среда, 21 ноября 2018 г.

О компьютерных системах и документах - или данных - или о том, чем они могут быть. Часть 4


Данная заметка известного румынского архивиста Богдана-Флорина Поповичи (Bogdan-Florin Popovici, на фото) была опубликована на его блоге 21 октября 2018 года.

(Предыдущую часть см. http://rusrim.blogspot.com/2018/09/3.html )

Сегодня мы поговорим об аутентичности.

Одной из особенностей, делающих архив востребованным, является сохранение им уникального свойства документов / актов являться аутентичными оригиналами. Трактовка понятий «аутентичность» и «оригинал» в архивной науке и дипломатике не в полной мере совпадает с правовой трактовкой. С архивной точки зрения (я сожалею о своей поверхностности, в данном случае я опираюсь только на международный стандарт ISO 15489 в качестве эталона), акт, чтобы признаваться аутентичным, должен быть неизменным с точки зрения содержания, подписантов и даты. В праве используется аналогичная логика (см. статью 269 Гражданско-процессуального кодекса Румынии - Codul de Procedura Civila, CPC, http://www.dreptonline.ro/legislatie/codul_de_procedura_civila_noul_cod_de_procedura_civila_legea_134_2010.php : «Под аутентификацией документа понимаются указание личности сторон, выражение ими согласия с содержанием, их подписи и дата документа»).

1. Архивирование

В Законе об электронной архивации (Legea Arhivării Electronice, 2007 г., http://www.legi-internet.ro/legislatie-itc/semnatura-electronica/legea-arhivarii-electronice-1352007.html - для доступа может потребоваться анонимайзер – Н.Х.) говорится, что любой документ, который включается в «электронный архив», должен быть дважды электронным образом подписан – фондообразователем и администратором архива. На первый взгляд, здесь есть два спорных вопроса. Во-первых, существование архива не зависит от проверки документа – как при использовании бумажных, так и электронных технологий. Архив министерства (в том числе электронный) формируется не только из актов, подписанных министром. С другой стороны, действительность подписанного министром электронного документа не может зависеть от подписи администратора архива, который вдруг почему-то начинает выполнять роль нотариуса (подтверждая, что документ X является аутентичным, входит в состав архива фондообразователя и действителен – что, на мой взгляд, перебор).

На самом деле, если взглянуть на вещи несколько шире, всё будет иметь свою логику. Учитывая существование двух сторон, несущих ответственность за документ, представляется естественным, что обе стороны принимают меры для обеспечения его аутентичности. Особенно, и это здесь ключевой момент, когда мы говорим о хранении третьей стороной, а не о собственном хранилище архивных документов организации (интересно, как бы это было выглядело в физическом архиве – не иметь всего в собственном архиве, без какой-либо страховки ...). (Ключевым для анализа является характер этого хранения – депозитарное хранение поставщиком услуг; и термин «архив» в Законе об электронной архивации можно было бы заменить термином «депозит»).

С другой стороны, остается проблема того, что обязательность подписания приводит к тому, что только «важные» документы считаются достойными архивирования, и это влияет на логику существования архива: архив нужен для того, чтобы иметь возможность воссоздать последовательность действий или приятия решений, что означает сохранение всех относящихся к вопросу «следов», а не только следов завершающего звена цепочки – собственно решения. Кроме того, у электронных подписей документов со сроком хранения более 10 лет есть, как известно, серьёзная уязвимость, и в случае проведения хранителем миграции останутся только подписи хранителя (который не станет посылать все документы фондообразователю на переподписание!).

Мы начали с правовых положений, непосредственно касающихся «архивирования», однако проблема аутентичности также существует «вверх по течению». Прежде всего, существуют те документы, что предшествовали заключительному документу, о которых мы упоминали выше. Не вся корреспонденция между членами команды подписывается в электронном виде. Можно ли организовать её полномасштабное электронное подписание? Да, конечно, когда электронная подпись будет у каждого сотрудника, но до этого пока ещё далеко. Затем, существуют базы данных. Далее, имеются разделы в социальных сетях, которые ведутся от имени организации. Помимо этого, существуют всевозможные системные логии и журналы, которые подтверждают непрерывное и корректное функционирование систем, создающих / хранящих информацию.

Национальный Закон об электронных подписях (Legea №445/2001 privind semnatura electronica, см. http://www.dreptonline.ro/legislatie/legea_445_2001_semnatura_electronica_republicata.php , который в любом случае сейчас заменён европейским законодательством) говорит, что для того, чтобы рассматриваться наравне с собственноручной подписью подпись, документ должен быть подписан усиленной электронной подписью. Однако Гражданско-процессуальный кодекс признаёт действительными и имеющими юридические последствия и другие формы электронных документов. В статье 277 (2) кодекса сказано, что «Неподписанный документ, который, однако обычно используется в ходе деловой деятельности предприятия для оформления правового акта, является доказательством  содержания этого акта, если только законом не установлена обязательная письменная форма для доказательства такого правового акта». С моей точки зрения, это положение применимо к неподписанным электронным письмам, которые в рамках обычной практики организации используются для прямого и безопасного общения.

Далее, в ст. 283 кодекса говорится, что «Фиксация данных о правовом акте на компьютерном носителе имеет презумпцию достаточной серьезности и доверия, если она осуществляется систематически и без пробелов, а введенные данные защищены от изменений и подделок, так что целостность документа полностью обеспечена». Другими словами, если логи/журналы или элементы обеспечения информационной безопасности способны продемонстрировать систематическую бессбойную работу системы, или же если можно доказать неизменность файлов, то данные или информация достаточно «доказательны» и в отсутствие электронной подписи.

Следствием из сделанного выше вывода, на мой взгляд, является то, что для обеспечения аутентичности информации / документов в архиве дешевле может быть инвестировать в обеспечение безопасности системы, чем в ежегодную выдачу средств создания электронной подписи всем сотрудникам. Таким образом, в системе с контролируемым доступом, с мониторингом активности в рамках организации, с использованием мер контроля целостности (например, путем расчёта и сравнения контрольных сумм), информация является достаточно «аутентичной» для выполнения ее роли архивного материала. Конечно, когда закон прямо требует дополнительной аутентификации, или когда электронный документ выдается внешним организациям и должен быть использован в отношении третьих сторон, то проверка его достоверности должна производиться с учетом соответствующих обстоятельств. Наше правительство пока ещё довольно туманно представляет себе эти вопросы. Лично я получил от Министерства труда ответ на обращение в форме присоединённого к электронному письму.docx-документа, без указания должности или имени сотрудника. Я сомневаюсь, что это можно считать юридически правильным ответом, независимо от применимого законодательства.

2. Перед архивированием

Ещё одним источником электронных документов, у которых есть проблемы с аутентичностью, является ретроспективная оцифровка т.е. изготовление впоследствии электронной копии (значительно) ранее созданного аналогового документа. Существует множество проблем, которые могут возникнуть вследствие оцифровки определенных документов, срок хранения которых истек и которые были бы уничтожены в отсутствие какой-либо электронной системы управления информацией (я намереваюсь вернуться к этому вопросу позже).

Сейчас же я хочу рассмотреть вопрос об аутентичности. По сути, мы имеем архив X, который заключает контракт с поставщиком Y на создание электронных копий. Результатом оцифровки могут быть графические образы либо редактируемые («распознанные») файлы. Какова их степень аутентичности? Ясно, что если это редактируемые файлы, в которые каждый может внести изменения, то уже нет уверенности в том, что мы имеем дело с аутентичными документами. Это уже «просто» документы, а не юридически-значимые акты. Однако графические образы, отображающие структуру и содержание исходного документа, не вызывают таких сомнений. Однако какова ценность копии, изготовленной третьей стороной? Можно ли её использовать вместо оригинального документа? Доверяем ли мы тому продукту, что изготовил парень, обслуживающий сканер? Как городская мэрия сможет выдать заверенный копию в качестве документа, точно соответствующего оригиналу (предположение, делающееся должностным лицом и основанное на личных знаниях и контроле над процессом копирования), если копия фактически была снята с другой (электронной) копии, изготовленной сторонним поставщиком услуг? Должна ли третья сторона электронно подписывать копии, тем самым удостоверяя их точность? Но разве всё это не все превращает третью сторону в «технического» нотариуса (со всеми вопросами, которые возникают в отношении действительности исторических электронных подписей)?

В Гражданско-процессуальном кодексе есть ряд положений о статусе копий и дубликатов (без определения и уточнения смысла терминов. См. также мой пост https://bogdanpopovici2008.wordpress.com/2011/11/01/copie-exemplar-duplicat/ ).

В статье 287 («Копии, изготовленные на микроформах и компьютерных носителях» - Н.Х.) говорится, что «Данные из аутентичных документов (înscrisului autentic – имеются в виду официально удостоверенные документы – Н.Х.) или документов под частной подписью, зафиксированные на микроформах или на доступных электронных носителях информации и изготовленные в соответствии с положениями законодательства, имеют одинаковую доказательную ценность с документами, с которых они были  скопированы» (лично я не в курсе, что это за «положения законодательства» ...). Аналогичная формулировка присутствует и в ст.285: «Дубликаты нотариальных документов или других аутентичных документов, изготовленные в соответствии с условиями, установленными законодательством, заменяют оригинал и имеют равную ему доказательную силу». Что касается копий, то в ст.286 сказано «(3) Если невозможно представить оригинал или дубликат аутентичного документа или оригинал документа под частной подписью, то их удостоверенные копии являются первичным письменным доказательством»; и особенно «(4) Копия с копии не имеет доказательной силы.».

С моей точки зрения, электронные копии аналоговых документов не могут быть признаны дубликатами, если только сам автор документа не признаёт их таковыми. На чем может основываться предположение о контроле над процессом копирования ... вероятно, на предположении о добросовестности оператора сканирования ... или на процессе проверки качества копирования. Чем более важны / критичны переводимые в электронный вид архивные документы, тем более подробным и тщательным должен быть процесс проверки. В отсутствие же этого предположения электронный образ аналогового акта является простой копией, которая не может быть сертифицирована, потому что ... смотрите процитированный выше пункт (4). В любом случае я считаю, что процесс придания электронной копии статуса дубликата должен быть юридически принят организацией, а не просто декларирован.

В случае оцифровки физического архива, получим ли мы в результате электронный архив? В сущности, это будет коллекция копий, а не электронный архив организации, в котором должны содержаться документы-акты, то есть имеющие доказательную силу оригиналы, дубликаты либо документы в том виде, в котором они были использованы в деловой деятельности. Так что, на мой взгляд, это будет склад информации, возможно, полезный для информирования, но с сомнительным авторитетом. С другой стороны, если физические или электронные архивы заброшены и находятся в очень плохом состоянии, возможно, архив копий может считаться лучшим решением. Итак, скажем, это может действительно быть и архив, но плохой, такой, который не является авторитетным.

В качестве общего вывода отметим, что аутентичность должна играть фундаментальную роль в обеспечении надёжности, авторитетности электронного архива. Аутентичность более широкое понятие, чем электронное подписание, и может включать предоставление определенных сведений о технических системах создателей и хранителей информации и юридически значимых документов. Аутентичность – одна из основных свойств документа-акта, наличие которое должно быть продемонстрировано от момента его создания до уничтожения. Сохранение этого свойства при конверсии/миграция электронных документов является проблемой, в том числе правовой.

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)


Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2018/10/21/despre-sisteme-informatice-si-documente-sau-date-sau-ce-or-mai-fi-ele-3/

Комментариев нет:

Отправить комментарий