Федеральный закон об электронной цифровой подписи: основные положения и проблемы, связанные с применением
ОСНОВНЫЕ ПОЛОЖЕНИЯ И ПРОБЛЕМЫ, СВЯЗАННЫЕ С
ПРИМЕНЕНИЕМ
Е. ШИШАЕВА
Шишаева Е.,
кафедра предпринимательского
(хозяйственного) права МГЮА.
Прошло более
двух лет с момента вступления в силу
Федерального закона N 1-ФЗ от 10.01.2002 "Об
электронной цифровой подписи" (далее по
тексту - ФЗ), что позволяет подвести
некоторые итоги, связанные с его
принятием.
В соответствии со ст. 1 ФЗ его
целью является обеспечение правовых
условий использования электронной
цифровой подписи (далее по тексту - ЭЦП) в
электронных документах, при соблюдении
которых электронная цифровая подпись в
электронном документе признается
равнозначной собственноручной подписи в
документе на бумажном носителе.
Очерчивая сферу правового регулирования
ФЗ, в первую очередь называется электронный
документооборот, связанный с заключением и
реализацией гражданско-правовых сделок.
Однако даже в гражданско-правовой сфере
могут возникнуть некоторые трудности,
связанные с использованием электронных
документов, в частности в случае
необходимости соблюдения нотариального
заверения сделки использование
электронного документа, в том числе
заверенного ЭЦП, пока невозможно.
Что
касается распространения действия ФЗ на
обмен электронными документами в иных
областях деятельности, то оно возможно, но
только в случаях, прямо предусмотренных
законодательством.
Хотелось бы коротко
остановиться на некоторых понятиях,
используемых в ФЗ "Об электронной цифровой
подписи".
1. Электронный документ -
документ, в котором информация
представлена в электронно-цифровой
форме.
2. Электронная цифровая подпись -
реквизит электронного документа,
предназначенный для защиты данного
электронного документа от подделки,
полученный в результате
криптографического преобразования
информации с использованием закрытого
ключа электронной цифровой подписи и
позволяющий идентифицировать владельца
сертификата ключа подписи, а также
установить отсутствие искажения
информации в электронном документе.
3.
Сертификат ключа подписи - документ на
бумажном носителе или электронный документ
с электронной цифровой подписью
уполномоченного лица удостоверяющего
центра, который включает в себя открытый
ключ электронной цифровой подписи и
которые выдаются удостоверяющим центром
участнику информационной системы для
подтверждения подлинности электронной
цифровой подписи и идентификации владельца
сертификата ключа подписи.
В
соответствии с п. 2 ст. 9 ФЗ изготовление
сертификатов ключей подписей
осуществляется на основании заявления
участника информационной системы, которое
содержит сведения, необходимые для
внесения в сертификат, а также
идентификации владельца сертификата ключа
подписи и передачи ему сообщений.
Тот
факт, что заявление об изготовлении
подписывается собственноручно владельцем
сертификата ключа подписи, говорит о том,
что заявление об изготовлении сертификата
может быть подано не любым участником
информационной системы, а только
владельцем сертификата ключа.
Сертификаты ключей подписей оформляются
удостоверяющим центром в форме документов
на бумажных носителях (два экземпляра),
которые заверяются собственноручными
подписями владельца сертификата ключа
подписи и уполномоченного лица
удостоверяющего центра, а также печатью
удостоверяющего центра. Один экземпляр
сертификата ключа подписи выдается
владельцу сертификата ключа подписи,
второй - остается в удостоверяющем
центре.
Перечень сведений, которые
должен содержать сертификат ключа подписи,
приведен в ст. 6 ФЗ. В случае необходимости в
сертификате ключа подписи на основании
подтверждающих документов дополнительно
указываются должность (с указанием
наименования и места нахождения
организации, в которой установлена эта
должность) и квалификация владельца
сертификата ключа подписи, а по его
заявлению в письменной форме - иные
сведения, подтверждаемые соответствующими
документами.
Таким образом,
изготовление сертификата предполагает
оформление и выдачу владельцу сертификата
документа именно на бумажном носителе.
Однако сертификат ключа подписи необходим
не только его владельцу, но и другим
участникам информационной системы. Так, в
соответствии с п. 4 ст. 6 ФЗ для проверки
принадлежности электронной цифровой
подписи соответствующему владельцу
сертификат ключа подписи выдается
пользователям с указанием даты и времени
его выдачи, сведений о действии сертификата
ключа подписи (действует; действие
приостановлено; сроки приостановления его
действия; аннулирован; дата и время
аннулирования сертификата ключа подписи) и
сведений о реестре сертификатов ключей
подписей.
В данном случае сертификат
может быть выдан как на бумажном носителе,
так и в электронной форме.
В случае
выдачи сертификата ключа подписи в форме
документа на бумажном носителе этот
сертификат оформляется на бланке
удостоверяющего центра и заверяется
собственноручной подписью уполномоченного
лица и печатью удостоверяющего центра.
В случае выдачи сертификата ключа подписи и
указанных дополнительных данных в форме
электронного документа этот сертификат
должен быть подписан электронной цифровой
подписью уполномоченного лица
удостоверяющего центра.
При этом важно
помнить, что в соответствии с п. 4 ст. 9 ФЗ
услуги по выдаче участникам информационных
систем сертификатов ключей подписей,
зарегистрированных удостоверяющим
центром, одновременно с информацией об их
действии в форме электронных документов
оказываются безвозмездно.
Таким
образом, участник информационной системы,
не являющийся владельцем сертификата ключа
подписи, вправе безвозмездно получить в
удостоверяющем центре электронную форму
зарегистрированного сертификата ключа
подписи его контрагента, но это не лишает
удостоверяющий центр права взимать плату
за изготовление и выдачу сертификата ключа
подписи на бумажных носителях. Данное
положение является очень важным для
организаций, выполняющих функции
удостоверяющих центров.
4. Владелец
сертификата ключа подписи - физическое
лицо, на имя которого удостоверяющим
центром выдан сертификат ключа подписи и
которое владеет соответствующим закрытым
ключом электронной цифровой подписи,
позволяющим с помощью средств электронной
цифровой подписи создавать свою
электронную цифровую подпись в электронных
документах (подписывать электронные
документы).
Таким образом, юридическое
лицо, государственный или муниципальный
орган не могут быть владельцами ЭЦП, однако
это не является ее характерной
особенностью.
Действительно,
юридическое лицо приобретает гражданские
права и принимает на себя гражданские
обязанности через свои органы, как правило
через его руководителя или иное лицо,
уполномоченное на это учредительными
документами. Уполномоченное лицо, действуя
от имени юридического лица, вправе
подписывать договоры и иные официальные
документы путем проставления
собственноручной подписи и приложения
печати организации. Следовательно, в случае
с рукописной подписью она тоже принадлежит
не юридическому, а физическому лицу.
Таким образом, организация, желающая
использовать ЭЦП в своей деятельности,
должна заключить соответствующий договор с
удостоверяющим центром, произвести оплату,
однако владельцем сертификата ключа
подписи будет лицо, уполномоченное
подписывать те или иные документы ЭЦП.
Федеральные органы государственной власти,
органы государственной власти субъектов
Российской Федерации, органы местного
самоуправления, а также организации,
участвующие в документообороте с
указанными органами, используют для
подписания своих электронных документов
электронные цифровые подписи
уполномоченных лиц указанных органов,
организаций.
Но что же произойдет в
случае, если уполномоченное лицо
юридического лица или государственного
(муниципального) органа перестанет таковым
являться, например, вследствие прекращения
действия трудового или иного договора,
перевода на другую должность и т.д., будет ли
продолжать действовать принадлежащий ему
сертификат ключа подписи?
В
соответствии со ст. 14 ФЗ одним из оснований
для аннулирования удостоверяющим центром
выданного им сертификата ключа подписи
является получение достоверных сведений о
прекращении действия документа, на
основании которого оформлен сертификат
ключа подписи.
Следовательно, в
указанном случае по общему правилу
владелец сертификата должен предоставить в
удостоверяющий центр заявление об
аннулировании сертификата. Но более
надежным способом защиты интересов
организации являются ее собственные
активные действия. Как уже упоминалось,
сертификат ключа подписи должен, помимо
прочего, содержать сведения об отношениях,
при осуществлении которых электронный
документ, подписанный ЭЦП, будет иметь
юридическое значение, кроме того,
дополнительно в нем могут указываться
должность, квалификация владельца
сертификата и другие сведения. Таким
образом, в случае документального
подтверждения юридическим лицом изменения
данных, указанных в сертификате,
удостоверяющий центр обязан аннулировать
выданный сертификат в связи с прекращением
действия документа, на основании которого
он был оформлен.
В случае аннулирования
сертификата ключа подписи удостоверяющий
центр оповещает об этом пользователей
сертификатов ключей подписей путем
внесения в реестр сертификатов
соответствующей информации с указанием
даты и времени аннулирования сертификата
ключа подписи, за исключением случаев
аннулирования сертификата ключа подписи по
истечении срока его действия, а также
извещает об этом владельца сертификата
ключа подписи и полномочное лицо (орган), от
которого получено указание об
аннулировании сертификата ключа
подписи.
5. Обратимся к понятиям
"информационная система общего
пользования" и "корпоративная
информационная система".
Информационная система общего пользования
- информационная система, которая открыта
для использования всеми физическими и
юридическими лицами и в услугах которой
этим лицам не может быть отказано.
Корпоративная информационная система -
информационная система, участниками
которой может быть ограниченный круг лиц,
определенный ее владельцем или соглашением
участников этой информационной системы.
Основные различия между вышеназванными
системами сводятся к следующему:
1) В
соответствии с ФЗ в информационной системе
общего пользования создание ключей
электронных цифровых подписей
осуществляется ее участником или по его
обращению удостоверяющим центром.
Корпоративная информационная система сама
определяет порядок и процедуру создания
ключей.
2) Удостоверяющим центром,
выдающим сертификаты ключей подписей для
использования в информационных системах
общего пользования, должно быть
юридическое лицо, выполняющее функции,
предусмотренные ФЗ.
При этом
удостоверяющий центр должен обладать
необходимыми материальными и финансовыми
возможностями, позволяющими ему нести
гражданскую ответственность перед
пользователями сертификатов ключей
подписей за убытки, которые могут быть
понесены ими вследствие недостоверности
сведений, содержащихся в сертификатах
ключей подписей. К сожалению, на
сегодняшний день ФЗ не устанавливает
требований, предъявляемых к материальным и
финансовым возможностям удостоверяющих
центров, и ссылается на нормативные акты
Правительства, которые до настоящего
времени не приняты.
В отличие от сетей
общего пользования, статус удостоверяющего
центра, обеспечивающего функционирование
корпоративной информационной системы,
определяется ее владельцем или соглашением
участников этой системы.
В
действительности установление требований
к материальным и финансовым возможностям
удостоверяющих центров имеет очень большое
значение, более того, представляется вполне
обоснованным, помимо этих требований,
ввести обязательное страхование
деятельности удостоверяющих центров (по
аналогии с деятельностью нотариусов), а
также установить зависимость между
размером собственных активов
удостоверяющего центра и суммой сделки, ЭЦП
в которой он вправе удостоверять.
Реальная возможность пользователей ЭЦП
компенсировать за счет удостоверяющего
центра убытки, понесенные вследствие
недостоверности сведений, содержащихся в
сертификатах ключей подписей, формирует, с
одной стороны, большее доверие к ЭЦП, а с
другой стороны, вынуждает удостоверяющий
центр подходить более ответственно к
выполнению своих функций. Возможно, это
позволило бы приравнять документ (подпись)
на бумажном носителе, заверенный
нотариусом, к электронному документу,
заверенному ЭЦП, подтвержденной
удостоверяющим центром, действующим в сети
общего пользования.
В соответствии с п. 2
ст. 8 ФЗ деятельность удостоверяющих
центров подлежит лицензированию.
Существующая формулировка данного
положения позволяет говорить о том, что
законодатель устанавливает необходимость
лицензирования деятельности
удостоверяющих центров, действующих как в
информационных сетях общего пользования,
так и в корпоративных сетях. Учитывая, что
положение о лицензировании данного вида
деятельности до сих пор не принято,
остается только предположить, что оно,
помимо прочих требований к претенденту на
получение лицензии, будет содержать
требования, направленные на защиту
имущественных прав участников
информационной системы.
3) Порядок
использования электронных цифровых
подписей в корпоративной информационной
системе устанавливается решением
владельца корпоративной информационной
системы или соглашением участников этой
системы.
4) В отличие от информационной
системы общего пользования, в
корпоративной системе содержание
информации в сертификатах ключей подписей,
порядок ведения реестра сертификатов
ключей подписей, порядок хранения
аннулированных сертификатов ключей
подписей, случаи утраты указанными
сертификатами юридической силы, а также
порядок приостановления действия
сертификата ключа подписи и ликвидации
удостоверяющего центра в корпоративной
информационной системе регламентируются
решением владельца этой системы или
соглашением участников корпоративной
информационной системы.
5) В
соответствии с ФЗ при создании ключей
электронных цифровых подписей для
использования в информационной системе
общего пользования должны применяться
только сертифицированные средства
электронной цифровой подписи.
На первый
взгляд такая формулировка позволяет
сделать вывод о том, что в корпоративных
сетях, за исключением корпоративных
информационных систем федеральных органов
государственной власти, органов
государственной власти субъектов
Российской Федерации и органов местного
самоуправления (п. 3 ст. 5 ФЗ), могут
использоваться несертифицированные
средства ЭЦП, но и здесь не все так
однозначно.
6. Всегда ли на практике
можно однозначно отличить эти два вида
сетей?
Возьмем, к примеру,
информационную сеть банка. С одной стороны,
ее участниками могут быть клиенты и
партнеры банка, т.е. банк сам определяет
круг участников. С другой стороны, договоры,
заключаемые банком с клиентами, как
правило, носят публично-правовой характер
(например, ст. 834, ст. 846 ГК РФ), что означает,
что банк
