Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Электронная подпись по доверенности?

  7 комментариев Добавить в закладки

Недавно в кругу коллег обсуждали достаточно интересную и, признаться, распространенную ситуацию, когда директор компании передает секретарю свой токен с электронной подписью, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Подписание документов от лица директора его заместителем или секретарем – дело вполне житейское, особенно, в России. Наш российский руководитель редко сидит долго за компьютером.

Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!

Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.

Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!

Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.

Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.

В-третьих, обращаемся к самому ФЗ-63 «Об электронной подписи», статья 10:

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.

Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.

Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.

Ещё материалы автора
Похожие записи
Комментарии (7)
Елена Истомина 26 июля 2013 г. 14:52  

"Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов"

Т.е. возможность отпуска для директора отменяется? И даже посреди Байкала или подъема на Эверест он должен брать с собой ноутбук, заходить в систему и подписывать договоры? Конечно, для многих директоров это в порядке вещей, но ведь они тоже люди. Голову иногда отключать надо, отрываться от работы и посвящать себя семье и детям.

А ведь ЭП подписей директора на предприятии может быть несколько (клиент-банк, тендерные площадки). И что-то мне подсказывает, что по большей части директора с ними не работают, а передают ответственным сотрудникам.

В общем-то понятно, что передавать ключ не правильно. И задерживать подписание договора на пару недель тоже бывает проблематично.

Мне кажется наиболее подходящим решением было бы явное подписание заместителем от своего имени, даже если в тексте договора указан директор (ну как раньше наклонную черту перед рукотворной подписью ставили). Но вроде сейчас это делать нельзя - нужно явное указание в тексте договора подписанта и его полномочий (устав, довреннность).

 

 

Михаил Романов 26 июля 2013 г. 15:36  
Мне кажется наиболее подходящим решением было бы явное подписание заместителем от своего имени, даже если в тексте договора указан директор

По-моему, это в принципе единственно возможное решение.

Но вроде сейчас это делать нельзя - нужно явное указание в тексте договора подписанта и его полномочий

Почему нельзя? Кто или что запрещает?

 

 

 

Вадим Майшев 26 июля 2013 г. 16:29  
Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя.

Все-таки, не "передавать право на подписание", а право передавать личные ключи. Да, раньше, во времена старого-доброго 1-ФЗ, такого не было. Просто законодатель по-привычке не разобравшись в вопросе заложил очередную проблему для граждан.

На самом деле, вопрос в легитимности передачи полномочий единоличного исполнительного органа юрлица. С одной стороны, для "юридической чистоты" везде требуют подпись строго первого лица (без права передачи) во всех, в т.ч. "копеешных" документах. Руководители вынуждены были самостоятельно участвовать в этих электронных процессах (или негласно, на свой риск, перепоручать это "подручным"). Это по понятным причинам не нравилось многим - пролоббировали изменения, сейчас можно делать это легитимно. Только вылилось это в проблемы информационных систем с электронной подписью в части решения вопросов легитимности передачи ключей электронной подписи.

А нужно решать вопрос с легитимностью передачи полномочий, тогда и такие загогулины в законе об электронной подписи не нужно будет изобретать и не разбираться с вероятностями событий компрометации криптоключей. Бороться надо с причиной, а не со следствием.

А пока, хочется верить, что самый гуманный в мире суд будет правильно трактовать такие ситуации и не будет позволять "легкомысленным" руководителям уходить от ответственности, перекладывая ее на "подручных".

 

Елена Истомина 26 июля 2013 г. 22:58  

Почему нельзя? Кто или что запрещает?
 

Ну вот например тут написано http://pravoved.ru/question/11562 : "Подписывать должен тот человек, который указан в преамбуле договора". Получается, что если вы получили документ от контрагента, подписанный ЭП, а вашего директора нет на месте, то вы должны переписать текст договора, вписав заместителя, подписать договор ЭП и отправить контрагенту на перепописание.
Михаил Романов 27 июля 2013 г. 15:38  
Ну вот например тут написано http://pravoved.ru/question/11562 : "Подписывать должен тот человек, который указан в преамбуле договора". Получается, что если вы получили документ от контрагента, подписанный ЭП, а вашего директора нет на месте, то вы должны переписать текст договора, вписав заместителя, подписать договор ЭП и отправить контрагенту на перепописание.

Все, теперь понял о чем речь (я сначала ошибочно решил, что не возможно подписание по доверенности впринципе).

 

Но, кстати, по той же ссылке, кстати, указывается что вариант подписания по доверенности, но без изменения текста договора - указания доверенности в конце договора, там же где ставится подпись.

Елена Истомина 30 июля 2013 г. 13:57  
вариант подписания по доверенности, но без изменения текста договора - указания доверенности в конце договора, там же где ставится подпись

Как это вписать в бумажный договор - я представляю. А как быть с электронным, в который после подписания изменения не внесешь?
Михаил Романов 31 июля 2013 г. 11:43  
А как быть с электронным, в который после подписания изменения не внесешь?

По логике, эта информация является атрибутом самой электронной подписи.

В стандарте расширенной XML подписи (XAdES) есть, например, специальный  элемент (CommitmentTypeIndication), который нужен для описания контекста ставящейся подписи: цель подписания, ссылка на политики предприятия, обстоятельства, ...

В частности, там можно добавить просто текстовый комментарий, описывающий обстоятельства простановки подписи.

Другой вовпрос, как это будет представлено в интерфейсе. Например, Word 2013 показывает это поле вот так:

Не идеально, но пользоваться можно.

Сейчас обсуждают
Больше комментариев