Электронные подписи и новый закон
Бумажный документ с подписью и печатью является традиционным способом подтверждения юридических фактов. Практики создания бумажных документов и их обмена развивались столетиями и стали частью современной культуры делового оборота. С развитием технологии и общества, однако, эта культура существенно меняется, и скорость изменений такова, что акты нормативного регулирования, зачастую, не то, что не успевают, но становятся неактуальными уже в процессе подготовки. Можно сказать, что эта судьба постигла и Директиву ЕС "Об электронных подписях" 1999 года[1]. Она позволила странам-участницам разрабатывать свои собственные политики электронного документооборота и это привело к тому, что инфраструктуры стран, в части требований к идентификации и верификации, оказались несовместимыми друг с другом, и, соответственно, малопригодными к условиям единого рынка.
Необходимо, однако, отдать Директиве её должное: она, фактически, легитимизовала даже те способы электронного делового обмена, при которых целостность обмениваемых данных или идентификация его участников не защищены продвинутыми техническими средствами. Проще говоря, суд может счесть действительным даже договор, заключенный путем обмена простыми электронными сообщениями, не говоря уже о клик-договорах (нажатие на виртуальную кнопку "согласен" или "подтверждаю"), или договорах, заключенных посредством скан-копий.
Гармонизируя свое законодательство с европейским, в 2003 году Украина приняла закон "Об электронной цифровой подписи", который внес в наше правовое поле понятия электронной подписи и электронной цифровой подписи. Схожим с ЕС образом, электронная подпись, даже не защищенная криптографически, стала набирать популярность в украинском деловом обороте и получать всё большее административное принятие.
В 2016 году европейская Директива была упразднена, а на замену ей пришёл eIDAS – Регламент ЕС 2014 года об электронной идентификации, верификации и доверительных услугах[2]. Украина совершает аналогичную рокировку: закон об ЭЦП утратит действие 7 ноября 2018 года, а в силу вступит Закон об электронных доверительных услугах (далее – закон об ЭДУ). Очевидным образом, в законе об ЭДУ многое взято за основу из eIDAS, ряд положений являются прямым переводом. Юристам следует иметь в виду факт этой аналогии, поскольку весьма вероятно, что не только закон, но и его толкование с правоприменением будут следовать за европейской практикой. Что же касается данной статьи, то далее она посвящена содержанию и практическому значению закона об ЭДУ в Украине, без отсылок к европейскому законотворчеству.
Рассмотрим некоторые из основных элементов закона об ЭДУ и начнем с электронной подписи.
Закон описывает электронную подпись, усовершенствованную электронную подпись и квалифицированную электронную подпись.
В самом простом виде, электронная подпись – это электронные данные, которые прилагаются подписантом к другим электронным данным, или логически связываются с ними, и используются им в качестве подписи.
Усовершенствованная электронная подпись (УЭП) – это электронная подпись, которая соответствует таким дополнительным критериям:
- она произведена путем криптографического преобразования данных, с которыми связана, при помощи специального оборудования или программного обеспечения;
- при этом применялся личный ключ, который однозначно связан с подписантом и дает возможность его электронной идентификации;
- если происходит вмешательство в целостность данных, скрепленных такой подписью, такое вмешательство становится обнаружимым.
Квалифицированная электронная подпись (КЭП) – это такая подпись, которая соответствует всем критериям для УЭП, и, дополнительно, следующим критериям:
- оборудование и/или программное обеспечение, которыми она осуществляется, подлежат дополнительным требованиям (на данный момент законодательство не уточняет, каким именно);
- она базируется на квалифицированном сертификате открытого ключа.
Здесь следует уделить внимание терминам "личный ключ" и "сертификат". Криптографическая защита электронных подписей основана, как правило, на шифровании, которое предполагает использование пары "открытый ключ – личный ключ". Открытый ключ доступен для корреспондентов и для подписанта, а личный ключ должен находиться только у подписанта (эта асимметрия между ключами, кстати, и лежит в основе термина "асимметрическое криптографическое преобразование, которое встречается в законе). При этом пара этих ключей создается таким образом, что присвоить документу электронную подпись можно только при помощи личного ключа, но проверить подпись можно при помощи открытого ключа, соответствующему личному ключу. Корреспондент, получив документ с усовершенствованной электронной подписью, может, в общем случае, полагаться на то, что это присвоение было сделано владельцем личного ключа. Кроме того, при создании подписи происходит соотнесение данных о документе и данных, содержащихся в самой подписи, таким образом, что если после подписания изменить в документе что-либо, то он перестанет соответствовать подписи и корреспондент способен это обнаружить.
Однако использование пары ключей, само по себе, не решает вопроса идентификации подписанта. Ведь, хотя корреспондент видит, что документу присвоена конкретная подпись, он не всегда может быть уверен в том, что личный ключ не был перехвачен или, даже, что открытый ключ изначально не был создан злоумышленником с целью выдачи себя за подписанта. Чтобы минимизировать этот риск, в схему вводится еще один элемент: третья сторона, которая проверяет личность подписанта и, удостоверившись, что данные открытого ключа соответствуют личным данным подписанта, выдает сертификат – специальный набор данных, ассоциированный с удостоверяемым открытым ключом. Теперь корреспондент, получив подписанный документ, который связан не только с открытым ключом, но и с сертификатом, может полагаться и на то, что лицо, применившее электронную подпись, является тем, чья эта подпись. При этом, если упомянутая третья сторона-удостоверитель внесена в специальный Доверительный список, товыдаваемый ею сертификат является квалифицированным сертификатом, и сама она имеет статус квалифицированного предоставителя электронных доверительных услуг. Следует обратить внимание, что закон делает специальный акцент на идентификации – ее проведение обязательно, если соответствующая услуга является квалифицированной.
Таким образом, более наглядно, чем с помощью формальных определений, хоть и более упрощенно, классы электронных подписей можно описать следующим образом. Электронная подпись – это любая электронная форма данных, используемая подписантом в качестве подписи, не обязательно защищенная. Пример такой подписи – скан-изображение собственноручной подписи, которое прикладывается к текстовому файлу, и конвертируется, скажем, в формат.pdf. Усовершенствованная электронная подпись – это подпись, сформированная с использованием средств криптографии, но при этом не обязательно с использованием сертификата, а если и с использованием, то не обязательно, чтобы сертификат был квалифицированным. Примером существующего протокола, который, предположительно, можно счесть подпадающим под критерий усовершенствованной подписи, являются решения, основанные на стандарте OpenPGP. Квалифицированная электронная подпись –должна быть основана на криптографии, и открытый ключ должен быть подтвержден сертификатом, и сам сертификат должен быть квалифицированным. Сегодняшним близким аналогом квалифицированной подписи, являются, пожалуй, реализации цифровой электронной подписи на основании действующего закона об ЭЦП.
Помимо электронной подписи, закон вводит понятие и электронной печати. Электронная печать также может быть усовершенствованной и квалифицированной – критерии этих классов аналогичны соответствующим критериям классов подписей. Отличие заключается в том, что электронной подписью может пользоваться как юридическое, так и физическое лицо, а электронной печатью – только юридическое. В функциональном же смысле, существенной разницы между электронной подписью и электронной печатью нет.
Следует сделать оговорку, что закон предполагает установление требований, которым должны соответствовать средства электронной идентификации и средства квалифицированной подписи и печати; установление этих требований поручено Кабмину. При этом, закон устанавливает принцип технологической нейтральности – то есть невмешательство госорганов в процесс разработки оборудования и программ для криптографической защиты, который не будет препятствовать достижению интероперабельности между ними. Хотя эта формулировка не достаточно ясна, следуя европейскому опыту, можно предположить, что речь идет о возможности разработчиков и предоставителей услуг самим определять, какие схемы и решения использовать в рамках установленных требований, и с учетом принципа совместимости – например, использовать ли физические устройства доступа или облачные сервисы, использовать ли двух-факторную или много-факторную аутентификацию, и т.п.
Закон об ЭДУ предусматривает, что электронная подпись или печать не могут быть признаны недействительными и лишены возможности рассматриваться как доказательство в судебных делах исключительно на том основании, что они имеют электронный вид или не соответствуют требованиям к квалифицированной электронной подписи или печати. С этой точки зрения, правовой статус простой электронной подписи остается прежним – отсутствие квалификации не делает документ с такой подписью автоматически недействительным, но степень доверия к ней может быть низкой. Квалифицированная электронная подпись, напротив, имеет презумпцию аутентичности. (Данная презумпция, однако, еще не означает неоспоримость; аналогично, даже аутентичность ручной подписи может быть оспорена). Усовершенствованная подпись занимает среднюю позицию: ее достоверность не презюмируется, однако закон присваивает схемам с такой подписью среднюю степень надежности.
Закон предъявляет специальные требования к квалифицированным предоставителям доверительных электронных услуг. Чтобы получить этот статус, заявитель (который может быть физическим или юридическим лицом) должен, помимо прочих организационных и технических мер, осуществить аттестацию своей комплектной системы защиты информации. Статус квалифицированного предоставителя услуг заявители получают с дня внесения соответствующей записи в Доверительный список (еще не создан). Следует заметить, что аккредитованные центры сертификации ключей, созданные по закону об ЭЦП, получают данный статус автоматически и должны быть внесены центральным удостоверительным органом в Доверительный список автоматически, в течение года после вступления закона в силу.
Помимо формирования, проверки и подтверждения действительности квалифицированных электронных подписей и печатей, их сертификатов, и их хранения, квалифицированные предоставители могут предоставлять следующие услуги:
- формирование, проверка и подтверждение электронной метки времени;
- заказная электронная доставка.
В данной статье я не описываю юридические аспекты практики и перспектив этих услуг в украинском деловом обороте. Однако принципы идентификации, подтверждения сертификатов и удостоверение подписями в отношении этих услуг в многом аналогичны тому, что я описал ранее в отношении электронных подписей и их классов. Возможно, этом дополнительным услугам будет посвящена отдельная статья.
***
На первый взгляд, закон об ЭДУ больше напоминает технический норматив, чем собственно, закон. Учитывая, что предыдущий закон об ЭЦП носил похожий характер и воспринимался, как нечто нишевое, есть соблазн не придавать этой реформе большое юридическое значение. Однако в настоящее время резонанс как самого закона, так и темы электронной идентификации вообще может быть иным. В отличие от предыдущего десятилетия, идентификация клиентов и контрагентов становится существенно более важным аспектом для многих видов деятельности. Во-первых, потому что коммерческая деятельность, в самом широком смысле, становится все более интернет-зависимой, а бизнес-отношения – все более дистанционными. Во-вторых, потому что бизнесы обязаны идентифицировать всех, с кем имеют дело со все возрастающей тщательностью и со все возрастающей ответственностью за несоблюдение требований по идентификации. Таким образом, есть вероятность, что в обозримом будущем применение технологий и практик, описанных в этой статье, станет необходимостью не только для банков и бизнесов с усиленным риск-менеджментом, но и для средних и малых бизнесов. В этом случае, понимание того, как работает инфраструктура электронных подписей может стать так же важно, как и умение пользоваться ноутбуком – как для юристов, так и для их клиентов.
1 Закон України від 22.05.2003, № 852-IV "Про електронний цифровий підпис".
[2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market.
