Читайте! Отчет с крупнейшего российского мероприятия по электронному документообороту
DOCFLOW 2012 Москва!


 Опрос: Какой аспект развития EСM вы считаете наиболее перспективным и важным?

Что ждать от электронной подписи? 

Сергей Бушмелев02 марта 2011 г. 11:51

Сергей Бушмелев, ИТ-аналитик компании DIRECTUM

25 февраля 2011 года депутаты Государственной думы приняли закон "Об электронной подписи" во втором чтении.  Определенно, к третьему чтению в закон внесут еще изменения, но, думается, не столь кардинальные, чтобы не начинать сравнивать новый закон с действующим Федеральным законом от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи". Сказать, что отличий много - это все равно, что ничего не сказать. Старый и новый законы - это пример двух совершенно разных законодательных подходов, если хотите - двух правовых культур. Итак, давайте попробуем сравнить уже действующий закон об ЭЦП и проект закона "Об электронной подписи".

Сфера действия закона

Действующий закон распространяется на гражданско-правовые сделки и в иных случаях может применяться, только если это прямо предусмотренных федеральными законами. Таких случаев не так много, навскидку можно назвать:

●   налоговое администрирование (подача разного рода заявлений в налоговый орган, общение налогового органа с банками, нотариусами, органами по регистрации прав на недвижимость и т.п.);

●   подписание счетов-фактур;

●   таможенное декларирование;

●   сдача налоговой и пенсионной отчетности;

●   обращение в бюро кредитных историй;

●   участие в конкурсе поставок для государственных нужд.

Новому же закону известен более широкий круг правоотношений. К уже известным гражданско-правовым сделкам добавилось "оказание государственных и муниципальных услуг", "исполнение государственных и муниципальных функций" и  "совершение иных юридически-значимых действий". Действительно, ЭЦП уже достаточно активно используется и в рамках оказания госуслуг и в рамках исполнения государственных функций, и включение этих правоотношений в сферу действия закона - просто констатация факта.

Последняя приписка, "совершение иных юридически-значимых действий" позволит без труда распространить действие закона на любые правоотношения, вне зависимости, предусмотрено это федеральными законами или нет. Если действующий закон об ЭЦП не распространяется на "внутренние" правоотношения внутри организации, и последние могут организовывать внутренний электронный документооборот по своему усмотрению, используя закон об ЭЦП, как справочное пособие, то после принятия нового закона организациям волей или неволей придется приводить в соответствии с ним свои регламенты и системы. Если только не считать подписание служебной записки или простановку своей подписи в листе согласования документа юридически-значимым действием. Что, думается, вряд ли возможно. Чем является такая "бескрайняя" сфера действия закона: недоработкой или умыслом законодателей, остается только догадываться...

Новые лица

Одним из самых драматических изменений в законопроекте, без сомнения, является положение, согласно которому владельцем подписи может быть как физическое, так и юридическое лицо. Правда, в последнем случае «в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием юридического лица указывается физическое лицо, действующее от  имени   юридического   лица  на   основании  учредительных  документов юридического лица или доверенности». Физическое лицо в сертификате можно не указывать «в сертификатах ключа проверки электронной подписи, используемых для автоматического создания и/или автоматической проверки электронных подписей в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами».

Нововведение, скажем прямо, интересное, и сразу возникает масса вопросов. Например, если первое лицо каждый раз на время своего отсутствия выдает замещающему его сотруднику новую доверенность, нужно ли будет каждый раз издавать сертификат? Какой у сертификата должен быть срок действия: стандартный срок или на время действия доверенности? Думаю, лучше подождать принятия закона и посмотреть, какая будет складываться практика.

Если мне не изменяет память, инициатива наделения юрлиц правом быть владельцем электронной подписи уже озвучивалась более 5-6 лет назад, и была очень негативно встречена экспертами. Самый благожелательное мнение звучало как: «Электронная подпись юрлица – лучший подарок рейдеру!». Впрочем, рейдеры окажутся не единственными бенефициарами, «поработать за начальника» смогут и недобросовестные сотрудники, и внешние по отношению к организации злоумышленники. Особенно уязвимы для таких угроз будут как раз сертификаты без указания представителя владельца — физлица, использующиеся для автоматического подписания документов.

Все же хочется надеяться, что организации смогут сами адекватно оценивать риски использования всех этих «нововведений», и если и будут их использовать, то осознанно, с должной ответственностью и с принятием необходимых мер безопасности.

Пережитки «бумажного периода»

Жаль, но новому закону, на мой взгляд, не удалось избавиться от груза понятий "бумажного периода". Несмотря на то, что в законе говорится об "электронном взаимодействии", и "информации в электронной форме", единственной известной закону формой существования электронной информации является электронный документ. Странно, ибо в принятом в 2006 году Федеральном законе  N 149-ФЗ "Об информации, информационных технологиях и о защите информации" уже есть понятие "электронное сообщение", которое, я считаю, лучше подходит для информации, передаваемой в телекоммуникационных сетях, ибо выделить информацию из системы в отдельный документ не всегда представляется возможным.

Вдвойне странно, что самого понятия "электронный документ" в законе тоже нет. При этом «электронный документ» первый раз упоминается уже во втором определении - "сертификат ключа проверки электронной подписи", который представляет собой бумажный или электронный документ". А что есть электронный документ, законодатель не говорит.

Но самое обидное, что электронный документ понимается как "равнозначный аналог документа на бумажном носителе".  Согласитесь, что электронный документ – это вполне самодостаточный артефакт, не обязательно текстовый человекочитаемый документ. Это может быть и мультимедиа, и машинограмма (тот же файл в xml-формате). Все они вполне могут быть подписаны электронной подписью и все свидетельствовать о совершении "юридически-значимых" действий.

Виды подписи

Тем не менее, первое, что бросается в глаза, когда мы начинаем сравнивать действующий закон и проект нового, это то, что в названии нет больше слова "цифровая". Действительно, в новом законе говорится не об одной электронной (она же цифровая, ЭЦП) подписи, а сразу о трех: простая, усиленная неквалифицированная и усиленная квалифицированная. Слово «усиленная» в тексте закона больше не встречается, а сами подписи называются просто «неквалифицированная» и «квалифицированная». Думаю, эти три вида подписи примерно соответствуют европейским аналогам: electronic signature, advanced electronic signature и qualified electronic signature.

Простая электронная подпись

Итак, со слов законодателя, "простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом". 

Может ли приписка в конце письма "С уважением, Исаак Ньютон" считаться электронной подписью? Если пользоваться только вышеприведенным определением, то, возможно да. Пользователь для доступа к почтовому ящику или при входе в систему вводит известный только ему пароль и далее все действия в системе, считаются выполненными от его имени. Является ли нажатие кнопки, отметка чек-бокса, ввод своего имени и фамилии в поле ввода электронной подписью? Данные примеры взяты не с потолка, именно так мы присоединяемся к публичному договору при регистрации в социальной сети, делаем покупки в интернет-магазинах. Вроде бы да, если считать это «иными средствами».

Тем не менее, дальнейший анализ текста законопроекта зарождает зерна сомнений. Закон требует, чтобы регламенты использования простой электронной подписи содержали правила определения лица, от имени которого подписан документ, и обязанность создателя и владельца ключа подписи соблюдать его конфиденциальность. И чтобы документ считался подписанным простой электронной подписью, он должен соответствовать трем условиям:

  1. Простая подпись должна содержаться в самом электронном документе.
  2. Ключ (уникальная последовательность символов, предназначенная для создания электронной подписи) простой электронной подписи применяется в соответствии с правилами, установленными оператором     информационной     системы, с использованием    которой    осуществляется    создание    и (или)    отправка электронного   документа.
  3. В созданном (отправленном) электронном документе содержится информация, указывающая на лицо, от имени которого был создан (отправлен) электронный документ.

Могут ли считаться коды, пароли, а уж тем паче нажатие кнопок, отметка чек-боксов  «ключами простой электронной подписи»? Вряд ли. И на ум ничего, кроме ассиметричного криптопреобразования, тоже не приходит, даже симметричное криптопреобразование, ибо пароль необязательно может быть уникальным. Главное – чтобы он не был известен посторонним лицам.

Думаю, стоит дождаться официальных комментариев, чтобы понять, что законодатели подразумевают под простой электронной подписью.

Неквалифицированная электронная подпись

Законодатель установил четыре признака неквалифицированной электронной подписи:

  1. электронная   подпись   получена  в   результате   криптографического преобразования информации с использованием ключа подписи;
  2. электронная    подпись    позволяет    определить    лицо, подписавшее электронный документ;
  3. электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после его подписания;
  4. электронная подпись создается с использованием средств электронной подписи.

Сертификат ключа подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

Под это определение отлично подходит самоподписанный  (самоизданный) сертификат PKI или PGP. То есть вы сами выдаете себе сертификат, и сами же гарантируете истинность указанных вами реквизитов. Так же под данное определение подходит шифрование канала обмена информации при защищенном интернет-соединении (HTTPS).

Квалифицированная электронная подпись

Вершиной электронно-подписной эволюции, по мнению законодателей, является квалифицированная электронная подпись. Для нее справедливы все требования, что и для неквалифицированной подписи, плюс следующие:

  1. Ключ проверки электронной подписи («открытый ключ» в терминах действующего закона) указан в квалифицированном сертификате.
  2. Для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим федеральным законом. Требования к средствам электронной подписи устанавливает федеральный орган исполнительной власти, осуществляющим государственное управление в области обеспечения безопасности Российской Федерации – сейчас эти функции исполняет ФСБ.

Условий признания квалифицированной электронной подписи теперь четыре. К действительности сертификата, использовании подписи в соответствии с ограничениями, установленными в сертификате и положительному результату проверки подписи добавилось еще одно условие: квалифицированный    сертификат, содержащий ключ проверки подписи, должен быть создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата.

Новеллой данного законопроекта также является наличие требований к средствам электронной подписи. Так, например, средство электронной подписи при подписании документа должно:

1. показывать     лицу,     подписывающему     электронный     документ, содержание информации, которую он подписывает;

2. создавать электронную подпись лишь после подтверждения лицом, подписывающим информацию, операции по созданию электронной подписи;

3. однозначно и ясно показывать, что электронная подпись создана.

При проверке электронной подписи средство электронной подписи должно уметь следующее:

1. показывать    содержание    электронного    документа,    подписанного электронной подписью;

2. показывать,  вносились ли изменения в подписанный электронной подписью электронный документ;

3. указывать   на  лицо,   с   использованием   ключа   подписи   которого подписаны электронные документы.

С одной стороны, хорошо, что законодатель осведомлен о рисках, связанных с подписанием документа «не глядя» (например, из проводника путем вызова контекстного меню). С другой стороны, подписывать документы придется либо из самого приложения, что не всегда возможно. Или придется использовать некое приложение для просмотра, подписания, проверки подписи и, если это необходимо, рецензирования документа.

Если подписание/проверка подписи производится в автоматизированном режиме, то вышеперечисленные требования к средствам электронной подписи не применяются.

Равнозначность бумажным документам

Разная степень защиты простой, неквалифицированной и квалифицированной подписей обуславливает их неравнозначность.

Так, информация в электронной форме, подписанная квалифицированной подписью, признается электронным документом, равнозначным бумажному, подписанному собственноручной подписью. Если в соответствии с федеральным законом или иным актом, принятым в соответствии с законом, такой документ может существовать только в бумажной форме.

Если информация в электронной форме подписана простой или неквалифицированной электронной подписью, то такой электронный документ равнозначен бумажному, подписанному собственноручной подписью, только в случае, если это прямо предусмотрено федеральным законом, принятым на его основе нормативным актом или соглашением сторон.

Как видите, две больших разницы, два разных подхода. Электронный документ, подписанный квалифицированной электронной подписью, будет обладать юридической значимостью во всех случаях, кроме тех, когда он должен быть составлен в бумажном форме. А если документ подписан простой или неквалифицированной подписью, то юридической значимостью он будет обладать, только если это прямо установлено законом или иным актом, или так договорились стороны. 

Из этого не следует, что простая или неквалифицированная подпись — это «недоподписи». Они меньше защищены, но они дешевле, и вполне могут применяться там, где нет необходимости использовать «тяжелую артиллерию» - квалифицированную подпись.

Не забыл законодатель и про печати. «Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть   заверен   печатью,   электронный   документ,   подписанный   усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением участников электронного взаимодействия   могут   быть   предусмотрены   дополнительные   требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью».

Вместо резюме

Действие нового закона распространяется не только на гражданско-правовые сделки, но и на правоотношения, складывающиеся в процессе оказания государственных или муниципальных услуг и государственного или муниципального управления и в рамках совершения иных юридически-значимых действий.

Самый главный вывод, который можно сделать, это то, что в этот раз организациям при построении внутреннего электронного документооборота таки придется обеспечивать его соответствие закону. Пусть даже и в минимальной форме.  Для этого они могут использовать три вида электронной подписи: простую, неквалифицированную и квалифицированную. Подписи обладают разной степенью защиты и неравнозначны. Организации сами оценивают риски и решают, какую подпись лучше использовать для той или иной системы или документа.

 

Источник: ECM-Journal - важное об электронном документообороте

Тип: Статьи

 (5,00 - оценило 11 чел.)
Версия для печатиВерсия для печати
Читайте также
  1. Три вида электронной подписи вместо ЭЦП: что изменится для пользователей?
  2. Закон "Об электронной цифровой подписи". Анализ возможности использования для органов государственной власти и бизнеса.
  3. Выбор вида электронной подписи для использования в СЭД
Материалы этого автора (Сергей Бушмелев)
  1. Мобильность как тренд
  2. Электронные счета-фактуры под елку
  3. Еще немного мыслей об архитектуре ЮЗДО
  4. К вопросу "электронизации" межкорпоративного документооборота
Комментарии
Вадим Майшев  02 марта 2011 18:31

 

Самый главный вывод, который можно сделать, это то, что в этот раз организациям при построении внутреннего электронного документооборота таки придется обеспечивать его соответствие закону. Пусть даже и в минимальной форме.
?! А разве сейчас не так? Если используешь ЭЦП, то должен соответсвовать закону! Не хочешь подпадать под действие закона - используешь "коды аутентификации/авторизации" в качестве аналога собственноручной подписи. И не нужно изобретать закон о недоподписи велосипед.
А вся возня вокруг "закон об ЭЦП не работает" обусловлена желанием узаконить оказание госуслуг по логину/паролю. Хотя и без этого сейчас все работает (см. п.15 http://www.gosuslugi.ru/ru/info/terms/), и те, кто с этими условиями согласен, пользуются чудо-порталом.
Квалифицированная электронная подпись, она же ЭЦП, уже существует с 2002 года и успешно работает. А кому нужны остальные виды? Их назначение неясно, уровень надежности неадекватен...
Наталья Храмцовская  02 марта 2011 21:57

Лозунг дня: Неквалифицированным чиновникам - неквалифицированную подпись!

Андрей Колесов  03 марта 2011 10:16

Ситуация с ЭПЦ у нас напоминает известный афоризм: "Кто хочет - тот делает, кто не хочет – тот находит причины, чтобы не делать"


По этому поводу написал отдельный пост: http://www.pcweek.ru/ecm/blog/ecm/771.php

Сергей Бушмелев  03 марта 2011 11:37
?! А разве сейчас не так? Если используешь ЭЦП, то должен соответсвовать закону!
Вадим, действующий закон об ЭЦП распространяется только на гражданско-правовые сделки. Расширение сферы производится путем выпуска или внесением изменений в федеральные законы. Например, чтобы узаконить применение ЭЦП в счетах-фактурах и уведомлениях в налоговую об открытии счета, соответствующие изменения внесли в Налоговый кодекс. Теперь действие Закона об ЭЦП распространяется на эти правоотношения. И если мы организуем, скажем, обмен электронными счетами-фактурами, то должны использовать ЭЦП в точном соответствии с законом. Если мы хотим сделать что-то свое, например выдать сертификат ключа подписи юрлицу, то нам придется придумать способ обойти закон, например, путем использования "кода идентификации".
На отношения внутри компании действие закона не распространяется. Нет такого федерального закона. Организация может называть ЭЦП все, что захочет. И ей не надо будет прятаться за термины "код аутентификации" или чего еще там. Единственное, на мой взгляд, что может толкнуть организацию на использование сертифицированных средств криптозащиты или пользование услугами профессиональных, так это понимание рисков, связанных  с использованием "облегченных" решений и суммы убытков, которые не удастся возместить, потому что не удалось доказать в суде свою правоту.
Вадим Майшев  03 марта 2011 12:27
Вадим, действующий закон об ЭЦП распространяется только на гражданско-правовые сделки. Расширение сферы производится путем выпуска или внесением изменений в федеральные законы.
Все-таки ключевая фраза - "не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи". У нас нет закона об ЭЦП, например, для счетов-фактур. Т.е. закон регулирует приенение этого АСП. Хотите другой АСП - ГК Вам ничего не запрещает.
Например, чтобы узаконить применение ЭЦП в счетах-фактурах и уведомлениях в налоговую об открытии счета, соответствующие изменения внесли в Налоговый кодекс.
Там проблема была в другом - требовалось на бумаге. "Поправки" не регулируют ЭЦП, а позволяют применять ЭЦП как АСП в случае электронного документа. Как видите, нет другой надежной технологии для АСП.
Организация может называть ЭЦП все, что захочет.
Откуда следует такая уверенность?
Единственное, на мой взгляд, что может толкнуть организацию на использование сертифицированных средств криптозащиты или пользование услугами профессиональных, так это понимание рисков, связанных  с использованием "облегченных" решений и суммы убытков, которые не удастся возместить, потому что не удалось доказать в суде свою правоту.
Вот-вот, я про то же. Сейчас одни договорились использовать пароль в качестве АСП на чудо-портале, другие SMS - им новый закон не нужен, да и не поможет в суде!
В конце-концов сделайте закон о логин/пароле-АСП и не трогайте ЭЦП!
Сергей Бушмелев  03 марта 2011 14:18
>> Например, чтобы узаконить применение ЭЦП в счетах-фактурах и уведомлениях в налоговую об открытии счета, соответствующие изменения внесли в Налоговый кодекс.
Там проблема была в другом - требовалось на бумаге. "Поправки" не регулируют ЭЦП, а позволяют применять ЭЦП как АСП в случае электронного документа. Как видите, нет другой надежной технологии для АСП.
Счета-фактуры - не является первичными документами, они не подтверждают наличие между сторонами гражданско-правовых отношений и не оформляются в подтверждение последних. СФ - документ налогового учета, позволяющий установить обязанность одной стороны платить не платить НДС, а другой стороны, соотвественно, зачесть/не зачесть налог на добавленную стоимость. Иными словами, это административные правоотношения, и ГК здесь ни при чем. Поправки в НК говорят: "СФ могут создаваться в виде электронного документа, подписанного ЭЦП, если чего не ясно, см. Закон об ЭЦП".
Почему ЭЦП, а не другой АСП? Потому что надежность и стоимость технологии ЭЦП адекватны возникающим рискам.
В конце-концов сделайте закон о логин/пароле-АСП и не трогайте ЭЦП!
Будет такой закон, называется "Закон об электронной подписи". Логин/пароль - пример простой электронной подписи (ПЭП), если судить по определению в законе. В этом же законе нашлось место и для ЭЦП, только называться она будет квалифицированная электронная подпись (КЭП). КЭП - достаточно тяжелая технология (попробуйте выдать всей стране сертификаты, оперативно их отзывать при компрометации, вести CRL). Теперь посчитайте риски и ущерб, который может возникнуть при оказании госуслуг в электронном виде. И что за услуги оказываются в электронном виде? В очередь же на квартиру после отправки заявки на портале не ставят, не правда ли?
НедоЭЦП нужны, прежде всего там, где возможный ущерб, возникающий из-за "ненадежности" технологии,  будет меньше стоимости применения полновесной ЭЦП.
Вадим Майшев  08 марта 2011 18:21
Иными словами, это административные правоотношения, и ГК здесь ни при чем. Поправки в НК говорят: "СФ могут создаваться в виде электронного документа, подписанного ЭЦП, если чего не ясно, см. Закон об ЭЦП".
Вот-вот, действующий закон об ЭЦП де-факто закон об ЭЦП как о технологии АСП, и не важно для каких правоотношений. Повторюсь: "У нас нет закона об ЭЦП, например, для счетов-фактур".
НедоЭЦП нужны, прежде всего там, где возможный ущерб, возникающий из-за "ненадежности" технологии,  будет меньше стоимости применения полновесной ЭЦП.
Я не против существования других АСП, тем более они сейчас уже применяются. Повторюсь: если требуется, надо сделать отдельный закон для "логин-пароль как АСП". Не нужно в одну кучу валить разные по значимости/надежности технологии АСП! Из-за того, что под названием "электронная подпись" будет скрываться все, что угодно (от логина до цифровой подписи), лучше никому не будет...
Сергей Бушмелев  09 марта 2011 10:21
Вот-вот, действующий закон об ЭЦП де-факто закон об ЭЦП как о технологии АСП, и не важно для каких правоотношений.
Вадим, вывод в корне неверный. В законе об ЭЦП четко определена сфера его действия - сделки. Есть и механизм расширения сферы действия: когда федеральными законами действия закона распространяются на отдельные правоотношения. Например, захотел законодатель, чтобы постановление по делу об административном правонарушении могло быть оформлено в виде электронного документа. Чтобы это было возможно, в ст.29.10 Кодекса об административных правонарушениях федеральным законом от 23.07.2010 N 175-ФЗ добавляется часть 6, которая звучит как "В случаях, предусмотренных частью 3 статьи 28.6 настоящего Кодекса, постановление по делу об административном правонарушении с приложением материалов, полученных с применением работающих в автоматическом режиме специальных технических средств, имеющих функции фото- и киносъемки, видеозаписи, или средств фото- и киносъемки, видеозаписи, оформляется в форме электронного документа, юридическая сила которого подтверждена электронной цифровой подписью в соответствии с законодательством Российской Федерации ".  Фраза "в соответствии с законодательством Российской Федерации" является ни чем иным, как отсылочной нормой, и в данном случае отсылает к закону об ЭЦП.
"Расширительное толкование закона", то есть утверждение, что в данных конкретных правоотношениях стоит руководствоваться законом об ЭЦП, исли на самом деле никаким федеральным законом такие требования не установлены, на мой взгляд, есть чистой воды спекуляция.
Не нужно в одну кучу валить разные по значимости/надежности технологии АСП!
Если с правовой точки зрения, эти технологии (логин/пароль, самоподписанный сертификат, симметричное криптопреобразование, ЭЦП) все являются аналогами собственоручной подписи (АСП), какой смысл городить для каждой технологии свой закон??? Как этим потом пользоваться??? Это же нужно будет в каждом законе давать свой глоссарий, определять свою сферу действия, субъекты и т.п. Мало того, применимость АСП вместо собственноручной подписи "включается" как раз отсылочной нормой "в соответствии с законодательством Российской Федерации" . Если принять Ваше предложение, то в каждом случае надо будет заменять эту фразу на конкретный закон (1 из n), тем самым лишив законодательство всякой технической нейтральности. Либо после каждой такой фразы правоприменитель будет судорожно вспоминать, каким 1 из n законов ему нужно будет руководствоваться. Наше законодательство и так заметно уступает качеством нашим дорогам, а тут вообще им будет невозможно пользоваться :)
Наталья Храмцовская  09 марта 2011 11:52

Вадим Майшев писал: Не нужно в одну кучу валить разные по значимости/надежности технологии АСП!

Сергей Бушмелев писал: ...какой смысл городить для каждой технологии свой закон???

IMHO нужен технологически-нейтральный высокоуровневый закон об электронных подписях, решающий ключевые правовые вопросы использования АСП, а "под ним" вполне могли бы существовать законы и/или нормативные акты, регламентирующие (по-крупному) особенности применения конкретных технологий (например, инфраструктуры открытых ключей). Я бы, принимая новый закон об электронной подписи, сохранила бы закон об ЭЦП, выбросив из него всё лишнее - но зато не стала бы впихивать в закон об ЭП совершенно ему чужеродные статьи, регламентирующие работу УЦ!

IMHO важнее всего то, чтобы законодательство было по-возможности простым. практичным, структурированным, и не устаревало с появлением очередных новых технологий - поэтому и нужна технологическая нейтральность.

Сергей Бушмелев  09 марта 2011 15:06
IMHO важнее всего то, чтобы законодательство было по-возможности простым. практичным, структурированным, и не устаревало с появлением очередных новых технологий - поэтому и нужна технологическая нейтральность.
Подписываюсь под каждым словом
Вадим Майшев  09 марта 2011 15:34
IMHO нужен технологически-нейтральный высокоуровневый закон об электронных подписях, решающий ключевые правовые вопросы использования АСП, а "под ним" вполне могли бы существовать законы и/или нормативные акты, регламентирующие (по-крупному) особенности применения конкретных технологий (например, инфраструктуры открытых ключей). Я бы, принимая новый закон об электронной подписи, сохранила бы закон об ЭЦП, выбросив из него всё лишнее - но зато не стала бы впихивать в закон об ЭП совершенно ему чужеродные статьи, регламентирующие работу УЦ
Подписываюсь под каждым словом (надеюсь, я правильно понял, что "высокоуровневый закон об электронных подписях" тождественно "высокоуровневый закон об АСП в электронных документах" в данном контексте).
Сергей Бушмелев  09 марта 2011 15:49
Я бы, принимая новый закон об электронной подписи, сохранила бы закон об ЭЦП, выбросив из него всё лишнее
... и это позволит не править остальные законы, где используется понятие "электронная цифровая подпись" и есть отсылки к действующему закону об ЭЦП.
Вадим Майшев  09 марта 2011 15:54

 

Фраза "в соответствии с законодательством Российской Федерации" является ни чем иным, как отсылочной нормой, и в данном случае отсылает к закону об ЭЦП.
Как раз потому,  что другого закона об ЭЦП, например, для административных отношений в природе нет.
исли на самом деле никаким федеральным законом такие требования не установлены, на мой взгляд, есть чистой воды спекуляция.
Проясните, о какой спекуляции речь?
Если с правовой точки зрения, эти технологии (логин/пароль, самоподписанный сертификат, симметричное криптопреобразование, ЭЦП) все являются аналогами собственоручной подписи (АСП), какой смысл городить для каждой технологии свой закон??? Как этим потом пользоваться??? Это же нужно будет в каждом законе давать свой глоссарий, определять свою сферу действия, субъекты и т.п. Мало того, применимость АСП вместо собственноручной подписи "включается" как раз отсылочной нормой "в соответствии с законодательством Российской Федерации" .
Если "симметричное криптопреобразование" сложно, но теоретически возможно "заточить" под АСП, то "самоподписанный сертификат" точно никак!
IMHO "городить для каждой технологии свой закон" имеет определяющий смысл, иначе под "электронной подписью" скрывается все, что угодно. 
Если принять Ваше предложение, то в каждом случае надо будет заменять эту фразу на конкретный закон (1 из n), тем самым лишив законодательство всякой технической нейтральности. Либо после каждой такой фразы правоприменитель будет судорожно вспоминать, каким 1 из n законов ему нужно будет руководствоваться.
Так это и надо будет делать, писать ПРОСТАЯ или КВАЛИФИЦИРОВАННАЯ! Но проблема в другом: большинство поймут, что электронная подпись = ЭЦП. Окунемся мы в это безобразие...
Сергей Бушмелев  09 марта 2011 16:57
Как раз потому, что другого закона об ЭЦП, например, для административных отношений в природе нет.
Административные отношения - это отношения между гражданином/бизнесом и государством. Их превеликое множество: по поводу общественного порядка, налогов, природопользования, безопасности, технического регулирования и т.п.  Сможете утверждать, что на все эти правоотношения распространяется закон об ЭЦП? Если да, то почему пришлось принимать поправки в КоАП (уже упомянутый мною федеральный закон от 23.07.2010 N 175-ФЗ), чтобы разрешить использовать ЭЦП для подписания постановления по делу об административном правонарушении? До принятия поправок можно было подписывать постановление ЭЦП? Нет. Сейчас можно? Да. Что изменилось? Были приняты поправки, распространяющие действие закона об ЭЦП на данные правоотношения. Также и со счетами фактурами и, скажем, уведомлениями в налоговку об открытии счета. До принятия поправок в НК можно было подписывать СФ при помощи ЭЦП? Нет. Куда шли те, кто это делал и пытался доказывать свою правоту в суде? Лесом.
Проясните, о какой спекуляции речь?
Я утверждаю, что на отношения внутри компании закон об ЭЦП не распространяется, следовательно нет законодательно оформленной необходимости следовать закону об ЭЦП и  использовать   использовать сертифицированные криптосредства. Если есть необходимость, то она осознаваемая, внутренняя, продиктованная пониманием рисков, возникающих при использовании тех или иных средств. На мой взгляд, спекуляция - это когда утверждать обратное, что действие закона об ЭЦП распространяется на все правоотношения, что все иные АСП "никому не нужны, их назначение неясно, уровень надежности неадекватен...".
Так это и надо будет делать, писать ПРОСТАЯ или КВАЛИФИЦИРОВАННАЯ! Но проблема в другом: большинство поймут, что электронная подпись = ЭЦП. Окунемся мы в это безобразие...
Мне  больше нравится предложение Натальи. Или написать в законе об ЭП "ЭЦП=КЭП",  чтоб не путались.
Вадим Майшев  09 марта 2011 18:59
Сможете утверждать, что на все эти правоотношения распространяется закон об ЭЦП? Если да, то почему пришлось принимать поправки в КоАП (уже упомянутый мною федеральный закон от 23.07.2010 N 175-ФЗ), чтобы разрешить использовать ЭЦП для подписания постановления по делу об административном правонарушении? До принятия поправок можно было подписывать постановление ЭЦП? Нет. Сейчас можно? Да. Что изменилось? Были приняты поправки, распространяющие действие закона об ЭЦП на данные правоотношения. Также и со счетами фактурами и, скажем, уведомлениями в налоговку об открытии счета. До принятия поправок в НК можно было подписывать СФ при помощи ЭЦП? Нет. Куда шли те, кто это делал и пытался доказывать свою правоту в суде? Лесом.
Объясняю. Пришлось принимать все эти поправки потому, что не было разрешено иметь эти документы в электронном виде. Все! Как появилась возможность применять ЭД, возникла потребность в АСП в электронном документе. Что, разработали закон об АСП для счетов-фактур? Нет.Сделали закон об АСП для постановлений об админитстративных правонарушениях? Нет. Указали, что нужно в качестве АСП использовать ЭЦП, просто ЭЦП, в соответствии с законодательством РФ. Т.е. действующий закон об ЭЦП -  он про технологию АСП, основанную на цифровой подписи.
Я утверждаю, что на отношения внутри компании закон об ЭЦП не распространяется, следовательно нет законодательно оформленной необходимости следовать закону об ЭЦП и  использовать   использовать сертифицированные криптосредства.
Да, если она (ЭЦП) не применяется. Никто и не заставляет! Если вы начнете в целях АСП применять "нечто", называя это ЭЦП, то потом, если в случае чего, понадобится (вашим языком) доказывать свою правоту в суде, пойдете лесом. А если договоритесь внутри, что логин/пароль это АСП, туда не пойдете. С другой стороны, вы же не называете внутри своей компании дверь окном, а конфиденциальную информацию гостайной.
На мой взгляд, спекуляция - это когда утверждать обратное, что действие закона об ЭЦП распространяется на все правоотношения, что все иные АСП "никому не нужны, их назначение неясно, уровень надежности неадекватен..."
На мой взгляд, закон об ЭЦП будет применяться (и применяется) там, где это допускается законом. И никакой спекуляции тут нет. Кто-то же купился и пользуется услугами чудо-портала, никто не против этого, это их выбор.
Сергей Бушмелев  09 марта 2011 19:52
Объясняю. Пришлось принимать все эти поправки потому, что не было разрешено иметь эти документы в электронном виде. Все! Как появилась возможность применять ЭД, возникла потребность в АСП в электронном документе. Что, разработали закон об АСП для счетов-фактур? Нет.Сделали закон об АСП для постановлений об админитстративных правонарушениях? Нет. Указали, что нужно в качестве АСП использовать ЭЦП, просто ЭЦП, в соответствии с законодательством РФ. Т.е. действующий закон об ЭЦП - он про технологию АСП, основанную на цифровой подписи.
 Ну да, именно об этом я и говорил. Никакой законодатель не будет при каждом упомиинании об ЭЦП в законе переписывать весь закон об ЭЦП, просто делается ссылка на него. Принимаются поправки, и действие закона расширяется.
Если вы начнете в целях АСП применять "нечто", называя это ЭЦП, то потом, если в случае чего, понадобится (вашим языком) доказывать свою правоту в суде, пойдете лесом.
Просто интересно, без всяких подколов. Вы уже сталкивались с подобными прецедентами? Вас привлекали как эксперта?
На мой взгляд, закон об ЭЦП будет применяться (и применяется) там, где это допускается законом.
Если перед третьим чтением законопроект не изменят, в новом законе будет  так: квалифицированная подпись (ЭЦП) может применяться везде, где не установлено законом, чтобы документ был обязательно бумажным, а простая и неквалифицированная - только там, где это прямо предусмотрено законом или соглашением сторон.

Предпросмотр | Сохранить комментарий | Процитировать выделенное