Ефремкина О.В.
Основные положения Директивы 1999/93/ЕС/ Европейского парламента и Совета от 13 декабря 1999 г. о порядке использования электронных подписей в Европейском Сообществе
Повсюду в мире все шире используется электронно-цифровая подпись. Не является исключением и Россия, где с начала 90-х годов электронная подпись применяется на практике. Особенно это касается банковской системы. Отсутствие правового регулирования этой проблемы на государственном уровне затрудняет ее использование.
Единственным упоминанием об электронно-цифровой подписи в нашем законодательстве является п. 2 ст. 160 ГК РФ, которая гласит: «Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон».
Кроме того, в 1973 году 239 банков стран Европы и Северной Америки учредили Сообщество всемирных интербанковских финансовых телекоммуникаций (Society for Worldwide Inerbank Financial Telecommunication – S.W.I.F.T.) с целью создания международной сети для передачи данных между финансовыми организациями.
Сегодня S.W.I.F.T. является ведущей международной организацией в сфере финансовых телекоммуникаций, обеспечивающих оперативную, безопасную и надежную передачу финансовых сообщений по всему миру.
В настоящее время пользователями S.W.I.F.T. являются более 6000 крупнейших банков и финансовых организаций, таких как брокерские фирмы, компании ценных бумаг, биржи, центральные депозитарии и др. из 177 стран мира.
S.W.I.F.T. получил поддержку мирового финансового сообщества, а предложенная и реализованная им концепция, форматы и правила передачи финансовой информации приобрели статус стандарта дефакто.
Согласно регламенту S.W.I.F.T. в каждой стране, представленной в Сообществе, создается Группа пользователей S.W.I.F.T., объединяющая всех пользователей сети и Национальная группа членов S.W.I.F.T., объединяющая все банки – члены Сообщества. В Российской Федерации организацией объединяющих пользователей сети и действующей от их имени и в их интересах является Российская Национальная Ассоциация S.W.I.F.T. (РОССВИФТ), которая была создана в май 1994 года как негосударственная некоммерческая организация. Сегодня РОССВИФТ насчитывает около 300 пользователей. Высшим органом Ассоциации является Общее Собрание российских пользователей S.W.I.F.T.
Однако это не обеспечивает должного правового регулирования отношений, возникающих в момент создания электронно-цифровой подписи и их последствий на государственном уровне.
В связи с вышеизложенным понятно, что сегодня проблема электронно-цифровой подписи в нашей стране становится настолько актуальной, что требует незамедлительного принятия Закона, регулирующего ее использование. К сожалению, до сих пор Государственная Дума еще не приступила к рассмотрению проекта Закона об электронно-цифровой подписи.
Особая важность принятия этого закона обусловлена тем, что Россия все более активно сотрудничает с различными зарубежными партнерами, а сегодня, в эпоху глобальной информатизации, сложно решать какие-либо вопросы без современных средств подписания документов, законным образом оформляющих заключение сделок и т.д.
Европейский Союз, как и многие страны мира, понимая важность этой проблемы, рассмотрел вопрос о регулировании отношений, возникающих при заключении различных сделок в электронном виде. В декабре 1999 года Европейский парламент совместно с Советом приняли Директиву о порядке использования электронных подписей в Европейском Сообществе.
Нашей стране также необходимо принять соответствующие меры по урегулированию этой проблемы, т.к. она является партнером многих государств, входящих в Европейский Союз, и для успешного сотрудничества, используемые в России технологии и правовые формы должны соответствовать унифицированным общеевропейским требованиям, либо не должны им противоречить.
Рассмотрим основные положения этого документа, которые могут быть учтены и использованы при подготовке соответствующего российского законодательства.
Правовая неурегулированность электронной подписи является причиной отсутствия устоявшейся единообразной понятийной базы и терминологии в этой сфере. Поэтому необходимо ввести основные понятия и определения, сформулированные в Директиве (ст.2):
1. «Электронная подпись» – это данные в электронном формате, которые прилагаются к другим электронным данным или логически ассоциируются с ними и служат в качестве метода установления аутентичности.
2. «Сигнатарий» – человек, владеющий устройством воссоздания подписи и выступающий либо от своего имени или от имени физического или юридического лица или же организации, которую он представляет.
3. «Продвинутая электронная подпись» — электронная подпись, отвечающая следующим требованиям:
-она уникальным образом связана с сигнатарием;
-обладает способностью идентификации сигнатария;
-создается на основе средств, находящихся под единоличным контролем сигнатария;
-связана с данными, к которым она относится таким образом, что любое последующее изменение данных будет неизбежно обнаружено.
4. «Данные, воссоздающие подпись» – это уникальные данные (коды, криптографические ключи), используемые сигнатарием для воссоздания подписи.
5. «Устройство воссоздания подписи» – программное обеспечение и аппаратура, используемые для обеспечения данных воссоздания подписи.
6. «Защищенное устройство воссоздания подписи» — устройство воссоздания подписи, отвечающее требованиям, изложенным в Приложении 3.
7. «Данные верификации подписи» – это данные, включающие коды или криптографические ключи общего пользования, используемые для верификации электронной подписи.
8. «Верификатор подписи» — программное обеспечение и аппаратура, используемые для обеспечения данных верификации подписи.
9. «Сертификат» – электронное удостоверение, связывающее данные верификации подписи с субъектом и подтверждающее их идентичность.
10. «Модифицированный сертификат» – сертификат, отвечающий требованиям, изложенным в Приложении 1 и обеспеченный провайдером сертификационных услуг, выполняющим требования, изложенные в Приложении 2.
11. «Провайдер сертификационных услуг» – организация, физическое или юридическое лицо, обеспечивающие сертификационные услуги или другие услуги, относящиеся к электронной подписи;
12. «Продукт электронной подписи» – программное обеспечение, аппаратура или соответствующие компоненты, которые должны быть использованы провайдером сертификационных услуг для формирования услуг, относящихся к электронной подписи или же к процессу верификации электронных подписей.
13. «Добровольная аккредитация» – любое разрешение, соблюдение прав и обязанностей, необходимых для предоставления сертификационных услуг по просьбе конкретным провайдером, государственной или частной организацией, ответственными за разработку и надзор за соблюдением этих прав и обязанностей в тех случаях, когда провайдер не уполномочен осуществлять права, вытекающие из конкретного разрешения до получения им соответствующего разрешения со стороны определенного органа.
Развитие электронных средств коммуникации обусловило необходимость внедрения электронных подписей и соответствующих услуг, связанных с их правовым оформлением и признанием. Этот институт призван устранить существенные барьеры на пути широкого использования электронных средств коммуникации и электронной торговли. При этом, четкое правовое регулирование использования электронных подписей способствует росту доверия к ним и, соответственно, широкому внедрению новых технологий.
Статья 14 Договора об учреждении Европейского сообщества гласит: «…Внутренний рынок должен представлять собой пространство без внутренних границ, в котором обеспечивается свободное движение товаров, лиц, услуг и капиталов».
Необходимо также обратить внимание на то, что данная Директива не гармонизирует законодательство, право государств в области предоставления услуг, относящихся к конфиденциальной информации, так как она является прерогативой национальных законодательств, учитывающих вопросы государственной политики и общественной безопасности.
Европейский Союз также обеспечивает свободу перемещения личности, в результате чего многие граждане испытывают потребность обращения в органы и к официальным лицам государств-членов ЕС в такой же степени, как и к властям своего государства, чему могло бы способствовать наличие электронных средств коммуникации.
Как уже отмечалось выше, быстрое технологическое развитие и глобальный характер сети Интернет являются основаниями для идеологии открытости к различным технологиям и услугам, относящимся к установлению соответствия данных оригиналу, в том числе и при помощи электроники.
Электронные подписи получат самое широкое распространение в различных областях деятельности человека, что неизбежно приведет к развитию новых услуг и продуктов, прямо или косвенно связанных с ними. Определение таких продуктов и услуг не может сводиться лишь к предоставлению сертификатов и работе с ними. Оно неизбежно затрагивает регистрационные услуги, отметку времени, инструктивные услуги, услуги, связанные с компьютерной техникой, или же консультационные услуги, относящиеся к электронным подписям.
Внутренний рынок ЕС дает возможность провайдерам сертификационных услуг работать и с зарубежными клиентами, что ведет к росту их конкурентоспособности и открывает для потребителей и бизнесменов новые перспективы безопасного обмена информацией и торговли независимо от границ при помощи электронных средств.
Необходимым фактором является предоставление сертификационных услуг государственными организациями и физическими лицами при условии их строгого соответствия национальному законодательству. Государства-члены должны обеспечить условия сохранения конкурентоспособности провайдеров.
Существенным фактором Директива считает установление баланса между потребностями потребителя и бизнеса.
В Приложении 3 приводятся требования к защищенным устройствам воссоздания подписи, что налагает на Комиссию и на государства-члены ответственность за своевременную и эффективную разработку таких устройств в соответствии с требованиями, изложенными в этом Приложении, а также с требованиями рынка.
Директива является важным вкладом в дело использования и правового признания электронных подписей в Сообществе. Правовое регулирование не требуется для электронных подписей, используемых для обеспечения отношений, которые основываются на добровольных соглашениях.
В документе специально подчеркивается, что он не направлен на гармонизацию национальных правил, касающихся договорного права. Положения Директивы, касающиеся юридической силы электронных подписей, должны согласовываться с требованиями национального права в этой области.
Копирование данных, воссоздающих подпись, может оказать негативное воздействие на юридическую силу электронной подписи.
Электронные подписи будут использоваться в государственном секторе на национальном уровне, а также, на уровне Сообщества в сфере управления, экономики, налогообложения, общественной безопасности, систем правосудия и здравоохранения.
Гармонизация критериев, относящихся к юридическому действию электронных подписей, будет постоянно вестись в рамках Сообщества. Национальное право устанавливает различные требования для обеспечения юридической силы подписей, сделанных от руки, тогда так для подтверждения идентичности электронной подписи могут быть использованы сертификаты. Продвинутые электронные подписи, основанные на модифицированных сертификатах, направлены на обеспечение более высокого уровня защищенности. Эти подписи, воспроизводимые защищенным устройством воссоздания подписи, могут считаться равными в правовом отношении подписям, сделанным от руки, только при условии выполнения требований, предъявляемым к этим подписям.
Для более широкого распространения, электронных методов аутентичности необходимо, чтобы электронные подписи признавались в качестве доказательств в судопроизводстве во всех государствах-членах. Юридическое признание электронных подписей должно основываться на объективных критериях, а не увязываться с полномочиями конкретного провайдера. Национальное право определяет сферы использования электронных документов и подписей. Данная директива не ущемляет право национального суда вынести постановление относительно соответствия требованиям настоящей Директивы и не оказывает воздействия на национальные правила относительно неограниченного права рассмотрения доказательств судом.
Провайдеры сертификационных услуг подчиняются национальным правилам, определяющим их личную ответственность.
Развитие международной электронной торговли требует вовлечения третьих стран. Поэтому для достижения высокой эффективности на глобальном уровне весьма полезными могут оказаться соглашения по многосторонним правилам с третьими странами по взаимному признанию сертификационных служб.
Для того, чтобы повысить доверие пользователя к электронным средствам коммуникации и электронной торговле, провайдеры сертификационной службы должны соблюдать законодательство о защите персональных данных и неприкосновенности частной жизни.
В соответствии с принципами субсидиарности и пропорциональности, отраженными в Статье 5 Договора об учреждении Европейского Сообщества, цель создания гармонизированной правовой базы электронных подписей и сопутствующих служб в полной мере не может быть достигнута отдельными государствами-членами, а лишь усилиями всего Сообщества.
В Статье I определена сфера применения и цель Директивы. Она призвана способствовать использованию электронных подписей и сделать вклад в дело их юридического признания. Она создает правовую базу электронных подписей и некоторых сертификационных служб для внедрения электронных подписей на внутреннем рынке. Директива не затрагивает аспекты, относящиеся к заключению и действительности договоров или других правовых обязательств, регулируемых национальным правом или правом Сообщества. В ней также не затрагиваются правила и ограничения, предусмотренные в этих законодательствах, регулирующие использование документации.
Статья 3 Директивы посвящена организационным и правовым проблемам доступа на рынок электронных услуг. Каждое государство-член создает условия для организации эффективной системы контроля за деятельностью провайдеров сертификационных услуг на своей территории и несет ответственность за предоставление общественности правомочных сертификатов (п.3).
Каждое государство-член следит за соответствием защищенных устройств создания подписи требованиям, изложенным в Приложении 3.
О принципах внутреннего рынка говорится в статье 4. Каждое государство-член руководствуется национальными положениями в области исполнения данной Директивы относительно сети провайдеров сертификационной службы на своей территории и объема предоставляемых ими услуг.
Также государства-члены должны обеспечивать свободное распространение продуктов электронной подписи на внутреннем рынке.
В соответствии с п.1 Статьи 5 Директивы государства-члены обязаны создавать условия, при которых продвинутые электронные подписи, вкупе с защищенными устройствами создания подписи и правомочными сертификатами отвечали бы правовым требованиям к подписи под информацией, представленной в электронной форме аналогично подписи, сделанной от руки на бумаге. Также электронная подпись должна приниматься судом в качестве доказательства.
Юридическая сила электронной подписи не может быть подвергнута сомнению независимо от того, что:
– она исполнена в электронной форме;
– не основана на правомочном сертификате;
– не основана на правомочном сертификате, представленном провайдером сертификационной службы, имеющим аккредитацию;
– не исполнена при помощи защищенного устройства создания подписи.
Выпуская квалификационный сертификат, государства-члены должны гарантировать, что служба провайдеров по сертификации несет ответственность за ущерб, причиненный любому физическому или юридическому лицу, воспользовавшемуся его услугами как по созданию, так и по аннулирование сертификата (Статья 6, пп.1,2):
– в отношении времени выпуска информации и полноты необходимых атрибутов, содержащихся в квалификационном сертификате;
– в момент выпуска сертификата подписавшая сторона идентифицирует «данные создания подписи» с «данными удостоверения подписи» ( в соответствии с требованиями сертификации);
– в случае, когда служба провайдера создает как «данные создания подписи», так и «данные удостоверения подписи», они могут взаимодополнять друг друга.
Служба провайдеров по сертификации освобождается от ответственности, в случае если она сможет доказать, что ее действия не явились результатом преступной небрежности.
Служба провайдеров может также указывать в квалификационном сертификате ограничения по использованию данного сертификата, в том числе и ограничения стоимости сделок (если эти ограничения известны третьим лицам). В случае превышения установленных ограничений служба провайдеров не несет ответственности за причиненный ущерб (Статья 6, пп.3,4).
Статья 7 раскрывает международные аспекты использования Директивы.
В отдельных случаях квалификационные сертификаты выпускаемые службой провайдеров по сертификации, учрежденной третьими странами, должны быть приравнены к сертификатам Сообщества, а именно:
– служба провайдеров по сертификации выполнит требования, установленные в этой Директиве, и будет аккредитована в соответствии с программой добровольного аккредитования, установленной в государстве-члене;
– служба провайдеров по сертификации, учрежденная в странах Сообщества, гарантирует выпуск сертификата в соответствии с требованиями Директивы;
– сертификат или служба провайдеров по сертификации могут быть признаны двусторонними или многосторонними соглашениями между Сообществом и третьими странами или международными организациями.
Для признания «личных электронных подписей», создаваемых в третьих странах, Комиссия должна подготовить предложения по стандартизации служб провайдеров по сертификации и сертификатов, а также международные соглашения, регламентирующие деятельность служб сертификации. Решения по данному вопросу должны приниматься Советом квалифицированным большинством голосов.
В случае возникновения трудностей в регулировании рыночных отношений, связанных с использованием электронной подписи в третьих странах, необходимо подготовить предложения для заключения соглашений по поводу равных прав Сообщества и третьих стран.
В заключительной части статьи 7 говорится о том, что меры принятые в пп.1,2 и 3 должны обеспечивать безопасность Сообщества и государств-членов в соответствии с международными соглашениями.
В соответствии с Директивой 95/46/ЕС Европарламента и Совета от 24 декабря 1995 года должны неукоснительно соблюдаться требования по защите физических лиц относительно обработки личных данных и их свободному передвижению. Ответственность за аккредитование и надзор за соблюдением этих требований лежит на службах провайдера по сертификации и соответствующих государственных органах (п.1, ст.8).
Персональные данные можно собирать только непосредственно с согласия самого субъекта и только с целью выпуска сертификата. Сбор и обработка персональных данных с иной целью не допускается (п.2, ст.8).
В сертификате разрешается использовать псевдоним вместо имени подписавшейся стороны. Это не противоречит внутригосударственному законодательству государств-членов Сообщества (п.3, ст.8).
В приложениях к данной Директиве устанавливаются определенные требования, разъяснения к которым следует сделать Комитету по электронной подписи.
Эта деятельность не должна противоречить общепринятым стандартам, установленным и опубликованным согласно п.5, ст. 3, в соответствии с процедурой, изложенной в п.2, ст.9 рассматриваемой Директивы, для продуктов электронной подписи.
Государства–члены должны своевременно передавать Комиссии и другим государствам-членам следующую информацию:
– о государственных добровольных программах аккредитования;
– наименования и адреса государственных органов, ответственных за аккредитование и надзор, в дополнение к органам, упомянутым в п.4, ст.3;
– наименования и адреса всех аккредитованных государственных служб провайдеров по сертификации;
– а также обо всех изменениях в отношении данной информации (пп.1 и 2, ст.11).
Комиссия должна исследовать практику применения Директивы и представить отчет в Европарламент и Совет до 19 июля 2003 года.
Данный отчет должен включать оценку проведенной работы, а также соответствующие законодательные предложения (ст. 12).
Основные положения национальных законодательств, принятых в сфере, регулируемой данной Директивой, должны быть согласованы государствами-членами с Комиссией.
Все законы, правила и административные положения, необходимые странам-участницам для выполнения данной Директивы должны быть введены в действие до 19 июля 2001 года (пп.1,2, ст.13).
Приложение 1 Директивы отражает основные требования, предъявляемые к квалификационным сертификатам.
Квалификационные сертификаты должны содержать:
– атрибут, подтверждающий соответствие данного документа квалификационному сертификату;
– данные о государстве и службе провайдера по сертификации;
– наименование или псевдоним подписавшей стороны;
– назначение данного сертификата;
– подтверждение персонифицирующих данных подписавшей стороны;
– срок действия сертификата;
– идентификационный код сертификата;
– продвинутую электронную подпись провайдера по сертификации;
– ограничения действия сертификата, если таковые имеются.
Требования к службе провайдеров по сертификации изложены в Приложении 2.
Служба провайдеров по сертификации обязана:
– предоставлять доказательства своей способности обеспечить надежный уровень сертификационных услуг;
– обеспечить представление полной справочной информации, а при необходимости надежность и безотлагательность отмены услуг;
– обеспечить точное установление даты и времени выпуска сертификата или его аннулирования;
– подтвердить соответствующими средствами тождественность и индивидуальные особенности подписи лица, получающего сертификат, в соответствии с национальным законодательством;
– подбирать профессиональный кадровый состав и обеспечивать соответствующий уровень безопасности;
– применять надежные средства защиты информации и обеспечить техническую и криптографическую безопасность процесса создания сертификата;
– гарантировать конфиденциальность в процессе производства данных о производстве электронной подписи;
– обеспечить страхование сделки на случай непредвиденных обстоятельств, а также взять на себя возмещение ущерба, за причиненный вред;
– вести учет информации по квалификационным сертификатам с целью использования ее в процессе судебного разбирательства. Сбор информации может быть осуществлен в электронном виде;
– не хранить и не копировать личные данные подписи лица, имеющего доступ к системам управления;
– обеспечить предоставление полной информации по процедуре сертификации, атрибутам, срокам, обстоятельствам и ограничениям использования сертификата. Такая информация должна быть представлена в доступной форме и в любое время;
– для хранения сертификатов в удостоверенной форме использовать надежные системы и обеспечить:
– обработку данных только уполномоченными лицами;
– проведение проверки достоверности вводимой информации;
– предоставление доступа к сертификатам с разрешения держателя сертификата;
– предоставление оператору информации, связанной с техническими изменениями, способными нарушить требования безопасности.
Приложение 3 отражает требования, предъявляемые к устройствам создания электронной подписи.
Данные устройства должны в соответствии с техническими и процедурными способами обеспечить:
a) одноразовое использование данных, необходимых при производстве подписи, при условии их конфиденциальности;
b) технологическую защиту подписи от подделки с использованием новейших технологий;
c) защищенность данных, используемых при производстве подписи непосредственно подписавшейся стороной.
Устройство создания защищенной подписи не должно изменять информацию, которая подлежит подписанию. Об информации, обеспечивающей электронно-цифровую подпись, сигнатарий узнает непосредственно в момент подписания документа.
Приложение 4 дает рекомендации для надежного удостоверения подписи.
Она предусматривает, что в процессе удостоверения подписи следует обеспечить:
a) полное соответствие данных, указанных в свидетельстве, и данных, подтверждающих подпись;
b) подтверждение достоверности подписи и правильное представление ее подтверждения;
c) возможность установления, при необходимости, содержания подписанных данных;
d) подтверждение подлинности и действительности сертификата во время засвидетельствования подписи;
e) правильное отображение результата подтверждения и идентификации подписавшей стороны;
f) отчетливое указание псевдонима (при его наличии);
g) возможность выявления изменений, связанных с обеспечением безопасности удостоверения подписи.
Использование новейших телекоммуникационных технологий, обеспечивающих применение электронно-цифровой подписи, Директиве удалось заключить в строго правовые рамки, целью которых является гармонизация интересов государств, юридических лиц и граждан.
Кроме того, Директива призвана обеспечить максимальную защиту авторских прав, права на информацию, а также гарантировать необходимую информационную безопасность, и тем самым внести свой вклад в развитие информационного общества, стабилизацию экономической жизни.