Зачем нужен Закон об ЭЦП и каким может быть принцип разумной достаточности в государственном регулировании.
Мы приняли критику наших оппонентов в адрес первоначальной версии. В последней версии мы заменили базовое понятие закона — «электронный документ» на понятие «электронное сообщение», и в результате изменилось содержание всего документа. Герман Артамонов, заместитель директора ВНИИПВТИ, руководитель группы разработчиков закона об ЭЦП |
Типичный ответ, который можно услышать из уст государственных мужей, собравшихся на заслуженный отдых, — давайте подождем до осени. Что ж, давайте. Но вместе с тем полезно подвести некие промежуточные итоги, чтобы на далеких морях и золотых песках не растерять ощущение действительности.
Не претендуя на всеохватность, хотелось бы подробнее остановиться на одном из основополагающих компонентов развития электронного бизнеса, а именно на официальном признании на государственном уровне электронно-цифровой подписи (ЭЦП). Тему разработки Федерального закона «Об электронно-цифровой подписи» смело можно назвать одним из «хитов» первого полугодия в среде русскоязычного Internet-сообщества. Спектр мнений по данному вопросу исключительно широк — от необходимости введения тотального контроля за использованием ЭЦП до отрицания необходимости вообще каких бы то ни было регламентирующих нормативных актов. К счастью, крайний радикализм не возобладал, и к концу упомянутого «отчетного периода» в умах большинства общества сложилось устойчивое представление о том, зачем нужен Закон об ЭЦП и каким может быть принцип разумной достаточности в государственном регулировании.
В импровизированном круглом столе на страницах нашего еженедельника принимают участие разработчики основной версии Закона об ЭЦП и их оппоненты. Поскольку проблематика Закона обсуждалась в юридической плоскости, к дискуссии были приглашены: Герман Артамонов, заместитель директора ВНИИПВТИ, руководитель группы разработчиков Закона об ЭЦП; Нина Соловяненко, кандидат юридических наук, старший научный сотрудник Института государства и права РАН, автор последней версии проекта Закона; Михаил Якушев, председатель юридической группы Комитета Интернет АДЭ, старший юрисконсульт компании Global One.
Почему разработкой Закона об ЭЦП занимается Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ), из названия которого следует, что основной профиль его деятельности должен лежать в области технологических проблем информатизации?
Герман Артамонов (ГА): Правительство поручило шести ведомствам, среди которых головным является Минсвязи России, представить на рассмотрение проект Закона об ЭЦП. В совместной разработке, помимо Минсвязи, участвуют также ФАПСИ, Гостехкомиссия, ФКЦБ, Центробанк и Минюст. Наша рабочая группа высылает каждое обновление законопроекта на экспертизу в эти ведомства, а из них к нам поступают замечания и предложения. Мы их обязаны учитывать, то есть первичное согласование позиций заинтересованных ведомств происходит еще на стадии рабочих «черновиков» этого документа.
Поскольку наш институт является государственным учреждением прямого отраслевого подчинения, Минсвязи выступает по отношению к нам как заказчик научно-исследовательских работ в области нормативного регулирования и финансирует их выполнение. Традиционно сложилась такая практика, что если Минсвязи считает, что содержание этих работ относится к компетенции специалистов по информатизации, то генеральным подрядчиком становится ВНИИПВТИ. Если требуется иная компетенция, работы поручаются другим отраслевым институтам, например ЦНИИС.
Однако это вовсе не означает, что мы разрабатываем такие нормативные правовые документы, как Федеральный закон об ЭЦП, полагаясь только на собственные силы. Естественно, мы привлекаем к работе профессиональных юристов, независимых экспертов из других областей хозяйственной деятельности.
Закон устанавливает требования, при соблюдении которых ЭЦП считается равнозначной собственноручной подписи лица. Нина Соловяненко, старший научный сотрудник Института государства и права РАН, автор последней версии проекта Закона об ЭЦП |
На каком этапе находится работа над законопроектом в настоящий момент?
ГА: В конце мая мы разослали основным нашим партнерам и оппонентам (всего 15 организаций) новую редакцию законопроекта, которая, на мой взгляд, существенно отличается от прежней. Сейчас мы ждем их письменного заключения, а затем займемся внесением поправок.
По плану документ должен поступить в правительство в конце сентября. Если нам не вернут проект на доработку, он будет представлен в конце года в Госдуму и после его принятия направлен на подпись президенту. Только тогда Федеральный закон вступит в силу. Так что при самом благоприятном исходе закон сможет заработать не раньше января 2001 года.
В чем цель принятия закона об ЭЦП, и может ли действующий Гражданский кодекс служить достаточной юридической базой для того, чтобы использование ЭЦП было признано легитимным?
Нина Соловяненко (НС): Основных целей несколько. Во-первых, это принципиальное признание ЭЦП в качестве аналога собственноручной подписи для значительно более широкого круга юридических действий, нежели это предусмотрено в ГК, который, если подходить формально, говорит об ЭЦП только в связи с заключением сделок.
В действительности существует великое множество юридических документов, которые не имеют отношения к сделкам, например, документы, связанные с созданием акционерного общества, проведением общего собрания акционеров (письменное уведомление, бюллетени для голосования и т. д.) или вовсе не имеющие отношения к Гражданскому кодексу, например трудовые контракты. Вопрос о возможности использования ЭЦП в таких случаях остается открытым.
Закон необходим также, чтобы открыть легальную возможность использования ЭЦП в качестве функционального эквивалента собственноручной подписи в случаях, когда это прямо не запрещено законодательством. В зарубежном законодательстве об электронной подписи такие запреты относятся к завещанию, процессуальным документам и ряду других. Конечно, потребуется внести ряд изменений и дополнений в действующие российские законы.
Во-вторых, закон устанавливает требования, при соблюдении которых электронная цифровая подпись считается равнозначной собственноручной подписи лица.
Михаил Якушев (МЯ): Вопрос в действительности насущный. Мы приходим к тому, о чем я неустанно повторяю на конференциях, семинарах, заседаниях Думы: зачем выделять отношения, складывающиеся в процессе использования Internet, в особую категорию правового регулирования? Ведь если говорить, например, об электронной коммерции, то у нас действуют многочисленные законы о сфере предпринимательства, Налоговый кодекс, ГК и УК, регулирующие эти отношения от и до. Закон не должен видеть принципиальной, «сущностной» разницы между торговлей за рыночным прилавком или через Internet-магазин.
Закон об ЭЦП до сих пор не принят во многих развитых странах, зато там есть эффективно действующая правовая система в коммерции и торговле, эффективная система контроля банковской деятельности, жизнеспособная судебная власть.
В российском ГК уже предусмотрено использование аналогов собственноручной подписи, включающих подпись в электронно-цифровой форме, оцифрованное изображение подписи, факсимиле. Требование к безусловному юридическому признанию этих эквивалентов подписи — заключение письменного соглашения сторон. Таким образом, применение ЭЦП гармонично укладывается в существующие рамки закона. Но в ГК указан и альтернативный порядок применения ЭЦП — «предусмотренный законом». Вот поэтому закон об ЭЦП и нужен, чтобы без предварительного соглашения сторон ЭЦП признавалась и в гражданском обороте, и при рассмотрении споров в судах.
Закон об ЭЦП нужен для того, чтобы без предварительного соглашения сторон ЭЦП признавалась и в гражданском обороте, и при рассмотрении споров в судах. Михаил Якушев, председатель юридической группы Комитета Интернет АДЭ |
В чем состоит особенность разработки Закона об ЭЦП с точки зрения юриста?
ГА: Как я уже говорил, наши рабочие документы проходят предварительную экспертизу в пяти других госучреждениях, но есть еще открытое обсуждение вариантов законопроекта об ЭЦП в Internet на сайте Минсвязи (www.ptti.ru) и сайте Российской сети информационного общества (www.isn.ru/zakon).
В чем нас нельзя обвинять, так это в закрытости. Пожалуйста, документы доступны всем, высказать свое мнение может каждый гражданин. Только мнение должно быть оформлено не как анонимный выкрик, а в виде соответствующего аргументированного письма с обратными реквизитами. Такие письма для нас являются достаточным основанием, чтобы вернуться к обсуждению спорного вопроса в следующей редакции.
НС: Помимо прямых задач, этот закон должен снять противоречия и неопределенности в отношении ЭЦП, которые есть в иных законах.
Например, действующий Закон об информации, информатизации и защите информации (ст. 5) предусматривает, что юридическая сила документа может подтверждаться электронной цифровой подписью. Однако такой документ приобретает юридическую силу только после его подписания «должностным лицом в порядке, установленном законодательством Российской Федерации». Как быть простым, не должностным лицам, где искать тот порядок и что делать с подписанными «в беспорядке» документами, Закон об информации умалчивает.
Наконец, вводится правовой механизм, регулирующий создание и деятельность, а, кроме того, конкретные права, обязанности и ответственность удостоверяющих центров. Хочу обратить внимание на то, что здесь предпринимается довольно редкий в отечественной законодательной практике шаг, когда система регулирования создается ранее массового развития какого-то вида деятельности, предвосхищая возможные злоупотребления из-за «дыр» в законодательстве или его полного отсутствия.
МЯ: Разработка Закона об ЭЦП — прерогатива юристов и специалистов по безопасности информации, а не связистов. Порочность первоначальной версии законопроекта, предложенного Министерством связи, в том, что информация в их трактовке приравнивалась к объекту имущественных отношений. Базовым понятием являлся электронный документ. И ЭЦП при таком подходе выступала как идентификатор материальной принадлежности информации (электронного документа) конкретному лицу. Это абсурд!
На самом деле в Гражданском кодексе указано, что информация — это особый объект гражданских прав. ЭЦП призвана служить свидетельством неизменности и целостности информации. Электронный документ, имеющий определенную имущественную ценность (в прежней интерпретации Закона об ЭЦП), не может считаться базовым понятием. Ведь на практике существует целый ряд взаимоотношений, при которых мы посылаем или получаем обычные электронные сообщения. Они не имеют фактической имущественной ценности и не могут рассматриваться как документы. За исключением сведений о денежном обороте на банковских счетах, документов, которые направляются в налоговые органы, статистические учреждения, всего, что относится к конфиденциальной информации, утечка которой может привести к реальному финансовому ущербу.
Из закрепленных в ГК принципов следует, что мы можем торговать не информацией, а правом доступа к ней. Иными словами, мы не можем продать кому-либо те сведения, которыми владели, стерев их из своей человеческой памяти. Кроме того, в ГК отсутствует определение такого понятия, как документ. Там есть понятия «сделка» и «письменная форма сделки», которые подменяются термином «документ», взятым фактически из повседневного речевого обихода. Это еще одно подтверждение тому, насколько высока степень правовой энтропии (то есть неоднозначности трактовки понятий) в нашем действующем законодательстве об информационных отношениях.
Нетрудно догадаться, в чем главная беда для практической реализации принимаемых и вновь создаваемых законов. Неоднозначность их действия приводит к тому, что часть законов вообще не работает. К фактически неработающим относятся Закон об информации, информатизации и защите информации и тем более Закон о международном информационном обмене. Между тем проправительственая группа разработчиков Закона об ЭЦП взяла их за основу своей законотворческой деятельности. К чему это приведет? Есть такое правило: сколько на нуль ни умножай...
Имеются ли принципиальные различия между старой и новой версиями законопроекта об ЭЦП?
ГА: Мы приняли критику наших оппонентов и всей сетевой общественности в адрес первоначальной версии. Если помните, множество нареканий вызвало базовое понятие закона — «электронный документ». В последней версии мы заменили его на понятие «электронное сообщение», и в результате изменилось содержание всего документа. Если охарактеризовать эту модификацию в общих чертах, то проект Закона об ЭЦП стал более либеральным. Возможно поэтому мы с особенным нетерпением ждем рецензию ФАПСИ, с которым обязаны согласовывать текст законопроекта.
Ключевые аспекты, позволяющие судить о том, насколько государственный подход к регулированию является демократичным или авторитарным, — это вопросы лицензирования или сертификации деятельности субъектов, к которым обращен закон. В каком направлении с этой точки зрения движется работа над законодательством об ЭЦП?
ГА: В настоящее время вектор работы нашей группы направлен в первую очередь в сторону гармонизации российского закона с проектом модельного Закона об ЭЦП, обсуждаемого в рамках СНГ, и с соответствующими директивами Совета Европы. В частности, могу сказать, что сейчас обсуждаются такие нюансы в проблеме лицензирования удостоверяющих центров, как отмена обязательного государственного лицензирования в общем случае и сохранение этого условия только для центров, работающих с органами госвласти. Однако письменных предложений на этот счет к нам еще не поступало, а, как я уже говорил, устные замечания и критика с трибуны — слабый аргумент для того, чтобы заявить нашим коллегам из других министерств и ведомств, что таких изменений требует общество.
НС: Полностью от этих механизмов нам уйти не удалось, но либерализация принципов государственного регулирования хорошо просматривается. В прежней редакции была предусмотрена обязательная сертификация средств ЭЦП и обязательное получение лицензии удостоверяющими центрами. В новом варианте сказано, во-первых, что использование электронной цифровой подписи подписывающим лицом и получателем открытого ключа ЭЦП осуществляется без лицензии.
Во-вторых, использование сертифицированных средств ЭЦП обязательно лишь в ограниченном ряде случаев, например, если в документообороте участвует государственный орган или если такое условие имеется в предварительном соглашении сторон, использующих ЭЦП.
В остальных случаях допускается использование несертифицированных средств электронной цифровой подписи. Однако необходимо заявить об отсутствии сертификата всем пользователям открытого ключа, создаваемого этим средством ЭЦП. В противном случае придется возмещать убытки, понесенные лицом, использующим открытый ключ, которые возникли вследствие применения несертифицированного средства ЭЦП.
В отношении сертификатов открытых ключей подписи подход практически аналогичный. Лицам, использующим ЭЦП, не обязательно обращаться к услугам удостоверяющих центров, за исключением случаев, специально предусмотренных в законодательстве. Таким случаем является, например, взаимодействие с государственными органами или условие, выдвигаемое контрагентом по сделке. В корпоративных отношениях условия использования ЭЦП определяются внутренними нормативными документами организации.
Насколько необходимо введение института государственного лицензирования деятельности удостоверяющих центров для нормального функционирования Закона?
НС: Лицензирование любого вида деятельности предполагает обеспечение качества услуг. По идее лицензирующий орган дает определенные гарантии пользователю услуг, в нашем случае — клиенту удостоверяющего центра.
Проект Закона об ЭЦП по-прежнему устанавливает обязательное лицензирование деятельности центров, связанной с выпуском свидетельства и подтверждением подлинности электронной цифровой подписи. Лицензирование указанных видов деятельности осуществляется уполномоченным государственным органом. Однако проект не раскрывает юридическую задачу такого лицензирования. Остается без ответа вопрос о том, какое фундаментальное обеспечение прав и интересов лиц, доверяющих свидетельству, предоставляет Центр при наличии лицензии по сравнению с ее отсутствием; каким образом такое обеспечение гарантируется со стороны выдавшего лицензию государственного органа.
На этот счет у меня существует заманчивая идея, которой, к сожалению, не суждено быть реализованной. Я думаю, что было бы справедливо возложить на указанный государственный орган реальную юридическую ответственность следующим образом.
Уполномоченный государственный орган, выдавший лицензию, и Центр несут солидарную ответственность за убытки, понесенные лицом в результате доверия к представленным в свидетельстве данным, которые Центр обязан проверить и подтвердить. Уполномоченный государственный орган, выдавший лицензию, и Центр отвечают перед названными лицами солидарно, если законом не предусмотрена субсидиарная ответственность государственного органа. (При солидарной ответственности потерпевший по своему выбору взыскивает убытки с любого из солидарных должников. Субсидиарная ответственность является дополнительной и наступает, когда основной должник не в состоянии полностью возместить ущерб.) Уполномоченный государственный орган, выдавший лицензию, несет ответственность в том же объеме, что и Центр.
На мой взгляд, при построении норм о гарантиях со стороны удостоверяющих центров целесообразно воспользоваться принципом, которого придерживается директива Совета Европы «Об электронных подписях». Директивой предложена схема добровольной аккредитации лиц, предоставляющих сертификационные услуги, и различные типы сертификатов, по-разному отвечающие требованиям и гарантиям клиентов. Мотивация Совета Европы, отказавшегося вводить обязательный институт лицензирования, гуманна: добросовестный пользователь ЭЦП не может ставиться в зависимость от наличия или отсутствия государственной лицензии удостоверяющего центра.
МЯ: Что касается определения роли удостоверяющих центров, то теоретически здесь имеют право на существование три подхода. Первый, наиболее либеральный и присущий опыту «цивилизованных» государств, состоит в том, что критерии отбора кандидатов могут быть самыми широкими. Лицензирование этого вида деятельности вовсе не обязательно, но центры могут проходить добровольную сертификацию в государственных или общественных институтах, чтобы поднять уровень доверия к себе со стороны клиентов.
Второй подход заключается в выполнении некоторого обязательного условия, такого как страхование ответственности доверительного центра третьей стороной. Гарантом может выступать независимая страховая компания, страховой фонд и, наконец, собственный уставный фонд предприятия, обязанный быть не ниже установленного минимального размера.
Последний подход — тот, который исповедуют наши чиновники, то есть всевластие запретительно-разрешительной системы. Однако появление и развитие Internet, как саморегулирующегося явления общественной жизни, свидетельствует о том, что функции государства могут изменяться только в сторону сокращения полномочий командно-бюрократического аппарата либо очень существенного изменения его функций.
Лучше меньше законов, да лучше
Бытует мнение, что законы, регулирующие отношения в сфере ИТ, нередко страдают излишней технологичностью в ущерб юридической безупречности. Такую критику можно услышать и в адрес рабочих вариантов Закона об ЭЦП. И все же законы не могут существовать отдельно от технологических знаний. Поэтому я обратился за комментарием к одному из самых авторитетных отечественных экспертов-криптографов, президенту Российской криптологической ассоциации Алексею Волчкову.
РКА — одна из независимых организаций, участвующих в рецензировании рабочих версий Закона об ЭЦП. Участие «технологов» необходимо там, где текст закона оперирует базовыми техническими терминами. С точки зрения юриста, вполне вероятно, что употребление того или иного технического термина практически не меняет логику закона, однако слова-синонимы могут придавать всему документу совершенно разный смысловой оттенок.
По мнению Волчкова, сейчас идет борьба за основные позиции, имеющие отношение к Закону об ЭЦП. В первую очередь за определение, что представляет собой ЭЦП — результат математического или все-таки криптографического преобразования электронного сообщения. Разумеется, правильное словоупотребление имеет в данном случае принципиальное значение. Если представители ФАПСИ и иже с ними убедят законотворцев, что ЭЦП — это результат криптографического преобразования, то, апеллируя к сложившейся практике, последователи «жесткой линии» легко обоснуют необходимость лицензирования и сертификации деятельности разработчиков средств ЭЦП.
Вообще же, как считает Волчков, математическое преобразование больше подходит к определению ЭЦП. Дело в том, что в российском стандарте ЭЦП (ГОСТ Р 3410/3411) содержится достаточно спорная ссылка на ГОСТ 28147-89, принятый в СССР еще в 1989 году, который определяет национальный стандарт на использование криптоалгоритмов. В действительности же в рамках формирования ЭЦП к исходному сообщению применяется операция хэширования (сжатия в некую короткую последовательность байтов), но не шифрования. Получившийся код (хэш-функция документа) затем подвергается вторичному преобразованию с помощью закрытого ключа. Формально ни одна из операций не является шифрованием сообщения в прямом смысле этого слова, и РКА намерена отстаивать такую точку зрения.
Двусмысленность ситуации кроется в том, что применять криптоалгоритмы для получения хэш-функции сообщения вовсе не обязательно: с этой задачей гораздо эффективнее справляются специальные алгоритмы наподобие метода Клаусса Шнорра (в России патент на его использование принадлежит Анатолию Лебедеву из компании «ЛАН Крипто»). Кстати, американцы взяли за основу идею преобразования Шнорра и вывели на его базе собственный национальный стандарт ЭЦП под названием DSA; согласно этому стандарту длина подписи составляет 160 разрядов, тогда как по отечественному ГОСТ 28147-89 ЭЦП имеет разрядность, равную 256.
Так или иначе, разработка средств создания ЭЦП — это бизнес, приносящий определенные дивиденды, и ФАПСИ намерена сохранить в своих руках рычаги, способные повлиять на расстановку сил на рынке. Стержнем этой политики, конечно же, является лицензирование деятельности разработчиков и сертификация представленных на рынке продуктов.
Волчков утверждает, что РКА была бы не против, если бы условия для получения и поддержания лицензии и сертификата были устойчивыми и прозрачными: представил требуемые документы — получил лицензию. Однако ФАПСИ действует по одним только ей ведомым положениям и инструкциям, которые связывают коммерческие фирмы по рукам и ногам. Например, согласно дополнительным условиям действия лицензии фирма-разработчик должна предоставлять ФАПСИ отчеты о продажах, список заказчиков, испрашивать разрешение на открытие филиала и контакты с зарубежными партнерами. Президент РКА видит единственный выход — если в законе появляются понятия лицензирования или сертификации, необходимо полностью расшифровывать их механизмы.
Важная проблема в том, кто из зарубежных партнеров по бизнесу станет инвестировать деньги в российскую Internet-экономику, если будут приниматься только внутренние стандарты, невзирая на существование стандартов международных, по которым живет, скажем, экономика Евросоюза. Впрочем, если открыть российский рынок средств ЭЦП и услуг по сертификации ключей пользователей, то наши компании окажутся в весьма уязвимом положении. Зачем пользователю, допустим, покупать продукт у какой-нибудь отечественной софтверной компании, если такие же функции бесплатно поддерживает Microsoft Crypto Provider, встроенный в Windows?
Из двух зол обычно выбирают меньшее. РКА в лице своего президента считает, что меньшим злом явилась бы либерализация Закона об ЭЦП в отношении разработки и использования программных средств. Очевидно здравой идеей, воплощенной в текущей версии законопроекта, Волчков назвал попытку разделить действие закона на два направления: в случае взаимоотношений с государственными органами и в случае взаимоотношений в коммерческой и частной сфере. Участие ФАПСИ в регулировании отношений справедливо и закономерно, если речь заходит о структурах, могущих иметь дело с гостайной — но только не в тех случаях, когда дело касается коммерческого сектора. Решением же вопросов соответствия конкретных продуктов тому или иному ГОСТу должен заниматься Росстандарт, так что и здесь вполне можно обойтись без спецслужб.
Игорь Елисеев