Электронная цифровая подпись

 

2) возможность использования  участниками электронного взаимодействия  по своему усмотрению любой  информационной технологии и  (или) технических средств, позволяющих  выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей; 

 

3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе. ⁴

 

 

 

 

 

 

 

 

 

 

Основные правовые проблемы ЭЦП

Как показывает практика, ЭЦП  получает все большее распространение  в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее, в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то, что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 12 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны, и аутентичность документа придется доказывать иначе. Например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность. Кроме того, небрежное обращение с ключом электронной цифровой подписи может обернуться значительными убытками для компании. Поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф⁵.

 

Самой большой проблемой  при организации долговременного  хранения электронных документов с  ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения.

Поскольку в отечественном  законодательстве вопросы обеспечения  сохранности отведены на второй план, к тому же отсутствуют соответствующие  нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам  работы. Так, голландские специалисты  во избежание проблем, связанных  с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры  и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись  выполнила в прошлом, в отношении  интересов создавшей документы  организации, интересов третьих  сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа.

Если постоянное архивное хранение документов с ЭЦП осуществляется в системах электронного документооборота, которые по своим изначальным  характеристикам обязаны обеспечить надежное хранение, то достаточным  свидетельством целостности и аутентичности  может служить как сам документ, так и его метаданные.⁶

 

       Надо отметить наличие противоречий между обязанностью владельца сертификата ключа подписи возместить убытки (включая упущенную выгоду) в случае несоблюдения требований Закона и ограничением ответственности работника по ТК РФ только возмещением прямого действительного ущерба. Данная норма ФЗ «Об электронной подписи» в полном объеме может быть распространена только на владельцев сертификата ключа подписи, связанных с лицом, которому они причинили убытки гражданско-правовыми отношениями.

 
       Положение (инструкция) об установлении режима тайны закрытого ключа ЭЦП либо другой подобный акт должны быть адресованы всем работникам работодателя, в том числе и не являющимся владельцами сертификатов ключей подписи, и быть обязательным для исполнения. 
В положении должны содержаться следующие основные условия: 
- тайна закрытого ключа ЭЦП относится к конфиденциальной информации - служебной тайне или служебной информации; 
- работники, не являющиеся владельцами сертификатов ключей подписи или специально не уполномоченные работодателем, не имеют доступа к средствам ЭЦП и другим техническим средствам защиты ЭЦП; 
- работники должны соблюдать требования по охране средств ЭЦП, устанавливаемые работодателем и владельцем ЭЦП в пределах своих полномочий; 
- работники должны извещать работодателя обо всех случаях нарушения режима охраны тайны закрытого ключа ЭЦП; 
- работники несут ответственность за нарушение режима охраны тайны закрытого ключа ЭЦП, в том числе вплоть до возмещения ущерба. Работники должны быть ознакомлены с положением под расписку. 
В тех случаях, когда у работодателя работает достаточно большое количество владельцев сертификатов ключей ЭЦП, возможно, потребуется расширение локальной нормативной базы. 

Необходимо отметить, что  ограничения в использовании  ЭЦП в большей степени связаны  с тем фактом, что юридически значимая документация организации оформляется в основном на бумажных носителях, и приходится сочетать электронный документооборот на стадии подготовки и согласования, и бумажный на завершающем этапе оформления. Создание электронных документов, подлежащих длительному хранению, и проставление на них ЭЦП без одновременного создания их дубликата на бумаге неизбежно приводит к возникновению конфликтных ситуаций. Это обстоятельство, а также нормативно-методологическая нерешенность проблемы долговременного хранения электронных документов с ЭЦП заставляют руководителей организаций тщательно взвешивать все "за" и "против", перед тем как дать распоряжение хранить важные документы только в электронной форме.

Таким образом, ЭЦП, как и  любое другое средство автоматизации  делопроизводственных процессов, способно принести немалую пользу при правильном использовании. Но в каждом конкретном случае необходимо анализировать выгоды от использования ЭЦП и риски, связанные с ее применением. Для  успешной и эффективной работы в  электронной среде организациям необходимо использовать весь имеющийся  арсенал информационных технологий, в том числе и электронно-цифровую подпись.

Сама технология электронной  подписи осуществляется с помощью  идентификации пользователя путем  сличения реальной подписи с подписью в компьютерной системе, где создается  ее электронный шаблон. Ввод подписей производится при помощи сканера  или электронного пера. Электронная  подпись, как и отпечатки пальцев, квалифицируются как уникальный показатель личности.

 

Для современной  мировой практики характерен отказ  от обязательного лицензирования деятельности удостоверяющих центров и признание  исключительно добровольной сертификации средств электронной подписи. Директива Совета Европы «Об электронных подписях», к примеру, предусматривает на всей территории Евросоюза право удостоверяющих центров свободно предлагать свои услуги без предварительного получения разрешения.

Представляется, что  российский закон не выполнил своей  главной задачи – принципиального  признания ЭЦП в качестве аналога  собственноручной подписи для более  широкого круга юридических действий, нежели это предусмотрено в Гражданском  кодексе РФ, который признает ЭЦП  в качестве аналога подписи только в связи с заключением сделок.

Как известно, категории  юридических документов, в которых  может использоваться ЭЦП, значительно  разнообразнее. Вопрос о законности и действительности таких электронных  документов остается открытым, поскольку  п. 2 ст.1 ФЗ «Об электронной подписи» распространяет его действие только на отношения, возникающие при совершении гражданско-правовых сделок. Другие случаи должны быть предусмотрены законодательством Российской Федерации.

Таким образом, чтобы  легализовать электронную цифровую подпись в документах, оформляющих  трудовые, налоговые, административные и иные отношения, не являющиеся гражданско-правовыми, по-прежнему необходимо издать соответствующий  специальный нормативный акт. Это  можно было бы сделать и не имея Федерального закона об ЭЦП, причем в каждом случае отрегулировать ситуацию точнее и лучше, нежели в условиях, когда закон действует.

Все это приводит к возникновению  ряда прикладных юридических проблем. В частности, выбор стандартизированного алгоритма ЭЦП и его реализации не гарантирует обеспечения доказательного подтверждения подлинности и  авторства электронного документа, поскольку в отличие от обычной собственноручной подписи ЭЦП отчуждаема от своего владельца. То есть если подпись под бумажным документом неотделима от человека и практически никто другой не может подделать ее так, чтобы это не было обнаружено криминалистической экспертизой, то любой злоумышленник, завладевший секретным ключом подписи, сможет сделать ЭЦП так же легко и правдоподобно, как и законный владелец этого ключа. Решение данной проблемы возможно на основе осуществления каждым участником электронного документооборота самостоятельной тайной процедуры генерации своих ключей и обеспечения конфиденциальности закрытого ключа. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

Конечно, используемые в законе правовые инструменты не позволяют исчерпывающим образом регулировать правоотношения в области ЭЦП. До сих пор непонятно каким образом поступить юридическому лицу, из-за несвоевременного аннулирования сертификата ЭЦП удостоверяющим центром. В данной ситуации юридическое лицо не имеет возможности защитить свои интересы в арбитражном суде, поскольку закон об электронной цифровой подписи не допускает возникновения гражданско-правовых отношений.

Несмотря на недостатки, возникающие при введение электронного документооборота с помощью ЭЦП, есть масса плюсов: высокая скорость передачи информации по большому количеству адресов, экономия бумаги, , более; большая скорость поиска и извлечения информации, возможность защиты документов от несанкционированного доступа и разграничение прав доступа сотрудников к информации. Также ЭЦП позволяет снизить количество служб, занятых работой с документами (курьеров, канцелярских работников и т.п.).

 

 

 

 

 

 

 

 

 

 

 

 

Список литературы:

нормативно-правовые акты

1. "Гражданский кодекс  Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ (ред. от 06.12.2011, с изм.  от 27.06.2012)

2. Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 10.07.2012) "Об  электронной подписи"

3.Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.07.2012) "Об  информации, информационных технологиях  и о защите информации"

учебная литература

4.Бачило: И.Л. Информационное  право РАН-М.: Юрайт Высшее образование, 2009 г. -454 с.

5.Городов О.А. Информационное  право -М.: Проспект, 2009 г. – 242 с.

6. Титоренко Г.А. Информационные  технологии – М:Юнти-Дана, 2006 г.-439 с. 
 

¹ "Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ (ред. от 06.12.2011, с изм. от 27.06.2012

² Бачило: И.Л. Информационное право РАН-М.: Юрайт Высшее образование, 2009 г.

³ Бачило: И.Л. Информационное право РАН-М.: Юрайт Высшее образование, 2009

⁴ Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 10.07.2012) "Об электронной подписи"

⁵ Городов О.А. Информационное право -М.: Проспект, 2009 г

⁶ Титоренко Г.А. Информационные технологии – М:Юнти-Дана, 2006 г.