Электронная подпись / Электронная коммерция в России и за рубежом: правовое регулирование
4. Электронная подпись
Положения об электронной подписи являются неотъемлемой частью любого современного законодательства в сфере электронной коммерции.
Одной из основных задач, стоящих перед законодателем при разработке правовых норм в данной области, является выбор между категориями «электронная подпись» (ЭП) и «электронная цифровая подпись» (ЭЦП), поскольку они отражают различные технические и методологические подходы к средствам идентификации лиц в электронной среде. Понятие «электронная подпись» является наиболее широким и включает в себя любое обозначение (буквенное, символьное, звуковое), присоединенное к подписываемому документу и используемое лицом с намерением подписать документ, т.е. идентифицировать себя и выразить свое согласие с его содержимым. Это могут быть как самые простые с технической точки зрения методы проставления подписи (вставленная в документ отсканированная собственноручная подпись лица, обычное проставление имени в конце документа), так и технически сложные способы, связанные с использованием средств криптографии.
Термин «электронная цифровая подпись» обозначает разновидность электронной подписи, в которой используются криптографические средства, обеспечивающие не только идентификацию, но и целостность сообщения. Как правило, такая подпись основана на криптографии с использованием публичных ключей . Таким образом, понятие «электронная цифровая подпись» является одним из видов электронной подписи и так или иначе предполагает наличие тесной связи с определенной технологией шифрования, лежащей в ее основе.
———————————
См., например: п. 33 Руководства по принятию Типового закона ЮНСИТРАЛ об электронных подписях // http://www.un.org/ru/documents/decl_conv/conventions/pdf/uncitral.pdf.
В зависимости от того, какой концепции электронной подписи законодатель отдает предпочтение, можно с определенной долей условности выделить три основные модели регулирования электронных подписей :
———————————
Savin A. Op. cit. Во многом схожая классификация предлагается и Кристиной Спирелли. См.: Spyrelli C. Electronic Signatures: A Transatlantic Bridge? An EU and US Legal Approach Towards Electronic Authentication // The Journal of Information, Law and Technology. 2002. № 2.
1) модель, в которой регулирование электронных подписей привязывается к использованию определенной технологии, признаваемой достаточно надежной. Электронные подписи, не использующие такую технологию, не признаются действительными. Иными словами, предметом регулирования в данном случае являются именно электронные цифровые подписи. Примером реализации данного подхода являются Германия, Италия, Малайзия и до недавнего времени — Россия;
2) модель, при которой регулирование электронных подписей является максимально технологически нейтральным и направлено на устранение существующих барьеров к использованию электронных документов . Стороны сами определяют степень надежности подписи и технологию, используемую для ее создания. Данный подход свойствен для США, Канады;
———————————
А не на создание взамен них новых, как это имеет место в первом подходе.
3) сочетание вышеуказанных подходов, в котором электронные подписи признаются легитимными в принципе, но существует особый привилегированный вид электронных подписей, отвечающий определенным критериям. Данный подход отражен в Директиве ЕС № 1999/93/EC «Об электронных подписях» и с недавнего времени — в России.
———————————
Official Journal. 13/12. 19.01.2000.
Исторически одним из первых документов, регламентировавших электронную подпись, является Типовой закон ЮНСИТРАЛ «Об электронной коммерции» 1996 г., который содержит в себе ст. 7 «Подпись». Согласно данной статье, «если законодательство требует наличия подписи лица, это требование считается выполненным в отношении сообщения данных, если:
a) использован какой-либо способ для идентификации этого лица и указания на то, что это лицо согласно с информацией, содержащейся в сообщении данных;
b) этот способ является как надежным, так и соответствующим цели, для которой сообщение данных было подготовлено или передано с учетом всех обстоятельств, включая любые соответствующие договоренности».
Таким образом, предложенное в Типовом законе регулирование близко ко второй модели, описанной выше. Его составители намеренно не стали включать дифференцированное регулирование электронных подписей в зависимости от уровня их надежности, опасаясь, что в таком случае закон станет «привязанным к конкретному этапу технического развития». Вместо этого был использован комплексный подход, при котором анализу подвергается возможность выполнения подписью функций, указанных в ст. 7(a), и то, насколько такая подпись является надежной в контексте конкретных обстоятельств (характера сделки, частоты коммерческих отношений сторон, возможностей средств связи, условий торговых обычаев и практик, ценности подписанной информации, наличия альтернативных средств идентификации и их стоимости и т.д.).
В последующие годы были приняты законы об электронных подписях в США (сначала на уровне отдельных штатов, первыми из которых были Юта , Вашингтон , Флорида , а впоследствии и на уровне Федерального закона США ) и в Европе (в Германии , Италии , Испании, Голландии, Финляндии, во Франции, в Швеции и во многих других странах). В 1999 г. Европейским союзом была принята Директива № 1999/93/ЕС «Об общих условиях использования электронных подписей в Сообществе» (Directive on a Community framework for electronic signatures) , которая подобно E-Sign Act в США была направлена на обеспечение единообразия в понимании категории «электронная подпись» и обеспечение их взаимного признания европейскими странами.
———————————
Utah Digital Signatures Act of 1996.
Washington Electronic Authentication Act of 1996.
Florida Electronic Signature Act of 1996.
The Electronic Signatures in Global and National Commerce Act (E-Sign Act) of 2000.
Gesetz zur Digitalen Signatur BT-Drs. 13/7934 vom 11.06.1997.
Italian Electronic Document and Digital Signature Act 1997 (Legge Bassanini, 59/1997).
Official Journal of the European Communities. L 013. 19.01.2000.
Указанная Директива разделяет все виды электронных подписей на простые и продвинутые (усиленные). Согласно ст. 2 Директивы первый вид электронных подписей представляет собой данные в электронной форме, которые прилагаются или логически совмещены с другими электронными данными и которые служат в качестве метода для опознавания. Второй вид — продвинутые электронные подписи — должны соответствовать следующим требованиям:
— уникальным образом связаны с определенной стороной, подписавшей документ;
— имеют способность идентифицирования стороны, подписавшей документ;
— могут создаваться с использованием средств, которые сторона, подписавшая документ, в состоянии самостоятельно поддерживать и контролировать;
— должны иметь связь с данными, к которым они имеют непосредственное отношение, таким образом, чтобы последующие изменения, вносимые в данные, могли быть опознаваемыми.
Сферы использования электронных документов и подписей определяются национальным правом. Поэтому именно государства-члены обязаны создавать условия для организации эффективной системы контроля за деятельностью провайдеров сертификационных услуг на своей территории.
Таким образом, в период 1996 — 2001 гг. появился обширный свод законодательных норм разных стран и сформировалась практика использования электронных подписей в коммерческом обороте, на фоне которой стало очевидно, что тех скудных положений Типового закона об электронной торговле, которые содержатся в ст. 7, явно недостаточно для документа, претендующего на статус типового закона. В связи с этим был разработан Типовой закон ЮНСИТРАЛ «Об электронных подписях» 2001 г. , который в отличие от своего предшественника построен по «гибридной» (третьей) модели регламентации использования электронных подписей. В нем предлагаются практические стандарты, на основании которых может быть оценена техническая надежность электронных подписей, а также устанавливается связь между такой технической надежностью и юридической силой конкретной электронной подписи. Наличие таких положений позволяет сторонам заранее оценить юридическую силу используемой подписи, а не дожидаться результатов анализа post factum, основанного на учете всех возможных обстоятельств (как это следовало бы при применении ст. 7 Типового закона об электронной торговле).
———————————
Типовой закон об электронных подписях, принятый Комиссией Организации Объединенных Наций по праву международной торговли, утвержден Резолюцией Генеральной Ассамблеи ООН от 24 января 2002 г. № А/56/588.
Так, согласно ч. 1 ст. 6 Типового закона об электронных подписях в тех случаях, когда законодательство требует наличия подписи лица на сообщении данных (информации в электронном виде), это требование считается выполненным, если использована электронная подпись, надежность которой соответствует цели, для которой сообщение данных было подготовлено или передано, с учетом всех обстоятельств и договоренностей. При этом электронная подпись считается надежной для установленной цели и удовлетворяет требованиям, если:
— данные для создания электронной подписи в том контексте, в котором они используются, связаны с подписавшим и ни с каким другим лицом;
— данные для создания электронной подписи в момент подписания находились под контролем подписавшего и никакого другого лица;
— любое изменение, внесенное в электронную подпись после момента подписания, поддается обнаружению;
— в тех случаях, когда одна из целей юридического требования в отношении наличия подписи заключается в гарантировании целостности информации, к которой она относится, любое изменение, внесенное в эту информацию после момента подписания, поддается обнаружению.
Вышеуказанные положения Типовых законов ЮНСИТРАЛ и Директивы ЕС № 1999/93/EC были приведены не из праздного компаративизма. Они стали основным источником вдохновения для российского законодателя . Правда, на первых этапах это вдохновение принимало весьма своеобразные и избирательные формы.
———————————
Ильиных Е.В., Козлова М.Н. Комментарий к Федеральному закону от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (постатейный). М., 2005.
Первым законом, посвященным регулированию электронных подписей, был Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (далее — Закон об ЭЦП 2002 г.) (утратил силу с 1 июля 2013 г.). Он разрабатывался по поручению Правительства РФ рядом ведомств: Минсвязью России, ФАПСИ, Гостехкомиссией России, Минюстом России, ФКЦБ России и Госстандартом России с участием Банка России . Участие столь большого количества государственных органов, в буквальном смысле, не побоюсь этого слова, «помешанных» на вопросах безопасности, и отсутствие в числе разработчиков бизнес-сообщества привели к закономерному результату. Закон был посвящен исключительно регулированию электронной цифровой подписи, созданной с использованием технологии асимметричной криптографии с открытым ключом. Под электронной цифровой подписью в соответствии с Законом об ЭЦП 2002 г. понимался «реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе». Все остальные виды электронных подписей остались за рамками Закона, а поскольку какие-либо иные законодательные положения, посвященные им, отсутствовали, они могли быть использованы лишь на основании предварительно заключенного соглашения сторон (ст. 160 ГК РФ).
———————————
Леонтьев К.Б. Комментарий к Федеральному закону «Об электронной цифровой подписи» (постатейный). М., 2003. С. 6.
Учитывая технологическую жесткость Закона и множество административных процедур, связанных с использованием электронной цифровой подписи «в информационных системах общего пользования», к которым относится сеть Интернет, участники гражданского оборота, в особенности иностранные, не торопились применять его к своим отношениям. А если еще учесть установленную данным Законом фактическую невозможность признания на территории России сертификатов электронных подписей, выданных иностранными удостоверяющими центрами (о чем будет сказано далее), ни о каком включении России в международный электронный документооборот не могло быть и речи. Неудивительно, что указанный Закон стал привлекательным объектом для критики. Так, в числе недостатков Закона А.В. Шамраев указывал на неоправданную технологичность и жесткость регулирования, его недостаточную определенность, «встраивание» административных механизмов (сертификации и лицензирования) в рамки юридических последствий использования электронной цифровой подписи, а также высокую степень зависимости указанного Закона от подзаконного регулирования . В числе иных недостатков отмечалась невозможность принадлежности ЭЦП юридическим лицам, что ставило вопросы правомерности использования ЭЦП отдельными физическими лицами «от имени компании» после утраты ими полномочий, увольнения и т.д. .
———————————
Шамраев А.В. Правовое регулирование информационных технологий (анализ проблем и основные документы). Версия 1.0. М., 2003. С. 56.
Шишаева Е. Федеральный закон «Об электронной цифровой подписи»: основные положения и проблемы, связанные с применением // Юрист. 2004. № 3.
Все это привело к тому, что Закон об ЭЦП если и применялся, то преимущественно в отношениях организаций с государственными органами (например, для сдачи налоговой отчетности) либо в отношениях с участием банковских организаций, заинтересованных в обеспечении максимальной надежности при производстве безналичных расчетов. Перспективы использования данного Закона в отношении коммерческих электронных сделок для большинства участников оборота были малопривлекательны. Спустя пять лет после принятия данного Закона процент лиц, использующих ЭЦП, не превысил 0,2%. В то же время, по данным Института Фраунхофера по открытым коммуникационным системам, по состоянию на 2005 г. (т.е. через 5 лет после принятия Директивы № 1999/93/ЕС) в Европе использовали усиленные электронные подписи до 70% населения .
———————————
Данные взяты из Пояснительной записки к проекту Федерального закона № 305592-5 «Об электронной подписи» // http://www.asozd2.duma.gov/main.nsf/%28SpravkaNew%29?OpenAgent&RN=305592-5&02.
Указанные причины обусловили разработку и принятие нового Закона, который, как следует уже из названия, охватывает гораздо более широкий спектр электронных подписей. Как указано в Пояснительной записке к новому Закону, он направлен на устранение недостатков Закона об ЭЦП 2002 г., а также на расширение сферы использования и допустимых видов электронных подписей .
———————————
Пояснительная записка к проекту Федерального закона № 305592-5 «Об электронной подписи».
Новый Закон вступил в силу 8 апреля 2011 г. При этом старый Закон об ЭЦП 2002 г. не был отменен вплоть до 1 июля 2013 г., что породило достаточно парадоксальную ситуацию параллельного действия двух Законов, регулирующих однородные отношения.
Так или иначе Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее — Закон об ЭП 2011 г.) теперь является основным актом, регулирующим использование электронной подписи в России, в связи с чем необходимо рассмотреть подробнее его основные положения.
В целом новый Закон в гораздо большей степени учитывает положения Типового закона ЮНСИТРАЛ об электронных подписях и Директивы ЕС № 1999/93/ЕС, во многом воспроизводя положения последней.
В качестве основных принципов использования электронных подписей в Законе об ЭП 2011 г. указаны:
1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования настоящего Закона применительно к использованию конкретных видов электронных подписей;
3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
В соответствии со ст. 2 Закона об ЭП под электронной подписью понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Закон предусматривает три вида электронных подписей:
1) простая электронная подпись;
2) усиленная неквалифицированная электронная подпись;
3) усиленная квалифицированная электронная подпись.
1. Простая электронная подпись — это электронная подпись, которая создается посредством использования кодов, паролей или иных средств и подтверждает факт формирования электронной подписи определенным лицом. Таким образом, использование логина и пароля к личному кабинету на веб-сайте, использование уникальных паролей, высылаемых на мобильный телефон при совершении конкретной транзакции, использование в качестве идентификатора адреса электронной почты (для доступа к которой также необходимо знание пароля) — все это подпадает под понятие простой электронной подписи.
Для того чтобы документ считался подписанным простой электронной подписью, необходимо, чтобы такая подпись была проставлена в самом электронном документе либо ключ простой электронной подписи был применен в соответствии с правилами, установленными оператором операционной системы, в рамках которой электронный документ был создан, и в нем имеется указание на лицо, от имени которого был создан и (или) отправлен электронный документ (ст. 9 Закона об ЭП).
Можно привести следующий пример. Для оформления заказа на сайте «ozon.com» необходимо пройти процедуру регистрации, предусматривающую формирование логина и пароля для входа в личный кабинет. При регистрации указываются ФИО и иные персональные данные, идентифицирующие потенциального покупателя. Данные логин и пароль выступают в качестве ключа простой электронной подписи (уникальной последовательности символов, предназначенной для создания электронной подписи). При оформлении заказа, сделанного под логином и паролем, формируется электронный документ, в котором средствами информационной системы (веб-сайта «ozon») указывается лицо, создавшее (отправившее) заказ. Данное указание и будет выступать в качестве простой электронной подписи, сгенерированной при помощи логина и пароля пользователя. Здесь следует подчеркнуть, что вопреки высказываемому мнению о том, что простой электронной подписью в данном случае является связка «логин — пароль» , они выступают лишь в качестве ключа, на основе которого такая подпись генерируется. В противном случае пришлось бы признать, что логин и пароль, будучи конфиденциальными данными (п. 2 ч. 2 ст. 9 Закона об ЭП), должны были бы указываться в тексте подписанного с их помощью электронного документа.
———————————
Такое мнение высказывается, в частности, на официальном сайте Минсвязи России. См.: http://www.minsvyaz/ru/faq/index.php?id_4=14.
В соответствии с ч. 2 ст. 6 Закона об ЭП электронный документ, подписанный простой электронной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью лишь в случае прямого указания закона или иного нормативного правового акта либо соглашения между участниками электронного взаимодействия. В настоящее время отсутствуют нормативные правовые акты, из которых следует признание равной юридической силы электронных документов, подписанных простой электронной подписью или усиленной неквалифицированной электронной подписью, и бумажных документов, подписанных собственноручной подписью их составителей. Следовательно, по мнению Ассоциации российских банков, равная юридическая сила договоров в электронной форме и на бумажных носителях в рассматриваемых случаях может быть основана только на ранее заключенных сторонами рамочных договорах, которые допускают такой порядок заключения последующих договоров . Существенными условиями такого соглашения являются правила определения лица, подписывающего электронный документ, на основании простой электронной подписи; его обязанность обеспечивать конфиденциальность ключа электронной подписи и порядок проверки подлинности электронной подписи (п. 2 ст. 9, п. 2 ст. 6 Закона об ЭП).
———————————
См.: п. 2 Рекомендаций по заключению договоров в электронной форме, утв. Ассоциацией российских банков 19 декабря 2012 г. // Вестник Ассоциации российских банков. 2013. № 1 — 2.
Представляется, что соглашение об использовании средств простой электронной подписи может быть выражено и в иной форме, нежели рамочное, по крайней мере никаких ограничений на сей счет в законе нет. Отсутствует в законодательстве и требование об оформлении его в письменной форме под страхом недействительности. Главное, чтобы такое соглашение имело место быть и отвечало требованиям гражданского законодательства. Так что в принципе не исключена возможность его заключения и посредством совершения конклюдентных действий. О наличии согласованного волеизъявления по вопросу использования аналога собственноручной подписи может свидетельствовать тот факт, что в ответ на оферту, которая была направлена в электронном виде с использованием такого аналога, акцепт был отправлен с использованием аналогичного вида электронной подписи или в порядке, предписанном полученной офертой. В таком случае можно говорить о том, что участники не возражали против применения такого аналога собственноручной подписи при заключении договора и допускают его применение в дальнейшем. Иной, более формальный подход к определению наличия предварительного соглашения об использовании электронной подписи сводит на нет все возможное положительное влияние Закона об ЭП на развитие электронной коммерции в России.
Следует отметить, что отечественной судебной практике известны случаи гибкого подхода к определению наличия соглашения сторон по определенным вопросам, к определению наличия соглашения о передаче преддоговорных разногласий на рассмотрение суда (ст. 446 ГК РФ). Так, если в суд с разногласиями по договору обратилась одна сторона, а контрагент направил в суд свои предложения по условиям договора, то суды полагают, что спор передан на рассмотрение арбитражного суда по соглашению сторон . Похожий подход используется судами применительно к соглашениям о выборе применимого права. В отсутствие в соглашении сторон условия о применимом праве ссылки обеих сторон в ходе процесса на нормы определенного законодательства могут быть истолкованы как достижение соглашения о выборе применимого права . Поэтому не будет ничего принципиально революционного в том, чтобы обнаружить соглашение об использовании электронной подписи в окружающих ее использование обстоятельствах.
———————————
КонсультантПлюс: примечание.
Комментарий к Гражданскому кодексу Российской Федерации, части первой (под ред. О.Н. Садикова) включен в информационный банк согласно публикации — КОНТРАКТ, ИНФРА-М, 2005 (3-е издание, исправленное, переработанное и дополненное).
Комментарий к Гражданскому кодексу Российской Федерации, части первой (постатейный) / Под ред. О.Н. Садикова. М., 2006. С. 996.
См., например: Постановление ФАС Дальневосточного округа от 1 декабря 2009 г. № Ф03-6794/2009 по делу № А24-5830/2008. В пересмотре дела в порядке надзора отказано Определением ВАС РФ от 14 апреля 2010 г. № ВАС-1375/10; Постановление ФАС Московского округа от 5 декабря 2003 г. № КГ-А40/9513-03 по делу № А40-47669/02-69-492.
Главной особенностью простой электронной подписи является тот факт, что она хотя и указывает на лицо, подписавшее сообщение, но не позволяет при этом установить неизменность электронного документа после его подписания, главным образом потому, что при ее создании и использовании не используются специальные криптографические средства преобразования информации, неразрывно связанные с ключом электронной подписи, посредством которого создается сама подпись. Логин и пароль к личному кабинету на веб-сайте и итоговый электронный документ (исходящий заказ, подготовленный в рамках такого кабинета) не связаны между собой средствами криптографического преобразования. Однако это ничуть не умаляет их значения в сфере, где они наиболее часто применяются: форма заказа содержит необходимые условия договора, риск недобросовестного изменения которых в большинстве случаев крайне незначителен. Применительно к большинству интернет-магазинов более изощренные виды электронной цифровой подписи малооправданны, поскольку неизбежно связаны с возрастанием сложности совершения покупок в таком магазине, что может отпугнуть немало потенциальных покупателей. Иными словами, риски, связанные с отсутствием более надежного вида электронной подписи, несоизмеримо меньше, нежели риски, связанные с потенциальными потерями от оттока покупателей, обусловленного использованием такой подписи.
2. Усиленная неквалифицированная электронная подпись предполагает наличие определенных криптографических средств преобразования информации с использованием ключа электронной подписи, которые позволяют не только определить лицо, подписавшее документ, но и обнаружить факт внесения изменений в документ после его подписания. Главное отличие данной подписи от простой электронной заключается в том, что такая подпись выполняет помимо идентифицирующей функции еще и защитную. Никаких особых преимуществ с точки зрения наличия каких-либо дополнительных оснований для признания документа, подписанного ею, равнозначным бумажному по сравнению с простой электронной подписью у усиленной неквалифицированной подписи нет. Для этого все так же необходимо указание закона, иного нормативного правового акта или ранее заключенного соглашения между сторонами.
Другое дело, что с технической точки зрения такая подпись является более совершенной и предоставляет больше гарантий по вопросам не только ее принадлежности определенному лицу, но и обеспечения неизменности содержания документа. Это позволяет использовать ее для заключения договоров, которые в ином случае заключались бы «по старинке», в классической бумажной форме: договоров поставки, оказания услуг, подряда, займа, лицензионных договоров и ряда иных. Данный вид электронной цифровой подписи представляется малопригодным для заключения множества стандартизированных соглашений на небольшую сумму, так как размер транзакционных издержек, связанных с ее использованием, значительно выше, чем при использовании простой электронной подписи, поскольку требуется совершение ряда дополнительных действий с обеих сторон по проверке сертификата подписи, что требует привлечения дополнительного ресурса субъектом электронной коммерции и специальных познаний со стороны его контрагента. С другой стороны, никаких дополнительных преимуществ с точки зрения законодательных презумпций данный вид подписи не предоставляет, что может служить хорошим доводом для того, чтобы «поднапрячься» и использовать следующий вид электронной подписи (усиленная квалифицированная), который более выгоден с точки зрения восприятия электронного документа публичными органами и законодательством в целом. Оптимальной сферой применения усиленной неквалифицированной подписи представляется ее использование в закрытых информационных системах между контрагентами с уже сложившимися деловыми отношениями в отношении договоров, содержание отличается информационной насыщенностью и длительными согласованиями. Здесь может пригодиться защитная функция такой подписи, позволяющая «заморозить» документ по состоянию на определенный момент времени и отследить возможные несанкционированные изменения.
3. Усиленная квалифицированная электронная подпись. Данный вид подписи обладает всеми признаками усиленной неквалифицированной подписи (т.е. в ней используются специальные криптографические средства преобразования информации, обеспечивающие идентификацию и аутентификацию сообщения) и дополнительно характеризуется наличием квалифицированного сертификата, содержащего ключ проверки электронной подписи, и использованием для ее создания средств, получивших специальное подтверждение соответствия их требованиям Закона об ЭП.
В качестве примера усиленной квалифицированной электронной подписи можно привести электронную цифровую подпись, о которой шла речь в Законе об ЭЦП. Напомним, что она была основана на технологии асимметричной криптографии, предполагающей использование алгоритмических функций для создания двух разных, но математически соотносящихся ключей. Один такой ключ используется для создания цифровой подписи или преобразования данных в кажущуюся непонятной форму, а другой ключ — для удостоверения подлинности цифровой подписи или возвращения сообщения в его подлинную форму. Взаимодополняющие ключи, используемые для проставления цифровой подписи, состоят из «частного» ключа (private key), который используется подписывающим лицом для создания цифровой подписи и держится им в секрете, и «публичного» ключа, который обычно более широко известен и используется получателем для проверки подлинности цифровой подписи отправителя.
С принятием нового Закона данный вид электронной подписи стал не единственно возможным, а одним из возможных видов электронной подписи. Поскольку рассматриваемый вид подписи создается и используется под контролем государства, правовой статус электронного документа, подписанного ею, существенно выше. В отличие от документов, подписанных одним из двух рассмотренных ранее видов электронной подписи, электронный документ, подписанный квалифицированной электронной подписью, является равнозначным бумажному документу, подписанному собственноручной подписью и заверенному печатью. При этом не требуется специального указания на это в специальном законе, ином правовом акте или соглашении сторон. Такая равнозначность юридической силы возникает в силу прямого указания Закона (ч. 3 ст. 6 Закона об ЭП). Исключением являются случаи, когда закон предусматривает необходимость составления документа исключительно на бумажном носителе. Также законодательство и соглашение сторон могут устанавливать дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.
Закон об ЭП закрепляет презумпцию действительности квалифицированной электронной подписи, которая может быть опровергнута лишь в судебном порядке. Действительность данной презумпции зависит от одновременного соблюдения четырех условий:
1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром , аккредитация которого действительна на день выдачи указанного сертификата;
———————————
В соответствии с п. 8 ст. 2 Закона об ЭП аккредитация удостоверяющего центра означает признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям данного Закона. В настоящее время таким уполномоченным органом является Минкомсвязи России (Постановление Правительства РФ от 28 ноября 2011 г. № 976 «О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи»). Перечень аккредитованных удостоверяющих центров размещен на сайте Минкомсвязи России — http://www.minsvyaz.
2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ и подтверждено отсутствие изменений, внесенных в этот документ после его подписания;
4) если квалифицированный сертификат содержит определенные ограничения по сфере его действия (например, применительно к характеру договора, его предельной сумме, статусу контрагента), то проставление подписи должно быть осуществлено с учетом таких ограничений (ст. 11 Закона об ЭП).
Для того чтобы система квалифицированных электронных подписей эффективно функционировала, участники оборота должны иметь возможность убедиться в принадлежности «публичного» ключа определенному лицу, а также в надежности используемых для создания электронной подписи технических средств. Причем реализация такой возможности не должна зависеть исключительно от действий или информации, предоставляемой подписантом, в противном случае не будет никаких гарантий отсутствия возможного подлога и подпись не сможет выполнить доверительную функцию. Тут и приходит на помощь специальный субъект — удостоверяющий центр, который обеспечивает объективную возможность осуществления такой проверки заинтересованными лицами. Именно он устанавливают связь между идентифицированным подписавшим лицом и конкретным «публичным» ключом.
Разумеется, организация, претендующая на осуществление подобных функций, сама должна пользоваться доверием. В связи с этим Закон устанавливает требование об обязательной аккредитации удостоверяющего центра, если речь идет об усиленной квалифицированной электронной подписи. Аккредитация означает подтверждение уполномоченным органом (в настоящее время — Министерство связи и массовых коммуникаций РФ) соответствия центра требованиям Закона об ЭП. Данная аккредитация предполагает выполнение удостоверяющим центром как определенных экономических требований (наличие определенного размера активов и финансового обеспечения ответственности), так и организационно-технических: наличие в штате необходимых специалистов, а также средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным ФСТЭК России и ФСБ России (ч. 3 ст. 16 Закона об ЭП).
———————————
Приказ ФСБ России от 30 августа 2012 г. № 440 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Зарегистрирован в Минюсте России 27 сентября 2012 г. № 25563.
В отсутствие у удостоверяющего центра такой аккредитации квалифицированная электронная подпись не будет действительной, а электронный документ, подписанный ею, не будет равнозначным бумажному документу, подписанному собственноручной подписью (ч. 1 ст. 6, ч. 1 ст. 11 Закона об ЭП).
Основной задачей удостоверяющего центра является создание сертификатов электронных подписей с выдачей его заявителю, который приобретает статус владельца такого сертификата. Удостоверяющий центр выполняет ряд других функций, в частности осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей (например, факта включения ее в реестр и действительности ее сертификата на момент обращения с запросом); устанавливает сроки действия сертификатов ключей электронной подписи (как правило, 1 год); досрочно аннулирует сертификаты ключей электронной подписи по заявлению владельца либо в связи с допущенными нарушениями.
Сертификат ключа проверки электронной подписи является важнейшим документом во всей системе отношений по использованию электронной подписи, поскольку от действительности сертификата напрямую зависит действительность такой подписи. Сертификат представляет собой документ в электронной или бумажной форме, в котором содержатся данные, позволяющие сделать вывод о принадлежности электронной подписи определенному лицу. В сертификате содержится так называемый открытый ключ, с помощью которого можно расшифровать переданный документ, подписанный закрытым ключом отправителя, и убедиться, что подпись соответствует заявленному владельцу. Или наоборот — с помощью открытого ключа можно зашифровать отправляемое сообщение, обеспечив его конфиденциальность, поскольку только владелец закрытого ключа (предполагаемый адресат) сможет его открыть и прочитать.
В соответствии со ст. 14 Закона об ЭП сертификат ключа проверки электронной подписи должен содержать следующую информацию:
1) даты начала и окончания срока его действия (с точностью до часов, минут, секунд);
2) фамилию, имя и отчество (если имеется) — для физических лиц, наименование и место нахождения — для юридических лиц или иную информацию, позволяющую идентифицировать владельца сертификата ключа проверки электронной подписи;
3) ключ проверки электронной подписи (открытый ключ);
4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи.
Сертификат ключа проверки квалифицированной электронной подписи («квалифицированный сертификат» помимо указанных сведений должен содержать уникальный номер такого сертификата, СНИЛС — для физических лиц или ИНН для юридических лиц, сведения об аккредитации удостоверяющего центра и его квалифицированный сертификат и иные сведения, подтверждающие соответствие используемых средств электронной подписи жестким требованиям Закона об ЭП 2011 г. и подзаконных актов (ст. 17)).
Удостоверяющий центр ведет в порядке, установленном Минкомсвязи России , реестр сертификатов, который представляет собой систематизированный свод сведений о сертификатах всех созданных таким центром электронных подписей. Удостоверяющий центр обеспечивает актуальность данных, содержащихся в таком реестре, и возможность безвозмездного ознакомления с ними любого заинтересованного лица. Минкомсвязи России также выполняет функцию главного (корневого) удостоверяющего центра по отношению к аккредитованным удостоверяющим центрам .
———————————
См.: Приказ Минкомсвязи России от 5 октября 2011 г. № 250, утвердивший Порядок формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров.
Поскольку информация, предоставляемая аккредитованным удостоверяющим центром в электронной форме, заверяется квалифицированной электронной подписью такого центра, для того чтобы удостовериться в ее действительной принадлежности такому центру, необходимо обратиться к удостоверяющему центру более высокого порядка, который пользовался бы неоспоримым доверием у участников оборота. В России данную функцию и призвано выполнять Минкомсвязи России.
В отличие от старого Закона об ЭЦП Закон об ЭП позволяет выступать в качестве владельца сертификата электронной подписи не только физическим, но и юридическим лицам. В случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности. Правда, Закон об ЭП не дает ответа на вопрос, действительна ли электронная подпись, сделанная иным сотрудником юридического лица, нежели указанная в сертификате. В случае если она будет все же недействительна (на что намекает необходимость четкого указания в сертификате уполномоченного физического лица), то не очень понятно, в чем состоит принципиальное отличие нового регулирования от подхода ранее действовавшего Закона об ЭЦП, который допускал возможность обладания ЭЦП только физическими лицами. Представляется, что верным является все же первый вариант, а сведения об уполномоченном физическом лице носят информационный характер, а не правообразующий. В большинстве своем этот вывод основан на специфике механизма функционирования квалифицированной электронной подписи.
Сам по себе факт проставления квалифицированной электронной подписи иным лицом, не указанным в сертификате, не является основанием для оспаривания сделки, подписанной такой электронной подписью, если проверка подписи прошла успешно и выполнены все условия Закона (в нашем случае — ст. 11 Закона об ЭП). Вся система функционирования квалифицированных электронных подписей предполагает обязанность ее владельца обеспечить конфиденциальность закрытого ключа, что является основанием для презумпции совершения сделок с использованием этого ключа именно таким лицом. Третьи лица не могут знать, кто фактически подписал документ с использованием закрытого ключа, поскольку не имеют возможности это проверить. Возложение на них рисков, связанных с использованием закрытого ключа неуполномоченным лицом, не только было бы несправедливым, но и поставило бы под сомнение всю систему функционирования квалифицированных электронных подписей, лишая ее какого бы то ни было доверия. Если владелец подписи узнал о том, что закрытый ключ скомпрометирован, он должен незамедлительно обратиться в удостоверяющий центр с заявлением об аннулировании сертификата подписи. И уж тем более он должен нести риски нарушения правил безопасности работы в сети Интернет (неиспользование антивирусных программ, использование нелицензионного программного обеспечения, отсутствие ограничений по принятию документов только с определенного IP-адреса и пр.) .
———————————
Данный подход нашел свое отражение в отечественной судебной практике. См.: Постановление Семнадцатого арбитражного апелляционного суда от 12 декабря 2011 г. по делу № А60-15360/2011, оставленное в силе Постановлением ФАС Уральского округа от 30 марта 2012 г. № Ф09-1458/12.
Данная логика особенно отчетливо прослеживается в судебных спорах между банками и клиентами в связи с использованием систем удаленного банковского обслуживания, которые на данный момент являются основным источником судебной практики по вопросам использования электронных цифровых подписей (квалифицированных электронных подписей). Обычно клиенты банков оспаривают правомерность совершения банком операций по поручениям, сделанным неуполномоченными лицами с использованием электронной цифровой подписи клиента (квалифицированной электронной подписи). Стандартный ответ суда в таком случае заключается в том, что банк не несет ответственности за факты использования таких подписей неуполномоченными лицами и необеспечения клиентом надежного хранения ключей, имен и паролей, используемых при работе с ними . Те немногие случаи, когда клиентам удавалось обосновать неправомерность списания средств на основании платежных документов, подписанных ЭЦП (квалифицированной электронной подписью), касались ситуаций, в которых суд усматривал отсутствие правовых оснований для использования такой подписи по причинам, зависящим от самого банка, — например, по причине отсутствия актов о подключении системы «Банк-клиент» , по причине отсутствия акта передачи новых сертификатов ключей подписи, предусмотренного договором .
———————————
См., например, Постановления ФАС Московского округа от 13 ноября 2012 г. N Ф05-12672/12 по делу № А40-18115/2012; ФАС Северо-Западного округа от 16 октября 2012 г. N Ф07-5221/12 по делу № А66-9956/2011; ФАС Дальневосточного округа от 23 октября 2012 г. N Ф03-4500/12 по делу № А73-7000/2011.
Постановление Семнадцатого арбитражного апелляционного суда от 18 августа 2011 г. № 17АП-6233/2011-ГК по делу № A50-18570/2010.
Постановление ФАС Северо-Кавказского округа от 27 апреля 2011 г. по делу № А63-6446/2010.
Однако нельзя говорить о том, что во всем практически всегда оказывается виноватым владелец сертификата электронной подписи. Доверительная функция удостоверяющего центра обеспечивается также возможностью привлечения его не только к ответственности за несоблюдение положений, вытекающих из договора оказания услуг с владельцем сертификата (что и так очевидно в силу общих положений договорного права), но и к ответственности перед третьими лицами за неисполнение или ненадлежащее исполнение обязанностей, предусмотренных Закона об ЭП (ч. 3 ст. 13). На обеспечение финансовой возможности несения подобной ответственности направлены специальные условия аккредитации удостоверяющих центров, предъявляющие определенные требования к размеру чистых активов (не менее 1 млн. руб.), а также требования финансового обеспечения ответственности в размере не менее 1,5 млн. руб., подтверждаемые договором страхования ответственности, банковской гарантией или договором поручительства (п. п. 1, 2 ч. 3 ст. 16 Закона об ЭП 2011 г.).
Таким образом, если третье лицо понесет, к примеру, убытки вследствие предоставления ему недостоверной информации о сертификатах электронной подписи его потенциального контрагента и если впоследствии подписанный с использованием электронной подписи таким лицом документ будет признан недействительным, соответствующие убытки могут быть возложены на удостоверяющий центр. Разумеется, это не исключает необходимости доказывания размера убытков и причинно-следственной связи в общем порядке. При этом общие условия наступления деликтной ответственности предполагают также наличие вины причинителя вреда, причем безотносительно к возможному предпринимательскому статусу делинквента. Безвиновная деликтная ответственность по общему правилу может быть установлена лишь законом (п. 2 ст. 1064 ГК РФ). Правда, существует судебная практика, которая возлагает ответственность за вред, причиненный в рамках деликтных отношений, на причинителя и в отсутствие его вины, ссылаясь при этом на ст. 401 ГК РФ .
———————————
Общее правило о безвиновной ответственности лица, осуществляющего предпринимательскую деятельность, в обязательственных отношениях установлено в п. 3 ст. 401 ГК РФ. Несмотря на то что по своей сути оно рассчитано на договорные обязательства, судебная практика расширила применение данного положения и на деликтные отношения, в частности на нарушение исключительного права (см.: Постановление Президиума ВАС РФ от 20 ноября 2012 г. № 8953/12; п. 23 Постановления Пленума ВС РФ № 5, Пленума ВАС РФ от 26 марта 2009 г. № 29 «О некоторых вопросах, возникших в связи с введением в действие части четвертой Гражданского кодекса Российской Федерации»).
Поскольку электронная коммерция функционирует на базе сети Интернет и имеет потенциально трансграничный характер, неизбежно возникает вопрос о статусе на территории России электронных подписей, созданных по законодательству иностранных государств. Ранее действовавший Закон об ЭЦП содержал весьма неоднозначное положение, согласно которому «иностранный сертификат ключа подписи, удостоверенный в соответствии с законодательством иностранного государства, в котором этот сертификат ключа подписи зарегистрирован, признается на территории Российской Федерации в случае выполнения установленных законодательством Российской Федерации процедур признания юридического значения иностранных документов» (ст. 18). Поскольку законодательство не содержало специальных положений, регламентирующих признание иностранных документов в электронной форме (включая сертификаты электронных подписей) , это препятствовало применению ЭЦП в трансграничных сделках, превратив ее, по существу, в инструмент электронного документооборота с госорганами Российской Федерации.
———————————
См., например: Кенсовский П.А. Легализация и признание документов иностранных государств. СПб., 2003. С. 242; Карев Я.А. Указ. соч. С. 129; Калятин В.О. Право в сфере Интернета. С. 129.
В связи с этим особую актуальность приобрел вопрос об изменении регулирования в данной части. Конечно, не следует впадать в другую крайность, при которой осуществлялось бы безоговорочное признание подписей, выданных иностранными удостоверяющими центрами, поскольку, по справедливому замечанию В.О. Калятина, «имеет ли смысл устанавливать строгие стандарты по отношению к ЭЦП, заботясь о ее безопасности, если обойти эти стандарты ничего не стоит (достаточно получить сертификат ЭЦП в иностранном удостоверяющем центре)» .
———————————
Калятин В.О. Право в сфере Интернета. С. 130.
Закон об ЭП содержит достаточно сбалансированное решение, в целом соответствующее зарубежному подходу. Статья 7 данного Закона закрепляет, что «электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, признаются в России электронными подписями того вида, признакам которого они соответствуют на основании данного Закона. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права». Данное положение является отражением того самого функционального подхода, о котором говорится в Типовом законе ЮНСИТРАЛ об электронной подписи: иностранная подпись должна быть признана в стране — получателе электронного документа, если технологии подписания «эквивалентны по существу» (substantially equivalent). Таким образом, для признания юридической силы иностранной подписи необходимо убедиться, что при ее создании использовались такие же методы, какие используются при создании подписи в соответствии с российским законодательством. При этом важна именно общность тех принципов, которые использовались при создании данной электронной подписи, а не точное соответствие технологий подписания определенным техническим стандартам.
Во многом аналогичные положения содержатся в Директиве № 1999/93/EC. В соответствии с абз. 1 ст. 7 данной Директивы государства — члены ЕС должны гарантировать квалифицированные сертификаты, которые выданы удостоверяющим центром, действующим в третьей стране, и которые будут признаваться юридически эквивалентными сертификатам, выданным удостоверяющими центрами в рамках ЕС, при условии что: а) иностранный удостоверяющий центр соответствует требованиям, установленным Директивой, и имеет добровольную аккредитацию в одном из государств — членов ЕС, или б) сертифицирующий сервис-провайдер внутри ЕС, соответствующий требованиям Директивы, поручится за иностранный квалифицированный сертификат, или в) квалифицированные сертификат или деятельность иностранного удостоверяющего центра признаны в рамках заключенного двухстороннего или многостороннего соглашения между ЕС и третьим государством или международной организацией.
Насколько удачными являются положения нового законодательства об электронных подписях, покажет время, но тот факт, что по многим вопросам была проведена «работа над ошибками», не может не внушать сдержанный оптимизм.
Савельев А.И. Электронная подпись / Электронная коммерция в России и за рубежом: правовое регулирование. М.: Статут, 2014. 543 с.
Источник http://barton.ru/elektronnaya-podpis-v-rossii-i-za-rubezhom.html