Проблемы правового регулирования электронного документооборотаНазад
Проблемы правового регулирования электронного документооборота
Д.А. Ловцов*
Проблемы правового регулирования электронного документооборота как внутри суверенных государств, так и на международной арене приобретают в настоящее время все большую актуальность в связи с внедрением эффективных информационно-компьютерных технологий практически во все сферы общественно-производственной деятельности (от взаимодействия населения с органами государственной власти, поддержки финансовых и товарных рынков до сферы услуг, розничной торговли, образования и досуга). Например, широкое распространение получают автоматизированные информационные системы (АИС) электронных межбанковских и коммунальных платежей, заказов и покупки товаров, обмена электронными документами (договорами, финансовыми отчетами, налоговыми декларациями и др.).
Начиная с середины 90-х годов обеспечение юридически значимого электронного документооборота в АИС осуществляется, в частности, на основе применения в качестве реквизита электронных документов так называемых электронных подписей как средства удостоверения подлинности (авторства), аутентичности и целостности электронных документов.
На сегодня в мировой практике исторически сложились три основные модели правового регулирования в сфере электронного документооборота и электронных подписей.
Первая модель принята в США. Правительство США предоставляет право гражданам и юридическим лицам самостоятельно регулировать внутренние процессы в сфере электронной коммерции. Данная модель основана на принципах "бизнес-выбора", концепции свободы заключения контракта и использования при этом любой конкретной информационно-компьютерной технологии. Выбор любой технологии подписи электронных документов сторон, участвующих в сделке, признается законным. Стороны сами могут решить - использовать или не использовать электронные подписи, причем они не обязаны обращаться к третьей, независимой стороне, удостоверяющей соответствующие сертификаты ключей подписей.
Вторая модель принята в Европейском Союзе (а также, частично, в Украине). Базовый принцип соответствующей Директивы1 об электронной подписи - система лицензирования не должна быть обязательной. Каждая страна - член Евросоюза может создавать структуры, регулирующие процесс добровольного лицензирования, для того, чтобы сформировать у клиентов или потенциальных деловых партнеров авторитет и доверие к организации, предоставляющей услуги в сфере применения электронных подписей. Правительства должны обеспечить функционирование соответствующей системы надзора за деятельностью поставщиков услуг по сертификации, которые созданы на территории этой страны и осуществляют выдачу квалификационных сертификатов населению.
Третья модель принята в России и в Индии, где законы об электронной подписи жестко регулируют рынок услуг в данной сфере путем лицензирования деятельности по предоставлению таких услуг. Базовый принцип модели - признание электронной подписи действенной и необходимой везде, в том числе и на международном уровне. Данный подход лишен достаточной гибкости и практически не способен своевременно реагировать на меняющиеся условия и механизмы развития информационной сферы общественно-производственной деятельности. В частности, в Индии первая лицензия на деятельность по предоставлению услуг в области электронной подписи была выдана через три года после принятия соответствующего закона. В итоге электронная торговля была "заморожена", а в гражданских судах Индии скопилось около 40 млн дел по поводу споров по контрактам2.
Кроме того, по степени детализации требований к самой электронной подписи также можно выделить три различных подхода.
Первый подход (самый общий) основан на признании в отношении электронной подписи тех же требований, что и в отношении собственноручной, включая уникальность, возможность верификации подписи и "подконтрольность" использующему ее лицу.
Второй подход дополнительно предполагает, что электронная подпись должна быть связана с передаваемыми данными так, что если они изменяются, то электронная подпись становится недействительной.
Третий подход выдвигает наиболее детализированные требования к электронной подписи, в частности предусматривает использование специальной технологии3 асимметричных ("двухключевых") информационно-криптографических преобразований электронных документов. Такой тип электронной подписи называется "электронной цифровой подписью" или "электронно-цифровой подписью" (ЭЦП)4.
ЭЦП - это идентификатор оператора-абонента, добавляемый в преобразованной по его индивидуальному (тайному) ключу форме к передаваемому информационному массиву-сообщению (которые затем совместно преобразуются по опубликованному в справочнике открытых ключей абонентов сети ключу абонента-получателя), необходимый для аутентификации и юридического гарантирования авторства передаваемого сообщения. В существующих АИС она используется главным образом для обеспечения аутентичности информации (только ЭЦП), легальности информации (ЭЦП совместно с квитированием), "верифицируемости" информации (ЭЦП совместно с архивированием) и др. Использование ЭЦП стало возможным в результате внедрения информационнокриптографической технологии, основанной на применении общесетевых методов защитных семантических преобразований информации с парными инверсными ключами (опубликованным - открытым и тайным - закрытым) у каждого абонента сети.
Выбор конкретного подхода при разработке соответствующего национального законодательства обусловливается главным образом сложившейся социально-политической обстановкой в стране, когда поиск наиболее приемлемого средства безопасного обмена документированной информацией либо доверяется рынку электронной коммерции, либо осуществляется централизованно с целью защиты агентов складывающегося рынка от вероятных конфликтных ситуаций.
Например, правительство США считает легитимными все применяемые электронные подписи: персональный идентификационный номер (ПИН-код), электронный маркер, ЭЦП и др., признаваемые обоими контрагентами по сделке, включая биометрические данные (голоса, отпечатки пальцев, геометрия рук, рисунки радужных оболочек глаз и др.). В частности, файл с текстом Закона "Об электронных подписях в глобальной и национальной торговле" (американский аналог отечественного закона об ЭЦП) подписан фотографической копией собственноручной подписи экс-президента США Билла Клинтона, сделанной им на компьютерном графическом планшете.
В модельных законах ЮНСИТРАЛ (UNCITRAL - Комиссии по международному торговому праву ООН) "Об электронной коммерции" 1996 года и "Об электронной подписи" 2001 года правовой режим электронного обмена данными в международных коммерческих операциях представлен в виде примерного свода правил.
Европейское законодательство более жестко подходит к вопросу о том, какой должна быть электронная подпись. Соответствующая Директива Евросоюза об электронной подписи как базовый европейский закон предписывает использовать второй подход, который и был использован, в частности, при принятии национальных законов в Австрии, Великобритании, Германии и др.
Проблемы правового регулирования отношений, предусматривающих использование электронной подписи, по существу, связаны с регулированием применения технологий электронного документооборота. Каждая страна должна решить для себя, насколько конкретная технология надежна, как велика вероятность искажения воли стороны в электронном документе, кто обладает правом решать в каждом конкретном случае вопрос об аутентичности и на основании каких критериев.
В России Закон предусматривает только один вид электронной подписи - именно ЭЦП, жестко регламентируя деятельность по предоставлению услуг в сфере электронных отношений и предусматривая обязательное лицензирование соответствующей деятельности, а также применение стандартизированных алгоритмов ЭЦП. Закон предусматривает различные правовые режимы для информационных систем общего пользования ("открытых систем") и корпоративных информационных систем. При корпоративном режиме регламентация ЭЦП формально передается на усмотрение участников системы, однако требуется заключение предварительных соглашений о регламенте электронного документо-оборота и процедурах разрешения конфликтов, предполагается физический обмен магнитными носителями с ключами ЭЦП и сертификатами ключей. Законом также предусмотрено создание удостоверяющих центров для информационных систем общего пользования, но, во-первых, на практике оперативность создания таких структур оставляет желать лучшего, во-вторых, исключается какая-либо конкуренция между ними из-за необходимости предварительного согласования, получения разрешения на соответствующую деятельность у уполномоченного органа и ее обязательного лицензирования; в-третьих, исключается возможность привлечения физических лиц и др.
Все это приводит к возникновению ряда прикладных юридических проблем. В частности, выбор стандартизированного алгоритма ЭЦП и его реализации не гарантирует обеспечения доказательного подтверждения подлинности и авторства электронного документа, поскольку в отличие от обычной собственноручной подписи ЭЦП отчуждаема от своего владельца. То есть если подпись под бумажным документом неотделима от человека и практически никто другой не может подделать ее так, чтобы это не было обнаружено криминалистической экспертизой, то любой злоумышленник, завладевший секретным ключом подписи, сможет сделать ЭЦП так же легко и правдоподобно, как и законный владелец этого ключа. Решение данной проблемы возможно на основе осуществления каждым участником электронного документооборота самостоятельной тайной процедуры генерации своих ключей и обеспечения конфиденциальности закрытого ключа.
Следствием отчуждаемости ЭЦП является также необходимость юридически корректного подтверждения принадлежности открытого ключа ЭЦП. То есть арбитр должен не только убедиться в корректности ЭЦП под электронным документом, но и проверить, что использованный при проверке ЭЦП открытый ключ действительно принадлежит тому абоненту, авторство которого проверяется. Решение проблемы юридического удостоверения подлинности и принадлежности открытых ключей подписи участников-абонентов возможно на основе применения механизмов заверения ключей ЭЦП на уже известных ключах, а для первичных ключей - заверения традиционными способами (мастичными печатями и собственноручными подписями уполномоченных лиц) после распечатки на бумаге.
Арбитражный характер разрешения конфликтных ситуаций предопределяет разработку таких механизмов правового выхода из конфликтов, связанных с электронными документами, который был бы понятен арбитру, не являющемуся специалистом в области защиты информации, и максимально адекватен механизму выхода из аналогичных конфликтов в случае использования бумажных документов. Кроме того, для обеспечения самой возможности рассмотрения электронных документов в арбитраже должен быть создан необходимый юридический базис. Здесь, кстати, следует отметить, что юридические аспекты электронного документооборота исследовались Институтом государства и права РАН в рамках научно-исследовательской работы5 в 1990-х гг. Полученные результаты с учетом обоснованных криптографических решений правового выхода из конфликтных ситуаций позволили, в частности, разработать "Типовой договор обмена электронными документами и оказания информационно-вычислительных услуг при многорейсовой обработке платежей в системе "АСБР-Москва"6, позволяющий обеспечить юридическую значимость электронных межбанковских платежей в региональной корпоративной информационной сети Центробанка России.
В отличие от Директивы Евросоюза в отечественном Законе об ЭЦП также не предусмотрена, в частности, возможность свободного выбора участниками корпоративной АИС не только вида удостоверения подлинности документа, но и средств, его создающих и верифицирующих (которые должны быть сертифицированы). Это обстоятельство практически исключает эффективные электронные отношения граждан и юридических лиц Российской Федерации с иностранными партнерами (поскольку, например, не сертифицированное на территории России применяемое иностранным партнером средство ЭЦП не может согласно Закону быть использовано контрагентом в России для верификации подписи и др.).
Более либеральный и гибкий Закон "Об электронной цифровой подписи", предусматривающий другие виды электронной подписи, принят в Украине. Данный закон базируется на общей концепции соответствующей Директивы ЕС, рекомендующей единые правила признания юридической силы электронной подписи и добровольную аккредитацию центров сертификации ключей. Определение термина "электронная подпись" по уровню детализации выдвигаемых к электронной подписи требований разделено на два понятия. Собственно электронная подпись, которая представляет собой данные в электронной форме, присоединяемые к другим данным или логически с ними объединенные, предназначенные для идентификации подписавшего лица. Второе определение - ЭЦП, конкретизирующая используемую технологию и определяемая как результат определенного криптографического преобразования некоторого набора данных, который присоединяется к этому набору данных или логически с ним объединяется и дает возможность подтвердить целостность набора данных и идентифицировать подписавшее лицо.
В законе однозначно определяются условия, при которых именно ЭЦП приравнивается к собственноручной подписи, в частности:
электронная цифровая подпись проверена с использованием "усиленного" (квалифицированного) сертификата ключа при помощи надежных средств ЭЦП, т.е. средств, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации;
во время проверки использовался "усиленный" сертификат ключа подписи (действующий на момент наложения цифровой подписи), который имеют право формировать только аккредитованные центры сертификации ключей;
личный ключ подписавшего лица отвечает открытому ключу, который находится в сертификате.
Юридическое признание электронной подписи, в том числе переведенного в цифровую форму изображения собственноручной подписи, не опровергается. Юридическое признание других видов электронной подписи может регламентироваться на основании отдельных договоров между участниками информационного обмена или определяться другими нормативно-правовыми актами.
Таким образом, электронный документ, подписанный электронной подписью, может служить доказательством в судебном процессе. Споры, которые могут возникнуть между сторонами информационного обмена, разрешаются судами в общем порядке, предусмотренном законодательством Украины. Суд не может однозначно опровергнуть юридическую силу электронной подписи исключительно на основании того, что она представлена в электронной форме, не основана на "усиленном" сертификате ключа, сформирована с использованием ненадежных средств цифровой подписи.
С целью усовершенствования услуг и международного признания электронной подписи предусмотрены механизмы добровольной аккредитации центров сертификации ключей, а также создание системы, осуществляющей процедуру аккредитации и надзор за работой аккредитованных центров. То есть определены два типа поставщиков услуг в сфере электронной подписи - центр сертификации ключей и аккредитованный центр сертификации. Центром сертификации ключей может быть юридическое или физическое лицо - субъект предпринимательской деятельности, который удостоверил свой открытый ключ в органе технического управления сферы ЭЦП - центральном удостоверяющем органе. Закон не устанавливает практически никаких требований к деятельности неаккредитованных центров сертификации ключей относительно предоставления услуг юридическим и физическим лицам. В то же время четко определены права и обязанности аккредитованных центров сертификации ключей, порядок отмены, блокирования и возобновления "усиленных" сертификатов. При этом юридическая сила электронной подписи, проверенной с использованием сертификата ключа, который сформирован центром сертификации ключей, а также при помощи ненадежных средств ЭЦП, не может быть опровергнута.
В соответствии с требованиями Закона центры сертификации ключей несут ответственность за невыполнение своих обязанностей перед юридическими и физическими лицами согласно законодательству Украины.
В некоторых аналогичных законодательных актах стран Евросоюза и в России предусмотрена финансовая ответственность центров сертификации перед своими клиентами и третьими лицами за несоответствующее выполнение своих обязанностей. В частности, в качестве одного из требований к аккредитованному центру используется обязательное наличие страховой суммы определенного размера, дающей возможность гарантировать способность центров сертификации ключей нести финансовую ответственность перед третьими лицами вследствие невыполнения требований законодательства в области электронных отношений.
В законах России и Украины определяется и контролирующий орган в сфере ЭЦП - специально уполномоченный федеральный (центральный) орган исполнительной власти в сфере криптографической защиты информации, который проверяет выполнение удостоверяющими центрами (центрами сертификации ключей) требований законодательства в сфере ЭЦП, а также отвечает за оценку соответствия средств ЭЦП установленным требованиям.
Таким образом, комплексный анализ основных правовых проблем и особенностей моделей развития национальных законодательств в области электронного документооборота и электронной подписи показывает, что в мировом сообществе наметилась устойчивая тенденция гармонизации законодательств об ЭЦП на базе единых принципов и подходов. Становится понятным, что жестко регламентированная обязательная государственная система сертификации ЭЦП, обеспечивая высокую степень безопасности и надежности использования электронных подписей, однозначно перечеркивает возможность участия в международной электронной торговле. Вместе с тем остается еще значительное число нерешенных частных прикладных проблем правового регулирования применения электронной подписи у нас в стране и за рубежом, обусловленных различиями в национальных законодательствах, потребностями и динамикой развития национальных экономик и другими социально-политическими факторами.
* Заведующий кафедрой правовой информатики, информационного права и математики Российской академии правосудия, доктор технических наук, профессор.
1 Digital Signature Directive 1999/93/EU (28.06.99) // Official Journal of the European Communities. 1999. No 28.
2 Гребнев В., Скиба А. Направление правового регулирования вопросов использования ЭЦП // Правове, нормативне та метрологичне забезпечення системи захисту iнформацii в Украiнi. 2003. Вип. 6. С. 6_10.
3 Ловцов Д. А. Защита информации в информационно-вычислительной сети // НТИ. Сер. 2. Информ. процессы и системы. 1997. No 1. С. 7_12.
4 Федеральный закон от 10 января 2002 г. No 1-ФЗ "Об электронной цифровой подписи" // СЗ РФ. 2002. No 2. Ст. 127; Федеральный закон от 20 февраля 1995 г. No 24-ФЗ "Об информации, информатизации и защите информации" с изменениями, внесенными Федеральным законом от 10 января 2003 г. No 15-ФЗ // СЗ РФ. 1995. No 8. Ст. 609; 2003. No 2. Ст. 167; Гражданский кодекс РФ, часть первая (ст. 160, п. 2; 434, п. 2) от 30 ноября 1994 г. с изменениями, внесенными Федеральным законом от 10 января 2003 г. No 15-ФЗ // СЗ РФ. 1994. No 32. Ст. 3301; 2003. No 2. Ст. 167; Межпарламентская Ассамблея государств - участников СНГ // Информационный бюллетень. 2001. No 26 С. 310_326.
5 Научно-исследовательская работа "Статус" (Разработка проекта законодательного акта о юридическом статусе электронной документации): Отчет / Институт государства и права РАН. М., 1994.
