Имеет ли право
Подписи на бумажном документе доверие есть потому, что она заверена печатью; причем заверяется не только личность подписавшего, но и его право подписывать этот тип документа.
Предположим, две организации решили: обмениваемся только электронными документами. Или преимущественно электронными. Для того чтобы обеспечить доверие к документам, решили использовать ЭЦП.
Внимательно почитали Закон об ЭЦП, приняли Положения об ЭЦП, Об электронном документообороте внутри организации и между организациями, сформировали удостоверяющий центр или обратились за услугами во внешний, назначили ответственных за ведение реестра ЭЦП и выдачу ЭЦП пользователям. Даже определили доверенные форматы документов.
Тем самым закрепили право на существование и юридическую значимость электронного документа – по крайней мере, во взаимоотношениях двух организаций.
Но остается одна – может быть, не очень существенная – проблема. Подписи на бумажном документе доверие есть потому, что она заверена печатью; причем – что важно – заверяется не только личность подписавшего, но и его право подписывать этот тип документа.
Электронной цифровой печати нет, цифровая подпись – это единственное, что у нас есть. И при развитых горизонтальных связях, когда обмен документами между компаниями может идти без участия службы делопроизводства, факт наличия права подписи именно этого сотрудника не может быть проверен.
Есть ли выход? И так ли существенна эта проблема?
Комментарии 11
Приличные удостоверяющие центры требуют предъявление нотариально заверенной доверенности на право совершения тех действий, которые планируется осуществлять с помощью ЭЦП (и информация о которых заносится в сертификат).
Максим Галимов пишет: "И так ли существенна эта проблема?"
У нас уже есть примеры нормативных актов, в которых устанавливается, что ЭЦП эквивалентна собственноручной подписи + печати. Проблема существует только тогда, когда закон или нормативный акт явно требует наличия печати на документе. Для многизх видов документов (даже для бумажных) печать не является обязательным реквизитом.
Да, для внешних удостоверяющий центров, не сомневаюсь, это должно быть просто обязательным - требовать доверенность. Только все равно, по-моему, проблема остается.
Просто моделирую ситуацию: вот приходит мне, ну скажем, какая-нибудь заявка, с помощью ЭЦП подписанная пользователем А из организации Б. Я уверен, что пользователь А имеет право подписывать какие-то документы организации Б, т.к. иначе ему не выдали бы ЭЦП. Но чтобы узнать, что он имеет право подписывать именно заявку, я должен либо запросить УЦ, либо вести собственный реестр (что плохо, т.к. люди меняются и за всеми изменениями не уследишь), либо в самом документе должна быть запись, на основании чего (доверенности, Устава) осуществлена подпись (чтобы как минимум позже можно было проверить).
Насколько я понимаю, Максим обеспокоен тем фактом, что без печати организации на документе трудно проверить полномочия лица, подписавшего документ. Действительно, мы привыкли думать, что печать - вещь сугубо официальная, представляет именно само "юридическое лицо", а не его представителей, действующих на основании устава или доверенности. Печать на подпись абы кого не поставят, ибо ставит ее либо сам директор, либо строгий и неподкупный бухгалтер, либо не менее строгий, неподкупный, ответственный секретарь, который в случае сомнений запросто слетает в кабинет "генерального", чтоб узнать, стоит ли ставить печать на ту или иную бумажку. Понятно, что это всего лишь "стереотип", но все же...
Когда же по электронной почте приходит не менее электронный документ, подписанный ЭЦП, скажем, заявка от партнера, с которым установлен самый что ни на есть электронный документооборот, может возникнуть вопрос, имел ли подписавший его [электронный документ] человек права на подпись этого документа? Здесь мы не говорим о документах, подписанных первым лицом предприятия, имя которого заранее известно, а о документах более "низкого полета", скажем, различных заявках, заказах от партнеров и т.п. Да и документ, подписываемый первым лицом предприятия, может быть подписан кем-то другим, например, его замом. И даже если в сертификате и есть заветное слово "зам", у контрагентов могут появиться сомнения в правомочности такого "замещения".
Думается, проблема выходит за рамки собственно электронного документооборота, касаясь и самого "базового" правоотношения (партнерство, поставка, выполнение работ, оказание услуг и т.п.), на базе которого данный электронный документооборот и построен. Можно, конечно, в случае сомнения, позвонить контрагенту и спросить у "верного человечка", кто есть такой этот Сидоров, что подписал документ.
Но есть, как мне кажется, способ лучше. Можно в соглашении об электронном документе определить, что все действия сотрудников организации - участника документооборота (а, значит, и подписывание ими электронных документов) считаются исполненными ими в рамках их полномочий и с ведома самого участника (читай - руководства данного участника). Получается такая виртуальная "ЭЦП юридического лица". И пусть голова болит уже у руководства контрагента! ;)
Наталья, Вы пишете, что удостоверяющие центры при выдаче сертификата заносят в него информацию о том, какие действия можно выполнять с помощью закрытого ключа, связанного с этим сертификатом. Но можно ли в него занести информацию, что владелец может подписывать только финансовые или только технологические документы? Что для этого используется? Существуют некие OID для задания свойств улучшенного ключа (enhanced key usage) или для этого применяются иные свойства сертификата? Не можете поделиться информацией?
С моей точки зрения, как специалиста ДОУ, главная трудность состоит не в том, чтобы определить, как может использоваться ЭЦП - для этого средства найдутся. Труднее всего заставить пользователей после положительной проверки ЭЦП ещё и раскрыть и проверить сертификат. Там, где документы идут сплошным потоком, - это практически невозможно.
Хотя это конечно только теория, т.к., как правило, цифровая подпись документа не защищает вид этого документа и подобная проверка ничего гарантировать не будет. Что же касается визуальной проверки человеком правомочности подписи, то, несомненно, подавляющее большинство взрослых людей отличит техническое задание смежному проектному институту от финансового отчета за текущий квартал, но не все виды документов так разительно отличаются. И, соответственно, и при такой проверке возможность манипуляции видами документами, согласитесь, возможна.
Судя по всему, перечень OID должен быть расширяемым.
Как видно, OID-ы у каждого УЦ свои, - что не облегчает их использование для автоматического определения прав подписанта.
Наталья! Огромное спасибо за ценное указание про последнюю таблицу.
Всем спасибо за интересную дискуссию. Думаю, что истину мы установили: проверять право подписи нужно и можно. В идеале человеческий фактор должен быть исключен. Только это трудный путь для разработчиков систем электронного документооборота, поэтому готовых решений мы в ближайшем будущем вряд ли увидим.
Но хотя бы мы сможем "вручную" посмотреть, предназначается ли сертификат для подписания этого типа документов. Хотя, по-моему, можно кое-что придумать и для автоматического распознавания. Ведь вероятнее всего, организация будет работать с одним УЦ, и настроиться на его политики как-то можно попытаться.