Термин электронная цифровая подпись (ЭЦП) встречается во многих законах и подзаконных актах. Нормативные правовые акты предусматривают возможность использования ЭЦП в рамках отношений, которые являются их предметом регулирования. Обширность нормативных актов, в которых содержится понятие ЭЦП и которые регулируют отношения субъектов права в связи с применением ЭЦП, свидетельствует о межотраслевом характере института ЭЦП. Нормы, регулирующие отношения по использованию ЭЦП, имеют место быть в гражданском, банковском, налоговом, таможенной, пенсионном, административном и иных отраслях права.
Если обратиться налоговому законодательству, то согласно статье 80 Налогового кодекса РФ налогоплательщик вправе подать декларацию, подписанную ЭЦП.
Таможенное законодательство позволяет осуществлять декларирование в электронной форме, что прямо предусмотрено Таможенным кодексом РФ (статьи 63, 132, 423).
Пункт 2 статьи Федерального закона от 01 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования» дает возможность работодателям подавать сведения обо всех лицах, работающих у них по трудовому договору, а также по договорам гражданско-правового характера, в Пенсионный фонд в электронной форме при условии подтверждения юридической силы предоставленных документов ЭЦП.
Законодательство о бухгалтерском учете в Российской Федерации позволяет использовать в первичных учетных документах ЭЦП лиц, ответственных за совершение хозяйственных операций и правильность их оформления (статья 9 Федерального закона РФ от 21.11.1996 № 129-ФЗ «О бухгалтерском учете» и письмо Министерства Финансов РФ от 26 мая 2004 года № 04-02-05/2/28).
Но указанные акты нельзя признать полноценными источниками права, регулирующие ЭЦП и отношения, связанные с ее использованием. Да, правовые акты МНС РФ или Таможенного комитета РФ регулируют процедуру подписания конкретных документов электронной подписью, аутентификации и подтверждения отсутствия искажения данных в ЭД. Но данные акты регулируют отношения по применению ЭЦП в конкретных правоотношениях и не носят универсальный характер. В большинстве взаимоотношения сторон по применения ЭЦП складываются в рамках гражданско-правовых отношений, и регулируются Гражданским кодексом и принятыми в соответствии с ним законами.
Первые попытки применения электронного документооборота в гражданско-правовых отношениях предпринимались в середине семидесятых годов. Правовое обоснование возможности использования ЭД опиралось на положения Гражданского кодекса РСФСР. ГК РСФСР 1964 года устанавливал для некоторых договоров, в том числе и для договоров, заключаемых на финансовом рынке, письменную форму их заключения (ст.41-48). Возможность использования систем ЭДО для заключения договоров пытались обосновать, исходя из принципа "что не запрещено, то разрешено".
В 1979 году Государственный Арбитраж СССР утвердил Инструктивные указания №И-1-4 «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники», которые допустили использование ЭД и признали за ними юридическую силу. Согласно Инструктивным указаниям документы, изготовленные с помощью электронно-вычислительной техники, «поскольку они содержат данные об обстоятельствах, имеющих значение для дела, должны приниматься органами арбитража на общих основаниях в качестве письменных доказательств».
В начале 80 годов прошлого века был принят ряд ведомственных актов, определяющих требования к внутриотраслевым машинным документам (например, Приказом N 158 от 29 декабря 1980 г. Государственный комитет СССР по делам изобретений и открытий утвердил Положение о всесоюзной магнитно-ленточной службе патентной информации; свои положения были разработаны в ЦСУ СССР, Госплане СССР и некоторых других министерствах и ведомствах).
20 апреля 1981 г. Государственный комитет по науке и технике СССР постановлением N 100 утвердил «Временные общеотраслевые руководящие указания о придании юридической силы документам, создаваемым средствами вычислительной техники». В этом акте, в частности, говорилось, что документ на магнитном носителе «используется без преобразования в человекочитаемую (визуальную) форму при передаче информации на предприятия, в организации и учреждения или для обмена информацией между ними» (п. 3). При заключении предприятиями договора об обмене документами на магнитных носителях им предписывалось устанавливать дополнительные реквизиты, которые должны были отражаться на человекочитаемых копиях магнитных документов (п. 22); предприятия регламентировали своими нормативными актами порядок преобразования в человекочитаемую форму применяемого документа на магнитном носителе, изготовления машинограммы (пп. 18, 36), а также внесения изменений в подлинник документа на машинном носителе (п. 24). Временные указания, по существу, были первым общесоюзным документом, регламентирующим использование документов на магнитных носителях для обмена информацией между предприятиями.
Государственный комитет СССР по стандартам 9 октября 1984 г. ввел с 1 июля 1987 года Постановлением ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники». Данный стандарт определял требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы.
Но в правовых актах советского права, предоставлявших возможность участникам гражданско-правовых отношений использовать электронные документы, отсутствовали нормы, устанавливающие порядок использования ЭЦП, иных аналогов собственноручной подписи и определяющие права лиц, применяющих ЭЦП.
Российское законодательство на первоначальном этапе своего развития также прямо не допускало использование ЭЦП. В соответствии со ст. 58 Основ гражданского законодательства Союза ССР и Республик (утверждены постановление Верховного Совета СССР №2211-1 от 31 мая 1991 года) при заключении договора в письменной форме возможны и составление единого документа, подписываемого сторонами, и обмен письмами, телеграммами, телефонограммами и т.д. А поскольку перечень документов, которыми стороны могут обмениваться, не был исчерпывающим, постольку делался вывод, что и электронные документы могут быть использованы для этих целей. Но эта же статья требует, чтобы пересылаемые документы были подписаны стороной, которая их отправляет. В то время утверждение о том, что электронная цифровая подпись может использоваться при заключении договоров вместо традиционных средств подтверждения подлинности документов (подпись руки, мастичная печать), было недостаточно обоснованным.
Но, несмотря на отсутствие правового регулирования отношений по применению ЭЦП, в России уже начинала складываться практика по применению ЭЦП. Так, летом 1993 года юридическая фирма ЮКОН по заказу Межбанковского финансового дома разработала методику заключения финансовых сделок с использованием модема и электронной подписи. Договор об оплате заказа также был заключен с использованием электронной подписи.
Первым Федеральным законом, указывающим на допустимость использования ЭЦП и его юридическую силу, стал Федеральный закон "Об информации, информатизации и защите информации». В частности, п. 3 ст. 5 данного Закона гласит:
"Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".
Такая формулировка предполагает, что электронный документ может быть заверен ЭЦП и использован в тех случаях, когда явно не предусмотрены другие требования к форме документа. Данная норма намного расширило возможности использованию ЭЦП в гражданском обороте, и ее принятие стало позитивным шагом в развитии гражданского права в области регулирования ЭЦП. Федеральный закон «Об информации» закрепил одно из важнейших предназначений ЭЦП — это способность идентифицировать автора ЭД.
Одним из наиболее важных нормативных актов, создавших основу для использования ЭЦП в предпринимательской деятельности стал Гражданский кодекс РФ. Так, согласно ст. 160 ("Письменная форма сделки"), использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
В соответствии со ст. 434 ("Форма договора") договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.
И, наконец, ст. 847 ("Удостоверение права распоряжения денежными средствами, находящимися на счете") устанавливает, что договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.
Таким образом, Гражданский кодекс РФ разрешил использование электронных документов, заверенных электронно-цифровой подписью, во всех случаях, когда требуется письменная форма сделки, за исключением тех, при которых установлены специальные требования к форме документа. В тех случаях, когда подобные требования установлены подзаконными актами, для применения ЭЦП достаточно решения соответствующих органов (на основании норм ГК и Закона "Об информации, информатизации и защите информации") о возможности использования параллельно с традиционными и электронных документов, удостоверенных ЭЦП.
Изначально наиболее широкое распространение электронные системы документооборота и ЭЦП получили в банковском секторе. Это было связано с увеличением числа и объемов транзакций, совершаемых кредитными организациями между собой и клиентами, их трансграничностью. Банк России является органом, координирующим, регулирующим и лицензирующим организацию расчетных систем в Российской Федерации. Его прерогативой является установление правил, форм, сроков и стандартов осуществления безналичных расчетов.
10 февраля 1998 года ЦБ РФ принял Временное Положение № 17-П «О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями». Другими базовыми документами, регулирующими отношения по использованию ЭЦП в банковской сфере, является Положение ЦБ РФ от 12 марта 1998 года № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России», Положение ЦБ РФ № 36-П от 23 июня 1998 года «О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России». Общее число нормативных актов Центрального Банка России, регламентирующих отношения по использованию ЭЦП или позволяющих использование ЭЦП в банковско-правовых отношениях, достаточно велико.
10 января 2002 года в истории российского правового регулирования электронного документооборота произошло знаменательное событие, был принят один из важных нормативных актов, призванных упорядочить отношения связанные с использованием ЭЦП в коммерческом обороте. Был принят Закон «Об ЭЦП». Проект, который лег в основу Закона «Об ЭЦП», был разработан по поручению Правительства РФ, Министерства связи России совместно ФАПСИ, Гостехкомиссией России, Минюста России, ФКЦБ РФ, Госстандарста РФ с участием Банка России.
До принятия Закона «Об ЭЦП», отмечает В.Б. Наумов, действовавшее законодательство применительно к использованию ЭЦП было диспозитивным, то есть предлагало участникам гражданского оборота самостоятельно определять аспекты собственной деятельности: от соответствующих юридических терминов до существенных условий гражданских договоров, которые заключаются между лицами использующие ЭЦП.
Закон «Об ЭЦП» включает в себя 21 статью, которые объединены в пять глав.
В главе I "Общие положения" (статьи 1-3) определяется цель Закона об ЭЦП, предмет регулирования, указывается на нормативно-правовую базу, имеющую отношение к регулированию вопросов ЭЦП, а также раскрываются основные понятия.
Статьи 4-7 объединены в главу II "Условия использования ЭЦП", в которой закреплены условия, при соблюдении которых признается равнозначность ЭЦП и собственноручной подписи, принципы использования ЭЦП, нормы, определяющие статус сертификата ключа подписи - документа, позволяющего подтверждать подлинность ЭЦП и ее принадлежность конкретному лицу.
Нормы, регулирующие деятельность и правовое положение удостоверяющих центров, порядок приостановления, аннулирования сертификата ключа подписи, а также основные права и обязанности лиц, использующих ЭЦП, составляют Главу III "Удостоверяющие центры" (статьи 8-15).
В главе IV "Особенности использования ЭЦП" (статьи 16-19) предусмотрены особенности использования ЭЦП в сфере государственного управления, в корпоративных информационных системах (с ограниченным кругом участников), а также условия признания юридического значения иностранных ЭЦП и случаи, когда ЭЦП может замещать печать, которой заверяется бумажный носитель.
Закон «Об ЭЦП» ставит своей целью обеспечения правовых условий использования ЭЦП в электронных документах, при соблюдении которых ЭЦП признается юридически равнозначной собственноручной подписи в документе на бумажном носителе. Концепция закона базируется на понятии государственных гарантий правомерности использования ЭЦП. Иначе говоря, по сравнению с иными аналогами собственноручной подписи, только ЭЦП обеспечивает однозначное соответствие между электронным документом и лицом, его подписавшим. Что касается сферы применения Закона об ЭЦП, то здесь дело обстоит намного сложнее. В силу прямого указания в пункте 2 статьи 1 сфера регулирования ограничивается только отношениями, возникающими при совершении гражданско-правовых сделок, и другими специально предусмотренными законодательством РФ случаями. Таким образом, для применения норм Закона в иных отношениях, нежели отношения на основании гражданско-правовых сделок, необходимо принятие законодательных актов. Здесь имеется определенное расхождение с Типовым законом ЮНСИТРАЛ об электронных подписях, который применяется в случаях использования ЭЦП в контексте коммерческой деятельности. При этом Комиссия предлагает для государств, которые пожелают расширить применение закона следующий текст: «Настоящий Закон применяется в случаях, когда используются электронные сделки, за исключением следующих ситуаций…». При этом термину «коммерческая» должно придаваться широкое толкование, с тем, чтобы он охватывал вопросы, вытекающие из всех отношений коммерческого характера, являются ли они договорными или нет. Отношения коммерческого характера включают сделки, но не ограничиваются ими.
Закон «Об ЭЦП», определяя условия, при соблюдении которых ЭЦП признается равнозначной, указывает в качестве обязательных требований наличие действующего сертификата ключа подписи, подтверждение подлинности ЭЦП в электронном документе, а также соответствие отношений, в которых используется ЭЦП, сведениям, указанных в сертификате ключа подписи. В тоже время Модельный закон СНГ "Об электронной цифровой подписи" (принят на шестнадцатом пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ 9 декабря 2000 г.) определяет иные, но в тоже время схожие, условия соответствия ЭЦП собственноручной подписи. ЭЦП будет иметь равнозначный статус с собственноручной подписью, если:
она прошла проверку на подлинность при помощи открытого ключа электронной цифровой подписи, имеющего регистрационное свидетельство аккредитованного Центра регистрации или в порядке, предусмотренном соглашением сторон;
подписавшее лицо правомерно владеет закрытым ключом, используемым для создания электронной цифровой подписи;
электронная цифровая подпись является действующей на момент подписания.
Одно лицо может быть владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при участии в отношениях, указанных в сертификате ключа подписи.
Модельный закон "Об электронной цифровой подписи", в отличие от Закона «Об ЭЦП», допускает использование средств электронной цифровой подписи, не имеющих сертификата, выданного Центром сертификации средств электронной цифровой подписи. При этом владелец несертифицированных средств электронной цифровой подписи (владелец закрытого ключа) обязан заявить об отсутствии сертификата всем пользователям открытого ключа, создаваемого этим средством электронной цифровой подписи. В случае использования заявленных несертифицированных средств электронной цифровой подписи риски убытков несут владелец закрытого ключа и получатель открытого ключа электронной цифровой подписи.
Законом «Об ЭЦП» предусматривается использование ЭЦП информационной системе общего пользования и корпоративной информационной системе. Системы дистанционного банковского обслуживания, управление расчетным счетом через Интернет представляет собой корпоративную информационную систему. Именно в этой системе в настоящий момент получило наибольшее распространение ЭЦП.
Одной из отличительных особенностей данного закона является его детальная регламентация изготовления и содержания сертификата ключа подписи, как в информационной системе общего пользования, так и в корпоративной информационной системе.
В Законе «Об ЭЦП» устанавливаются правовой статус удостоверяющих центров, их функции. Определяются отношения этих центров с уполномоченным федеральным органом исполнительной власти, который ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров
Закон указывает на так называемые «случаи замещения печатей». Это означает, что содержание документа на бумажном носителе, заверенного печатью и перенесенное в электронный документ, в соответствии с нормативными актами или соглашением сторон может заверяться ЭЦП уполномоченного лица. Возможность создания электронных копий заверенных печатью документов позволит постепенно устранить ту двойственность в отношениях между партнерами по сделкам, которая нередко существует в настоящее время: с одной стороны, имеется возможность оперативного обмена информацией с использованием ЭЦП, в то время как часть документов приходиться отправлять друг другу на обычных бумажных носителях, в том числе по причине необходимости скрепления их печатями в силу прямого указания закона.
Следует отметить, что ни статья 160 ГК, регулирующая вопросы письменной формы сделки, ни статья 434 ГК, посвященная форме договора, не выдвигает в качестве обязательного требования скрепления документов печатями.
Многие правоведы признают, что Закон «Об ЭЦП» в современной редакции далек от совершенства. Отчасти этому есть объяснение в том, что в принятии Закона главную роль играли государственные органы. Центральный Банк РФ и банковское сообщество как наиболее заинтересованные субъекты были отодвинуты от активного участия в законотворчестве.
Наблюдается несоответствие норм Закона принципам международного права и иностранного законодательства. Закон «Об ЭЦП» не воспроизводит подход иностранного законодательства и международного права к регулированию электронных подписей. Российский закон не регулирует отношения, возникающие при использовании иных аналогов собственноручной подписи.. Практически все ученые и практикующие юристы сходятся во мнении, что ограничительную норму необходимо изменить, позволив использовать ЭЦП для значительно более широкого круга юридических действий и документов. Наряду с этим следует четко указать в законе, какие документы не могут использоваться в электронном виде и, соответственно, подписываться ЭЦП. В зарубежном законодательстве об ЭЦП такие запреты относятся к завещанию, ряду процессуальных документов и другим. Такие нормы в современном российском законодательстве за редким исключением отсутствуют. К исключению можно отнести положение статьи 4 Федерального закона от 11 марта 1997 года № 48-ФЗ «О переводном и простом векселе», который допускает возможность составления простого и переводного векселя только на бумаге (бумажном носителе). Пленум Верховного Суда РФ и Пленум Высшего Арбитражного Суда РФ в постановлении от 4 декабря 2000 года № 33/14 «О некоторых вопросах практики рассмотрения споров, связанных с обращением векселей» дал разъяснение, в соответствии с которым следует учитывать, что нормы вексельного права не могут применяться в обязательствам, оформленным на электронных и магнитных носителях (п.2).
В Положении ЦБ РФ от 3 октября 2002 года №2-П «О безналичных расчетах в Российской Федерации» устанавливаются требования к реквизитам расчетных документов. И если такие требования к чеку, как наличие наименования расчетного документа; числа, месяца, года его выписки; наименование банка плательщика и т.п., могут быть удовлетворены в электронных документах без особых сложностей, то такие требования, как наличие собственноручной подписи, заполнение чеков от руки чернилами принципиально не могут быть выполнены в отношении электронных документов.
Закон «Об ЭЦП», в отличие от Типового закона ЮНСИТРАЛ об электронных подписях, ориентирован исключительно на технологию использования ЭЦП, генерация которой основана на единственном математическом методе вычисления хэш-функции с использованием асимметричных криптографических открытых и закрытых ключей и не допускает использования других технологий и расширительного охвата других известных способов организации электронной подписи и тех, которые будут изобретены и внедрены в будущем. Последнее также не соответствует общепринятой мировой тенденции развития законодательства и действующей законодательной практике ООН, Европейского сообщества и ряда государств, где субъект, использующий электронную подпись, основанную на том или ином методе и технологии, сам решает, какая степень защиты электронного документа ему необходима. Предлагаемый подход возможен для использования ЭЦП в отдельных определенных сферах, например в государственном управлении, где требования могут быть жестко установлены законом.
Неоправданную жесткость и технологичность Закона «Об ЭЦП» отмечает и А.В. Шамраев. Закон «встраивает» административные механизмы (сертификация и лицензирование) в рамки юридических последствий использования ЭЦП, а также в высокой степени зависит от подзаконного регулирования. Ко времени принятия Закона «Об ЭЦП» в России сложилась определенная договорная практика использования ЭЦП, в которой сертификаты и внешние удостоверяющие центры традиционно рассматривались в качестве факультативных элементов. По сути, Закон «Об ЭЦП» вернул Россию к модели регулирования, от которой отошла ЮНСИТРАЛ. И уровень доверия к корпоративным системам, в которых применялась ЭЦП, особенно в банковской сфере, подкрепленным правовой регламентацией, был достаточно высоким и нее вызывал, по крайней мере, публичных нареканий.
В результате анализа Закона «Об ЭЦП» можно выделить следующие недостатки, которые, как надеется автор, в будущем будут устранены. Терминологическая неопределенность.
Автор солидарен с мнением с А.В. Шамраева, который указывает в качестве недостатка Закона «Об ЭЦП» терминологическое закрепление ЭЦП как реквизита ЭД. Данное обстоятельство является препятствующим для широкого распространения ЭЦП, особенно в банковской сфере. Согласно требованиям Закона «Об ЭЦП» владелец счета обязан закрепить ЭЦП каждый платежный документ, отсылаемый банку по системе «Банк-Клиент». Это трудоемкое занятие для крупных корпоративных клиентов банков. Возможность удостоверения ЭЦП пакета электронных документов повысит привлекательность ЭЦП и явилось бы позитивным фактором в распространении ЭЦП. Отсутствие возможности производить «автоматическое подписание документов компьютерными системами и подписывать за один раз пакет документов» как на серьезную недоработку указывают и банковские специалисты (заместитель начальника управления информационной безопасности Сбербанка России Сергей Гундарев).
Сдерживающим фактором, по мнению автора, является и то обстоятельство, что согласно определению ЭЦП может принадлежать только физическому лицу. Это несколько ограничивает сферу применения ЭЦП и вносит ряд неудобств в применении. Но если уполномоченное лицо юридического лица перестанет таковым являться (например, при расторжении трудового договора), то организация уже не сможет воспользоваться данной ЭЦП. В то же время, имеется риск злоупотребления владельцев ЭЦП, когда они, уже перестав занимать должность в корпорации, отправляют электронные документы, подписав их ЭЦП и представляясь уполномоченными лицами корпорации.
Предлагается расширить субъектный состав категории «владелец ЭЦП», предусмотрев возможность выступать в качестве владельца ЭЦП и юридическое лицо. Одновременно необходимо включить дополнительно категорию «оператор ЭЦП».
«Оператор ЭЦП» - лицо, уполномоченное владельцем электронной цифровой подписи на подписание электронных документов от имени владельца электронной цифровой подписи, осуществление подтверждения подлинности, а также совершение иных действий с использование электронной цифровой подписи владельца электронной цифровой подписи»
Представляется не совсем точным норма, закрепленная в Законе, согласно которой «владелец сертификата ключа подписи обязан не использовать для ЭЦП открытые или закрытые ключи ЭЦП, если ему известно, что эти ключи использовались ранее» (статья 12 Закона «Об ЭЦП»). Представляется, что при создании Закона законодатель предполагал запрет на использование так называемых «скомпрометированных» средств ЭЦП, то есть когда сведения о закрытом ключе стали известны другим лицам, либо закрытый ключ использовался ранее иными лицами. Но в связи с тем, что в норме пропущено несколько слов, при дословном цитировании Закона приходим к абсурдному выводу о том, что любое повторное использование закрытым ключом даже владельцем сертификата ключа незаконно. Также вызывает вопрос запрете использования ЭЦП при компрометации открытого ключа. Сведения об открытом ключе общедоступны, и удостоверяющий центр выдают их пользователям с целью проверки принадлежности ЭЦП соответствующему владельцу. В иностранном законодательстве открытый ключ имеет название «публичный» ключ («public key»), что более соответствует действительности. В связи с этим автор не соглашается с позицией Маньшина С.В., который в своей работе предлагает закрепить в качестве одного из важнейших принципов функционирования ЭЦП, как невозможность использования ЭЦП повторно. Либо необходимо внести поправки уточняющего характера, в соответствии с которыми невозможно использовать повторно ЭЦП другими лицами после окончания срока действия сертификата ключа подписи первоначального владельца ЭЦП.
В Законе об ЭЦП отсутствует также важное требование к ЭЦП, как отображение времени генерации ЭЦП. Необходимо исключить требование о наличии в сертификате сведений об отношениях, в которых применяется ЭЦП.
В соответствии со статьей 6 Закона «Об ЭЦП» в сертификате ключа подписи должны содержаться сведения об отношениях, при осуществлении которых ЭД с ЭЦП будет иметь юридическую силу. Использование ЭЦП в отношениях, которые не указаны в сертификате ключа подписи, автоматически влечет недействительность ЭЦП. Данная зависимость свидетельствует о том, что Закон об ЭЦП вовсе не упростил, а, наоборот, значительно усложнил правовые отношения, возникающие в гражданском обороте в связи с использование ЭЦП. Предлагается исключить данное положение как ограничивающее правовое положение владельца ЭЦП по ее использованию сертификата, либо оставить возможность вносить сведения об отношениях, в которых ЭЦП не будет иметь юридической силы.
Если обратить внимание на законодательство Эстонской Республики, то в соответствии со статьей 5 Закона Эстонской Республики от 08 марта 2000 года «О цифровой подписи» (далее — Закон Эстонии «О цифровой подписи»), то требования к содержанию сертификата ключа подписи несколько отличаются от российского подхода и установлены согласно европейскому законодательству. В Эстонии сертификат должен содержать сведения не об отношениях, в которых применяется ЭЦП, а обратное указание- описание ограничений сферы использования сертификата. Обязательность сертификата ключа подписи в КИС.
По существующим на настоящий момент требованиям даже в корпоративной информационной системе, в которой порядок использования ЭЦП устанавливается решением владельца КИС или соглашением сторон (статья 17 Закона «Об ЭЦП»), необходимо оформлять на бумажном носителе сертификат ключа подписи. На практике требование об изготовлении сертификата ключа подписи удостоверяющим центром на бланке последнего в двух экземплярах, препятствует быстрому началу использования ЭЦП в гражданско-правовых отношениях. Предлагается, в КИС требование об оформлении сертификата ключа подписи исключить, оформление сертификата ключа подписи осуществляется в обязательном порядке только при соглашении сторон. Также возможно оформление сертификата ключа подписи в электронной форме с отправкой последнего владельцу ЭЦП либо установить возможность включать сертификат ключа в текст основного договора об использовании ЭЦП без оформления на бланке.
В Республике Эстония при определении регулятора отношений по применению цифровой подписи первоначально определить вид правоотношений. Регуляция частноправовых отношений опирается на диспозитивный принцип, и цифровая подпись используется в соответствии с соглашением сторон (статья 4 (1) Закона Эстонии «О цифровых подписях»). В публично правовых отношениях цифровые подписи используются в соответствии с Законом и принятыми на его основе актами.
Исходя из данного разграничения способа регуляции на основе разделения отношений по применению цифровой подписи, в Республике Эстония в корпоративных информационных системах сертификат цифровой подписи оформляется на основании соглашения сторон и может изготавливаться либо в бумажной, либо в электронной форме. Признание иностранного сертификата ключа подписи.
По действующему законодательству иностранные сертификаты ключа подписи будут иметь юридическую силу на территории России при выполнении установленных процедур признания юридического значения иностранных документов. Но до настоящего времени нормы, регулирующие порядок признания иностранного сертификата ключа подписи, отсутствуют. Представляется, что данное требование представляет достаточным жестким. Типовой закон ЮНСИТРАЛ об электронных подписях устанавливает, что при установлении юридической силы сертификата ключа подписи не должны приниматься во внимание географическое место, где выдан сертификат, место нахождения предприятия, выдавшего сертификат. Аналогичное по смыслу положение содержит и Модельный закон СНГ от 9 декабря 2000 года «Об электронной цифровой подписи», согласно которому электронная подпись имеет юридическую силу, если может быть проверена открытым ключом, имеющим свидетельство, выпущенное одной из стран СНГ или государством, с которым есть договор о признании таких свидетельств.
Таким образом, предлагается исключить из Закона «Об ЭЦП» требование выполнения процедур легализации иностранного электронного документа при установлении юридической силы иностранного сертификата ключа подписи.
По сравнению с российским Законом «Об ЭЦП» Закон Эстонии «О цифровой подписи» устанавливает понятную и определенную процедуру признания иностранных сертификатов. Сертификаты, выданные иностранными поставщиками сертификационных услуг, в Эстонии признаются имеющими равную силу с сертификатами, выданными поставщиками сертификационных услуг в Эстонии при соблюдении, как минимум, следующих условий:
в соответствии с решение главного оператора государственного реестра по сертификации иностранный поставщик сертификационных услуг соответствует требованиям законодательства Эстонии;
сертификаты иностранного поставщика сертификационных услуг гарантированы поставщиком сертификационных услуг Эстонии, который принимает на себя всю ответственность за точность данных, содержащихся в сертификатах;
сертификаты, выданные иностранным поставщиком сертификационных услуг, признаются вступившим в силу международным договором Эстонской Республики.
Отсутствует координация с иными нормативными актами Российской Федерации.
В целом Закон «Об ЭЦП» достаточно слабо координируется с иными нормативными актами российского права. До сих пор значительная часть подзаконных актов, на наличие которые указывает закон, не принята. Не внесены изменения в акты, принятые до принятия Закона «Об ЭЦП» и содержащие нормы, которые входят в правовую коллизию с Законом. Например, Закон об информации устанавливает, что распечатанный электронный документ приобретает юридическую силу после подписания должностным лицом в порядке, предусмотренный действующим законодательством. Но порядок и само должностное лицо не определены. Закон «Об ЭЦП» не устанавливает аналогичных требований, а при осуществлении электронного документооборота в корпоративных системам оставляет этот вопрос на усмотрение сторон. Именно отсылочный, а не конкретизированный характер многих норм Закона существенно снижает возможный положительный эффект от его принятия. В отличие от российского закона за рубежом к вопросам применения ЭЦП подходят более рационально, не абсолютизируя ЭЦП как «аналог собственноручной подписи», а рассматривая ее лишь как один из возможных способов идентификации участников правоотношений, связанных с использование Интернета. Нет в иностранных законах об ЭЦП и жесткой привязки к тем или иным технологиям, процедурам проверки и сертификации. В результате за рубежом законодательство о цифровых подписях работает, а в России нет.
В настоящий момент в Мининформсвязи РФ разработало законопроект, вносящий поправки к Закону «Об ЭЦП», которые обеспечат возможность использования иных электронных аналогов собственноручной подписи, будут учитывать международную практику. Также предусматривается внесение корректировки для исключения зависимости закона от нормы, применяемой в технологии ЭЦП. Статус Удостоверяющего центра.
До недавнего времени законодательное закрепление статуса удостоверяющего центра вызывали непреодолимые трудности в процессе реализации возможности применения ЭЦП и недоумение правового сообщества. Согласно пункту 2 статьи 8 Закона «Об ЭЦП» деятельность удостоверяющего центра подлежала лицензированию в соответствии с действующим законодательством России о лицензировании отдельных видов деятельности. До 02 июля 2005 года Федеральный закон от 08 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности» предусматривал лицензирование деятельности по выдаче сертификатов электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП. Но 02 июля 20005 года Федеральным законом «О внесении изменений в Федеральный закон «О лицензировании отдельных видов деятельности», Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» и Кодекс Российской Федерации об административных правонарушениях» данное требование о лицензировании деятельности удостоверяющих центров отменили. Но для гармонизации законодательных актов необходимо внести изменения и в Закон «Об ЭЦП», исключив пункт 2 статьи 8.
Аналогом удостоверяющего центра в Республике Эстония является Поставщик сертификационных услуг, которым является лицом или учреждением, выдающее сертификат и несущее ответственность за точность и содержание в нем данных (статья 9 Закона Эстонии «О цифровых подписях»). В отличие от России в Эстонии законодательно устанавливаются определенные требования к поставщикам сертификационных услуг и их обязанности. Поставщиками сертификационных услуг в Эстонии могут быть только следующие лица и учреждения:
акционерные общества;
закрытые акционерные общества, чей акционерных капитал превышает 400 000 крон;
публично-правовые юридические лица, если этой предусмотрено законом, касающимся публично-правовых лиц;
государственные учреждения, определенные Правительством Республики.
При этом государственные учреждения, определенные Правительством, могут в качестве поставщика сертификационных услуг выдавать сертификаты только для использования в публично-правовых отношениях. Перед началом деятельности по оказанию сертификационных услуг лица и учреждения должны быть включены в государственный реестр по сертификации в качестве поставщиков сертификационных услуг и зарегистрированы в соответствующем реестре Эстонии. Главным оператором реестра является Министерство транспорта и связи.
Поставщики сертификационных услуг в Эстонии должны проводить ежегодный аудит информационной системы на дату включения в государственный реестр по сертификации и предоставлять результаты аудита уполномоченному оператора государственного реестра по сертификации. Поставщики сертификационных услуг не должны иметь задолженности по уплате налогов или иных задолженностей, ставящих под угрозу оказание сертификационных услуг в соответствии принципами Закона. Поставщики также должны страховать свою деятельность. При прекращении оказании услуг поставщик обязан не позднее, чем за месяц до прекращения деятельности в качестве такого лица известить пользователей своих услуг.
Международное право и законодательство других стран в сфере регулирования использования ЭЦП начало активно развивать с середины девяностых годов прошлого века. В марте 1995 года был разработан Американской ассоциацией юристов типовой договор об электронном обмене данными между торговыми партнерами.
Соглашение «Об электронном обмене данными реализует три фундаментальные юридические цели, а именно:
(а) упростить, разъяснить и модернизировать правовой механизм, регламентирующий торговые сделки;
(б) придать юридическую силу сделкам, совершаемым электронным способом, обеспечить их правовое признание и, соответственно, судебную защиту и
(с) способствовать дальнейшему расширению торговой практики на основе договоренности сторон.
Н. Соловяненко справедливо отмечает, что в иностранной юридической доктрине по вопросу регулирования применения ЭЦП преобладает точка зрения, согласно которой в связи глобальным характером правого понятия ЭЦП и международным развитием электронной коммерции национальное должно быть сведено к нескольким унифицированным законам, стать последовательно международным и прозрачным. Данный принцип нашел отражение в Директиве Европарламента «Об электронных подписях». Директива устанавливает требования в отношении законодательства государств участников, которые состоят в следующем:
— предоставление услуг по выдаче сертификатов ключей электронных подписей не должно зависеть от предварительного разрешения;
— национальное законодательство должно признать средства электронной подписи, отвечающие общепризнанными стандартам средств электронной подписи, опубликованным в Официальном журнале Европейского Союза (Official Journal of the European Communities) (Глава 3 Директивы Европарламента «Об электронных подписях»);
— гарантировать, что средства электронной подписи, которые соответствуют требованиям Директивы, могут свободно обращаться на внутреннем рынке;
— гарантировать, что электронные подписи, созданные с помощью надежных средств ЭЦП и имеющие соответствующий сертификат, удовлетворяют юридическим требованиям к подписи в отношении данных в электронной форме, так же как и собственноручная подпись удовлетворяет таким требованиям;
— обеспечить, чтобы юридическая сила электронных подписей и допустимость последних в качестве доказательств не отрицались на том основании, что подписи являются электронными, или не созданы при помощи надежных средств ЭЦП, или не имеют соответствующего сертификата (Глава 5 Директивы).
Первый в мире Закон о цифровой подписи был принят американским штатом Юта 01 мая 1995 года (Utah Digital Signature Act). В Европе первым государством, которое приняло Закон об электронной подписи, стала Германия, а закон Германии стали вторым законодательным актом в мире после Закона штата Юта. Немецкий подход к приданию юридической силы договорам в электронной форме в части требования собственноручной подписи состоит в построении жесткого режима. В 1997 года вступил в действие в силу Закон о цифровой подписи, который является статьей 3 Закона «О регулировании основных условий предоставления информационных и коммуникационных услуг». Процесс регулирования использования криптографии с открытым/закрытым ключом в Германии затрагивает технические требования к сертифицирующим органам, которые должны полностью соответствовать закону для того, чтобы получить разрешение на осуществление деятельности. Основной упор закона сделан на создание инфраструктуры ЭЦП, а не на признании их юридической силы.
13 марта 2000 года во Франции был принят закон № 2000-230 «О придании доказательственной силы информационным технологиям и об электронной подписи». Данный закон внес изменения и дополнения в Гражданский Кодекс Франции и определил понятие, основные характеристики, а также критерии, при выполнении которых ЭЦП признается юридически значимой. Электронная подпись должна идентифицировать личность того, кто ее поставил, и должна выполняться с помощью надежного способа, гарантирующего ее связь с документом, к которому она относиться. Достоверность такого способа презюмируется при отсутствии доказательства об обратном, если электронная подпись совершена, личность подписавшего установлена, а целостность правого документа гарантирована в соответствии с условиями, установленными декретом Государственного Совета (decret en Conseil d’Etat). При этом важно отметить, что в судебном процессе судья самостоятельно определяет наиболее достоверный документ любыми средствами, независимо от носителя. Таким образом, юридическая сила ЭД, подписанное ЭЦП, может оказаться выше, чем сила документа на бумажном носителе.
В США федеральный закон «Об электронных подписях в глобальной и национальной коммерции» («The Electronic Signatures in Global and National Commerce Act») был принят 30 июня 2000 года. Согласно комментариям «Кахн Консалтинг Инк» («Kahn Consulting Inc») данный закон в силу того, что это первый федеральный закон США, представляет собой общий закон без жестких императивных норм. Либеральная дефиниция электронной подписи (electronic signature, e-signature) также объясняется и действием Закона от 10 ноября 1978 года «Об электронном переводе денежных средств» (Uniform Electronic Transactions Act).
Под электронной подписью по закону США понимается электронный звук, символ или процесс, присоединяемый или логически ассоциируемый с договором или иной записью и выполняемый или допускаемый лицом с намерением подписать документ. Определение технологически нейтрально и не устанавливает жесткой технологической процедуры генерации ЭЦП, и нацелено на расширение самого понятия электронной подписи с развитием технологии.
В Соединенных Штатах имеет место быть три категории электронной подписи: простая, защищенная и цифровая (Common, Secure, Digital). Данное разграничение не является жестким, но отражает квалифицирующие различия в доказательственной силе подписи, ее относительной стоимости и процедуре создания.
Простая электронная подпись не имеет жесткой привязанности к технологии ее создания, и определяется как любой метод подписания без применения любой специальной технологии для усиления защиты подписи, ее способности идентификации или иной силы, как доказательственной силы. Такой подписью может быть электронный адрес подписавшего; цифровой образ собственноручной подписи; «клик-рэп» (“click-wrap”), которое представляет собой нажатие на клавишу в программе, тем самым подписывающий дает свое согласие на совершение действия (этот метод распространен в электронных магазинах). Использование простой электронной подписи зачастую порождает правовые споры, к примеру, оспаривалось приобретение пожилой женщиной авиабилета во Флориду первым классом стоимостью 6 000 долларов США, когда она выразила согласие на приобретение путем нажатия программной клавиши «Согласен».
Защищенная электронная подпись в отличие от простой подписи использует ряд технологий для повышения способности идентификации и юридической силы, такие как: «динамическая подпись» (“signature dynamics”), заключающая в подписании документа с помощью сенсорного экрана собственноручно; биометрические характеристики человека (голос, особенности печатания текста), собственные криптографические методы.
Цифровая электронная подпись основана на криптографическом методе генерации и подтверждения ЭЦП. Правовой статус ЭЦП, применяемой в России, соответствует данному виду электронной подписи. Но в виду того, что федеральный закон США технологически нейтральный, требования законодательства штатов США и других государств о применении определенной технологии ЭЦП могут быть признаются не применяющимися к отношениям сторон по использованию ЭЦП.
Согласно статье 301 Закона США стороны самостоятельно устанавливают приемлемые технологии подтверждения подлинности и модели применения в своих сделках с гарантией того, что такие модели и технологии подлежат принудительному обеспечению. Но в виду высокой юридической силы ЭЦП, применяемой на основе криптографии, юристы США рекомендуют использовать криптографический метод.
Страны СНГ не отстают от общемирового правого развития. В январе 2000 г. в Республике Беларусь был принят закон "Об электронном документе", в котором заложена правовая основа использования ЭЦП применительно к электронным документам. В Республике Таджикистан с 10 мая 2002 года действует закон «Об электронном документе». Закон с аналогичным названием с 19 декабря 2000 года действует на территории Туркмении.