Главная

Болонский процесс. Автоматизация учебного процесса - Офис методиста

Ресурс Internet Юридические гарантии свободного использования электронной цифровой подписи в Украине Дутов Михаил Михайлович http://jur-lib.kharkov.ua/dutov/2.htm
описание | темы | ключевые слова 
Украина стоит на пороге принятия очередного закона, способного существенным образом изменить систему отношений в финансово-экономической сфере. Речь идет о законе "Об электронной цифровой подписи"[1], принятие которого может способствовать вовлечению страны в мировую систему электронной коммерции, так как электронной сообщение, подписанное цифровой подписью, можно рассматривать как аналог "бумажного" документа.

Возникновению электронной коммерции способствовало стремительное развитие компьютерных сетей публичного доступа, прежде всего объединенных в сообщество Интернет, и те новые возможности, которые эта среда предоставляет для бизнеса.

При этом одним из факторов, сдерживающих широкое использование Интернет в коммерческой практике, является правовая неопределенность, связанная со статусом сообщений, передаваемых по сетям. Поэтому часто, когда требуется, например, провести оплату или заключить юридически действительный договор со стороной, находящейся "на другом конце провода", приходится прибегать к низким технологиям и, например, отправлять подписанный текст договора в "бумажном" виде по почте или проводить безналичный платеж через банк.

Понятно, что такие моменты снижают потенциал Интернет. Особенно это значимо в наших условиях, когда прохождение документа по почте или платежа через банк может занимать недели. Но, в принципе, те же проблемы стоят перед пользователями Интернет во всем мире. Именно поэтому с середины 90-х гг. вопрос об электронном документообороте волнует уже не только банки и крупные корпорации, но и всех деловых людей в развитом мире. В последние годы подготовлено несколько рамочных правовых документов, призванных облегчить и ускорить внедрение цифровой подписи. Среди таковых можно указать: Единообразные правила по электронной подписи[2] (далее по тексту "Правила"), принятые Комиссией ООН по международному торговому праву (UNCITRAL - United Nations Commission on International Trade Law) и Директива Европейского союза о правовых основах Сообществ для электронных подписей[3] (далее по тексту "Директива").

В соответствии с данными документами цифровую подпись можно представить как данные, передаваемые вместе с текстом сообщения, полученные с помощью проведения определенных криптографических преобразований над этим текстом и так называемым "закрытым ключом" отправителя, известным только ему. Получатель проверяет цифровую подпись, используя "открытый ключ" отправителя. Успешная проверка цифровой подписи показывает, что сообщение подписано тем, от кого оно исходит, и что оно не было модифицировано после наложения подписи отправителем.

Сообщение с цифровой подписью, наложенной отправителями, обладает всеми признаками документа и может использоваться в суде в качестве доказательства.

Однако использование цифровой подписи порождает ряд проблем, основная из которых - отсутствие юридического обрамления технологий и поддерживающих их инфраструктур в статутном праве. В порядке частного (закрытого) обмена документами уже используется цифровая подпись, но для этого нужно предварительное соглашение сторон, где детально описаны процедуры, стандарты обмена и ответственность. Такой подход используется в системах "банк-клиент" в соответствии с Инструкцией НБУ "О безналичных расчетах в хозяйственном обороте Украины" (Инструкция № 7).

Но для того, чтобы создать действительно открытую систему документооборота с использованием цифровой подписи, нужна инфраструктура. В частности, нужен институт так называемой сертификации открытых ключей, чтобы новый участник мог быть уверен, что имеющиеся у него копии открытых ключей других участников, которые он использует для проверки их подписи, действительно принадлежат им.

Кроме того, нужен институт независимой экспертизы и оценки используемых технологий цифровой подписи и продуктов, их реализующих.

Однако существующий проект украинского законопроекта подходит к решению указанных вопросов с позиции жесткого государственного контроля над данной сферой отношений с обязательной сертификацией средств создания и проверки цифровой подписи и лицензирования деятельности всех субъектов.

Такой подход обусловлен традиционным отношением к криптографическим средствам защиты информации (куда относится и цифровая подпись) как к важным орудиям защиты интересов национальной безопасности, которые должны находиться исключительно в ведении государства.

Но мировая тенденция в сфере криптографии показывает, что большинство стран в современном мире не контролирует криптографию. В этих государствах криптографические средства можно свободно использовать, разрабатывать и продавать. Во многих странах, которые категорически отказались от контролирования криптографии, большое внимание уделяется безопасности данных в электронной торговле, угрозе экономического шпионажа и необходимости защиты частной жизни.

Украина пока не восприняла такое отношение к средствам криптографической защиты информации. Согласно ст. 9 Закона Украины "О лицензировании некоторых видов хозяйственной деятельности", лицензированию подлежат все без исключения виды деятельности в сфере создания и использования средств криптографии. Определение средств криптографии можно найти в "Лицензионных условиях проведения хозяйственной деятельности, связанной с разработкой, производством, использованием, эксплуатацией, проведением сертификационных испытаний, тематическими исследованиями, экспертизой, ввозом, вывозом криптосистем и средств криптографической защиты информации, предоставлением услуг в области криптографической защиты информации, торговлей криптосистемами и средствами криптографической защиты информации", утвержденные совместным приказом Государственного комитета Украины по вопросам регуляторной политики и предпринимательства и Департаментом специальных телекоммуникационных систем и защиты информации СБ Украины 29.12.2000 г. № 88/66, зарегистрированные в Минюсте Украины 20.01.2001 г. за № 49/5240 (далее - "Лицензионные условия").

Данные Лицензионные условия относят цифровую подпись к средствам криптографии, что означает лицензирование пользователей и сертификацию средств цифровой подписи. Однако, какое свободное развитие электронной коммерции возможно, если даже для того, чтобы сгенерировать цифровую подпись или ее проверить, надо предварительно получить лицензию?

Законопроект "Об электронной цифровой подписи" построен в полном соответствии с действующим законодательством. В ст. 9 указано, что "средства цифровой подписи должны иметь сертификат". А ст.ст. 12 и 13 относят деятельность центров сертификации открытых ключей к сфере криптографической защиты информации и требуют получения лицензии. Лицензированием и сертификацией, в соответствии с законопроектом, будет заниматься "орган государственного управления, который реализует государственную политику в сфере криптографической защиты информации". Положение О порядке осуществления криптографической защиты информации в Украине № 505/98 от 22.05.98 г. расшифровывает в п. 3, что таким органом является Департамент специальных телекоммуникационных систем и защиты информации СБ Украины.

Мировое сообщество придерживается диаметрально противоположного мнения, и, в частности, Директива в п. 2 ст. 4 указывает, что "государства-участники должны обеспечить, чтобы продукты электронной подписи, которые соответствуют требованиям настоящей Директивы, разрешались к свободному обращению на внутреннем рынке". Относительно центров сертификации открытых ключей цифровой подписи Директива также построена категорично: "государства-участники не вправе ставить оказание сертификационных услуг в зависимость от получения предварительного разрешения со стороны государственных органов" (ст. 3).

Вместо государственного контроля, который ничего не гарантирует в случае возникновения конфликта, предлагается развиваться в двух направлениях.

Во-первых, деловое сообщество может принять процедуру, при которой технология или продукт вводится в эксплуатацию только после того, как информация о деталях их реализации будет полностью раскрыта и они выдержат экспозицию перед лицом реальных угроз. Для этого в стране должно быть сильное сообщество гражданских криптологов с конкурентностью, достаточной для того, чтобы мотивировать соперников к взаимной экспертизе.

Во-вторых, в игру должны вступить страховые компании, которые могут перевести оценку специфических "информационных" рисков на понятный всем язык страховых выплат, премий и франшиз. Можно предположить, что движение будет происходить по обеим линиям.

А помочь данному процессу может установление технологически точного определения термина "цифровая подпись". Связанно это с синонимичными словами, употребляемыми при попытке выявить, что же представляет собой цифровая подпись: результат математического или криптографического преобразования электронного сообщения. По сути системы поддержки цифровой подписи относятся не к шифровальным инструментам, которые реализуются средствами криптографии и скрывают исходное сообщение так, что его невозможно прочесть, а к средствам аутентификации, которые в свою очередь представляют собой один из способов защиты от несанкционированного доступа.

Если принять такую точку зрения (являющуюся конструктивно более правильной), то отпадет необходимость лицензирования и сертификации деятельности разработчиков и пользователей средств цифровой подписи, как противоречащей Концепции развития государственной системы лицензирования предпринимательской деятельности по видам, утвержденной постановлением Кабинета Министров от 23.09.96 г. № 1164. В п. 6 данной Концепции указано, что "регулированию должны подлежать только те виды предпринимательской деятельности, которые оказывают непосредственное влияние на здоровье человека, окружающую естественную среду, безопасность государства". Деятельность производителей средств создания и проверки цифровой подписи не могут относиться к указанным видам деятельности, так как ни здоровью человека, ни окружающей среде, ни государственной безопасности такая деятельность причинить вреда не может.

Подведя итог, можно указать законодателю на необходимость приведения проекта закона Украины "Об электронной цифровой подписи" в соответствие с международным законодательством, в особенности с правилами Европейского Сообщества. Основным препятствием для этого является отнесение средств цифровой подписи к средствам криптографии и требование обязательной их сертификации и лицензирования лиц, использующих и разрабатывающих цифровую подпись. Существующая система лицензирования и сертификации систем защиты информации ущербна, так как не предусматривает никакой ответственности органа, выдавшего сертификат за возможный ущерб, понесенный владельцем сертифицированного средства. Поэтому разумным представляется предусмотреть в законе альтернативные системы сертификации и лицензирования, а также сделать эту систему не принудительной, а добровольной.

Вообще эта проблема более сложная, чем просто лицензирование и сертификация. Развитие электронной коммерции возможно путем только привлечения инвестиций, отечественных или иностранных. Возможно использование внутренних ресурсов, и при этом реально обеспечить развитие электронной коммерции. Хотя для качественного рывка Украине нужны деньги иностранных инвесторов. А закон, где все лицензирует и сертифицирует спецслужба, устанавливает неблагоприятные условия для привлечения инвестиций.

Поэтому предлагаем внести следующие изменения в законопроект:

* не относить цифровую подпись к средствам криптографической защиты информации с целью гарантирования свободного ее использования;

* изъять из проекта всяческие требования о сертификации и лицензировании, сделав их добровольными с целью повышения доверия пользователей к цифровой подписи;

* разработать и внести в законопроект систему страхования рисков, связанных с использованием цифровой подписи с целью введения механизма покрытия убытков, возникающих когда центр сертификации открытых ключей не выполняет или ненадлежаще выполняет свои обязанности.

В бумажном варианте статья опубликована в научно-практическом хозяйственно- правовом журнале "Підприємництво, господарство і право" № 9 за 2001 год, ст. 24-26.

С автором можно связаться по электронной почте fecha@skif.net

Список литературы

[1]Проект закона "Об электронной цифровой подписи" от 30.11.2000 http:// www.expert.org.ua/2001/01/08/010108z1.shtml

[2]Draft Uniform Rules on Electronic Signatures A/CN.9/WG.IV/WP.84. Official Records of the General Assembly, Fifty-fifth Session, Supplement No. 17 (A/55/17), paras. 224-255.

[3]Directive on a Community Framework for electronic signatures. Officical Journal L013, 19.01.2000, p. 0012-0020.
На правах рекламы: