Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Что ждать от электронной подписи?

  0 комментариев Добавить в закладки

Сергей Бушмелев, ИТ-аналитик компании DIRECTUM

25 февраля 2011 года депутаты Государственной думы приняли закон "Об электронной подписи" во втором чтении.  Определенно, к третьему чтению в закон внесут еще изменения, но, думается, не столь кардинальные, чтобы не начинать сравнивать новый закон с действующим Федеральным законом от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи". Сказать, что отличий много - это все равно, что ничего не сказать. Старый и новый законы - это пример двух совершенно разных законодательных подходов, если хотите - двух правовых культур. Итак, давайте попробуем сравнить уже действующий закон об ЭЦП и проект закона "Об электронной подписи".

Сфера действия закона

Действующий закон распространяется на гражданско-правовые сделки и в иных случаях может применяться, только если это прямо предусмотренных федеральными законами. Таких случаев не так много, навскидку можно назвать:

●   налоговое администрирование (подача разного рода заявлений в налоговый орган, общение налогового органа с банками, нотариусами, органами по регистрации прав на недвижимость и т.п.);

●   подписание счетов-фактур;

●   таможенное декларирование;

●   сдача налоговой и пенсионной отчетности;

●   обращение в бюро кредитных историй;

●   участие в конкурсе поставок для государственных нужд.

Новому же закону известен более широкий круг правоотношений. К уже известным гражданско-правовым сделкам добавилось "оказание государственных и муниципальных услуг", "исполнение государственных и муниципальных функций" и  "совершение иных юридически-значимых действий". Действительно, ЭЦП уже достаточно активно используется и в рамках оказания госуслуг и в рамках исполнения государственных функций, и включение этих правоотношений в сферу действия закона - просто констатация факта.

Последняя приписка, "совершение иных юридически-значимых действий" позволит без труда распространить действие закона на любые правоотношения, вне зависимости, предусмотрено это федеральными законами или нет. Если действующий закон об ЭЦП не распространяется на "внутренние" правоотношения внутри организации, и последние могут организовывать внутренний электронный документооборот по своему усмотрению, используя закон об ЭЦП, как справочное пособие, то после принятия нового закона организациям волей или неволей придется приводить в соответствии с ним свои регламенты и системы. Если только не считать подписание служебной записки или простановку своей подписи в листе согласования документа юридически-значимым действием. Что, думается, вряд ли возможно. Чем является такая "бескрайняя" сфера действия закона: недоработкой или умыслом законодателей, остается только догадываться...

Новые лица

Одним из самых драматических изменений в законопроекте, без сомнения, является положение, согласно которому владельцем подписи может быть как физическое, так и юридическое лицо. Правда, в последнем случае «в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием юридического лица указывается физическое лицо, действующее от  имени   юридического   лица  на   основании  учредительных  документов юридического лица или доверенности». Физическое лицо в сертификате можно не указывать «в сертификатах ключа проверки электронной подписи, используемых для автоматического создания и/или автоматической проверки электронных подписей в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами».

Нововведение, скажем прямо, интересное, и сразу возникает масса вопросов. Например, если первое лицо каждый раз на время своего отсутствия выдает замещающему его сотруднику новую доверенность, нужно ли будет каждый раз издавать сертификат? Какой у сертификата должен быть срок действия: стандартный срок или на время действия доверенности? Думаю, лучше подождать принятия закона и посмотреть, какая будет складываться практика.

Если мне не изменяет память, инициатива наделения юрлиц правом быть владельцем электронной подписи уже озвучивалась более 5-6 лет назад, и была очень негативно встречена экспертами. Самый благожелательное мнение звучало как: «Электронная подпись юрлица – лучший подарок рейдеру!». Впрочем, рейдеры окажутся не единственными бенефициарами, «поработать за начальника» смогут и недобросовестные сотрудники, и внешние по отношению к организации злоумышленники. Особенно уязвимы для таких угроз будут как раз сертификаты без указания представителя владельца — физлица, использующиеся для автоматического подписания документов.

Все же хочется надеяться, что организации смогут сами адекватно оценивать риски использования всех этих «нововведений», и если и будут их использовать, то осознанно, с должной ответственностью и с принятием необходимых мер безопасности.

Пережитки «бумажного периода»

Жаль, но новому закону, на мой взгляд, не удалось избавиться от груза понятий "бумажного периода". Несмотря на то, что в законе говорится об "электронном взаимодействии", и "информации в электронной форме", единственной известной закону формой существования электронной информации является электронный документ. Странно, ибо в принятом в 2006 году Федеральном законе  N 149-ФЗ "Об информации, информационных технологиях и о защите информации" уже есть понятие "электронное сообщение", которое, я считаю, лучше подходит для информации, передаваемой в телекоммуникационных сетях, ибо выделить информацию из системы в отдельный документ не всегда представляется возможным.

Вдвойне странно, что самого понятия "электронный документ" в законе тоже нет. При этом «электронный документ» первый раз упоминается уже во втором определении - "сертификат ключа проверки электронной подписи", который представляет собой бумажный или электронный документ". А что есть электронный документ, законодатель не говорит.

Но самое обидное, что электронный документ понимается как "равнозначный аналог документа на бумажном носителе".  Согласитесь, что электронный документ – это вполне самодостаточный артефакт, не обязательно текстовый человекочитаемый документ. Это может быть и мультимедиа, и машинограмма (тот же файл в xml-формате). Все они вполне могут быть подписаны электронной подписью и все свидетельствовать о совершении "юридически-значимых" действий.

Виды подписи

Тем не менее, первое, что бросается в глаза, когда мы начинаем сравнивать действующий закон и проект нового, это то, что в названии нет больше слова "цифровая". Действительно, в новом законе говорится не об одной электронной (она же цифровая, ЭЦП) подписи, а сразу о трех: простая, усиленная неквалифицированная и усиленная квалифицированная. Слово «усиленная» в тексте закона больше не встречается, а сами подписи называются просто «неквалифицированная» и «квалифицированная». Думаю, эти три вида подписи примерно соответствуют европейским аналогам: electronic signature, advanced electronic signature и qualified electronic signature.

Простая электронная подпись

Итак, со слов законодателя, "простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом". 

Может ли приписка в конце письма "С уважением, Исаак Ньютон" считаться электронной подписью? Если пользоваться только вышеприведенным определением, то, возможно да. Пользователь для доступа к почтовому ящику или при входе в систему вводит известный только ему пароль и далее все действия в системе, считаются выполненными от его имени. Является ли нажатие кнопки, отметка чек-бокса, ввод своего имени и фамилии в поле ввода электронной подписью? Данные примеры взяты не с потолка, именно так мы присоединяемся к публичному договору при регистрации в социальной сети, делаем покупки в интернет-магазинах. Вроде бы да, если считать это «иными средствами».

Тем не менее, дальнейший анализ текста законопроекта зарождает зерна сомнений. Закон требует, чтобы регламенты использования простой электронной подписи содержали правила определения лица, от имени которого подписан документ, и обязанность создателя и владельца ключа подписи соблюдать его конфиденциальность. И чтобы документ считался подписанным простой электронной подписью, он должен соответствовать трем условиям:

  1. Простая подпись должна содержаться в самом электронном документе.
  2. Ключ (уникальная последовательность символов, предназначенная для создания электронной подписи) простой электронной подписи применяется в соответствии с правилами, установленными оператором     информационной     системы, с использованием    которой    осуществляется    создание    и (или)    отправка электронного   документа.
  3. В созданном (отправленном) электронном документе содержится информация, указывающая на лицо, от имени которого был создан (отправлен) электронный документ.

Могут ли считаться коды, пароли, а уж тем паче нажатие кнопок, отметка чек-боксов  «ключами простой электронной подписи»? Вряд ли. И на ум ничего, кроме ассиметричного криптопреобразования, тоже не приходит, даже симметричное криптопреобразование, ибо пароль необязательно может быть уникальным. Главное – чтобы он не был известен посторонним лицам.

Думаю, стоит дождаться официальных комментариев, чтобы понять, что законодатели подразумевают под простой электронной подписью.

Неквалифицированная электронная подпись

Законодатель установил четыре признака неквалифицированной электронной подписи:

  1. электронная   подпись   получена  в   результате   криптографического преобразования информации с использованием ключа подписи;
  2. электронная    подпись    позволяет    определить    лицо, подписавшее электронный документ;
  3. электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после его подписания;
  4. электронная подпись создается с использованием средств электронной подписи.

Сертификат ключа подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

Под это определение отлично подходит самоподписанный  (самоизданный) сертификат PKI или PGP. То есть вы сами выдаете себе сертификат, и сами же гарантируете истинность указанных вами реквизитов. Так же под данное определение подходит шифрование канала обмена информации при защищенном интернет-соединении (HTTPS).

Квалифицированная электронная подпись

Вершиной электронно-подписной эволюции, по мнению законодателей, является квалифицированная электронная подпись. Для нее справедливы все требования, что и для неквалифицированной подписи, плюс следующие:

  1. Ключ проверки электронной подписи («открытый ключ» в терминах действующего закона) указан в квалифицированном сертификате.
  2. Для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим федеральным законом. Требования к средствам электронной подписи устанавливает федеральный орган исполнительной власти, осуществляющим государственное управление в области обеспечения безопасности Российской Федерации – сейчас эти функции исполняет ФСБ.

Условий признания квалифицированной электронной подписи теперь четыре. К действительности сертификата, использовании подписи в соответствии с ограничениями, установленными в сертификате и положительному результату проверки подписи добавилось еще одно условие: квалифицированный    сертификат, содержащий ключ проверки подписи, должен быть создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата.

Новеллой данного законопроекта также является наличие требований к средствам электронной подписи. Так, например, средство электронной подписи при подписании документа должно:

1. показывать     лицу,     подписывающему     электронный     документ, содержание информации, которую он подписывает;

2. создавать электронную подпись лишь после подтверждения лицом, подписывающим информацию, операции по созданию электронной подписи;

3. однозначно и ясно показывать, что электронная подпись создана.

При проверке электронной подписи средство электронной подписи должно уметь следующее:

1. показывать    содержание    электронного    документа,    подписанного электронной подписью;

2. показывать,  вносились ли изменения в подписанный электронной подписью электронный документ;

3. указывать   на  лицо,   с   использованием   ключа   подписи   которого подписаны электронные документы.

С одной стороны, хорошо, что законодатель осведомлен о рисках, связанных с подписанием документа «не глядя» (например, из проводника путем вызова контекстного меню). С другой стороны, подписывать документы придется либо из самого приложения, что не всегда возможно. Или придется использовать некое приложение для просмотра, подписания, проверки подписи и, если это необходимо, рецензирования документа.

Если подписание/проверка подписи производится в автоматизированном режиме, то вышеперечисленные требования к средствам электронной подписи не применяются.

Равнозначность бумажным документам

Разная степень защиты простой, неквалифицированной и квалифицированной подписей обуславливает их неравнозначность.

Так, информация в электронной форме, подписанная квалифицированной подписью, признается электронным документом, равнозначным бумажному, подписанному собственноручной подписью. Если в соответствии с федеральным законом или иным актом, принятым в соответствии с законом, такой документ может существовать только в бумажной форме.

Если информация в электронной форме подписана простой или неквалифицированной электронной подписью, то такой электронный документ равнозначен бумажному, подписанному собственноручной подписью, только в случае, если это прямо предусмотрено федеральным законом, принятым на его основе нормативным актом или соглашением сторон.

Как видите, две больших разницы, два разных подхода. Электронный документ, подписанный квалифицированной электронной подписью, будет обладать юридической значимостью во всех случаях, кроме тех, когда он должен быть составлен в бумажном форме. А если документ подписан простой или неквалифицированной подписью, то юридической значимостью он будет обладать, только если это прямо установлено законом или иным актом, или так договорились стороны. 

Из этого не следует, что простая или неквалифицированная подпись — это «недоподписи». Они меньше защищены, но они дешевле, и вполне могут применяться там, где нет необходимости использовать «тяжелую артиллерию» - квалифицированную подпись.

Не забыл законодатель и про печати. «Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть   заверен   печатью,   электронный   документ,   подписанный   усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением участников электронного взаимодействия   могут   быть   предусмотрены   дополнительные   требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью».

Вместо резюме

Действие нового закона распространяется не только на гражданско-правовые сделки, но и на правоотношения, складывающиеся в процессе оказания государственных или муниципальных услуг и государственного или муниципального управления и в рамках совершения иных юридически-значимых действий.

Самый главный вывод, который можно сделать, это то, что в этот раз организациям при построении внутреннего электронного документооборота таки придется обеспечивать его соответствие закону. Пусть даже и в минимальной форме.  Для этого они могут использовать три вида электронной подписи: простую, неквалифицированную и квалифицированную. Подписи обладают разной степенью защиты и неравнозначны. Организации сами оценивают риски и решают, какую подпись лучше использовать для той или иной системы или документа.

 

Похожие записи
Комментарии (0)
Сейчас обсуждают
Больше комментариев