Правовое регулирование ЭЦП в России и за рубежом

Кроме того, по степени детализации требований к самой электронной подписи также можно выделить три различных подхода

Первый подход (самый общий) основан на признании в отношении электронной подписи тех же требований, что и в отношении собственноручной, включая уникальность, возможность верификации подписи и «подконтрольность» использующему ее лицу.

Второй подход дополнительно предполагает, что электронная подпись должна быть связана с передаваемыми данными так, что если они изменяются, то электронная подпись становится недействительной.

Третий подход выдвигает наиболее детализированные требования к электронной подписи, в частности предусматривает использование специальной технологии асимметричных информационно-криптографических преобразований электронных документов. Такой тип электронной подписи называется «электронной цифровой подписью» или «электронно – цифровой подписью» (ЭЦП) [8].

Выбор конкретного подхода при разработке соответствующего национального законодательства обусловливается главным образом сложившейся социально-политической обстановкой в стране, когда поиск наиболее приемлемого средства безопасного обмена документированной информацией либо доверяется рынку электронной коммерции, либо осуществляется централизованно с целью защиты агентов складывающегося рынка от вероятных конфликтных ситуаций.

В модельных законах ЮНСИТРАЛ (UNCITRAL – Комиссии по международному торговому праву ООН) «Об электронной коммерции»1996 года и «Об электронной подписи»2001 года правовой режим электронного обмена данными в международных коммерческих операциях представлен в виде примерного свода правил [5].

Европейское законодательство более жестко подходит к вопросу о том, какой должна быть электронная подпись. Соответствующая Директива Евросоюза об электронной подписи как базовый европейский закон предписывает использовать второй подход, который и был использован, в частности, при принятии национальных законов в Австрии, Великобритании, Германии и др.

Проблемы правового регулирования отношений, предусматривающих использование электронной подписи, по существу, связаны с регулированием применения технологий электронного документооборота. Каждая страна должна решить для себя, насколько конкретная технология надежна, как велика вероятность искажения воли стороны в электронном документе, кто обладает правом решать в каждом конкретном случае вопрос об аутентичности и на основании каких критериев [9].

В России Закон предусматривает только один вид электронной подписи – именно ЭЦП, жестко регламентируя деятельность по предоставлению услуг в сфере электронных отношений и предусматривая обязательное лицензирование соответствующей деятельности, а также применение стандартизированных алгоритмов ЭЦП. Закон предусматривает различные правовые режимы для информационных систем общего пользования и корпоративных информационных систем. При корпоративном режиме регламентация ЭЦП формально передается на усмотрение участников системы, однако требуется заключение предварительных соглашений о регламенте электронного документооборота и процедурах разрешения конфликтов, предполагается физический обмен магнитными носителями с ключами ЭЦП и сертификатами ключей. Законом также предусмотрено создание удостоверяющих центров для информационных систем общего пользования, но, во-первых, на практике оперативность создания таких структур оставляет желать лучшего, во-вторых, исключается какая-либо конкуренция между ними из-за необходимости предварительного согласования, получения разрешения на соответствующую деятельность у уполномоченного органа и ее обязательного лицензирования; в-третьих, исключается возможность привлечения физических лиц и др. [7].

В отличие от Директивы Евросоюза в отечественном Законе об ЭЦП также не предусмотрена, в частности, возможность свободного выбора участниками корпоративной АИС не только вида удостоверения подлинности документа, но и средств, его создающих и верифицирующих. Это обстоятельство практически исключает эффективные электронные отношения граждан и юридических лиц РФ с иностранными партнерами [5].

Таким образом, комплексный анализ основных правовых проблем и особенностей моделей развития национальных законодательств в области электронного документооборота и электронной подписи показывает, что в мировом сообществе наметилась устойчивая тенденция гармонизации законодательств об ЭЦП на базе единых принципов и подходов. Становится понятным, что жестко регламентированная обязательная государственная система сертификации ЭЦП, обеспечивая высокую степень безопасности и надежности использования электронных подписей, однозначно перечеркивает возможность участия в международной электронной торговле. Вместе с тем остается еще значительное число нерешенных частных прикладных проблем правового регулирования применения электронной подписи у нас в стране и за рубежом, обусловленных различиями в национальных законодательствах, потребностями и динамикой развития национальных экономик и другими социально-политическими факторами.

3.ОСОБЕННОСТИ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ЭЛЕКТРОННО – ЦИФРОВОЙ ПОДПИСИ ВО ФРАНЦИИ

13 марта 2000 года французское правительство приняло Закон, вносящий изменения в главу VI Гражданского кодекса, которая главным образом касалась формы и доказательственной силы договоров. Основной упор сделанных изменений направлен на создание общих правил, позволяющих уравнять юридическую силу электронных документов и подписей с собственноручной формой во всех сферах правоотношений. Гражданский кодекса теперь признает в качестве доказательств буквы и цифры или любой другой знак или символ, значение которого может быть легко уяснено, вне зависимости от способа создания и передачи [3].

Данная глава Гражданского кодекса гарантирует, что электронные документы имеют юридическую силу и возможна оценка их надежности судом без обращения к технологической природе самого документа и связанной с ним электронной подписи.

Требования к подписи закреплены в статье 1316 – 4. В ней предусмотрено, что электронная подпись может удовлетворять требованиям, предъявляемым к имеющим юридическую силу документам, в случае, если она указывает на лицо, создавшее подпись, и подтверждает согласие стороны совершить какие-либо действия по обязательству. В статье под электронной подписью понимается использование надежного средства идентификации, гарантирующего собственную связь с породившим действием [9].

Далее статья 1316-4 указывает, что «надежные средства идентификации» и «гарантирование связи» определены в Декрете об электронной подписи (decret en Conseil d'Etat) от 30 марта 2001 года [8]. Несмотря на то, что положения ГК абсолютно нейтральны относительно применяемых технологий при создании электронной подписи, Декрет содержит более подробные требования. В частности, он повторяет определение электронной подписи, данное в статье 1316–4, добавляет новый вид электронной подписи – защищенную, которая должна создаваться средствами, находящимися исключительно под контролем подписывающего лица, и которая гарантирует, что любое изменение, внесенное в документ после его подписания, может быть легко выявлено.

Таким образом, степень безопасности и надежности поднята до уровня, который соответствует технологии цифровой подписи. Однако важно заметить, что другие технологии и средства обработки документов не исключаются. Шифрование открытым ключом используется только в качестве примера, и, до тех пор, пока не будут найден похожие стандарты, необходимо будет использовать защищенную подпись. Согласно статье 2 Декрета существует презумпция надежность такой подписи в случае, когда она проверена с помощью «квалифицированного электронного сертификата». Поэтому, хоть и кажется, что только технология цифровой подписи в настоящее время удовлетворяет требованиям Декрета, иные способы подписания не исключаются, при условии, что они могут гарантировать такой же уровень безопасности и используют услуги независимых сертифицирующих органов, выдающих квалифицированные сертификаты [5].

Таким образом, можно сказать, что позиция Франции является либеральной, поскольку она предоставляет электронным документам такой же уровень признания их юридической силы без привязки к конкретным технологическим средствам. Несмотря на то, что в настоящее время правилам, выдвигаемым к электронным подписям, удовлетворяет только технология цифровой подписи, они (правила) не ограничиваются только данным видом аутентификации. В настоящее время нет готовых к использованию технологически нейтральных средств аутентификации, однако возможно принятие таковых в будущем, если они будут соответствовать требованиям ГК и Декрета и будут использовать квалифицированные сертификаты. В любом случае место для нововведений и их конкуренции существует [6]. Статья 8 Декрета устанавливает, что сертифицирующие организации государств не членов ЕС признаются законом, если они выполняют требования Директивы об электронных подписях. Это означает, что они должны соответствовать требованиям французского закона и должны пройти аккредитацию как того требует Директива, или что за их сертификаты поручается аккредитованный сертифицирующий орган государства-члена ЕС, или что они действуют в соответствии с международным договором. 
4.ОСОБЕННОСТИ НОРМАТИВНОГО

 РЕГУЛИРОВАНИЯ ЭЛЕКТРОННО – ЦИФРОВОЙ ПОДПИСИ В ГЕРМАНИИ

В Германии правовой режим электронных документов, подписанных электронными подписями, установлен Законом «О подписях» 2001 года и некоторыми другими нормативными актами.

Закон обеспечивает правовое признание электронных подписей, а также юридическую силу и допустимость электронных записей в качестве судебных доказательств. Кроме специального закона, юридическое признание электронных подписей прописано и в общем законодательстве Германии (например, Германском гражданском уложении, процессуальном законодательстве). В общих законах также прописаны и исключения из правил. Например, не могут быть представлены в электронном виде и, соответственно, подписаны электронными подписями завещания, векселя, и т.д. [9].

Немецкий подход к приданию юридической силы договорам в электронной форме в части требования собственноручной подписи состоит в построении жесткого режима. В 1997 году вступил в силу названный выше Закон «О цифровой подписи», который является статьей 3 Закона «О регулировании основных условий предоставления информационных и коммуникационных услуг». Недавно аннулированный, данный акт придавал юридическую силу электронным подписям в электронной коммерции. Дополнительные технические требования были закреплены в том же году в Постановлении «О цифровой подписи». Данные нормативные акты совместно формировали правовую основу для создания и подтверждения цифровых подписей сертифицирующими органами, которые имеют государственную лицензию [3].

В соответствии с требованиями Директивы Евросоюза, законодательство Германии предусматривает использование, как цифровых подписей, так и электронных подписей в других формах, включая биометрию (принцип технологической нейтральности) [8].

В Законе «О подписях» устанавливаются различные виды электронных подписей: простая, усовершенствованная и квалифицированная. Лишь последняя является полным юридическим эквивалентом физической подписи, хотя первые две также могут применяться в судебных процедурах [3]. В Германии обязательная аккредитация удостоверяющих центров не предусмотрена. Тем не менее, центры могут пройти добровольную аккредитацию в качестве так называемых квалифицированных поставщиков сертификационных услуг, или центров доверия. Только те сертификаты, которые выпущены аккредитованными удостоверяющими центрами, признаются квалифицированными [6].

В Германии также был принят Закон «О контроле и прозрачности корпоративной сферы», который считается немецким аналогом американского SOA. В соответствии с ним, предприятие берет на себя обязательства по созданию надежной инфраструктуры информационных технологий [2].

В данное время в Германии происходит процесс регулирования использования криптографии с открытым/закрытым ключом, в процессе чего затрагиваются технические требования к сертифицирующим органам, которые должны полностью соответствовать закону для того, чтобы получить разрешение на осуществление деятельности. Основной упор закона сделан на создании инфраструктуры цифровых подписей, а не на признании юридической силы договоров в электронном формате. Нежизнеспособность данной попытки обусловливается отсутствием специфических положений, касающихся действительности и сферы использования цифровых подписей в электронных сделках. Вместо этого закон содержит технические нормы к сертифицирующим органам, которым они должны соответствовать при получении лицензии [6].

Так как официальное признание юридической силы электронных документов равной бумажным не гарантируется законом, то возникает две проблемы гармонизации законодательства.

Во-первых, отсутствие официального законодательного признания электронных документов приводит к необходимости проведения дополнительных комментарий в отношении охватываемых сделок. В настоящее время существует большое количество законодательных требований, которым электронные или цифровые подписи не удовлетворяют. Таким образом, определение сделок, могущих заключаться в электронном виде, требует анализа законодательства и, как следствие, увеличение стоимости сделки.

Вторая проблема создана разделами 14 и 15 закона. Они устанавливают применимость стандартов цифровой подписи к иностранным сертифицирующим органам. Цифровые подписи, созданные органом из другого государства-члена ЕС, могут быть признаны только в том случае, если они в состоянии продемонстрировать такой же уровень безопасности. Как его можно продемонстрировать - не совсем понятно, но, по всей видимости, требуются похожие условия тестирования и регулирующий режим для соответствия данному положению. Для государств не членов ЕС секция 15(2) указывает, что цифровые подписи могут признаваться равноценными только при наличии международных или межправительственных договоров [8].

Недостатки и чрезмерная негибкость стандартов, содержащихся в законодательных инициативах 1997 года, противоречили требованиям двух Директив ЕС. Поэтому правительство Германии разработало дополнительное акты для замены существующего закона. Это Германское предложение по основам Закона «О цифровых подписях от 16 августа 2000 года, принятое Бундесратом 09 марта 2001 года и вступившее в силу 21 мая 2001 года (Signaturgesetz, SigG) [9].

SigG не ставит знак равенства между электронными и собственноручными подписями. Здесь все же остается обязательный набор правил для создания и выпуска сертификатов, которые могут быть признаны в соответствии с Директивой; однако электронные подписи по определению самодостаточны для того, чтобы являться доказательством заключения сделки в электронной форме. Первая часть закона формулирует цель всего акта: формирование основ для электронных подписей. Она намного более соответствует Директиве, чем в предшествующем законе. Однако, вместо регулирования обращения электронных подписей, закон продолжает построение инфраструктуры цифровых подписей [7].