ПРАВОВЫЕ
ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ
СИСТЕМ ЭЛЕКТРОННОГО
ДОКУМЕНТООБОРОТА.
Проблемы
правового регулирования электронного
документооборота как внутри суверенных
государств, так и на международной
арене приобретают в настоящее
время все большую актуальность
в связи с внедрением эффективных
информационно-компьютерных технологий
практически во все сферы общественно-производственной
деятельности (от взаимодействия населения
с органами государственной власти,
поддержки финансовых и товарных
рынков до сферы услуг, розничной
торговли, образования и досуга).
Например, широкое распространение
получают автоматизированные информационные
системы (АИС) электронных межбанковских
и коммунальных платежей, заказов
и покупки товаров, обмена электронными
документами (договорами, финансовыми
отчетами, налоговыми декларациями и
др.).
Начиная
с середины 90-х годов обеспечение
юридически значимого электронного
документооборота в АИС осуществляется,
в частности, на основе применения в
качестве реквизита электронных
документов так называемых электронных
подписей как средства удостоверения
подлинности (авторства), аутентичности
и целостности электронных документов.
На
сегодня в мировой практике исторически
сложились три основные модели правового
регулирования в сфере электронного
документооборота и электронных
подписей.
Первая
модель принята в США. Правительство
США предоставляет право гражданам
и юридическим лицам самостоятельно
регулировать внутренние процессы в
сфере электронной коммерции. Данная
модель основана на принципах "бизнес-выбора",
концепции свободы заключения контракта
и использования при этом любой
конкретной информационно-компьютерной
технологии. Выбор любой технологии
подписи электронных документов
сторон, участвующих в сделке, признается
законным. Стороны сами могут решить
- использовать или не использовать
электронные подписи, причем они
не обязаны обращаться к третьей,
независимой стороне, удостоверяющей
соответствующие сертификаты ключей
подписей.
Вторая
модель принята в Европейском
Союзе (а также, частично, в Украине).
Базовый принцип соответствующей Директивы
об электронной подписи - система лицензирования
не должна быть обязательной. Каждая страна
- член Евросоюза может создавать структуры,
регулирующие процесс добровольного лицензирования,
для того, чтобы сформировать у клиентов
или потенциальных деловых партнеров
авторитет и доверие к организации, предоставляющей
услуги в сфере применения электронных
подписей. Правительства должны обеспечить
функционирование соответствующей системы
надзора за деятельностью поставщиков
услуг по сертификации, которые созданы
на территории этой страны и осуществляют
выдачу квалификационных сертификатов
населению.
Третья
модель принята в России и в
Индии, где законы об электронной
подписи жестко регулируют рынок
услуг в данной сфере путем
лицензирования деятельности по предоставлению
таких услуг. Базовый принцип
модели - признание электронной подписи
действенной и необходимой везде,
в том числе и на международном
уровне. Данный подход лишен достаточной
гибкости и практически не способен
своевременно реагировать на меняющиеся
условия и механизмы развития
информационной сферы общественно-производственной
деятельности. В частности, в Индии
первая лицензия на деятельность по предоставлению
услуг в области электронной
подписи была выдана через три
года после принятия соответствующего
закона. В итоге электронная торговля
была "заморожена", а в гражданских
судах Индии скопилось около 40
млн дел по поводу споров по контрактам.
Кроме
того, по степени детализации требований
к самой электронной подписи
также можно выделить три различных
подхода.
Первый
подход (самый общий) основан на признании
в отношении электронной подписи
тех же требований, что и в отношении
собственноручной, включая уникальность,
возможность верификации подписи
и "подконтрольность" использующему
ее лицу.
Второй
подход дополнительно предполагает,
что электронная подпись должна
быть связана с передаваемыми
данными так, что если они изменяются,
то электронная подпись становится
недействительной.
Третий
подход выдвигает наиболее детализированные
требования к электронной подписи,
в частности предусматривает
использование специальной технологии
асимметричных ("двухключевых") информационно-криптографических
преобразований электронных документов.
Такой тип электронной подписи называется
"электронной цифровой подписью"
или "электронно-цифровой подписью"
(ЭЦП).
ЭЦП
- это идентификатор оператора-абонента,
добавляемый в преобразованной
по его индивидуальному (тайному) ключу
форме к передаваемому информационному
массиву-сообщению (которые затем
совместно преобразуются по опубликованному
в справочнике открытых ключей абонентов
сети ключу абонента-получателя), необходимый
для аутентификации и юридического
гарантирования авторства передаваемого
сообщения. В существующих АИС она
используется главным образом для
обеспечения аутентичности информации
(только ЭЦП), легальности информации
(ЭЦП совместно с квитированием),
"верифицируемости" информации (ЭЦП
совместно с архивированием) и
др. Использование ЭЦП стало возможным
в результате внедрения информационно-криптографической
технологии, основанной на применении
общесетевых методов защитных семантических
преобразований информации с парными
инверсными ключами (опубликованным -
открытым и тайным - закрытым) у каждого
абонента сети.
Выбор
конкретного подхода при разработке
соответствующего национального законодательства
обусловливается главным образом
сложившейся социально-политической
обстановкой в стране, когда поиск
наиболее приемлемого средства безопасного
обмена документированной информацией
либо доверяется рынку электронной
коммерции, либо осуществляется централизованно
с целью защиты агентов складывающегося
рынка от вероятных конфликтных
ситуаций.
Например,
правительство США считает легитимными
все применяемые электронные
подписи: персональный идентификационный
номер (ПИН-код), электронный маркер,
ЭЦП и др., признаваемые обоими контрагентами
по сделке, включая биометрические
данные (голоса, отпечатки пальцев,
геометрия рук, рисунки радужных
оболочек глаз и др.). В частности,
файл с текстом Закона "Об электронных
подписях в глобальной и национальной
торговле" (американский аналог отечественного
закона об ЭЦП) подписан фотографической
копией собственноручной подписи экс-президента
США Билла Клинтона, сделанной
им на компьютерном графическом планшете.
В
модельных законах ЮНСИТРАЛ (UNCITRAL
- Комиссии по международному торговому
праву ООН) "Об электронной коммерции"
1996 года и "Об электронной подписи"
2001 года правовой режим электронного
обмена данными в международных
коммерческих операциях представлен
в виде примерного свода правил.
Европейское
законодательство более жестко подходит
к вопросу о том, какой должна
быть электронная подпись. Соответствующая
Директива Евросоюза об электронной
подписи как базовый европейский
закон предписывает использовать второй
подход, который и был использован,
в частности, при принятии национальных
законов в Австрии, Великобритании,
Германии и др.
Проблемы
правового регулирования отношений,
предусматривающих использование
электронной подписи, по существу, связаны
с регулированием применения технологий
электронного документооборота. Каждая
страна должна решить для себя, насколько
конкретная технология надежна, как
велика вероятность искажения воли
стороны в электронном документе,
кто обладает правом решать в каждом
конкретном случае вопрос об аутентичности
и на основании каких критериев.
В
России Закон предусматривает только
один вид электронной подписи - именно
ЭЦП, жестко регламентируя деятельность
по предоставлению услуг в сфере
электронных отношений и предусматривая
обязательное лицензирование соответствующей
деятельности, а также применение
стандартизированных алгоритмов ЭЦП.
Закон предусматривает различные
правовые режимы для информационных
систем общего пользования ("открытых
систем") и корпоративных информационных
систем. При корпоративном режиме
регламентация ЭЦП формально
передается на усмотрение участников
системы, однако требуется заключение
предварительных соглашений о регламенте
электронного документооборота и процедурах
разрешения конфликтов, предполагается
физический обмен магнитными носителями
с ключами ЭЦП и сертификатами
ключей. Законом также предусмотрено
создание удостоверяющих центров для
информационных систем общего пользования,
но, во-первых, на практике оперативность
создания таких структур оставляет
желать лучшего, во-вторых, исключается
какая-либо конкуренция между ними
из-за необходимости предварительного
согласования, получения разрешения
на соответствующую деятельность у
уполномоченного органа и ее обязательного
лицензирования; в-третьих, исключается
возможность привлечения физических
лиц и др.
Все
это приводит к возникновению
ряда прикладных юридических проблем.
В частности, выбор стандартизированного
алгоритма ЭЦП и его реализации
не гарантирует обеспечения доказательного
подтверждения подлинности и
авторства электронного документа,
поскольку в отличие от обычной
собственноручной подписи ЭЦП отчуждаема
от своего владельца. То есть если подпись
под бумажным документом неотделима
от человека и практически никто
другой не может подделать ее так,
чтобы это не было обнаружено криминалистической
экспертизой, то любой злоумышленник,
завладевший секретным ключом подписи,
сможет сделать ЭЦП так же легко
и правдоподобно, как и законный
владелец этого ключа. Решение данной
проблемы возможно на основе осуществления
каждым участником электронного документооборота
самостоятельной тайной процедуры
генерации своих ключей и обеспечения
конфиденциальности закрытого ключа.
Следствием
отчуждаемости ЭЦП является также
необходимость юридически корректного
подтверждения принадлежности открытого
ключа ЭЦП. То есть арбитр должен не
только убедиться в корректности
ЭЦП под электронным документом,
но и проверить, что использованный
при проверке ЭЦП открытый ключ действительно
принадлежит тому абоненту, авторство
которого проверяется. Решение проблемы
юридического удостоверения подлинности
и принадлежности открытых ключей подписи
участников-абонентов возможно на основе
применения механизмов заверения ключей
ЭЦП на уже известных ключах, а
для первичных ключей - заверения
традиционными способами (мастичными
печатями и собственноручными подписями
уполномоченных лиц) после распечатки
на бумаге.
Арбитражный
характер разрешения конфликтных ситуаций
предопределяет разработку таких механизмов
правового выхода из конфликтов, связанных
с электронными документами, который
был бы понятен арбитру, не являющемуся
специалистом в области защиты информации,
и максимально адекватен механизму
выхода из аналогичных конфликтов в
случае использования бумажных документов.
Кроме того, для обеспечения самой
возможности рассмотрения электронных
документов в арбитраже должен быть
создан необходимый юридический
базис. Здесь, кстати, следует отметить,
что юридические аспекты электронного
документооборота исследовались Институтом
государства и права РАН в
рамках научно-исследовательской работы
в 1990-х гг. Полученные результаты с учетом
обоснованных криптографических решений
правового выхода из конфликтных ситуаций
позволили, в частности, разработать "Типовой
договор обмена электронными документами
и оказания информационно-вычислительных
услуг при многорейсовой обработке платежей
в системе "АСБР-Москва", позволяющий
обеспечить юридическую значимость электронных
межбанковских платежей в региональной
корпоративной информационной сети ЦБ
России.
В
отличие от Директивы Евросоюза
в отечественном Законе об ЭЦП
также не предусмотрена, в частности,
возможность свободного выбора участниками
корпоративной АИС не только вида
удостоверения подлинности документа,
но и средств, его создающих и
верифицирующих (которые должны быть
сертифицированы). Это обстоятельство
практически исключает эффективные
электронные отношения граждан
и юридических лиц Российской
Федерации с иностранными партнерами
(поскольку, например, не сертифицированное
на территории России применяемое иностранным
партнером средство ЭЦП не может
согласно Закону быть использовано контрагентом
в России для верификации подписи
и др.).
Более
либеральный и гибкий Закон "Об
электронной цифровой подписи", предусматривающий
другие виды электронной подписи, принят
в Украине. Данный закон базируется
на общей концепции соответствующей
Директивы ЕС, рекомендующей единые
правила признания юридической
силы электронной подписи и добровольную
аккредитацию центров сертификации
ключей. Определение термина "электронная
подпись" по уровню детализации выдвигаемых
к электронной подписи требований
разделено на два понятия. Собственно
электронная подпись, которая представляет
собой данные в электронной форме,
присоединяемые к другим данным или
логически с ними объединенные, предназначенные
для идентификации подписавшего
лица. Второе определение - ЭЦП, конкретизирующая
используемую технологию и определяемая
как результат определенного
криптографического преобразования некоторого
набора данных, который присоединяется
к этому набору данных или логически
с ним объединяется и дает возможность
подтвердить целостность набора
данных и идентифицировать подписавшее
лицо.
В
законе однозначно определяются условия,
при которых именно ЭЦП приравнивается
к собственноручной подписи, в частности:
-
электронная цифровая подпись проверена
с использованием "усиленного" (квалифицированного)
сертификата ключа при помощи надежных
средств ЭЦП, т.е. средств, которые имеют
сертификат соответствия или положительное
экспертное заключение по результатам
государственной экспертизы в сфере криптографической
защиты информации;
-
во время проверки использовался "усиленный"
сертификат ключа подписи (действующий
на момент наложения цифровой подписи),
который имеют право формировать только
аккредитованные центры сертификации
ключей;