Оформите запрос на демонстрацию системы

Мы свяжемся с вами в течение одного рабочего дня, чтобы определить ваши потребности и удобный формат демонстрации системы DIRECTUM:

Заказать демонстрацию

По вопросам выбора и приобретения:
present@directum.ru
+7 (341) 272-11-00

Вверх
@DIRECTUMCompany:   Пожалуйста, подождите, загружаем данные из twitter...
Читайте также практические материалы об автоматизации задач и процессов:

Закон «Об электронной цифровой подписи». Контент-анализ возможности использования для органов государственной власти и бизнеса.

В январе 2002 года Президент РФ подписал закон «Об электронной цифровой подписи». 

Сегодня практически ни одна конференция не обходится без того, что бы вопрос об этом законе не был, затронут в том или ином виде. Мнения высказываются порой диаметрально противоположные. 

Оценить последствия принятия этого закона для экономики страны в целом и частного бизнеса в частности - основная задача настоящей статьи.

Так ли необходим закон?

Для того чтобы оценить актуальность и направленность закона необходимо выполнить следующие действия:

  1. Оценить, как складывалась ситуация в области регулирования закона до его отсутствия.
  2. Провести контент-анализ закона, то есть анализ, в котором отражено влияние закона на интересы (экономические, политические и социальные) всех субъектов, затронутых регулированием закона и сопоставить полученные результаты, с реальными интересами субъектов.
  3. Рассмотреть в динамике процесс изменения отношения заинтересованных сторон к принятому закону.

Когда закона не было

С 1990 года в России на коммерческий рынок стали продвигаться так называемые технологии цифровой подписи (ЦП). Системы ЦП позволяют создавать в электронных документах аналог собственноручной подписи. При этом речь не идет, например, о технологиях, позволяющих сохранять в электронном виде графическое изображение подписи, механизмы ЦП, существенно отличаются от простого анализа изображения, и основаны на сложных математических задачах. Иными словами, подпись в электронном виде - это набор цифр, позволяющий не только идентифицировать лицо, сформировавшее эту подпись, но и обеспечить неизменность документа после подписания. 

Гражданский кодекс РФ закрепил возможность использования ЦП, наряду с иными аналогами собственноручной подписи (АСП) в электронном документообороте. 

Часть первая, Статья 160, п. 2

"Использование при совершении сделок ... цифровой подписи ...допускается в случаях и порядке, предусмотренных законом, иными правовыми актами или соглашением сторон";

Часть первая, Статья 434, п.1

"Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась".

Часть первая, Статья 434, п.2

"Договор в письменной форме может быть заключен ...путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору".

С момента принятия части первой гражданского кодекса системы электронного документооборота стали полностью юридически легальными. С момента принятия первой части ГК, в России сложилась богатая практика, в т.ч. судебная по использованию систем ЦП в коммерческом секторе. Базой для упорядочения взаимоотношений сторон, использующих ЦП в бизнес процессах являлся т.н. "договор сторон", или "договор участников системы с использованием ЦП". В системах документооборота государственных органов применение ЦП пробуксовывало, поскольку регулировать использование ЦП в этих системах договорным правом не возможно.

Вследствие вышеупомянутых причин к 1997 году, сложилась ситуация, в которой принятие закона "О цифровой подписи" становилось актуальным в первую очередь для государства. Дополнительную актуальность принятию указанного закона, являлось стремление России вступить в ВТО, страны же члены ВТО уже имели аналогичные законы, позволяющие вести бизнес в киберпространстве не только на основе предварительно заключенного договора, но и на основе действующих законов. Справедливости ради следует отметить, что наличие такого закона не являлось обязательным требованием для вступления в ВТО, а лишь должно было продемонстрировать добрую волю России в направлении гармонизации внутреннего законодательства и международного.

Таким образом, принятие закона преследовало следующие цели:

  1. Необходимость создания законодательной базы для внедрения АСП (ЦП) в системы электронного документооборота органов государственной власти.
  2. Гармонизация российского законодательства с международным.
  3. Создание правовой основы для интеграции внутренних и международных систем электронной торговли.
  4. Упрощение процедур ведения "электронного" бизнеса.

Теоретически принятие закона "О цифровой подписи" несло потенциальные выгоды и потребителям услуг, позволяя им вступать в правоотношения без предварительного заключения договора в бумажном виде.

Исходя из этого, следует заметить, что в каждой из областей затрагиваемых законом - экономической, политической и социальной разные субъекты имели сильно отличающиеся интересы.

Предприниматели ждали:

Государство преследовало несколько иные цели:

Для компаний связанных с разработкой систем ЦП ожидания были связаны в, первую очередь, с:

Контент-анализ закона

Несоответствие закона объективным условиям

1. Закон описал технологию, которая практически не используется в РФ, тем самым возник технологический конфликт между реально действующими системами и системой, заложенной в законе. 

2. Закон противоречит международной практике и рекомендациям. В частности:

Основные несоответствия:

3. Закон вступает в противоречие с концепцией реформирования экономики, в части сокращения видов лицензируемой деятельности, так как вводит новые виды лицензируемой деятельности.

Анализ закона на возможность реализации его положений

  1. Закон привязывает понятие электронная подпись к понятию реквизит электронного документа. До момента принятия закона об электронном документе и определения перечня и правила простановки реквизитов документа в электронном виде закон об ЭЦП реализовать невозможно.
  2. Закон подразумевает использование для подтверждения подлинности только сертифицированных средств. Поскольку сертификаты выдаются лишь на определенный срок, и существуют прецеденты не продления сертификатов, постольку возможна ситуация остановки работы действующей системы в силу несоответствия ее закону.
  3. Отсутствует система сертификации средств ЭЦП. Необходимо принятие соответствующего положения и введение соответствующей системы.
  4. Понятие корпоративной и публичной системы расплывчато и требует принятие отдельного документа в котором эти понятия будут даны однозначно.
  5. Владельцем подписи может быть только физическое лицо, в связи с этим необходимо определить правило подписывания документов от имени организации. Это необходимо в связи с тем, что на физическое лицо можно обратить только уголовную и гражданскую ответственность в судах общей юрисдикции, а конфликты между организациями рассматриваются в арбитражных судах.
  6. Закон связывает сертификат ключа подписи с правоотношениями, для которых подпись может быть использована. Следовательно пользователь должен заранее предвидеть, в какие правоотношения он собирается вступать с использованием ключа. Следует определить "типовые виды правоотношений", включаемых в сертификат.
  7. Для выдачи копии сертификата в период его архивного хранения, необходимо положение о правилах выдачи, т.к. закон содержит отсылочную норму.
  8. Необходимо определить порядок сдачи бумажных сертификатов в архив, поскольку закон содержит отсылочную норму.
  9. Необходимо положение о лицензировании деятельности удостоверяющего центра
  10. Необходимо постановление правительства о пределе ответственности удостоверяющего центра
  11. Статья 9 о деятельности УЦ с одной стороны возлагает на УЦ функции ему несвойственные (проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра, создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи), что с одной стороны делает его работу затруднительной, с другой дезавуирует идею ЭЦП, так как генерация ключей третьим лицом исключает возможность однозначного установления авторства). Это должно быть урегулировано в документе "Типовое положение об удостоверяющем центре"
  12. Статья 10 предусматривает разработку "Регламента работы уполномоченного федерального органа".
  13. Статья 12 в части пункта 1 обязывает владельца ключа подписи "не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее". Тем самым формально обязывает получать сертификат подписи для каждого нового документа, что очевидно абсурдно.
  14. Статья 13 может приводить к коллизиям, связанным с временной приостановкой действия сертификата, в международной практике такая процедура не предусмотрена.
  15. Статья 15 требует создания "Положения о ликвидации УЦ"
  16. Статья 18 требует детализации в "Правилах признания иностранных сертификатов" 

Анализ соответствия закона, преследуемым целям

В части упрощения ведения "электронного бизнеса"

Статья 1 закона ""Об электронной цифровой подписи"" декларирует главную цель принятия закона. "Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе". Уже по этой формулировке видно, что закон не может достичь всех тех целей, которые преследовало его принятие, поскольку он жестко увязывает понятие электронной цифровой подписи (ЭЦП) и понятие электронного документа. В то время как, в коммерческой сфере с помощью АСП заверяются самые разнообразные объекты - программные средства, недокументированные данные, информация, не сохраняемая на каком либо носителе и т.д. Таким образом, закон не привносит ничего нового в схемы электронного ведения бизнеса, которые либо должны оставаться на основе договорного права, либо вовсе вне правового поля, например, публичные системы, связанные с электронными платежами. 

В части гармонизация российского законодательства с международным

Закон не достигает своей цели, так как полностью противоречит Директиве ЕС от 1999 года, модельному закону UNCITRAL, рекомендациям ВТО. 

В части создания правовой основы для интеграции внутренних и международных систем электронной торговли

Закон не достигает своей цели, так как вводит обязательную сертификацию средств ЭЦП и лицензирование деятельности связанной с ЭЦП, не дает правовой основы для признания иностранных сертификатов. Статья 18 закона носит декларативный характер.

В части создания законодательной базы для внедрения АСП (ЦП) в системы электронного документооборота органов государственной власти.

Закон достигает цели лишь частично, так как требует создания большого количества подзаконных актов, которые и будут регламентировать правила применения ЭЦП в органах государственного управления. 

Анализ закона с точки зрения ожиданий субъектов правоотношений

В области задач решаемых государством

Ожидалось:

Получено:

В области предпринимательской деятельности.

Ожидалось:

Получено:

Компании, связанные с разработкой систем ЦП.

Ожидалось:

Получено:

Анализ закона с точки зрения экономических, политических и социальных последствий

Международные политические последствия

Принятие закон, идущего вразрез с рекомендациями влиятельных международных организаций негативно скажется на имидже страны. Поскольку, провозгласив на словах стратегический курс на интеграцию в мировую экономику и политику, на деле в стране принимаются законы, изолирующие Россию от развитых стран.

Внутриполитические последствия

Принятие закона, вводящего жесткое регулирование в новой сфере бизнеса, подрывает доверие к правительственной концепции дебюрократизации экономики и создает негативное отношение бизнеса к ряду государственных организаций.

Международные экономические последствия

Закон, фактически требует создания технологии ЭЦП, отличной от международных стандартов и общепринятой практики. Тем самым Российские информационные технологии с одной стороны становятся непривлекательными для иностранных инвесторов, с другой - практически до нуля снижается возможность экспорта информационных технологий из России. В то же время информационные технологии эта то направление в области международного экономического сотрудничества, которое в России имеет высокие шансы стать лидирующим.

Внутренние экономические последствия

Жесткое регулирование деятельности связанной с ЭЦП, негативно скажется на ряде новых и перспективных видах предпринимательской деятельности - в первую очередь на бизнесе связанном с созданием коммерческих удостоверяющих центров. В свою очередь это снизит интерес производителей к разработке и производству программного обеспечения в этой области. Таким образом, через некоторое время после нормализации ситуации в области ЭЦП. Российские компании окажутся, не конкурентоспособны в сравнении с компаниями иностранными, активно оперирующими на этом рынке 

Социальные последствия 

Социальные последствия следуют из политических и экономических. В первую очередь затормозится реализация программы "Электронная Россия" в части обеспечения обратной связи граждан и органов государственной власти, снижение инвестиционной привлекательности отрасли информационных технологий, негативно скажется на положении граждан, занятых в этой сфере.

Отношение заинтересованных сторон к закону

Круг разработчиков изначально предопределил его будущую несостоятельность. Основными исполнителями являлись организации с серьезными межведомственными противоречиями - ЦБ РФ, Минсвязи РФ и ФАПСИ (федеральное агентство правительственной связи и информации). С 1997 по 2001 было создано более 20 (!!!) вариантов законопроекта. При этом наибольшую деструктивную роль в принятие согласованной версии вносило ФАПСИ. К январю 2001 года из рабочей группы фактически были вытеснены ЦБ РФ и Минсвязи, представители бизнеса и юристы были отстранены практически одновременно. 

Таким образом, фактически монопольным разработчиком закона оказалось ФАПСИ. Истинная подоплека происходящего прояснилась вместе с принятием программы "Электронная Россия", в которой одним из приоритетов провозглашалась информатизация органов государственной власти. Либеральные тенденции программы "Электронная Россия" должны были, по мнению руководства ФАПСИ, "компенсированы" жестким законом о ЦП. А, иначе говоря, закон о ЦП должен был помочь ФАПСИ монополизировать сферу информатизации государственных организаций, с последующим финансированием этих проектов из бюджета. 

В результате принятие закона сопровождалось беспрецедентным давлением на законодателей, первое, второе и третье чтение закон прошел перед летними каникулами, ноябрьскими праздниками и новогодними каникулами, то есть тогда, когда на серьезное обсуждение времени просто не было. Кроме того, апеллируя к заинтересованности правительства практически везде (на комитетах, парламентских слушаниях и т.д.) закон представляли сотрудники ФАПСИ. Отказать этим бравым ребятам в погонах законодатели не решились.

Парадоксально, но осознание того факта, что принят закон, фактически не способствующий внедрению цифровой подписи, а мешающий пришло к инициаторам его скорейшего принятия в тот момент, когда стало необходимо запускать механизмы закона в действие.

Первым сигналом, о том, что ситуация изменяется, стало выступление на "Российском интернет форуме", недавно назначенного, первого заместителя министра связи Короткова А.В., который осторожно упомянул, что в связи с необходимостью разработки механизма введения в действие закона "Об ЭЦП" необходимо выполнить большую и непростую работу.

На конференции АДЭ "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти" депутат Государственной Думы В.А. Тарачев, один из активных разработчиков законопроекта на первом этапе, подверг закон резкой критике. В начале своего выступления В.А. Тарачев сравнил закон с телегой, так как и новоиспеченный закон и телега действуют по принципу "куда дышло, туда и вышло". Далее В.А. Тарачев высказал сожаление, что многие его коллеги, в том числе и он, не смогли разобраться со всеми подводными камнями законопроекта, и высказал готовность, как работать с поправками к этому закону, так и идею о принятии некоего поглощающего закона "Об электронных подписях". В любом случае, сказал депутат, закон практически не применим.

Выводы

По области регулирования до принятия закона :

  1. Применение аналогов собственноручной подписи в бизнесе не требовало принятия отдельного закона.
  2. На момент принятия закона сложилась правовая практика и деловые обычаи
  3. Принятый закон практически аннулирует сложившуюся правовую практику и деловые обычаи.

По контент-анализу:

  1. Закон не соответствует объективным обстоятельствам, в которых предполагается его реализовывать.
  2. Закон противоречит интересам общества и государства
  3. Закон, практически не достигает поставленных целей.
  4. Закон может быть полезен только для органов государственной власти.
  5. Отдельные положения закона должны быть детализированы на уровне подзаконных актов.
  6. Отдельные положения закона должны быть изменены
  7. Требуется принятие закона, регулирующего использование иных АСП и соответствующего международным рекомендациям и нормам.

По отношению заинтересованных сторон:

  1. У инициаторов принятия закона произошел определенный спад активности при переходе к реализации закона.
  2. Трехмесячный срок, отпущенный на принятие нормативных подзаконных актов, истек.
  3. Представители органов государственной власти высказывают опасения по поводу реальности появления практики правоприменения закона.

Проведенный анализ показывает - принятие закона негативно сказывается как на конкретных направлениях деятельности государства и бизнеса, так и на их общем положении.

Влияние закона на бизнес

Перевод теоретических рассуждений о несовершенстве закона в практическую область ставит перед представителями бизнеса один главный вопрос- что делать непосредственно сейчас.

Да не покажется это странным, несмотря на глубокое проникновение систем цифровой подписи в бизнес процессы большинства организаций (системы клиент банк, электронный документооборот, электронная торговля, клиринг и т.д.) следует заметить, что закон не несет ничего нового в эти области.

Основная причина этого заключается в том, что в определении закона "Об электронной цифровой подписи" 95% процентов систем ЦП присутствующих на рынке не являются системами ЭЦП в смысле закона, и следовательно не подпадают под его регулирование. С другой стороны, практически все на сегодняшний день существующие системы, использующие ЦП и иные АСП, являются корпоративными, а для корпоративных систем "Закон об ЭЦП" устанавливает особый статус регулирования, определяемый владельцем системы.

Тем не мене, следует отметить, что закон предусматривает обязательное лицензирование деятельности т.н. удостоверяющих центров (УЦ - в некотором смысле электронный аналог нотариуса - подписывает в электронном виде образцы подписей). И эта сфера бизнеса, интерес к которой во всем мире постепенно возрастает, оказывается жестко зарегулированной и практически недоступной для частного бизнеса.

В связи с изложенным, необходимо дать несколько практических рекомендаций владельцам систем, использующих ЦП, и их пользователям.

Как правильно оформить документы для ведения бизнеса с использованием ЦП

Согласно п. 2. статьи 1. закона "Об электронной цифровой подписи"

Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Следовательно, необходимо определить сферу действия настоящего закона.

В федеральном законе "Об электронной цифровой подписи" (далее по тексту закон об ЭЦП) вводится понятие ЭЦП:

электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе; 

Таким образом, понятие ЭЦП неразрывно связывается с понятием сертификата ключа и понятием криптографического преобразования.

Следовательно, к системам ЭЦП следует относить системы подтверждения подлинности с использованием сертификатов и основанных на криптографических преобразованиях.

В законе дано определение сертификата ключа, электронной цифровой подписи.

сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

Понятие криптографического преобразования в законе и иных нормативных документах, имеющих юридическую силу, отсутствует.

С другой стороны, понятие средств криптографической защиты информации (СКЗИ) и шифровальных средств имеется в ведомственных документах ФАПСИ. Так же некоторые производители позиционируют свою продукцию, как СКЗИ, или как шифровальные средства.

В связи с этим средства цифровой подписи (устоявшийся международный термин digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют Российские потребители не являются системами ЭЦП, с точки зрения определения закона. Более того, системы с использованием сертификатов, но без создания удостоверяющих центров, а также системы в которых подписи зарегистрированы на юридическое лицо, с точки зрения рассматриваемого закона относятся к иным аналогам собственноручной подписи и законом не регулируются.

Таким образом:

Системы без использования сертификатов или УЦ

Не регулируются законом "Об ЭЦП". Регулирование в них основано на следующих документах:

  1. "Гражданский Кодекс Российской Федерации":
  2. Федеральный Закон "Об информации, информатизации и защите информации",
  3. Официальные материалы Высшего Арбитражного Суда РФ:

Какое положение по отношению закона занимают системы, использующие сертификаты и удостоверяющие центры. 

Возможно несколько случаев:

Корпоративная система без использования СКЗИ

Если Ваша система цифровой подписи не является СКЗИ или шифровальным средством , квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ. В этом случае регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю 

Системы без использования сертификатов или УЦ

Дополнительная информация. 

Как определить корпоративный статус системы.

В случае если пользователи системы, подключены к единому поставщику услуг, имеющему удостоверяющий центр, и работают на основе договора. Система является корпоративной. Для однозначного отнесения системы к корпоративной в договоре на оказание услуг необходимо:

  1. Обязательно указать статус системы, как корпоративный.
  2. Указать, что доступ к систем возможен только при получении специального абонентского комплекта (программно-аппаратного обеспечения), отсутствие которого не позволяет подключаться к системе.
  3. Указать, что получить указанный абонентский комплект (скачать с сайта или получить иным, нежели при непосредственном контакте путем) пользователь может, только согласившись с правилами корпоративной системы, в т.ч. в электронном виде (путем акцепта предложения на сайте, направления письма или напрямую подписав договор).

В этом случае система определяется как корпоративная в независимости от каналов доступа (Интернет, телефон и т.д.), поскольку в этом случае сети публичных провайдеров используются исключительно как транспортная среда и не служат для оказания публичной услуги. Квалифицирующим признаком "корпоративная система", служит отсутствие возможности подключения к системе пользователя публичных систем без предварительного заключения договора.

Публичная система без использования СКЗИ

Поскольку, как и в предыдущем случае Ваша система цифровой подписи не является СКЗИ или шифровальным средством, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ, постольку регулирование ее использования находится вне сферы рассматриваемого закона, и регулируется аналогично случаю Системы без использования сертификатов или УЦ.

Корпоративная система с использованием СКЗИ

Если Ваша система основана на криптографических преобразованиях, квалифицирующим признаком чего является наличие сертификата ФАПСИ на используемые средства, или позиционирование разработчиком своих разработок, как шифровальных средств или СКЗИ, 

В этом случае согласно закону, система является корпоративной системой ЭЦП и регулируется по Статье 17 закона "Об ЭЦП".

Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.

Дополнительно в этом случае, согласно закону о лицензировании отдельных видов деятельности Вам необходимо получить:

  1. Лицензию на право ведения деятельности, связанной с оказанием услуг, связанных с использованием ЭЦП. 
  2. Лицензию на деятельность УЦ.

Публичная система с использованием СКЗИ

По сравнению с предыдущим вариантом, накладывается дополнительное ограничение, связанное с необходимостью использовать только, сертифицированное программное обеспечение.

В случае использования внешнего УЦ, требование на получение лицензии на деятельность УЦ, снимается. 

Выводы:

Таким образом, существуют две схемы регулирования, одна наиболее общая - на основе Гражданского Кодекса и решениях Арбитражного суда (эта схема в ближайшее время найдет свое отражение в новом законе "Об электронных подписях"), другая более узкая, регулирующая использование ЭЦП (в смысле определений, данных в законе).

Обозначив, первую схему I, а вторую II, можно указать способы регулирования для всех типов систем в виде таблицы, во второй строке указано наличие дополнительных лицензий, получение которых необходимо.

Лицензия №1 - лицензия на деятельность по оказанию услуг, связанных с использованием ЭЦП.

Лицензия №2 - лицензия на деятельность УЦ.

Волчков Алексей Анатольевич, президент ассоциации "РусКрипто"

Опубликовано: Всероссийская конференция "Автоматизация делопроизводства и электронный документооборот в органах власти"

Перейти к полному списку аналитики

Кнопка
связи