Читать книгу Информационное право: актуальные проблемы теории и практики - Коллектив авторов - Страница 23

Принятый в январе 2002 г. Федеральный закон «Об электронной цифровой подписи» [103] определил правовой режим электронной цифровой подписи, общий порядок и условия ее применения, при которых электронный документ будет иметь юридическое значение и силу. Принятие нового закона в той сфере отношений, которые ранее отсутствовали, всегда сопровождается множеством вопросов, относящихся к снятию естественных психологических барьеров, возникающих с переходом к новым граням правовых отношений, а также в связи с освоением новых правил. Очень часто новый закон, создавая условия инноваций в той или иной области жизни страны, обнаруживает и сложности, которые неминуемо возникнут в практике его применения. Прошел не такой уж большой срок после принятия названного Закона, но ознакомление с практикой его применения и строительством соответствующей инфраструктуры позволили (отмечая в целом его позитивную сторону) высветить ряд существенных проблем и недостатков, поставить вопросы, которые потребуют новых усилий со стороны законодателя, ведомств и субъектов, которых данный Закон касается.

Названный Закон в ст. 3 определил электронную цифровую подпись как «реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе». Данное определение акцентирует внимание прежде всего на функциональной роли подписи как средства защиты документа и способа идентификации владельца сертификата ключа подписи, а также на гарантии отсутствия искажения информации в электронном документе. Закон декларирует цифровую подпись как аналог собственноручной подписи документа. К сожалению, таковой она не является, так как в Законе нет нормы, устанавливающей биометрическую привязку закрытого ключа и соответственно подписи к его владельцу.

Электронная цифровая подпись по указанному Закону, в отличие от ГК РФ, очень жестко ориентирована на одну-единственную технологию, разработанную в соответствии с требованиями ГОСТ Р 34.1094 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» [104], использующую методы криптографии – области прикладной математики, которая занимается преобразованием цифровой информации в зашифрованную форму и обратным преобразованием – дешифрованием информации. При генерации электронной цифровой подписи используется математический алгоритм вычисления хэш-функции файла электронного документа или его отдельной индексированной записи в файле с применением асимметричных криптографических и связанных между собой открытых и закрытых ключей, что позволяет обеспечить степень защиты подписи и самого электронного документа, на несколько порядков превышающую степень защиты самых защищенных традиционных документов. Хэш-функция электронного документа представляет собой цифровую свертку в виде некоторого значения хэш-функции или хэш-результата определенной стандартом длины, который является обычно много меньшим, чем сам электронный документ, но уникальным по своей сущности.

Сигнатура электронной цифровой подписи, сформированная с помощью соответствующего программного обеспечения и закрытого ключа, представляет собой (как и сам закрытый ключ) особый специфический вид электронных документов. Как правило, она или дописывается к электронному документу как дополнительная запись в конец файла электронного документа или формируется, сохраняется и передается совместно с электронным документом, как отдельный прилагаемый именованный файл-сигнатура, который увязан с подписанным файлом электронного документа.

Секретный ключ с момента его генерации должен изготавливаться в единственном экземпляре в форме материального документа с защитными элементами, предохраняющими его от явного копирования. Секретные ключи никогда не должны храниться в явном виде на носителях, с которых они могут быть легко скопированы и, соответственно, скопроментированы. Во многих существующих разработках этим условием пренебрегают, оставляя защиту секретных ключей на совести пользователя системы электронной цифровой подписи. В некоторых случаях разработчики предлагают варианты хранения на носителях, которые должны быть защищены от копирования. Например, таблетки Touch Memory, смарт-карты или бесконтактные карты Proximity

В состав сигнатуры подписи должна входить и дополнительная информация, перечень которой определен ст. 6 рассматриваемого Закона как обязательные сведения, включаемые только в сертификат ключа подписи. К ним относятся: регистрационный номер сертификата и ключа подписи; срок его действия (дата начала и окончания действия); фамилия, имя и отчество владельца сертификата и закрытого ключа; открытый ключ цифровой подписи; наименование аппаратных или программных средств электронной цифровой подписи, с которыми используется конкретный ключ; наименование и место нахождения удостоверяющего центра, выдающего сертификат; сведения об отношениях, при осуществлении которых подписанный электронный документ имеет юридическое значение. Данная статья Федерального закона «Об электронной цифровой подписи» также определяет случаи, при которых в сертификат по заявлению владельца могут вноситься дополнительные сведения, в частности должность по месту работы, место нахождения организации и др. В Законе прямо не установлено, что в состав дополнительных сведений, включенных в сигнатуру электронной цифровой подписи, должны также входить дата и время ее установления, хотя это очень важный реквизит электронного документа. Справедливости ради следует отметить, что ГОСТ Р 34.10-2001 определены требования по данному реквизиту, и дата и время установления подписи входят в состав сигнатуры подписи. Было бы не лишним добавить и номер процессора или системного блока компьютера и применяемого программного приложения, формирующего электронную цифровую подпись.

Дополнительная информация, представляющая сведения о дате и времени установления электронной цифровой подписи на документ и включаемая в состав сигнатуры подписи, является важным и очень существенным условием для использования документов в качестве доказательства как при возникновении споров и конфликтов, так и в процедурах правоприменительной и судебной практики. Но это важное обстоятельство не нашло соответствующего нормативного отражения в рассматриваемом Законе. Без такой дополнительной информации непросто будет найти сертификат ключа подписи, открытый ключ и провести проверку (аутентификацию) и идентификацию электронной цифровой подписи. По сопряженным меткам даты и времени ее создания (формирования) при проверке можно будет надежно определить, была ли электронная цифровая подпись создана в течение периода действия подписи, заявленном в сертификате электронной подписи, а значит и установить юридическую силу электронного документа.

Для быстрого поиска, нахождения и получения сертификата ключа подписи для целей проведения процедуры проверки подписи, подлинности и целостности электронного документа электронная цифровая подпись должна содержать сведения об удостоверяющем центре, выпустившем в свободное обращение сертификат открытого ключа подписи и сведения, где хранится данный сертификат ключа подписи, порядок его получения или электронную ссылку или адрес, указывающие на его местонахождение в реестре или базе данных (на сервере) удостоверяющего центра. Это позволяет получить открытый ключ, сведения о владельце закрытого ключа, которому принадлежит сертификат ключа электронной цифровой подписи, а также провести проверку ранее полученного сертификата открытого ключа. Такую дополнительную информацию, однозначно идентифицирующую владельца сертификата ключа подписи, целесообразно добавлять (прошивать) в файл закрытого ключа при его генерации. При подписании электронного документа ее необходимо автоматически извлекать и вместе с метками даты и времени дописывать в сигнатуру подписи документа.

По такой сигнатуре электронной цифровой подписи адресат или лицо, получившее подписанный электронный документ, с помощью открытого ключа может точно установить подлинность электронной цифровой подписи, а также идентифицировать ее владельца и установить дату и время подписания электронного документа или сообщения.

Проверка электронной цифровой подписи заключается в проверке соответствия идентификационных данных данным сертификата ключа подписи и срока действия сертификата ключа подписи на момент подписания электронного документа. Для проведения процедуры проверки необходимо иметь доступ к нему. Сертификат ключа подписи запрашивается у удостоверяющего центра, зарегистрировавшего данный сертификат, и таким образом с помощью программного обеспечения устанавливается, была ли создана проверяемая электронная цифровая подпись электронного документа в момент, когда она формировалась с использованием закрытого ключа.

Следует отметить, что просто перенести электронную цифровую подпись с одного документа на другой (по аналогии с ксерокопированием или сканированием обычной подписи на бумажном документе или использованием факсимиле) невозможно. Таким образом, можно сказать, что электронная цифровая подпись на электронном документе является реквизитом только данного конкретного подписанного электронного документа. Электронная цифровая подпись позволяет провести проверку подлинности электронного документа и идентифицировать подписавшее лицо.

Предложенное данным Законом правовое регулирование электронной цифровой подписи, основанное строго на одном-единственном методе и технологии, является недостаточно гибким, так как не допускает использования других методов и технологий, расширительного охвата других известных способов организации электронной подписи и тех, которые могут быть изобретены в будущем и достаточны в определенных отношениях или более эффективны. Предлагаемый подход создает возможности использования электронной цифровой подписи прежде всего в органах государственной власти и сферах государственного управления, где требования могут быть жестко установлены законом, а не в гражданско-правовой сфере; область его применения также обозначена в указанном Законе.

В общепринятой тенденции развития законодательства и в уже действующей законодательной практике ООН, Европейского сообщества и ряда государств заинтересованные субъекты используют электронную подпись, основанную на методах и технологии, которые они сами выбирают с учетом необходимой достаточности степени защиты электронного документа. Такой подход представляется более перспективным для решения проблем электронной торговли и иных гражданско-правовых отношений. Однако это требует принять несколько иной закон об аналогах собственноручной подписи.

Важно уяснить условия, предусмотренные действующим законом, при которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи и соответственно признается юридическая сила электронного документа. Эти условия раскрываются в ст. 4 и 6 Федерального закона «Об электронной цифровой подписи».

Первое условие касается момента подписания документа: «сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания». Это косвенно означает, что момент времени подписания документа должен также документироваться. В сигнатуре подписи при подписании документа необходимо фиксировать время его подписания.

Второе условие касается подлинности электронной цифровой подписи и, соответственно, самого документа.

Третье условие касается использования подписи в соответствии со сведениями, указанными в сертификате ключа подписи. Это означает, что документ с электронной цифровой подписью будет иметь юридические значение и силу только в том случае, если он используется в тех отношениях, которые указаны в сертификате ключа подписи. И соответственно, наоборот, если подпись в электронном документе используется вне отношений, указанных в сертификате ключа подписи, то такой документ юридической силы иметь не будет. В этой связи важно обеспечить наиболее точную запись в сертификате.

Повторная оговорка законодателя в ст. 6 данного Закона об отношениях, в которых может использоваться электронная цифровая подпись, как и третье условие п. 1 ст. 6, юридически ограничивает сферу применения подписи и, соответственно, электронных документов в правоотношениях. Тем не менее оно вряд ли будет служить препятствием для применения электронной цифровой подписи в отношениях, выходящих за рамки отношений, указанных в сертификате ключа подписи.

Представляется, что это требование законодателя включать в электронную подпись «сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение» (п. 1 ст. 6, п. 2 ст. 19) выглядит достаточно странно. Если электронная подпись, как утверждается в Законе, есть эквивалент собственноручной подписи, то вряд ли даже высокопоставленное должностное лицо будет иметь разные подписи для разных правоотношений. Использование в Законе этой правовой конструкции обязывает Правительство РФ издать подзаконный акт, где должен быть сформулирован примерный перечень указываемых в подписи сведений и правоотношений, в которых может применяться электронная цифровая подпись. А обладатель электронной цифровой подписи должен каждый раз проводить анализ (опять же субъективный) подписываемых электронных документов и подбирать необходимую электронную подпись. Проще и разумно было бы определить те правоотношения, где электронные документы и, соответственно, электронную цифровую подпись нельзя применять.

Следует также отметить, что тезис о признании равнозначности электронной цифровой подписи собственноручной подписи физического лица в документе на бумажном носителе, продекларированный как цель настоящего Закона (п. 1 ст. 1), не выдерживает критики. С одной стороны, данная статья не содержит условия о биометрической привязке ключа подписи к владельцу сертификата ключа подписи и соответствующей биометрической процедуры подписывания и, следовательно, не является аналогом собственноручной подписи (см. выше). С другой стороны, электронная цифровая подпись может передаваться доверенным третьим лицам или несанкционированно использоваться третьей стороной. По своей физической природе и сути электронная цифровая подпись в электронном документе, если быть точным, скорее является аналогом оттиска печати юридического лица или, что реже – факсимильной подписью физического лица на бумажном документе, которая в отличие от печати заверяет электронный документ в целом, а не только подпись должностного лица. Это подтверждает письмо ВАС РФ от 24 апреля 1992 г. [105], в котором указывается на возможность в вопросах, «связанных с использованием в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники… принимать в качестве доказательств по рассматриваемым… делам документы, заверенные упомянутой… электронной печатью типа „ЛАН-КРИПТО“.

В ст. 19 данный Закон устанавливает порядок использования электронной цифровой подписи уполномоченным лицом в случаях, когда в силу закона или иного нормативно-правового акта или договоренностью сторон в документе требуется заверить подпись должностного лица печатью организации.

По существу данной нормой Федеральный закон «Об электронной цифровой подписи» упраздняет применение такого реквизита, как печать, в данном виде документов. Однако (поскольку Законом установлено, что электронная цифровая подпись регистрируется только на физическое лицо) представляется полезным, чтобы в сертификате ключа подписи должностного лица содержались соответствующие сведения, что электронная цифровая подпись в конкретных отношениях равнозначна подписи, заверенной печатью организации. Если бы законодатель наделил юридическое лицо правом использовать электронную цифровую подпись в качестве электронного аналога его печати (что в большей степени соответствует сущности электронной цифровой подписи, чем ее уравнивание с собственноручной подписью в документе без биометрической привязки к физическому лицу), то не потребовалось бы строить такие сложные конструкции по применению электронной цифровой подписи органами государственной власти, местного самоуправления и прочими организациями и юридическими лицами. Кроме того, такое решение законодателя не потребовало бы приведения действующего законодательства в соответствие с данным Законом.

Как уже говорилось, электронные документы и электронная цифровая подпись используются, в частности, учреждениями в системе ЦБ РФ. Так, в Положении о безналичных расчетах в Российской Феде-рации [106] устанавливается, что сформированный полноформатный электронный платежный документ (ЭПД) или их пакет, который сформирован в соответствии с требованиями Банка России и содержит все реквизиты платежного поручения, имеет равную юридическую силу с платежным поручением на бумажном носителе, оформленным печатью и подписями распорядителя счетом в соответствии с заявленными кредитной организацией (филиалом) образцами.

Электронная цифровая подпись придает электронному документу в виде поименованного цифрового файла юридическую силу, и он может являться основанием для возникновения прав и обязанностей, в том числе и обязанностей сторон по договору, для которого предусмотрена простая письменная форма (ст. 434 ГК РФ), а также быть признан в качестве судебного доказательства во всей полноте своей юридической силы. Сформированный и подписанный электронный цифровой документ будет иметь юридическую силу только в том файловом формате, в котором он был первоначально создан и подписан его создателем независимо от количества проведенных его копирований. Возникают и вопросы в связи с копиями электронных документов – здесь мы их не рассматриваем.

Поскольку, как уже было отмечено выше, ГК РФ предусматривает более сложные формы письменного юридического оформления документов (нотариальная форма, форма государственной регистрации), а электронный документ уравнивается с традиционным документом, то законодателю необходимо ставить вопрос о практическом применении таких форм в приложении к электронным документам. Более того, практика применения Федерального закона «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд при организации электронных конкурсов и аукционов уже сталкивается с коллизией, когда участники электронных торгов в соответствии с нормами этого Закона, с одной стороны, вправе при регистрации представлять документы по сети в электронном виде, а с другой стороны, Закон обязывает их представлять отдельные документы, заверенные нотариально или имеющие подтверждение о государственной регистрации. Можно привести и много других случаев, когда внедрение возможности передавать и предоставлять по сети подписанные электронной цифровой подписью документы существенно позволит упростить документооборот и сэкономить время.

Действующее законодательство о нотариате и ряд других законов, в которых имеются нормы о порядке оформления документов, подтверждающих государственную регистрацию прав или иных отношений, не содержат норм, исключающих применение нотариальных действий и регистрацию в отношении электронных документов. Но тем не менее для разрешения данной коллизии необходимо внести соответствующие изменения и дополнения в Основы законодательства Российской Федерации о нотариате» [107] и некоторые другие законы, в которых имеются нормы о порядке оформления документов, подтверждающих государственную регистрацию прав или иных отношений. В настоящее время такие юридические процедуры еще не регламентированы. Актуальность данной проблемы будет неуклонно возрастать по мере увеличения доли электронных документов в гражданско-правовых и публично-правовых отношениях.