Главная

Болонский процесс. Автоматизация учебного процесса - Офис методиста

Статья Российский закон «Об электронно-цифровой подписи»: обсуждение проектов продолжается Алексей Волчков Журнал «Мир электронной коммерции»
описание | темы | ключевые слова 
Хотя существующей нормативной базы вполне достаточно для регулирования правоотношений на уровне распространенности технологии электронно-цифровой подписи (ЭЦП), который достигнут в России к настоящему моменту, но не смотря на это, необходимость принятия закона «Об электронно-цифровой подписи» сегодня общепризнана,. Сейчас практически все используемые системы ЭЦП суть системы межкорпоративные (будь то системы типа «клиент — банк», системы межбанковских расчетов или системы электронного документооборота), и неотъемлемым условием юридической значимости ЭЦП в них является предварительное заключение бумажного соглашения о ее использовании. В то же время стремительная информатизация общества настоятельно требует оформления механизма более широкого, не обусловленного заранее применения этой технологии.
В мировой практике такой механизм существует— это «технология ЭЦП с сертификатом» (не нужно путать с так называемыми сертифицированными системами электронно-цифровой подписи). Данная технология специфицирована Международным телекоммуникационным союзом в его рекомендации X.509 и в данный момент реализуется в России несколькими компаниями, наиболее известными из которых являются «ЛАН Крипто» и «Сигнал-Ком». Ее суть состоит в том, что специальная организация, которая называется сертификационным или регистрационным центром, производит заверение своей подписью образцы подписей всех обратившихся к ней лиц. Проверяется подпись таким образом: во-первых, устанавливается наличие заверенного сертификационным центром образца подписи лица, которая утверждает, что проверяемая подпись сформирована им; во-вторых, заверенный образец сверяется с представленной на проверку подписью. Специально для того, чтобы придать технологии ЭЦП с сертификатом юридическую силу, и нужен закон «Об электронно-цифровой подписи».
В данный момент бурно обсуждаются два проекта данного закона. Первый — проект Министерства РФ по связи и информатизации, который разрабатывался под руководством Г. Артамонова (заместителя директора Всероссийского НИИ проблем вычислительной техники и информатизации). В основном, главная роль в группе разработчиков этого проекта принадлежит специалистам ФАПСИ, но, так как ФАПСИ не обладает правом законодательной инициативы, проект принято считать официально созданным под эгидой Министерства связи. Второй законопроект подготовлен Институтом государства и права Российской академии наук в качестве модельного закона для стран СНГ и возможной альтернативы первому проекту.
В декабре 1999 г. — феврале 2000 г. происходило бурное обсуждение этих законопроектов на нескольких представительных мероприятиях (в частности, на двух конференциях Российской криптологической ассоциации и «круглом столе» Ассоциации российских банков). В них приняли участие наиболее авторитетные отечественные профи в данной области.
Какова же основная функция закона — запрещать или разрешать?
В ходе дискуссии специалисты отметили, что рассмотренные законопроекты имеют некоторые недостатки, причем недостатки, касающиеся не только юридических аспектов. Оба проекта в более или менее завуалированной форме предусматривают функционирование некоего уполномоченного органа, осуществляющего лицензирование регистрационных центров (регистрационные центры — это организации или лица, занимающиеся выдачей, учетом и хранением сертификатов ЭЦП), а также лицензирование и сертификацию разработок криптографических средств. Во втором законопроекте предполагается еще и создание главного регистрационного центра (естественно, государственного), который будет выдавать сертификаты на подпись отдельных регистрационных центров.
Представляется, что эти схемы призваны помочь ФАПСИ и связанным с этой организацией коммерческим структурам монополизировать весьма перспективный рынок. Вот что сказал по этому поводу на «круглом столе» Ассоциации российских банков представитель Автобанка Е. Горячев: «Если уж речь идет о сертификации и лицензировании, то в законе должны быть описаны однозначно толкуемые требования к системам подписи и регистрационным центрам, а сама схема сертификации и лицензирования должна быть публичной и проверяемой». Представитель компании «Российские финансовые коммуникации» И. Митричев высказался еще более категорично: «Существующий порядок лицензирования и сертификации систем защиты информации ущербен, так как не предусматривает никакой ответственности выдавшего сертификат органа за возможный убыток, понесенный владельцем сертифицированного средства... Разумным представляется предусмотреть в законе альтернативные механизмы сертификации и лицензирования, а также сделать эту процедуру не принудительной, а добровольной».
Президент компании «ЛАН Крипто» А. Лебедев на конференции «РусКрипто 2000» отметил, что формулировать законы в таком виде — «не только неразумно, но и вредно, так как объективно это приведет к вытеснению отечественных производителей с рынка, а в том, что освободившуюся нишу займут в таком случае американцы, сомневаться не приходится. Об этом говорит хотя бы тот факт, что сегодня на рынке можно легально приобрести системы подписи Microsoft, а сертификаты подписи получить у компании Verisign». Действительно, в мировой практике технологии электронной подписи с сертификатом уже активно развиваются, поэтому ограничивать их применение в России неразумно.
О чем, собственно, закон?
По мнению канд. юр. наук Н. Соловяненко (сотрудница Института государства и права РАН, член совета директоров РКА и один из авторов модельного законопроекта), из проекта Министерства связи «необходимо изъять излишнюю технологичность, которая влечет за собой ущербность юридической части». Например, сделанная в министерском проекте попытка определить термин «электронный документ» представляется неудачной, поскольку для закона об ЭЦП этот термин не нужен (в законе речь должна идти не о том, что подписывается, а о том, как это происходит). В этом смысле в законе достаточно ограничиться термином «данные», который фигурирует в модельном законопроекте.
Некоторые специалисты считают, что вместо используемого в обоих законопроектах понятия «электронно-цифровая подпись» лучше ввести понятие «цифровая подпись». В частности, об этом на конференции «РусКрипто 1999» говорил В. Комиссаренко, представитель Государственного центра безопасности информации (ГЦБИ) Белоруссии (белорусский закон о цифровой подписи уже принят и действует). Добавочное определение «электронная» устанавливает жесткую привязку к подписыванию только электронных данных. Это ограничивает сферу применения подписи, в то время как уже появляются направления, в которых цифровая подпись используется для защиты других данных (например, петербургская компания «Комита» развивает с ее помощью технологию защиты акцизных марок).
В связи с этим Российской криптологической ассоциацией подготовлены и переданы разработчикам законопроектов предложения по изменению терминологии.
Экономика должна быть экономной.
Н. Соловяненко затронула также вопрос об экономических последствиях принятия обсуждаемого закона. Она предложила ввести в закон раздел о финансовой ответственности регистрационных центров, а также разделы о риске и ущербе (в законопроекте Института государства и права это уже сделано). Предложение представляется разумным, однако его последствия могут оказаться достаточно сложными. С одной стороны, и за рубежом, и в России существуют примеры электронных транзакций, размеры которых гораздо больше, чем финансовые возможности любого потенциального центра регистрации, будь он частный или государственный, поэтому заранее ясно, что в определенных случаях компенсация ущерба просто нереальна. С другой стороны, огромный оборот подписываемых данных — личная переписка, верификация программного обеспечения и т. п. — существует вне коммерческого сектора и потому не требует возмещения ущерба. Регламент работы зарубежных регистрационных центров не предполагает материальной ответственности за возможный убыток, понесенный пользователем.
В этой связи логичным представляется предложение И. Митричева «предусмотреть в законе возможность страхования финансовых рисков, связанных с использованием цифровой подписи, а механизм страхования оговорить либо в отдельном законе, либо в дополнении к действующему закону». Представляется, что ответственность центра регистрации должна быть подобна той, что несет нотариус за заверку подписи.
Другой аспект данной проблемы затронул Е. Горячев: «Хотелось бы знать, оценивались ли разработчиками законопроекта затраты, связанные с переходом банков и других коммерческих структур от ныне действующей технологии к предлагаемой?». Как выяснилось в процессе обсуждения, подобные расходы не оценивались. Оценить затраты на смену технологий действительно сложно. Речь идет не только о замене одних средств ЭЦП другими (хотя одна эта задача с учетом огромного числа участников систем «Клиент — банк» достаточно трудна), но и о необходимости внесения изменений в Гражданский кодекс и Кодекс об административных правонарушениях, о потенциальной лавине судебных исков и т. д. В целом, в отношении данного аспекта обсуждавшихся законопроектов все участники оказались единодушны: законопроекты надо дорабатывать.
Наиболее категоричен был представитель Центрального банка РФ А. Курило, заявивший, что он «не видит острой необходимости в принятии вообще какого-либо закона об ЭЦП, так как в корпоративных системах все решено, а именно эти системы и интересуют как ЦБ, так и прочие банки». Мнение спорное, однако оно отражает позицию практически всех корпоративных клиентов российских банков, так как сегодня в мировой практике технология подписи с сертификатом используется в основном для приложений, не связанных напрямую с финансовыми операциями. Ожидается, что основными участниками рынка средств ЭЦП с сертификатом станут индивидуальные клиенты (для использования подписи в личной переписке), а также производители программных продуктов (для верификации продукции).
Такой закон нам не нужен. А какой нужен?
Польза от гласного обсуждения законопроектов очевидна — такие мероприятия позволяют высказать свое мнение не только лицам и организациям, лоббирующим закон, но и всем, кто в этом заинтересован. Суммируя все прозвучавшие соображения, можно подвести следующие итоги.
Закон «Об электронно-цифровой подписи», несомненно, нужен. В то же время нет такой острой необходимости в его срочном принятии, о которой говорят разработчики законопроектов.
Отсутствие закона пока никак не сказывается на основных сегодняшних потребителях систем ЭЦП — в межкорпоративных взаимоотношениях используются технологии как обычной подписи, так и сертифицированной ЭЦП. Для работы регистрационных центров вполне достаточно действующих нормативных актов. Принятие же «сырого» закона только ухудшит ситуацию и нанесет серьезный ущерб рынку информационных технологий и Интернет-бизнеса. В этом смысле лучше никакого закона, чем тот, который предлагается.
Обязательность лицензирования и получения государственных сертификатов на средства ЭЦП и деятельность регистрационных центров не является категорическим императивом, как это утверждает ФАПСИ, пытающееся с помощью закона монополизировать рынок средств и услуг, связанных с технологией цифровой подписи. В случае же введения системы лицензирования и сертификации она должна быть прозрачной и носить заявительный, а не разрешительный характер. Кроме того, необходимы альтернативные предлагаемой ФАПСИ системы сертификации, например, под эгидой Государственной технической комиссии при Президенте РФ и Госстандарта РФ (прецеденты принятия как общих, так и отраслевых стандартов на цифровую подпись уже есть).
Нецелесообразно возлагать на регистрационные центры финансовую ответственность в дополнение к той, что диктуется действующим законодательством. Более разумно предусмотреть механизм страхования рисков, связанных с использованием цифровой подписи.
Следует снизить насыщенность будущего закона технологическими терминами и определениями и, напротив, сделать акцент на описании взаимодействия (включая механизм разбора конфликтных ситуаций) всех субъектов и объектов, участвующих в системах ЭЦП с сертификатом.
Главный вывод — необходимо продолжить разработку закона и постоянно проводить обсуждение всеми заинтересованными лицами тех проблем, с которыми сталкиваются авторы этого принципиально важного документа.
На правах рекламы: