видно.
Наталья, спасибо большое за пояснения!
УдалитьДля ясности необходимо добавить следующее. ЭД, подписанный ЭП, визуализируется на экране - и эта визуализация есть все тот же ЭД, подписанный ЭП, и ничто иное. Как только визуализация распечатана - перед нами копия ЭД, подписанного ЭП. Отметка о наличии ЭП - специфический реквизит, присущий ЭД, подписанному ЭП. Он, разумеется, присутствует и в копиях этого ЭД, подписанного ЭП. Единственная "коллизия", которая существует, заключается в том, что слова в тексте отметки об ЭП "Документ подписан" избыточны. Текст отметки должен состоять из слов "Электронная подпись" и все. К сожалению, ни Минкомсвязь, ни Росархив с этой точкой зрения не согласны.
ОтветитьУдалитьЭД, подписанный ЭП, визуализируется на экране - и эта визуализация есть все тот же ЭД, подписанный ЭП, и ничто иное.
УдалитьМогу с этим согласиться с оговоркой – когда есть уверенность в том, что представление документа на экране точно соответствует тому, что видел его создатель. Все дополнительные элементы типа визуализации ЭП должны быт сформированы динамически на основе самой ЭП, и четко отделяться от контента документа. Это представление документа само по себе не является «документом», поскольку оно не сохраняется во времени.
Как только визуализация распечатана - перед нами копия ЭД, подписанного ЭП.
Если в распечатке появляются элементы, отсутствовавшие в оригинале и не отделенные четко и недвусмысленно от содержания оригинала, то это даже не копия, а непонятно что.
Например, в факсе тоже появляется дополнительная информация о том, когда и с какого номера он был передан, сколько страниц – но она не попадает в текст передаваемых документов, поэтому не компрометирует копию и, наоборот, даже усиливает доверие к ней. Эта информация создается автоматически принимающим факсом, и. соответственно, не может быть подделана отправителем. С копией a la Минкомсвязи дело обстоит иначе – отметка запихивается в сам документ отправителем, и никакой гарантии того, что это фейк, нет.
Чтобы отметка о наличии ЭП не была инструментом для мошенничества, а элементом заверения, она должна создаваться на основе проверенной реальной электронной подписи уполномоченным лицом или устройством, и надлежащим образом заверяться тем, кто эту отметку создал.
Текст отметки должен состоять из слов "Электронная подпись" и все. К сожалению, ни Минкомсвязь, ни Росархив с этой точкой зрения не согласны.
В тех случаях, когда в тексте документа верно указан подписант и прочие обязательные сведения, достаточно в отметке написать «электронная подпись верна» и поставить подпись/идентификатор того, кто подпись проверил. Сейчас во многих случаях в теле электронного документа не указывается ни подписант, ни время подписания, ни должность и права подписанта, - так что вся эта существенная информация должна в отметке присутствовать. А вот номер сертификата, например, не очень-то полезен.
Никакой смайлик не может быть реквизитом документа. Реквизит - это обязательный элемент документа, отсутствие которого лишает документ юридической силы. Определение реквизита и состав реквизитов документа должны быть установлены законодательно, а никаким не ГОСТом. За употребление словосочетания "оформление документа" следует, по-моему, наказывать - особенно людей, претендующих на то, что они что-то смыслят в науке о документах. Документ можно создать, хранить и использовать. Оформить можно факт. Документом.
ОтветитьУдалитьРоссийский законодатель, как ни парадоксально, не согласен с Вашей ультрапрофессиональной точкой зрения. Словосочетание «оформление документа» встречается в федеральных нормативно-правовых актах 5300 раз, в том числе в 57-и действующих законах. Кстати, если что, могу подсказать Вам хорошие курсы повышения квалификации :) Что касается «реквизита», то, как говорится, «забудьте всё, чему Вас учили в школе» - и для начала посмотрите здесь: http://www.ciscra.org/mat/mat/term/2792
УдалитьЗаконы - творение людей, и текстам их, к сожалению, не чужды прямые ошибки. До тех пор, пока человек, взыскующий истины, будет оглядываться на авторитеты - пускай даже на нормативно-правовые акты и хорошие словари, его квалификация будет оставлять желать лучшего, на каких бы курсах ни повышалась.
Удалить