Федеральный закон об электронной цифровой подписи: основные положения и проблемы, связанные с применением
не вправе отказать физическому или
юридическому лицу в их заключении.
Следовательно, клиентом банка, а также
участником информационной сети может стать
любое обратившееся в банк лицо. Тем не менее
ФАПСИ в письме "О разъяснении положений
нормативных правовых актов Российской
Федерации" от 20.01.2003 N 18/3-212 указывает, что
исходя из сложившейся практики
информационные системы, создаваемые
банками для обслуживания клиентов,
рассматриваются как корпоративные.
Другой пример - информационная сеть,
сформированная налоговыми органами в г.
Москве для сдачи налоговой и бухгалтерской
отчетности в электронном виде.
Пользователями созданной сети могут быть
налогоплательщики г. Москвы, т.е. круг
участников ограничен по территориальному
признаку. Несмотря на это, любой
налогоплательщик г. Москвы вправе при
наличии технических возможностей перейти
на безбумажную технологию сдачи налоговой
(бухгалтерской) отчетности.
Исходя из
формулировки, данной ФЗ, представляется
более логичным считать приведенные
информационные сети корпоративными, однако
в таком случае существует ли в настоящее
время в России хотя бы одна информационная
система общего пользования? А если такой
системы не существует, то большинство
наиболее важных положений ФЗ повисают в
воздухе, так как отношения, на
урегулирование которых они направлены, еще
не сложились. Что касается корпоративных
сетей, то, как уже было сказано, большую
часть условий их функционирования
определяют их собственники и участники.
Таким образом, отсутствие четких
законодательных определений, позволяющих
однозначно охарактеризовать
информационную систему как корпоративную
или систему общего пользования, вносит
неопределенность в правовое положение
участников электронного документооборота
и создает благодатную почву для нарушения
их прав. Обращает на себя внимание и тот
факт, что данный пробел в законодательстве
пытаются восполнить министерства и
ведомства путем издания на основе
имеющейся практики подзаконных
нормативных актов, что не может, на взгляд
автора, рассматриваться как нормальный ход
вещей, учитывая ключевой характер
разрешаемых вопросов.
7. Теперь
остановимся на средствах ЭЦП и их
сертификации.
Средства электронной
цифровой подписи - аппаратные и (или)
программные средства, обеспечивающие
реализацию хотя бы одной из следующих
функций: создание электронной цифровой
подписи в электронном документе с
использованием закрытого ключа
электронной цифровой подписи,
подтверждение с использованием открытого
ключа электронной цифровой подписи
подлинности электронной цифровой подписи в
электронном документе, создание закрытых и
открытых ключей электронных цифровых
подписей.
Сертификат средств
электронной цифровой подписи - документ на
бумажном носителе, выданный в соответствии
с правилами системы сертификации для
подтверждения соответствия средств
электронной цифровой подписи
установленным требованиям.
Сертификация средств электронной цифровой
подписи осуществляется в соответствии с
законодательством Российской Федерации о
сертификации продукции и услуг.
Как уже
говорилось, в соответствии с п. 2 ст. 5 ФЗ при
создании ключей электронных цифровых
подписей для использования в
информационной системе общего пользования
должны применяться только
сертифицированные средства электронной
цифровой подписи. Формулировка данного
положения и отсутствие в ФЗ каких-либо
указаний на этот счет относительно
корпоративных сетей позволяют сделать
вывод о том, что в них ЭЦП может создаваться
с помощью несертифицированных средств
ЭЦП.
Однако следует обратить внимание
на то, что создание ЭЦП - это только одна из
функций средств ЭЦП; другой не менее важной
функцией является подтверждение
подлинности ЭЦП с использованием открытого
ключа подписи.
Законодатель дает
следующее определение подтверждения
подлинности ЭЦП в электронном документе -
это положительный результат проверки
соответствующим сертифицированным
средством электронной цифровой подписи с
использованием сертификата ключа подписи
принадлежности ЭЦП в электронном документе
владельцу сертификата ключа подписи и
отсутствия искажений в подписанном данной
ЭЦП электронном документе.
Таким
образом, подтверждение подлинности ЭЦП
возможно только с помощью
сертифицированного средства ЭЦП, и здесь
законодатель не делает исключений для
корпоративных информационных систем.
Сложно сказать, случайным или умышленным
является соседство двух этих формулировок,
но в пользу последнего свидетельствует тот
факт, что законодатель, запрещая
использование несертифицированных средств
ЭЦП в корпоративных информационных
системах федеральных органов
государственной власти, органов
государственной власти субъектов
Российской Федерации и органов местного
самоуправления, применяет термин
"использование", не разделяя его на создание
ЭЦП и подтверждение ее подлинности. Но, так
или иначе, нынешние положения ФЗ позволяют
говорить о том, что средства ЭЦП,
обеспечивающие подтверждение подлинности
подписи, должны быть сертифицированными
как в сетях общего пользования, так и в
корпоративных сетях.
Данное
обстоятельство может стать основанием для
привлечения к ответственности участников
электронного документооборота,
использующих несертифицированные средства
ЭЦП.
В заключение хотелось бы обратить
внимание на то, что в соответствии с п. 2 ст. 5
ФЗ возмещение убытков, причиненных в связи
с созданием ключей электронных цифровых
подписей несертифицированными средствами
электронной цифровой подписи, может быть
возложено на создателей и
распространителей этих средств в
соответствии с законодательством
Российской Федерации.
Представляется,
что данный пункт является не совсем
корректным, т.к. создатели и
распространители средств ЭЦП не в
состоянии отследить то, с какой целью
приобретается их программный продукт, в
какой сети предполагается его
использование. В связи с этим возложение на
создателя или распространителя
ответственности за вред, причиненный в
связи с созданием ключей электронных
цифровых подписей несертифицированными
средствами электронной цифровой подписи,
является нелогичным и, более того, может
позволить недобросовестным пользователям
средств создания ЭЦП избежать
ответственности путем ее переложения на
плечи производителя (распространителя)
средства ЭЦП.
Итак, на Закон "Об
электронной цифровой подписи" возлагались
большие надежды, предполагалось, что он
создаст правовую основу для постепенного
развития электронной коммерции, широкого
использования электронного
документооборота и электронных цифровых
подписей. Однако прошедшее время показало,
что принятие Закона "Об электронной
цифровой подписи" не повлекло каких-либо
стремительных изменений ни в работе
организаций, уже использующих ЭЦП, ни
организаций, которые ЭЦП пока не применяют.
Принятый Закон только заложил основы для
дальнейшего развития, и в этом его
безусловная заслуга, однако за пределами
его регулирования остался целый ряд
вопросов, что поставило эффективность его
применения в зависимость от дальнейшего
нормотворчества, в том числе от принятия
многочисленных подзаконных ведомственных
актов, его конкретизирующих.
ССЫЛКИ НА
ПРАВОВЫЕ АКТЫ
ФЕДЕРАЛЬНЫЙ ЗАКОН от
10.01.2002 N 1-ФЗ
"ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ
ПОДПИСИ"
(принят ГД ФС РФ
13.12.2001)
"ГРАЖДАНСКИЙ КОДЕКС РОССИЙСКОЙ
ФЕДЕРАЦИИ (ЧАСТЬ ВТОРАЯ)" от 26.01.1996 N 14-ФЗ
(принят ГД ФС РФ 22.12.1995)
ПИСЬМО ФАПСИ от
20.01.2003 N 18/3-212
"О РАЗЪЯСНЕНИИ ПОЛОЖЕНИЙ
НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ РОССИЙСКОЙ
ФЕДЕРАЦИИ"
Юрист, N 3, 2004
