(Директива Европейского союза о правовых основах Сообществ для использования электронных подписей)
B конце прошлого года, точнее, 13 декабря 1999 г., произошло событие, которое является важным шагом в формировании европейского права электронной коммерции, — была принята Директива Европейского союза о правовых основах Сообществ для электронных подписей (далее — Директива1). Данный документ представляет интерес в двух отношениях: с точки зрения будущего состояния права в области электронной коммерции в европейских странах и применительно к ведущейся в России законодательной работе в этом направлении. Мы попытаемся дать анализ Директивы, останавливаясь только на наиболее важных, по нашему мнению, моментах.
Вводимый понятийный аппарат
Вводимый Директивой понятийный аппарат определяет идеологию всего документа. Достоинством Директивы является использование достаточно нейтрального в технологическом отношении подхода, при котором выделяются только те аспекты электронной подписи (ЭП), которые обусловлены не конкретными решениями, а целью использования ЭП и логикой правоотношений сторон, использующих ЭП. Итак, под ЭП понимаются данные в электронной форме, присоединяемые к другим данным или логически связанные с ними (предметный признак ЭП) и служащие для аутентификации (функциональный признак ЭП). Директива предусматривает возможность использования ЭП с более широкими функциональными признаками («электронные подписи повышенной надежности», ЭППН2). ЭППН признается таковой, если она отвечает следующим требованиям:
- связана однозначно с подписавшим лицом (signatory);
- достаточна для его идентификации;
- создается с использованием средств, находящихся под единоличным контролем подписавшего лица;
- связана с данными, к которым она относится, таким способом, что любое последующее изменение этих данных становится очевидным.
Движение в направлении «технологической нейтрализации» продолжается и в отношении инфраструктуры использования ЭП. Директива выделяет две логически связанные группы.
1. Данные для создания и средства создания ЭП (signature-creation data/signature-creation device). Данные для создания ЭП должны обладать уникальностью (в качестве примера приведены секретные ключи), а в качестве средств создания ЭП могут использоваться конфигурированное программное обеспечение или аппаратные средства. Средства создания ЭП признаются «защищенными» (secured), если они в соответствии с Приложением III к Директиве обеспечивают, как минимум, тот факт, что используемые данные для создания ЭП:
- порождают ЭП только единожды и их секретность определенным образом обеспечена;
- не могут быть выделены из ЭП с достаточной точностью и ЭП защищена против мошенничества с применением доступной в настоящее время технологии;
- могут быть надежно защищены уполномоченным подписывающим лицом от использования другими лицами.
Соответствие защищенных средств создания ЭП указанным требованиям должно определяться (согласно п. 4 ст. 3 Директивы) государственными или частными органами, уполномоченными на это странами-участницами, на основании критериев, устанавливаемых Комиссией.
2. Данные для проверки и средства проверки ЭП (signature-verification data/signature-verification device)3. C данными для проверки ЭП Директива связывает понятие «сертификат» («квалифицированный сертификат»). Сертификат представляет собой электронное удостоверение, которое связывает данные для проверки ЭП с определенным лицом и подтверждает идентичность этого лица. Квалифицированный сертификат (quаlified certificate) представляет собой сертификат ЭП, отвечающий специальным требованиям, а именно он содержит:
- указание, что сертификат выдан в качестве квалифицированного сертификата;
- данные, идентифицирующие провайдера сертификационных услуг (certification-service-provider, CSP; далее — провайдер СУ) и страну, где он зарегистрирован;
- имя подписавшего лица или его псевдоним, который должен быть обозначен как таковой (указание псевдонима допускается в соответствии с п. 3 ст. 8);
- место для специальных реквизитов, включаемых подписавшим лицом, если это требуется, в зависимости от цели использования сертификата;
- дату проверки ЭП, соответствующую дате создания ЭП подписавшим лицом;
- срок действия сертификата;
- идентификационный код сертификата;
- ЭППН провайдера СУ;
- ограничение сферы использования сертификата, если это ограничение применяется;
- лимит стоимости сделок, при совершении которых может использоваться сертификат, если этот лимит применяется.
Выдача квалифицированных сертификатов сопровождается возложением на провайдера СУ обязательств по гарантии их надежности и имущественной ответственности перед пользователями за понесенные убытки, о чем мы будем говорить ниже более подробно.
Принципы использования ЭП и сертификатов
Из названия Директивы видно, что этот документ носит рамочный характер. Он ставит своей целью создать правовые предпосылки для широкого использования ЭП в странах Европейского союза. Среди этих предпосылок придание ЭП юридической и доказательственной силы, по мнению авторов Директивы, занимает приоритетное место4. При этом в преамбуле специально подчеркивается, что законодательное регулирование не требуется, если ЭП используется исключительно в рамках систем, основанных на соглашениях между ограниченным количеством участников (речь идет о закрытых системах электронного документооборота).
В соответствии со ст. 5 Директивы государства-участники должны обеспечить условия, при которых ЭППН, основанные на квалифицированных сертификатах и созданные с использованием защищенных средств создания ЭП, удовлетворяли бы юридическим требованиям к данным в электронной форме в той же степени, в какой собственноручная подпись удовлетворяет требованиям к данным на бумажном носителе. Кроме того, государства-участники должны в законодательной форме признать правомерность использования ЭП в качестве доказательства при судебном разбирательстве. Страны-участницы обязаны гарантировать, что юридическая и доказательственная сила ЭП не будет отрицаться только по той причине, что она имеет электронную форму5, не основана на квалифицированном сертификате или квалифицированном сертификате, выданном аккредитованным провайдером СУ, или не была создана с использованием защищенного средства создания ЭП.
Директива не содержит примерного перечня областей использования ЭП (этот перечень определяется национальным законодательством) и прямых ограничений на использование ЭП, которые могут быть указаны в квалифицированном сертификате (см. выше) и/или в законодательстве государства-участника в отношении порядка использования ЭП в государственном секторе (при условии, что такие ограничения будут объективными, понятными, пропорциональными и недискриминационными, касаться только особенностей использования и не будут препятствовать предоставлению граничных услуг для граждан — п. 7 ст. 3).
В отношении процедур проверки ЭП Директива устанавливает только рекомендации, касающиеся соответствия используемых данных, проверки аутентичности и действительности сертификата, использования псевдонима и внесенных изменений.
Регулирование сертификационных услуг и деятельности провайдеров СУ
Директива исходит, с одной стороны, из принципа свободы оказания сертификационных услуг, а с другой — из принципа контроля за деятельностью провайдеров СУ. Эти принципы получают свое выражение в положениях ст. 3, 4, 6 (п. 2) и 8, устанавливающих следующие обязательства государств-участников в сфере регулирования сертификационных услуг и деятельности провайдеров СУ:
- государства-участники не вправе ставить оказание сертификационных услуг в зависимость от получения предварительного разрешения со стороны государственных органов;
- государства-участники могут вводить систему добровольной аккредитации, направленную на повышение качества оказываемых сертификационных услуг, требования которой должны быть объективными, понятными, пропорциональными и недискриминационными. Добровольная аккредитация включает любое разрешение, установление прав и обязанностей применительно к сертификационным услугам, осуществляемые по запросу заинтересованного провайдера СУ;
- государства-участники не вправе ограничивать количество аккредитованных провайдеров СУ в целях, подпадающих под регулирование Директивы;
- государства-участники обязаны обеспечить адекватный надзор за деятельностью провайдеров СУ, зарегистрированных на их территории и выдающих квалифицированные сертификаты;
- государства-участники не вправе ограничивать оказание сертификационных услуг с территории других государств-участников в сфере, регулируемой Директивой;
- государства-участники обязаны обеспечить свободное обращение продуктов ЭП (electronic-signature products), используемых провайдерами СУ, если они соответствуют требованиям Директивы;
- государства-участники должны обязать провайдеров СУ, выдающих квалифицированные сертификаты, нести ответственность за возникшие по их вине убытки на основаниях, предусмотренных Директивой (см. ниже);
- государства-участники обязаны обеспечить соблюдение провайдерами СУ и национальными органами, ответственными за аккредитацию, требований Директивы 95/46/EC от 24 октября 1995 г. о защите физических лиц применительно к обработке персональных данных и свободной передаче таких данных6, включая возложение на провайдеров СУ обязательства получать персональные данные только непосредственно от их носителя и при его прямом согласии на их предоставление и только в целях выдачи и ведения сертификатов.
Для того чтобы осуществлять свою деятельность на территории государств-участников, провайдеры СУ должны соответствовать специальным требованиям, указанным в Директиве (Приложение II). В частности, провайдер СУ обязан:
- демонстрировать надежность, необходимую для оказания сертификационных услуг;
- обеспечивать функционирование легкодоступного и безопасного справочника квалифицированных сертификатов, а также безопасный и немедленный отзыв сертификатов;
- обеспечивать возможность точного установления даты и времени выдачи сертификата;
- проверять, применяя разрешенные национальным законодательством средства, идентичность и иные специальные реквизиты лица, которому выдается квалифицированный сертификат;
- использовать надежные системы и продукты, защищенные от внесения изменений и обеспечивающие техническую и криптографическую безопасность поддерживаемых ими процессов;
- предпринимать меры против мошенничества с сертификатами и гарантировать конфиденциальность в процессе генерации данных для проверки ЭП;
- обладать достаточными финансовыми ресурсами для функционирования в соответствии с требованиями Директивы, в частности для несения ответственности за убытки, а также принимать меры для снижения риска, например, путем страхования;
- хранить в электронной форме всю относящуюся к квалифицированным сертификатам информацию в течение соответствующего периода времени, в частности, в целях обеспечения доказательственной силы сертификатов на судебном процессе и для иных целей7.
Перечень требований, предъявляемых к провайдеру СУ, представлен столь подробно в целях максимального предупреждения рисков убытков для лиц, использующих квалифицированные сертификаты или полагающихся на них. В том случае, когда убытки все-таки предотвратить не удается, Директива в ст. 6 возлагает на провайдеров СУ ответственность по следующим основаниям:
- неточное указание (неуказание) информации, содержащейся (которая должна содержаться) в квалифицированном сертификате на момент выдачи;
- нарушение гарантии того, что на момент выдачи сертификата подписавшему лицу, идентифицируемому в квалифицированном сертификате, принадлежат данные для создания ЭП, соответствующие данным для проверки ЭП, приведенным в сертификате или идентифицируемым с его помощью;
- нарушение гарантии того, что данные для создания и проверки ЭП могут использоваться дополнительно по отношению к друг другу, если они предоставляются одним провайдером СУ;
- неспособность зарегистрировать отзыв сертификата.
- Основанием ответственности провайдера СУ является умышленное или неосторожное действие. Такой вывод позволяет сделать оговорка о том, что ответственность наступает, если провайдер СУ не сможет доказать, что он не действовал небрежно (not acted negligently). В качестве защитной меры Директива допускает включение провайдерами СУ в квалифицированные сертификаты ограничений, касающихся сферы их использования и размера совершаемых сделок при условии, что эти ограничения признаются третьими лицами. Последнее положение в Директиве, к сожалению, не расшифровывается. На наш взгляд, его следует понимать как признание данных ограничений участниками договорных отношений с провайдером СУ.
Международно-правовые аспекты
Директива допускает признание квалифицированных сертификатов, выданных провайдерами СУ третьих стран (не являющихся членами ЕС). Целью этого, как следует из преамбулы, является содействие развитию электронной коммерции. Условия признания сертификатов третьих стран указаны в ст. 7 (эти условия должны выполняться одновременно):
- аккредитация провайдера СУ третьей страны в системе добровольной аккредитации государства-участника;
- гарантия сертификата третьей страны со стороны провайдера СУ государства-участника;
- наличие двустороннего или многостороннего соглашения о признании сертификатов или провайдеров СУ, заключенного между государством-участником и третьими странами или международными организациями.
Представляется, что принципы, заложенные в Директиве, обладают достаточным потенциалом для их использования в российском законодательстве с учетом отечественных реалий. Пользуясь предоставленной журналом возможностью, мы попытаемся в последующих номерах продолжить обсуждение зарубежного и международного права в области электронной коммерции (включая проекты соответствующих документов) и способов «прививки» полезных побегов на российское правовое древо.
ОБ АВТОРЕ
Шамраев Андрей Васильевич — к. ю. н., к. э. н., старший преподаватель МГИМО МИД РФ.
Под ЭП понимаются данные в электронной форме, присоединяемые к другим данным или логически связанные с ними (предметный признак ЭП) и служащие для аутентификации (функциональный признак ЭП)
1 Directive on a Community Framework for electronic signatures. Officical Journal L013, 19.01.2000, p. 0012-0020.
2 Advanced electronic signatures.
3 К слову, аналогичный подход использован в российском законодательстве во Временном Положении Банка России № 17-П от 10.02.98 г. «О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями» (далее — Положение № 17-П).
4 Автор данной статьи является сторонником несколько иного подхода: представляется, что юридические последствия влечет не сам факт использования ЭП, а обмен электронными документами, подписанными ЭП, причем эти последствия зависят от содержания документов. Следовательно, говорить о признании юридической силы необходимо применительно к электронному документу. В отношении же доказательственной силы ЭП можно согласиться с подходом, согласно которому ЭП может служить одним из доказательств подлинности электронного документа.
5 Следует отметить, что в Типовом законе ЮНСИТРАЛ «Об электронной торговле» (1997 г.) данное положение относится к сообщению данных в электронной форме, а не к подписи (ст. 5).