Об электронном документе и - Национальный банк Республики

Банкаўскi веснiк, КАСТРЫЧНIК 2008
íéóäÄ áêÖçàü
èÂÒÔÂÍÚË‚˚ ˝ÎÂÍÚÓÌÌÓ„Ó
‰ÓÍÛÏÂÌÚ‡ ‚ Å·ÛÒË,
ËÎË é ÔÓÂÍÚ á‡ÍÓ̇ êÂÒÔÛ·ÎËÍË Å·ÛÒ¸
“é· ˝ÎÂÍÚÓÌÌÓÏ ‰ÓÍÛÏÂÌÚÂ Ë ˝ÎÂÍÚÓÌÌÓÈ ˆËÙÓ‚ÓÈ ÔÓ‰ÔËÒË”
ëÂ„ÂÈ éÇëÖâäé
ä‡Ì‰Ë‰‡Ú ˛ˉ˘ÂÒÍËı ̇ÛÍ
В
настоящее время ведется работа над проектом Закона Республики Беларусь “Об электронном документе и электронной цифровой подписи” (далее — Законопроект), подготовленным межведомственной рабочей группой, который имеет непосредственное отношение и к банковской системе. По сути, Законопроект дублирует действующий Закон
Республики Беларусь от 10.01.2000
№ 357-З (ред. от 20.07.2006 № 137З; от 20.07.2006 № 162-3) “Об электронном документе”, дополняя его
несколькими статьями, относящимися к электронной цифровой подписи (ЭЦП). Он воспроизводит концепцию ныне действующего Закона,
узко трактующего понятие электронного документа, ограничивая
его фактически одной единственной
технологией — ЭЦП с использова-
нием асимметричных ключей. Данная технология, несмотря на несомненные достоинства (прежде всего,
высокая надежность), имеет ограниченную сферу применения и пригодна лишь для закрытых корпоративных сетей (наподобие банковских). Она предполагает наличие
предварительных договорных отношений между сторонами (обмен открытыми ключами) либо использование услуг удостоверяющих центров. Для нужд открытых сетей (Интернет), потребностей электронной
торговли (Интернет-магазины), а
также для случаев использования
иных технических средств (например, факсимильная или мобильная
связь) технология ЭЦП с применением средств криптографии малопригодна или вовсе не подходит.
Применительно к банковской деятельности она ограничивает возможности использования различных современных технических
средств и каналов связи в отношениях между банком и клиентом.
В международной практике существует несколько подходов к определению понятия ЭЦП (причем во
многих случаях вместо ЭЦП применяется более широкое понятие —
“электронная подпись”1), различающихся по степени строгости
предъявляемых требований.
1. Самый “мягкий” подход предполагает, что в качестве ЭЦП
должны рассматриваться любые
включаемые в электронный документ элементы, тем или иным
образом связанные с отправите-
лем (коды, пароли и даже инициалы в конце документа, а также более совершенные, типа отсканированного отпечатка пальца или отображения оболочки
глаза). Никаких требований к
уникальности, неизменяемости,
степени подконтрольности ЭЦП
или процедурам ее проверки нет.
Данный подход используется в
законодательстве различных
стран. Так, согласно ст. 106(5)
Федерального закона США от
30.06.2000 “Об электронных
подписях в глобальной и национальной коммерции”, электронная подпись — это звук, символ
или процесс, присоединяемый
или логически ассоциируемый с
договором или иной записью или
допускаемый лицом с намерением подписать запись. В соответствии со ст. 5 Закона Филиппин
от 14.06.2000 № 8792 “Об электронной коммерции”, электронная подпись — отметка, признак
или звук в электронной форме,
представляющие сведения об
идентичности лица с присоединяемым электронным сообщением. Кроме того, указанный подход применяется в Типовом законе ЮНСИТРАЛ об электронных подписях 2001 г.
2. Более “жесткий” подход, когда
ЭЦП должна отвечать некоторым (законодательно закрепленным) дополнительным требованиям, например, обеспечивать
возможность достоверного установления отправителя информа-
Зарубежные специалисты отмечают, что понятия “электронная подпись” и “электронная цифровая подпись” различаются. Первое — шире. Электронная подпись может иметь звуковую, графическую и т. п. форму, позволяющую идентифицировать лицо, использующее такую подпись. Данная цель может
достигаться с применением различных технических средств: ПИН-коды, биометрические методы или техника асимметричной криптографии (из них
только последние могут рассматриваться как ЭЦП). Проверка подписавшегося лица может также использовать антропометрические черты (линии папилляров, например, на ладони, отпечатки сетчатки глаз и т. п.), которые, по мнению специалистов, также могут выполнять функции электронной
подписи (Borowicz K. Ustawa o podpisie elektronicznym. Komentarz. Bielsko-Biala, 2002. S. 95—96). Для примера приведем легальные определения, содержащиеся в законодательстве Гонконга (Ордонанс № 553 “Об электронных сделках” 2000 г.): “электронная подпись” — любые буквы, знаки, цифры и иные символы в цифровой форме, присоединяемые или логически ассоциируемые с электронной записью и применяемые или допускаемые в целях подтверждения подлинности или одобрения электронной записи; “цифровая подпись” — электронная запись подписывающего лица, формируемая путем преобразования электронной записи с использованием асимметричной криптосистемы и хэш-функции. Аналогичные определения содержатся в Законе Сингапура от
10.07.1998 “Об электронных сделках”.
1
55
Банкаўскi веснiк, КАСТРЫЧНIК 2008
íéóäÄ áêÖçàü
ции и быть связанной с передаваемыми данными таким образом, чтобы при их изменении
становиться недействительной (в
европейских государствах).
3. Самый “строгий” подход определяет ЭЦП как результат криптографического преобразования
исходного электронного документа и выдвигает более детализированные требования к ЭЦП, в
частности, к применяемой технологии. Этот подход применен в
Законопроекте, так же, как и в
действующем Законе Республики Беларусь от 10.01.2000
№ 357-З (ред. от 20.07.2006
№ 137-З; от 20.07.2006 № 162-3)
“Об электронном документе”, а
также в Модельном законе СНГ
от 09.12.2000 “Об электронной
цифровой подписи” и российском Федеральном законе от
10.01.2002 “Об электронной цифровой подписи”2. Но следует отметить, что российский Закон
распространяется только на
гражданско-правовые сделки, не
ограничивает использование
других аналогов собственноручной подписи (ст. 1(2) данного Закона).
В качестве модели для белорусского Законопроекта может быть
применена Директива Евросоюза
1999/93/ЕС от 13.12.1999 “О правовых основах ЕС для электронных
подписей”, которая выделяет два
вида ЭЦП: “сильную (расширенную, безопасную, квалифицированную)” и “слабую (обычную)”
ЭЦП. Причем основные ее положения относятся именно к расширенной ЭЦП, хотя она и не связана с какой-то определенной технологией.
От этого подхода отталкивались при
разработке законодательства отдельных стран Европейского союза
(ЕС). В частности, в польском Законе от 18.09.2001 “Об электронной
подписи”, литовском Законе от
11.07.2000 “Об электронной подписи”, немецком Законе от 16.05.2001
“О рамочных условиях для электронных подписей и изменении
иных правовых актов”, а также в законодательстве Канады (ст. 31 Закона от 13.04.2000 “О защите персональной информации и электронных документах”), Сингапура (ст.
17 Закона от 10.07.1998 “Об элек2
3
тронных сделках”) и законодательства некоторых других государств.
Еще дальше продвинулись законодательства Болгарии (Закон от
07.04.2001 “Об электронном документе и электронной подписи”) и
Австрии (Федеральный закон от
19.08.1999 “Об электронных подписях”), которые выделили три вида
электронной подписи: обычную,
усовершенствованную и универсальную. К ним можно отнести и
Швецию, где в 2000 г. был принят
Закон “О квалифицированных электронных подписях”, где различаются обычная, расширенная и квалифицированная электронные подписи.
Следовательно, предпочтение более “мягкой” формы регламентации
ЭЦП в Законопроекте либо возможность выбора сторонами одного из
нескольких ее вариантов ликвидировали бы многие правовые пробелы в белорусском законодательстве,
не ограничивая при этом договорную свободу сторон.
Еще один вариант, который возможно использовать в концепции
Законопроекта, — законодательство Германии. В нем наряду с понятием электронного документа
(снабженного электронной подписью) применяется и понятие текстового документа, охватывающее
не только документы, изначально
изготовленные в цифровой форме,
но и документы, преобразованные
из цифровой в аналоговую форму с
применением специальных технических средств, в частности, копировальной машины и модема. Текстовая форма документа (параграф
126b Германского гражданского
уложения) основана на идее, что положения о традиционной письменной форме собственноручно подписанного документа в определенных
случаях препятствуют надлежащему функционированию современного документооборота. Соблюдение
текстовой формы предполагает, что
волеизъявление сделано в документе способом, гарантирующим воспроизведение в письменных знаках
в течение продолжительного времени. Такое заявление должно содержать лишь фамилию составителя и
обозначать конец документа в виде
воспроизведения его фамилии либо
другим способом. Эквивалента соб-
ственноручной подписи не требуется. Текстовая форма заменяет письменную в тех случаях, когда подписываются заявления, не требующие
большого значения, либо с возможностью их быстрого отзыва. В Германии требованиям текстовой формы соответствует не только письменное сообщение, направленное по
факсу, но и любой письменный или
электронный документ, содержащий фамилию его составителя только не в форме подписи, а в форме
воспроизведения его фамилии. Кроме того, должен обозначаться конец
документа.
Как видно, существуют два варианта текстовой формы — физическая и электронная3. Введение в Законопроект подобных понятий переложило бы регламентацию выбора
формы документа с законов и инструкций на договорные отношения
между сторонами. При этом следует
заметить, что подобный подход полностью соответствует требованиям
Гражданского кодекса Республики
Беларусь (ГК РБ), обладающего более высокой юридической силой по
сравнению с Законопроектом. Так,
согласно пункту 2 ст. 161 ГК РБ, использование при совершении сделок
факсимильного воспроизведения
подписи с помощью средств механического или иного копирования,
электронно-цифровой подписи либо
иного аналога собственноручной
подписи допускается в случаях и
порядке, предусмотренных законодательством или соглашением сторон.
Таким образом, суть предложений, представленных в данной статье, состоит в том, чтобы Законопроект предусмотрел возможность
использования различных технологий при составлении электронного
документа, выбор которых должен
предоставляться сторонам либо
регламентироваться специальным
законодательством. Например, если в сфере межбанковских расчетов
может применяться самый строгий подход к электронному документу (технология ЭЦП), то в отношениях Банк — Клиент либо в
сфере Интернет-торговли могут
использоваться менее строгие подходы к применению электронных
документов, не требующие обязательного наличия ЭЦП.
Леонтьев К.Б. Комментарий к Федеральному закону Российской Федерации “Об электронной цифровой подписи” (постатейный). М., 2003. С. 10—11.
Компьютер и Интернет в нотариальной практике. Под ред. Й. Беттендорфа. М., 2005. С. 176
56
Банкаўскi веснiк, КАСТРЫЧНIК 2008
íéóäÄ áêÖçàü
Рассматривая другие аспекты
Законопроекта, следует отметить,
что сокращение бумажного документооборота за счет замены его
электронными сообщениями на сегодняшний день является насущной
проблемой. Поэтому невозможно и
нежелательно различать понятия
“оригинал” и “копия” электронных
документов (ст. 16—17 Законопроекта), так как они способны тиражироваться и воспроизводиться
многократно. Более того, в случае
перенесения такого документа на
бумажный носитель новый документ не создается, а создается внешняя форма представления электронного сообщения. Существует и беспрепятственная возможность обратного преобразования — из бумажного документа в электронный. В связи с этим из Законопроекта целесообразно исключить понятия “оригинал” и “копия” электронного документа, заменив их понятием “форма
представления документа” (на бумажном носителе и в электронном
виде, уравняв одновременно их статус).
Согласно части 3 ст. 11 Закона
Республики Беларусь от 06.09.1995
“Об информатизации”, юридическая сила электронной подписи признается при наличии в информационных системах и сетях программно-технических средств, обеспечивающих идентификацию подписи и
имеющих сертификат соответствия требованиям технических нормативных правовых актов в области технического нормирования и
стандартизации. Законопроект
(ст. 19) ничего нового здесь не вносит.
Таким образом, белорусское законодательство ставит правовые риски, связанные с использованием
электронного документооборота,
вне контроля сторон. Кроме того,
получается, что национальное законодательство не только привязывает
понятие “электронный документ”
к единственной технологии, но и ограничивает выбор технических
стандартов.
Следует отметить, что в разных
государствах СНГ избраны различные подходы к сертификации криптографических средств, в частности:
● установление требования сертификации средств ЭЦП и элек4
5
тронной подписи (помимо Беларуси это Узбекистан, Таджикистан и Кыргызстан);
● отнесение такой сертификации к
общим мерам по защите информации (Украина);
● распределение рисков убытков
от использования несертифицированных средств (Азербайджан)4.
Комплексный подход применяется в российском законодательстве.
С одной стороны, в соответствии с
частью 2 ст. 5 Федерального закона
Российской Федерации “Об электронной цифровой подписи”, при
создании ключей ЭЦП для использования в информационной системе
общего пользования должны применяться только сертифицированные
средства ЭЦП. Возмещение убытков, причиненных в связи с созданием ключей ЭЦП несертифицированными средствами, может быть
возложено на создателей и распространителей этих средств. C другой —
согласно пункту 3 ст. 22 Федерального закона Российской Федерации
от 20.02.1995 “Об информатизации,
информации и защите информации”, риск, связанный с применением несертифицированных информационных систем и средств их
обеспечения, возлагается на собственника (владельца) этих систем и
средств. В свою очередь, риск, связанный с использованием информации, полученной из несертифицированной системы, возлагается на потребителя информации.
Именно распределение рисков
между сторонами (и возложение основных из них на лицо, обязанное
получать сертификат), а не обусловливание юридической силы документов наличием сертифицированных средств криптографии в информационной системе должно предусматриваться в Законопроекте в качестве последствия использования
подобных несертифицированных
средств.
Обходит Законопроект вниманием вопрос признания на территории
Республики Беларусь иностранных
сертификатов ЭЦП. Учитывая
наднациональный статус сети Интернет, это может стать значительным упущением.
В целом специалисты выделяют
следующие основные подходы к ре-
шению вопроса о признании иностранных сертификатов.
1. Международный (ст. 12 Типового закона ЮНСИТРАЛ об электронной подписи): основан на
критерии существенного сходного уровня надежности ЭЦП с
учетом международных стандартов или соглашения сторон. Географическое место выдачи во
внимание не принимается.
2. Европейский (ст. 7 Директивы
Евросоюза 1999/93/ЕС): допускает признание квалифицированных сертификатов третьих
стран, если сертифицирующий
центр аккредитован в одном из
государств ЕС, имеется гарантия
сертификата такой страны или
действует соглашение о взаимном признании сертификатов.
3. Американский (ст. 301 Закона
“Об электронной подписи в глобальной и национальной коммерции”): функции содействия в
признании ЭЦП с учетом принципов самого Закона возлагаются на министра торговли.
4. Российский (ст. 18 Закона “Об
ЭЦП”): признание иностранного
сертификата при соблюдении
процедуры признания иностранного документа.
5. СНГ (ст. 20(1) Модельного закона “Об ЭЦП”): допускает признание иностранной ЭЦП, если она
может быть проверена открытым ключом, имеющим иностранное свидетельство, выпущенное одной из стран СНГ или государством, с которым есть соответствующее соглашение5.
Выбор одного из перечисленных
вариантов для Законопроекта может помочь избежать состояния
правовой неопределенности в связи
с использованием иностранных сертификатов.
В заключение следует отметить,
что для целей защиты участников
информационного обмена акты законодательства не могут подменять
собой технические решения. В свою
очередь, выбор таких решений должен зависеть от выбора самих сторон. В противном случае законодательство может стать не катализатором, а скорее сдерживающим фактором в развитии информационных
технологий.
Шамраев А.В. Правовое регулирование информационных технологий. М., 2003. С. 60.
См. там же. С. 55—56.
57