Главная Контактная информация Карта сайта

Тел./факс: +7 (499) 237-2271
Английская версия
 


О возможности и последствиях реализации закона РФ "Об электронной цифровой подписи"

Волчков Алексей Анатольевич,
Президент ассоциации "РусКрипто"

Введение

В настоящем документе рассматривается возможность реализации положений включенных в закон РФ "Об электронной цифровой подписи". Даются комментарии по последствиям реализации отдельных положений закона. Приводятся рекомендации, по способам реализации указанных положений.

Структура документа

Документ содержит указания на объективные и субъективные условия, сложившиеся в РФ на момент принятия закона. Цели принятия закона. Контент-анализ закона. Выводы по контент-анализу. Предложения по изменению отдельных положений закона и механизмам этих изменений. Перечень нормативных актов, необходимых для ввода в действие закона.

Объективные условия

  • В Российской Федерации на момент принятия закона сложилась судебная практика и практика делового оборота, связанная с использованием аналогов собственноручной подписи (АСП), в частности цифровой подписи (ЦП). Системы с использованием этих технологий внедрялись с 1990.

  • Основанием для применения указанных систем служил и служит ГК РФ. Часть I статьи 160, п. 2, 434, п.1, 434, п.2.

  • Финансовые вложения частных компаний в указанные системы составляют значительные суммы.

  • Президент и правительство РФ реализуют курс на интеграцию страны в международное правовое, экономическое и информационное пространство.

  • Программа реформирования экономики страны подразумевает либерализацию экономики и упрощение правил регулирования бизнеса.

  • Назрела острая необходимость радикального улучшения информатизации органов государственной власти.

  • Началась реализация программы "Электронная Россия"

Субъективные условия

  • Закон разрабатывался в течение длительного времени и фактически отсутствовал коллектив разработчиков, осуществляющий сопровождение закона до финальной стадии.

  • Закон изобилует техническими терминами не ясным депутатам Федерального собрания РФ.

  • Закон "Об электронной цифровой подписи" в финальной стадии разрабатывался без участия представителей бизнеса

Цели принятия закона.

С момента принятия первой части ГК, в России сложилась богатая практика, в т.ч. судебная по использованию АСП и ЦП в коммерческом секторе.

Базой для упорядочения взаимоотношений сторон, использующих АСП и ЦП в бизнесе, является т.н. "соглашение сторон" (предусмотренное ГК), или "договор участников системы с использованием АСП (ЦП)". В системах документооборота государственных органов применение АСП (ЦП) пробуксовывало, поскольку регулировать использование АСП (ЦП) в этих системах договорным правом не возможно.

Вследствие вышеупомянутых причин к 1997 году, сложилась ситуация, в которой принятие закона "О цифровой подписи" становилось актуальным в первую очередь для государства. Дополнительную актуальность принятию указанного закона, являлось стремление России вступить в ВТО, страны же члены ВТО уже имели аналогичные законы, позволяющие вести бизнес в киберпространстве не только на основе предварительно заключенного договора, но и на основе действующих законов.

Теоретически принятие закона "О цифровой подписи" несло потенциальные выгоды и потребителям услуг, позволяя им вступать в деловые отношения с использованием в качестве средства подтверждения подлинности АСП (ЦП) без предварительного заключения договора в бумажном виде.

Таким образом, принятие закона преследовало следующие цели:

  1. Необходимость создания законодательной базы для внедрения АСП (ЦП) в системы электронного документооборота органов государственной власти.

  2. Гармонизация российского законодательства с международным.

  3. Создание правовой основы для интеграции внутренних и международных систем электронной торговли.

  4. Упрощение процедур ведения "электронного" бизнеса.

Контент-анализ закона

Несоответствие закона объективным условиям.

    1. Закон описал технологию, которая практически не используется в РФ, тем самым возник технологический конфликт между реально действующими системами и системой, заложенной в законе.

    2. Закон противоречит международной практике и рекомендациям. В частности:

    • Директиве Евросоюза "Об инфраструктуре цифровых подписей"

    • Модельному закону UNCITRAL

    Основные несоответствия:

    • Закон не должен содержать исчерпывающего перечня средств, которые могут быть использованы для подтверждения связи между ЭЦП и ее владельцем, и, естественно, не сводить их к одним лишь криптографическим средствам. Должно быть предусмотрено использование таких АСП, которые обеспечивают выполнение следующих условий:

    • данные, используемые при создании ЭЦП, связаны с ее владельцем и ни с каким третьим лицом;

    • во время подписания эти данные находятся под контролем владельца ЭЦП и только под его контролем;

    • любые изменения, внесенные в ЭЦП после подписания, поддаются обнаружению;

    • если закон требует наличия ЭЦП с целью обеспечения целостности информации, которая засвидетельствована ЭЦП, то любое изменение, внесенное в информацию после подписания, поддается обнаружению.

    • Проект не содержит четких положений об основаниях и пределах ответственности уполномоченных центров. Европейское законодательство, например, ограничивает ответственность центров ответственностью за содержание сертификатов ключа подписи.

    • Неудачна норма ст. 18, в соответствии с которой признание сертификата ЭЦП осуществляется по установленной российским законодательством процедуре признания иностранных документов. В связи с тем, что эти процедуры (апостиль и легализация) не предусматривают признания электронных документов и рассчитаны лишь на документы, носителем которых является бумага, это выполнимо лишь в том случае, если иностранный сертификат ключа подписи представляет собой документ на бумажном носителе

    • Закон предусматривает обязательную процедуру лицензирования деятельности удостоверяющих центров и использование сертифицированных средств.

      3. Закон вступает в противоречие с концепцией реформирования экономики, в части сокращения видов лицензируемой деятельности, так как вводит новые виды лицензируемой деятельности.

      Анализ закона на возможность реализации его положений.

      1. Закон привязывает понятие электронная подпись к понятию реквизит электронного документа. До момента принятия закона об электронном документе и определения перечня и правила простановки реквизитов в электронный документ закон об ЭЦП реализовать невозможно.

      2. Закон подразумевает использование для подтверждения подлинности только сертифицированных средств. Поскольку сертификаты выдаются лишь на определенный срок, и существуют прецеденты не продления сертификатов, постольку возможна ситуация остановки работы действующей системы в силу несоответствия ее закону.

      3. Отсутствует система сертификации средств ЭЦП. Необходимо принятие соответствующего положения и введение соответствующей системы.

      4. Понятие корпоративной и публичной системы расплывчато и требует принятие отдельного документа в котором эти понятия будут даны однозначно.

      5. Владельцем подписи может быть только физическое лицо, в связи с этим необходимо определить правило подписывания документов от имени организации. Это необходимо в связи с тем, что на физическое лицо можно обратить только уголовную и гражданскую ответственность в судах общей юрисдикции, а конфликты между организациями рассматриваются в арбитражных судах.

      6. Закон связывает сертификат ключа подписи с правоотношениями, для которых подпись может быть использована. Следовательно пользователь должен заранее предвидеть, в какие правоотношения он собирается вступать с использованием ключа. Следует определить "типовые виды правоотношений", включаемых в сертификат.

      7. Для выдачи копии сертификата в период его архивного хранения, необходимо положение о правилах выдачи, т.к. закон содержит отсылочную норму.

      8. Необходимо определить порядок сдачи бумажных сертификатов в архив, поскольку закон содержит отсылочную норму.

      9. Необходимо положение о лицензировании деятельности удостоверяющего центра

      10. Необходимо постановление правительства о пределе ответственности удостоверяющего центра

      11. Статья 9 о деятельности УЦ с одной стороны возлагает на УЦ функции ему несвойственные (проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра, создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи), что с одной стороны делает его работу затруднительной, с другой дезавуирует идею ЭЦП, так как генерация ключей третьим лицом исключает возможность однозначного установления авторства). Это должно быть урегулировано в документе "Типовое положение об удостоверяющем центре"

      12. Статья 10 предусматривает разработку "Регламента работы уполномоченного федерального органа".

      13. Статья 12 в части пункта 1 обязывает владельца ключа подписи "не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее". Тем самым формально обязывает получать сертификат подписи для каждого нового документа, что очевидно абсурдно.

      14. Статья 13 может приводить к коллизиям, связанным с временной приостановкой действия сертификата, в международной практике такая процедура не предусмотрена.

      15. Статья 15 требует создания "Положения о ликвидации УЦ"

      16. Статья 18 требует детализации в "Правилах признания иностранных сертификатов"

      Анализ соответствия закона, преследуемым целям.

      В части упрощения ведения "электронного бизнеса".

      Статья 1 закона ""Об электронной цифровой подписи"" декларирует главную цель принятия закона. "Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе". Уже по этой формулировке видно, что закон не может достичь всех тех целей, которые преследовало его принятие, поскольку он жестко увязывает понятие электронной цифровой подписи (ЭЦП) и понятие электронного документа. В то время как, в коммерческой сфере с помощью АСП заверяются самые разнообразные объекты – программные средства, недокументированные данные, информация, не сохраняемая на каком либо носителе и т.д. Таким образом, закон не привносит ничего нового в схемы электронного ведения бизнеса, которые либо должны оставаться на основе договорного права, либо вовсе вне правового поля, например, публичные системы, связанные с электронными платежами.

      В части гармонизация российского законодательства с международным.

      Закон не достигает своей цели, так как полностью противоречит Директиве ЕС от 1999 года, модельному закону UNCITRAL, рекомендациям ВТО.

      В части создания правовой основы для интеграции внутренних и международных систем электронной торговли.

      Закон не достигает своей цели, так как вводит обязательную сертификацию средств ЭЦП и лицензирование деятельности связанной с ЭЦП, не дает правовой основы для признания иностранных сертификатов. Статья 18 закона носит декларативный характер.

      В части создания законодательной базы для внедрения АСП (ЦП) в системы электронного документооборота органов государственной власти.

      Закон достигает цели лишь частично, так как требует создания большого количества подзаконных актов, которые и будут регламентировать правила применения ЭЦП в органах государственного управления.

      Анализ закона с точки зрения ожиданий субъектов правоотношений.

      В области задач решаемых государством.

      Ожидалось:

        • Упрощение правил использования ЦП в соответствии с концепцией дебюрократизации экономики.

        • Получение эффективного механизма регулирования применения ЦП в органах государственной власти и иных государственных учреждениях.

        • Выполнение требований выдвинутых к России со стороны ВТО

      Получено:

        • Из всех возможных систем ЦП, выбрана одна – электронная цифровая подпись (ЭЦП)

        • Применение систем с использованием ЭЦП подлежит лицензированию, продукты обязательной сертификации.

        • Введен ряд новых видов предпринимательской деятельности, подлежащих лицензированию

        • Закон не соответствует рекомендациям ВТО, ПАСЕ и UNCITRAL

        • Закон содержит ряд внутренних противоречий, не позволяющих реально использовать его на практике.

      В области предпринимательской деятельности

      Ожидалось:

        • Упрощения правил использования ЦП, и отход от схемы с использованием договорного регулирования, основанного непосредственно на ГК.

        • Согласования правил использования ЦП в России и за рубежом с целью активизации международной экономической деятельности.

      Получено:

        • Отход от договорного регулирования возможен только в случае использования конкретной системы ЦП – ЭЦП. При этом переход к ЭЦП связан с обязательным получением лицензии от ФАПСИ и использованием систем сертифицированных ФАПСИ.

        • Системы ЭЦП, описанные в законе "Об ЭЦП", заведомо несовместимы с международными стандартами.

      Компании, связанные с разработкой систем ЦП.

      Ожидалось:

        • Возможность интегрироваться в новый бизнес, связанный с обслуживанием инфраструктуры систем ЦП.

        • Оживление рынка, связанного с использованием систем ЦП.

      Получено:

        • Нового бизнеса, связанного с использованием ЦП не появилось.

        • Ситуация на рынке не изменилась, поскольку закон не затрагивает регулирование иных АСП, отличных от ЭЦП, описанной в законе.

      Анализ закона с точки зрения экономических, политических и социальных последствий

      Международные политические последствия

      Принятие закон, идущего вразрез с рекомендациями влиятельных международных организаций негативно скажется на имидже страны. Поскольку, провозгласив на словах стратегический курс на интеграцию в мировую экономику и политику, на деле в стране принимаются законы, изолирующие Россию от развитых стран.

      Внутриполитические последствия.

      Принятие закона, вводящего жесткое регулирование в новой сфере бизнеса, подрывает доверие к правительственной концепции дебюрократизации экономики и создает негативное отношение бизнеса к ряду государственных организаций.

      Международные экономические последствия

      Закон, фактически требует создания технологии ЭЦП, отличной от международных стандартов и общепринятой практики. Тем самым Российские информационные технологии с одной стороны становятся непривлекательными для иностранных инвесторов, с другой – практически до нуля снижается возможность экспорта информационных технологий из России. В то же время информационные технологии эта то направление в области международного экономического сотрудничества, которое в России имеет высокие шансы стать лидирующим.

      Внутренние экономические последствия

      Жесткое регулирование деятельности связанной с ЭЦП, негативно скажется на ряде новых и перспективных видах предпринимательской деятельности – в первую очередь на бизнесе связанном с созданием коммерческих удостоверяющих центров. В свою очередь это снизит интерес производителей к разработке и производству программного обеспечения в этой области. Таким образом, через некоторое время после нормализации ситуации в области ЭЦП. Российские компании окажутся, не конкурентоспособны в сравнении с компаниями иностранными, активно оперирующими на этом рынке

      Социальные последствия

      Социальные последствия следуют из политических и экономических. В первую очередь затормозится реализация программы "Электронная Россия" в части обеспечения обратной связи граждан и органов государственной власти, снижение инвестиционной привлекательности отрасли информационных технологий, негативно скажется на положении граждан, занятых в этой сфере.

      Выводы по контент-анализу.

      1. Закон не соответствует объективным обстоятельствам, в которых предполагается его реализовывать.

      2. Закон противоречит интересам общества и государства

      3. Закон, практически не достигает поставленных целей.

      4. Закон может быть полезен только для органов государственной власти.

      5. Отдельные положения закона должны быть детализированы на уровне подзаконных актов.

      6. Отдельные положения закона должны быть изменены

      7. Требуется принятие закона, регулирующего использование иных АСП и соответствующего международным рекомендациям и нормам.

      Рекомендации по изменениям в законе и механизмам их реализации.

      Внесение изменений в положения закона возможно тремя путями.

      1. Детализацией положений закона в подзаконных нормативных актах.

      2. Внесением изменений непосредственно в закон

      3. Принятием закона, поглощающим закон об ЭЦП.

      Устранение несоответствия закона в части конфликта технологий реализованных в современных системах и технологи, записанной в законе возможно на уровне практики правоприменения, в которой регулирование всех иных технологий должно остаться в рамках договорного права. При этом технология, прописанная в законе не должна быть обязательной, а лишь одной из используемых.

      В части несоответствия рекомендациям международных организаций противоречие может быть устранено внесением изменений в действующий закон, однако рекомендуется принятие поглощающего закона.

      В части несоответствия закона концепции дебюрократизации последствия от принятия закона могут быть смягчены принятием процедуры лицензирования 6носящей заявительный характер.

      В части сложностей с механизмом реализации, необходимо принятие следующих документов.

      1. "Положение о сертификации средств ЭЦП".

      2. "Положение о лицензировании УЦ"

      3. "Положение о работе уполномоченного федерального органа в части обеспечения деятельности удостоверяющих центров".

      4. "Типовое положение об удостоверяющем центре"

      5. "Положение о пределе ответственности УЦ"

      6. "Правила признания иностранных сертификатов"

      В этих документах как минимум должны быть отражены вопросы:

      1. Правила отнесения информационных систем к корпоративным системам

      2. Правила использования ЭЦП физического лица от имени юридического

      3. Типовые виды правоотношений для внесения в сертификат

      4. Правила выдачи копий сертификата в период архивного хранения

      5. Порядок сдачи бумажных копий сертификатов в государственный архив

      Также, для того чтобы обеспечить работоспособность закона необходимо внести в него изменения в части:

      1. Статьи 9 – о деятельности удостоверяющего центра, для исключения несвойственных ему функций.

      2. Статьи 12 – об ответственности владельца ключа ЭЦП, для исключения противоречия, не позволяющего использовать один и тот же ключ многократно.

      Устранение остальных противоречий без принятия поглощающего закона невозможно.

      Предложения по практической работе.

      Предлагается:

      1. Перенести срок введения закона, в части касающейся корпоративных систем и публичных систем коммерческого использования.

      2. Разработать указанные выше документы.

      3. Определить уполномоченные федеральные органы в части систем ЭЦП для органов государственной власти и публичных систем для коммерческого использования.

      4. Опробовать практику применения положений закона в органах государственной власти.

      5. На базе практики правоприменения закона подготовить проект изменений для внесения в закон.



      Члены
      Гильдии Управляющих Документацией

           

      Дистанционное обучение по образовательным программам
      курсов повышения квалификации
        Лицензия № 039458   Государственная аккредитация № 0210

      Наши слушатели


      Курсы повышения квалификации руководителей, специалистов в сфере ДОУ и электронного документооборота, секретарей-референтов 
      на 2020год.
      Современные технологии в работе службы ДОУ
      Современные технологии в работе секретаря-референта, помощника руководителя
      Современные технологии в работе с электронными документами


      Полный перечень законодательных актов на CD
      Законодательные, иные нормативные правовые акты, методические документы в сфере информации и документации до 2019 года.
      Заказать