Электронная цифровая подпись и особенности ее применения в органах власти и управления

     Теоретически  принятие закона "О цифровой подписи" несло потенциальные выгоды и потребителям услуг, позволяя им вступать в правоотношения без предварительного заключения договора в бумажном виде. Но так ли гладко проходил процесс внедрения ЭЦП, и какие сложности и проблемы возникали, предлагаю рассмотреть далее. 

      ГЛАВА 2  ОСОБЕННОСТИ  ПРИМЕНЕНИЯ ЭЛЕКТРОННОЙ  ЦИФРОВОЙ ПОДПИСИ.

     Существует  целый ряд мифов и заблуждений, связанных с применением электронной  цифровой подписи в России. Дело в том, что использование ЭЦП  требует как технического, так  и организационно-правового обеспечения. В данной главе я остановлюсь на организационно-правовых вопросах применения ЭЦП в России, которые оказываются подчас не менее сложными, чем теория шифрования с открытым ключом.

     Как показывает практика, незнание российских законов о применении ЭЦП порождает массу заблуждений. У нас, например, до сих пор бытует мнение, что если вы приобрели некоторое средство криптографии, позволяющее поставить цифровую подпись и защитить документ от искажения, то с этим документом вы сможете прийти в суд и доказать свое авторство на документ. Нередко можно услышать заявления о том, что закон об ЭЦП в России, принятый еще в 2002 году, до сих пор не действует или что ЭЦП в стране повсеместно не применяется, поскольку не введена система действия корневых удостоверяющих центров. Все это свидетельствует о незнании нормативно-правовой базы, обеспечивающей применение ЭЦП в России. ⁸

     2.1 ЭЦП и юридическая значимость электронного документа

     ЭЦП — один из реквизитов электронного документа. ЭЦП как таковая не может иметь юридической силы — можно говорить лишь о юридической силе электронного документа. Если электронный документ влечет правовые последствия, то в этом случае он имеет юридическую силу. При этом электронный документ может не иметь ЭЦП, но иметь юридическую силу, если стороны таким образом договорились между собой. Но если между участниками соглашения по договоренности или по закону определено, что документ должен исполняться только в электронной форме, удостоверенной ЭЦП, то данная ситуация однозначно подпадает под действие закона об электронной цифровой подписи.

     В настоящее время применение ЭЦП  регламентируется 11 федеральными законами. Целью Федерального закона от 10.01.2002 № 1-Ф3 «Об электронной цифровой подписи»⁹ является обеспечение правовых условий использования ЭЦП в электронных документах. Закон определяет, при выполнении каких условий ЭЦП будет признана равнозначной собственноручной подписи в документе на бумажном носителе. Сегодня насчитывается более 10 постановлений правительства, регламентирующих применение ЭЦП, и более 50 ведомственных федеральных актов. При этом, согласно Гражданскому кодексу, все, что не регламентируется законодательно, должно регулироваться соглашениями между участниками отношений.

     Правовые  конструкции применения ЭЦП определяет вышеупомянутый закон об ЭЦП, который, в частности, говорит о необходимости наличия удостоверяющего центра (УЦ). При этом в законе четко определено, что УЦ — это не аппаратно-программный комплекс, а организация. Деятельность УЦ автоматизируется с помощью программно-аппаратных средств как отечественного, так и импортного производства. ЭЦП нельзя купить — она каждый раз создается заново с использованием ключа подписи и сертификата ключа подписи, изготавливаемых этим УЦ.

     Владельцем  ключа и сертификата всегда является физическое лицо. Сегодня на территории Российской Федерации действует около 300 удостоверяющих центров, а правовые отношения с применением электронных документов, удостоверенных ЭЦП, в РФ поддерживают около 220 тыс. юридических лиц. Заверять ЭЦП может только конкретное физическое лицо, которое владеет ключом и сертификатом, то есть здесь просматривается полная аналогия с бумажными документами. В практике бумажного документооборота юридическое лицо (как небиологическая сущность) не имеет подписи, однако физическое лицо (имеющее подпись) может представлять юридическое лицо.

     Закон об ЭЦП определяет, что УЦ может  изготавливать ключи для участников информационных систем двух видов — для корпоративных информационных систем (КИС) и для информационных систем общего пользования (ИСОП) (рис. 1).  

     Рис. 1. Информационные системы КИС уже  действуют, но системы ИСОП пока не имеют надлежащей законодательной  базы

     Согласно  закону, ИСОП — это система открытого доступа, а это значит, что любому обратившемуся в данную систему не могут отказать в участии. Примерами таких ИСОП могут выступать электронные магазины или электронное правительство, принимающие документы, заверенные ЭЦП. Если электронное правительство принимает от граждан документы с ЭЦП, то оно не может отказать в подаче такого документа любому гражданину, подобно тому, как Интернет-магазин, принимающий документы, заверенные ЭЦП, не может отказать любому участнику, который акцептует ту или иную оферту.

     В настоящий момент в России нет  ни одной из вышеописанных ИСОП. Более того: в рамках существующего  в России правового поля построить  такую систему нельзя, ибо, в соответствии с законом, к УЦ, обеспечивающим своими услугами ИСОП, предъявляются особые требования. Эти требования должны регулироваться постановлениями правительства, однако пока этих подзаконных актов нет, а следовательно, не существует и подобных УЦ. Вернее, для таких УЦ еще нет правовой базы, в отличие от УЦ, обслуживающих КИС. Поэтому далее будем говорить именно о КИС и об УЦ для КИС.

     Следует отметить, что КИС — это не всегда система, в которой работают сотрудники только одной корпорации, и в этом смысле важно прокомментировать еще одно заблуждение. Участниками КИС могут быть независимые юридические лица. По сути дела, система, в которой участники превентивно заключили соглашения о том, что они договариваются исполнять электронные документы, заверенные ЭЦП, и определяют условия исполнения этих документов, и называется КИС. В рамках КИС в России работают, как уже было сказано, порядка 220 тыс. юридических лиц.

     Если  в КИС участвуют независимые  юридические лица, то для того, чтобы  придать юридическую силу документам, заверяемым ЭЦП, у них должно быть соглашение, заключенное в традиционной бумажной форме. Предварительно они должны заключить соглашение о том, что договариваются принимать к исполнению электронные документы, удостоверенные ЭЦП, на условиях, определяемых конкретным соглашением. Это соглашение должно определять как средства ЭЦП, которые используются для формирования и проверки подписи, так и УЦ, сертификаты которых признаются участниками этой информационной системы. Чтобы сформировать ЭЦП, необходимы программные или аппаратные средства ЭЦП. Обычно применяют программные средства ЭЦП как более дешевые. Например, КриптоПро CSP реализует все функции (генерация ключей, создание подписи, проверка подписи), определенные законом об ЭЦП. В законе определено, что процедура подтверждения электронной цифровой подписи должна осуществляться с использованием сертифицированного средства ЭЦП, то есть программа должна быть сертифицирована, причем ФСБ РФ сертифицирует только отечественные разработки. Закон об ЭЦП говорит, что принятие сертификата, изданного нерезидентом Российской Федерации, то есть иностранной организацией, должно регулироваться межгосударственным соглашением.

     Отсутствие  в настоящее время подобных соглашений означает, что иностранные организации, изготавливающие сертификаты открытых ключей (в российской терминологии УЦ), не могут оказывать свои услуги на территории РФ. Поэтому, в соответствии с данной юридической нормой, импортная криптография (например, RSA или сертификаты от VeriSign) здесь использоваться не может.

     Следует отметить, что если физическое лицо, обладающее ЭЦП, представляет негосударственное предприятие, то оно имеет право употреблять несертифицированные средства создания цифровой подписи, но при этом в суде данные документы не будут учитываться, так как они получены с нарушением действующего законодательства РФ. С учетом того, что ЭЦП нужна именно на случай обеспечения правовой основы, в частности для того, чтобы документ был принят в суде, понятна необходимость использования сертифицированных средств.

     Правда, до 2002 года имелась возможность принятия в суде документов, заверенных иностранным УЦ, и даже в 2003 году такие случаи имели место, но за последнее время квалификация юристов и судей консультантов повысилась и сегодня, чтобы доказать юридическую силу электронного документа, заверенного ЭЦП, требуется соблюдение всех вышеуказанных норм¹⁰.

     В настоящее время уже существует достаточно обширная судебная практика, связанная с вопросами электронной  цифровой подписи. Поэтому разговоры  о том, что закон об ЭЦП в  России не действует, совершенно необоснованны. Как любой нормативный акт, закон об ЭЦП должен исполняться, и суды обязаны принимать в качестве письменного доказательства электронные документы с ЭЦП. В качестве примера можно привести опыт компании «КРИПТО-ПРО», которая провела более 10 компьютерных экспертиз, в том числе по одному уголовному делу, где обвиняемому в качестве доказательства его вины предъявлялись только документы с ЭЦП на базе сертификатов, изданных удостоверяющим центром «КРИПТО-ПРО»¹¹. Существует подобная практика и в гражданском, и в арбитражном суде. Все это говорит о том, что закон об ЭЦП действует и работает.

      2.2 Защита целостности электронных данных и обеспечение его юридической силы

     У нас до сих пор иногда путают понятия  обеспечения целостности ЭД на базе цифровой подписи и обеспечения юридической силы ЭД, заверенного ЭЦП. Когда мы говорим о защите обеспечения целостности информации с помощью цифровой подписи, то правильнее пользоваться термином «цифровая подпись», причем цифровая подпись — это не реквизит ЭД в плане подтверждения равнозначности собственноручной подписи. Если вы получили по электронной почте документ, подписанный цифровой подписью и с приложенным сертификатом, и там будет указана фамилия того, кто прислал вам этот документ, этого еще недостаточно, чтобы в суде приняли эти документы и установили их авторство. Поскольку в данном случае вовсе не очевидно, что тот УЦ, который выдал этот сертификат, имеет полную доказательную базу авторства. Поэтому здесь важно, что независимые юридические лица (на рис. 1 они показаны как «юр. лицо А» и «юр. лицо Б») должны вступить в договорные отношения, присоединиться к так называемому регламенту услуг УЦ, в котором обеспечивается такой порядок оказания услуг, чтобы УЦ имел всю необходимую доказательную базу владения ключом и сертификатом (на рис. 1 это «УЦ1»). После этого юридические лица «А» и «Б» должны заключить соглашение, по которому стороны договариваются, например, о том, что они будут исполнять документы в электронной форме, если они изданы удостоверяющим центром «УЦ1». Письма, подписанные сертификатом от некоего другого центра (на рис. 1 — от центра «УЦ2»), не подпадают под действие данного соглашения.

     Необходимо  подчеркнуть, что для защиты целостности  документа не нужно ни организационной  составляющей, ни дополнительных договоров, однако для защиты в суде они требуются. Для защиты целостности документа не нужны сертифицированные средства, а для ЭЦП, принимаемой судом, сертифицированные средства необходимы. Для защиты целостности не нужен удостоверяющий центр (УЦ), а достаточно лишь центра сертификации, которым может быть и организация, и программно-аппаратный комплекс, а УЦ, согласно законодательству РФ, — это всегда организация, носитель определенных прав и обязанностей, отвечающий по закону за достоверность данных, записанных в сертификате. В сертификате указывается, имеет ли право данное лицо подписывать тот или иной документ¹². Сертификат по закону должен содержать сведения об отношениях, при которых ЭД имеет юридическую силу. Обычно в сертификате указывается, какие именно документы можно подписывать данным сертификатом; например, там могут быть перечислены: договор оказания экспедиционных услуг; договор купли-продажи; акт сверки расчетов; акт зачета встречных требований и т.п.

      2.3 Корневые УЦ

     Теперь  опровергнем миф о том, что ЭЦП в России не работает якобы потому, что не существует системы с федеральным (корневым) УЦ. Закон об ЭЦП не определяет, должен ли УЦ вступать в какие-то взаимоотношения с другими УЦ. Более того, УЦ всегда является организацией, поэтому если «УЦ1» и «УЦ2» (рис. 2) вступили в какие-то отношения в плане подчиненности некоторому корневому центру, то, в соответствии с нормами Гражданского кодекса РФ, это не означает, что участник информационной системы «ИС1» должен принимать к исполнению документы, заверенные центром «УЦ2». Если договор между «УЦ1» и «УЦ2» налагает обязательства на третью сторону, то эта сторона должна быть участником данного договора. Если же третья сторона не является участником данного договора, то такой договор не имеет юридической силы в части обязательств, налагаемых на третьих лиц.   

     Рис. 2. Если договор между УЦ1 и УЦ2 налагает обязательства на третью сторону, то она должна быть участником этого договора

     Если  речь идет о системе органов государственной  власти, то обязательство может налагаться постановлением правительства или  указом президента. Например, в этом документе может говориться о  том, что создается система УЦ органов госвласти, которые издают сертификаты для госчиновников. И если такое решение принимается соответствующим органом, оно будет иметь правовую основу. В данном случае каждый орган госвласти, который имеет УЦ, входит в отношения доверия с некоторым корневым удостоверяющим центром. Такая модель правомочна, поскольку все чиновники — это госслужащие и им не нужно вступать в договорные отношения. Подобная модель создает единое информационное пространство, что весьма удобно для проверки подлинности ЭЦП.