Правовое регулирование электронной цифровой подписи

В становлении полноценного электронного документооборота Россия отстает от других стран. Если у нас этот процесс начался сравнительно недавно, то за рубежом заключение договоров на основании обмена информацией без использования бумажного носителя получило широкое распространение уже в начале 70-х годов ХХ века. С появлением компьютерных сетей, в том числе Интернета, развитие электронного документооборота совершило не только количественный, но и качественный скачок.

Правовое регулирование применения электронной цифровой подписи (далее – ЭЦП) в России осуществляется на основе ГК РФ и Федерального закона от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи". Еще до вступления в силу этого закона термин "электронная цифровая подпись" содержался в более чем полусотне нормативных актов, но лишь этот закон вводит комплексную правовую базу для широкого использования электронной подписи в предпринимательской деятельности и развития электронной коммерции в нашей стране.

Назначение закона должно не только существенно облегчить ведение коммерческой деятельности, но и создать условия для качественного развития информационных технологий и нового этапа взаимодействия граждан с государственными и муниципальными органами.

Основное назначение электронной цифровой подписи в том, чтобы гарантировать подлинность информации, содержащейся в электронном документе, а также дать возможность доказать любой третьей стороне (партнеру по сделке, суду), что электронный документ был подписан именно отправителем или по его поручению и именно в том виде, в каком он предъявляется.

Как указывается в самом законе, его цель – обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Действие этого закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях, но его действие не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

В целом суть Закона основывается на п. 2 ст. 160 ГК РФ, которая устанавливает, что использование ЭЦП при совершении гражданско-правовых сделок допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

В то же время, в соответствии с той же статьей ГК РФ, сделка в письменной форме должна быть совершена путем составления документа, который выражает ее содержание и подписан лицом или лицами, совершающими сделку, или должным образом уполномоченными ими лицами (п. 1 ст. 160 ГК РФ). Между тем, в соответствии с Законом "Об электронной цифровой подписи" достаточно лишь подтвердить подлинность электронной цифровой подписи (соответствие закрытого и открытого ключей), чтобы признать сделку юридически обязательной. Три указанных термина в рамках Закона раскрываются следующим образом.

Подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.

Открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.

Из указанного положения Закона следует противоречивый вывод: сделка, заключенная неуполномоченным лицом с использованием электронной подписи другого лица, станет обязательной для владельца такой подписи, что идет вразрез с общими положениями гражданского права.

В соответствии с российским законом, электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ электронной цифровой подписи и который выдается удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи

Приведенное выше определение – не единственное определение электронной цифровой подписи в российском законодательстве, известны и другие. Не перечисляя все, можно привести лишь некоторые из них.

• Электронная цифровая подпись – вид аналога собственноручной подписи, являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов. Электронная цифровая подпись позволяет подтвердить ее принадлежность зарегистрированному владельцу и является неотъемлемой частью электронного документа (пакета электронных документов).
• Электронная цифровая подпись – вид аналога собственноручной подписи, который является средством защиты информации, используемым при обмене электронными документами между Банком России и его клиентами и обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов. Электронная цифровая подпись позволяет подтвердить ее принадлежность зарегистрированному владельцу.
• Электронная цифровая подпись – последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство.

Как было показано, законодательство разных стран тоже содержит различные определения электронной подписи, и существенные законодательные отличия этим не ограничиваются. Например, лицо, обладающее электронной цифровой подписью, в российском законе именуется "владельцем сертификата ключа подписи".

В соответствии с Законом владельцем может быть только физическое лицо. Такой подход принят и в европейском законодательстве. Естественно, как и в случае с собственноручной подписью, физическое лицо может действовать от имени юридического лица, но такое полномочие обязательно должно быть указано в сертификате ключа подписи. В законодательстве других стран, например, США, допускается принадлежность электронной подписи не только физическим, но и юридическим лицам. Американский подход неудачен, поскольку при этом возрастает вероятность несанкционированного использования электронной подписи юридического лица, при котором сложно установить конкретное физическое лицо, осуществившее подписание электронного документа.

В соответствии с российским законом электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

• сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
• подтверждена подлинность электронной цифровой подписи в электронном документе;
• электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Особую роль в легитимном функционировании системы электронной цифровой подписи играет удостоверяющий центр. Деятельность удостоверяющего центра заключается в том, что он:

• изготавливает сертификаты ключей подписей;
• создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;
• приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
• ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
• проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
• выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
• осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;
• может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.

Удостоверяющий центр при изготовлении сертификата ключа подписи принимает на себя следующие обязательства по отношению к владельцу сертификата ключа подписи:

• вносить сертификат ключа подписи в реестр сертификатов ключей подписей;
• обеспечивать выдачу сертификата ключа подписи обратившимся к нему участникам информационных систем;
• приостанавливать действие сертификата ключа подписи по обращению его владельца;
• уведомлять владельца сертификата ключа подписи о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования сертификата ключа подписи;
• иные установленные нормативными правовыми актами или соглашением сторон обязательства.

Со своей стороны, владелец сертификата ключа подписи обязан:

• не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
• хранить в тайне закрытый ключ электронной цифровой подписи;
• немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

При несоблюдении указанных требований возмещение причиненных убытков возлагается на владельца сертификата ключа подписи.

Любое лицо может быть одновременно владельцем любого количества сертификатов ключей подписей. Закон содержит указание, что электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи. Данное требование следует признать неудачным, поскольку не каждый будущий владелец электронной подписи имеет достаточные юридические знания для точного указания всех правоотношений, в которых он предполагает ее применять.

Помимо этого, в соответствии с законом, сертификат ключа подписи должен содержать следующие обязательные сведения:

• уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
• фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи;
• открытый ключ электронной цифровой подписи;
• наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
• наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи.

Кроме того, в сертификате ключа подписи (на основании подтверждающих документов) могут указываться должность (с указанием наименования и места нахождения организации, в которой установлена эта должность), квалификация владельца сертификата ключа подписи и иные сведения, подтверждаемые соответствующими документами.

Действие сертификата ключа подписи может быть приостановлено удостоверяющим центром на основании указания лиц или органов, имеющих такое право в силу закона или договора, а в корпоративной информационной системе – также в силу установленных для нее правил пользования.

В соответствии с указанием полномочного лица (органа) о приостановлении действия сертификата ключа подписи удостоверяющий центр оповещает об этом пользователей сертификатов ключей подписей путем внесения в реестр сертификатов ключей подписей соответствующей информации с указанием даты, времени и срока приостановления действия сертификата ключа подписи, а также извещает об этом владельца сертификата ключа подписи и полномочное лицо (орган), от которого получено указание о приостановлении действия сертификата ключа подписи.

Законодательство предусматривает аннулирование сертификата ключа подписи. Это осуществляется удостоверяющим центром в ряде случаев:

• по истечении срока его действия;
• при утрате юридической силы сертификата соответствующих средств электронной цифровой подписи, используемых в информационных системах общего пользования;
• если удостоверяющему центру стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат ключа подписи;
• по заявлению в письменной форме владельца сертификата ключа подписи;
• в иных установленных нормативными правовыми актами или соглашением сторон случаях.