27 август 2020
Либертариум Либертариум

Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

Немного устаревшие тезизы для написания проекта закона. Более свежая версия ожидается в ближайшее время. По непроверенным данным проект закона будет сформулирован к середине декабря 1999г.

27.10.1999
В настоящее время активизировалась законопроектная работа в области правового регулирования электронной подписи. Работа идет по двум направлениям:

1) Создание Федерального закона об электронной цифровой подписи. Такой законопроект разрабатывается в соответствии с планом законопроектных работ Правительства РФ.

2) Создание модельного Закона об электронной подписи для стран СНГ по инициативе Межпарламентской Ассамблеи. Модельный закон разрабатывается в Государственной Думе.

Оба пректа разрабатываются разными участниками (за небольшим исключением) и должны быть завершены практически к одному сроку -- концу 1999г.

Один из вероятных вариантов дальнейшей работы над указанными проектами -- их совместное обсуждение и корректировка.

Наличие закона Об электронной цифровой подписи в РФ, а также соответствующего механизма правового регулирования на межгосударственном уровне в рамках СНГ затрагивает интересы различных субъектов права (частных физических и юридических лиц, субъектов предпринимательской деятедьности, некоммерческих организации, органов государственной власти и управления) а также судебную систему.

В этой связи основы концепции такого регулирования должны обсуждаться с участием широкого круга специалистов.

Поскольку ни тот, ни другой законопроекы не завершены окончательно и, соответственно, ни полностью, ни частично не были опубликованы в печати, целесобразно говорить об общих положениях такого закона в целом.

На обсуждение выносится следующая совокупность положений:

  1. Сфера действия
    • Закон регулирует отношения субъектов, возникающие при использовании электронной цифровой подписи в документообороте. Действие закона распространяется на органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также на юридических и физических лиц, находящихся под юрисдикцией Российской Федерации.
  2. Электронная цифровая подпись -- последовательность символов, имеющая неизменяемое соотношение с каждым символом определенного объема сведений и предназначенная для подтверждения целостности и неизменности этого объема сведений.
  3. Документ в электронной форме отображения (электронный документ) -- сведения, представленные в форме, воспринимаемой средствами электронной вычислительной техники, иными электронными средствами обработки, хранения и передачи информации, могущие быть преобразованы в форму, пригодную для восприятия человеком как смысловой тест или рисунок, и имеющие атрибуты для идентификации документа.
  4. Условия придания электронному документу юридической силы
    • Электронный документ приобретает юридическую силу при соблюдении следующих условий: тождественности его содержания волеизъявлению правомочного на то лица, которая должна быть подтверждена электронной цифровой подписью, образуемой средством электронной цифровой подписи; наличия у документа идентификационных атрибутов; наличия в средстве электронной вычислительной техники или ином электронном средстве обработки, хранения и передачи информации, в памяти которого хранится электронный документ, сертифицированных средств защиты информации.
    • Средство электронной цифровой подписи, используемое для выработки электронной цифровой подписи, закрепляющей факт тождественности содержащихся в документе сведений волеизъявлению правомочного лица, должно быть конструктивно устроено таким образом, чтобы внесение любого изменения данным лицом в заверенный электронной цифровой подписью документ приводило к необходимости выработки новой электронной цифровой подписи.
    • Электронная цифровая подпись предназначена для удостоверения подлинности сведений, отображенных на материальных носителях информации или передаваемых средствами связи, и установления ее принадлежности конкретному пользователю.
    • Любое средство электронной цифровой подписи должно обеспечивать возможность реализации указанных выше функций электронной цифровой подписи с помощью соответствующего открытого ключа, снабженного сертификатом ключа подписи, и гарантировать невозможность подделки заверенных данных.
  5. Юридическая сила электронной цифровой подписи
    • Юридическая сила электронной цифровой подписи равнозначна юридической силе собственноручной подписи при соблюдении требований, установленных законодательством Российской Федерации. Во всех случаях, когда в соответствии с действующим законодательством Российской Федерации необходимо наличие подписи, таковым требованиям удовлетворяет электронная цифровая подпись при соблюдении следующих условий:
      • электронная цифровая подпись подтверждена при помощи открытого ключа, указанного в сертификате ключа подписи;
      • электронная цифровая подпись приложена подписавшей стороной с намерением подписать сообщение;
      • подписавшая сторона правомерно владеет закрытым ключом, используемым для приложения цифровой подписи;
      • цифровая подпись выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.
  6. Содержание сертификата ключа подписи
  7. Сроки хранения ключей и сертификатов ключей подписи
    • Cоответствовать срокам хранения, установленным для хранения документов, которые заверены электронной цифровой подписью. Минимальный срок -- соответствовать сроку исковой давности, устанавливаемому для защиты прав субъектов правоотношений, в регулировании которых использовались документы, заверенные электронной цифровой подписью в течение трех лет.
  8. Порядок выработки закрытых ключей электронной цифровой подписи
  9. Лицензирование деятельности по подтверждению подлинности электронной цифровой подписи
  10. Использование электронной цифровой подписи органами государственной власти и органами местного самоуправления
  11. Удостоверяющие центры органов государственной власти и органов местного самоуправления
  12. Использование электронной цифровой подписи в гражданском обороте
    • Электронная цифровая подпись может использоваться физическими и юридическими лицами в качестве аналога собственноручной подписи при совершении сделок и иных юридически значимых действий путем передачи электронных документов с использованием открытых или корпоративных информационно-телекоммуникационных сетей на основании положений нормативных правовых актов или договоров.
    • Закрытые ключи электронной цифровой подписи для отправителей электронных документов через открытые информационно-телекоммуникационные сети и сертификаты ключей подписи для получателей этих документов выдаются удостоверяющими центрами, имеющими лицензии на проведение этих операций в соответствии с настоящим законом.
    • При передаче электронных документов через корпоративные информационно-телекоммуникационные сети допускается использование электронной цифровой подписи без обращения к услугам удостоверяющих центров.
    • Распределение рисков убытков от использования недостоверной электронной подписи определяется договором между пользователями сети
  13. Признание иностранных сертификатов

Комментарии (8)

  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    1. Похоже на выдержки из Законопроекта, разрабатываемого сотрудниками МИФИ, которые одновременно являются и сотрудниками ФАПСИ. (С другой командой разработчиков <Гос. дума, комитет по информационной безопасности> никак не общаются, не считая их достаточно компитентными.)

    2. Определение ЭЦП в п.2 допускает расширенное толкование, в том числе ЭЦП может считаться и точка в конце текста.

    3. Серьезным недостатком является отнесение ЭЦП к средствам защиты информации. Это совпадает с желанием ФАПСИ определить ЭЦП как шифровальное средство и монополизировать ее разработку, внедрение, сопровождение и т.д. Именно с подачи ФАПСИ в Основных юридических "блоках" проекта закона Об ЭЦП появляются некие "сертифицированные" средства (п.4.1):

    Электронный документ приобретает юридическую силу при ... наличии в средстве электронной вычислительной техники или ином электронном средстве обработки, хранения и передачи информации, в памяти которого хранится электронный документ, сертифицированных средств защиты информации.

    4. Непонятно почему в п.4.2 упомянут только автор документа. Необходимость формирования ЭЦП должна возникать при внесении в документ изменения любым лицом.

    5. Сертификация ключей проверки подписи (п.4.4) -- лишь одна из технологий функционирующих в системах ЭЦП и ее появление в Законопроекте на первый взгляд кажется странным, однако следующим шагом контролирующих органов станет создание "уполномоченных" государством сертификационных центров.

    6. П.5 те же яйца (что и п.4) только в профиль. Например, одно из условий юридической силы ЭЦП: она должна быть выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.

    7. П.8 (Порядок выработки закрытых ключей электронной цифровой подписи) и п.9 (Лицензирование деятельности по подтверждению подлинности электронной цифровой подписи) говорят сами за себя.

    П. 8 открывает дорогу к созданию подконтрольных государству центров выработки и распределения ключей, а п.9 -- к созданию центров, в которых будут разрешаться спорные вопросы. Со временем обе эти задачи благородно возьмется выполнять ФАПСИ (см. п.12.2). Да, вот беда не нужен никому ключ от чужого дяди, а споры может разбирать и суд на основе процедуры, установленной законом. Кстати, об этой процедуре не сказано ни одного слова.


    Вообще-то все уже прописано в ГК, Положении ЦБ об ЭЦП, Законе об информатизации, Письмах арбитражного суда, что и нужно свести в Законе. Не хватает только стандартов на оформление электронных документов, позволяющих использовать определенные стандартом процедуры формирования ЭЦП так, чтобы разные реализации стандартов ЭЦП были совместимы (т.е. есть процедура формирования, но нет процедуры проставления ЭЦП в документ).

  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    цифровая подпись выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.
    Действительно очень смешно :-D Интересно, кто-нибудь сможет определить при помощи какого средства я выработал вот такую цифровую подпись mEQL4QgCgyyBgzS7et2u8uryk. Более простой пример: цифра "5" выработана при помощи сертифицированного средства или нет?

    А вот еще:
    Документ в электронной форме отображения (электронный документ) -- сведения, представленные в форме, воспринимаемой средствами электронной вычислительной техники
    -- просто классическое, по своей бессмысленности определение. Интересно, а документ на бумаге воспринимается средствами электронной ВT? Нет? А если его отсканировать?

    В общем, в чем нельзя упрекнуть авторов законопроекта, так это в компетентности. Что же, давайте и дальше делать вид, что законотворец что-то понимает в тех вещах которые пытается регулировать. А мы будем делать вид, что никто и не занят разводом лохов среди лиц, находящихся под юрисдикцией Российской Федерации.

  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Левенчук Анатолий, 23.11.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 20.11.1999)
    Увы, вопрос гораздо сложнее: большинство формулировок закона пишутся не для программистов, а для суда. Согласно данной формулировке, суд примет или не примет подпись к рассмотрению в зависимости от того, "сертифицированным средством электронной подписи" или чем иным эта подпись была сделана. Тексты законов нужно читать так же, как программы -- пословно, причем важна каждая запятая. Обычно законы пишут не дураки, а люди с различными интересами. Поэтому нужно критиковать не формулировки (держу пари, что в этих формулировках больше смысла, чем непосвященный видит с первого взгляда), а заложенные в эти формулировки принципы. А вот принципы очень даже стоит покритиковать -- по содержанию, а не по форме.
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Maxim E. Smirnoff, 23.11.1999
    в ответ на: комментарий (Левенчук Анатолий, 23.11.1999)
    Анатолий! К сожалению, я не обладают достаточными знаниями и навыками, для анализа формулировок законопроекта и тем более "тайных смыслов", скрывающихся за ними. Я высказал свое, если угодно, дилетантское в юридическом смысле мнение, суть которого в следующем.
    По-моему, отличие хорошего закона от плохого определяется не тем насколько жестко или либерально он регулирует те или иные действия. Хороший закон " более полно, более адекватно отражает действительность, которую он пытается регулировать. Плохой закон строится на заблуждениях, неверном восприятии действительности каким-либо человеком или группой лиц. Такой закон просто не будет работать, или приведет к непредсказуемым последствиям. Предлагаемый законопроект, как раз и строится на каких-то диких легендах и мифах о цифровой подписи. Можно считать цифру неотчуждаемой от ее носителя, или программы, которой она создана. Можно разделять какие угодно другие заблуждения, но все это вряд ли это повлияет на объективные закономерности развития информационных технологий.
    Авторы либо просто не понимают сути цифровой информации, либо делают вид, что не понимают. Возможно, они и преследуют некоторые неочевидные цели, но с большой вероятностью они не сумеют их достигнуть, как это уже не раз случалось, потому как такие цели тоже, как правило, иллюзорны. Imho, проблема не в том, что какие-либо группы людей не анонсируют свои цели. Наоборот, скорее всего, они просто не могут их грамотно сформулировать (хотя бы для себя), не могут предложить реальных путей их достижения, в результате: "Хочется чего-то большого, а чего именно не понятно, наверное, закона о цифровой подписи." :-)
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Левенчук Анатолий, 24.11.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 23.11.1999)
    Авторы законов о цифровой подписи рассматривают не программистскую, а реальную жизненную (и окрашенную в юридические цвета) ситуацию. Когда они пишут "сертифицированное средство", то имеют ввиду и сертификационный орган, и средство (вовсе необязательно программное!). Замечу, что реальная жизнь компьютерной тусовки совсем не похожа на жизнь юристов и (сильно отличающихся от юристов) судей и адвокатов. Разный слэнг, разные ТИПЫ МЫШЛЕНИЯ. Поэтому законы обычно касаются ПРОЦЕДУР -- и, как правило, точно описывают свою область применения. Скажем, ежели Вы пишете на бумажке цифру "5", то суд вас потом по этому закону не защитит. А ежели на моей бумажке сертифицированными средствами (необязательно компьютерными!) написано 2345673456789 -- то суд меня защищать будет. И так далее: программисты отдыхают. Смею заверить, что в рядах любых команд писателей законов достаточное количество людей, понимающих про цифровую подпись. Но некоторые люди пытаются подтащить под это СИЛЬНУЮ КРИПТОГРАФИЮ, а другие -- любые пароли из трех букв. Первые аппелируют к разуму, а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии...
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Maxim E. Smirnoff, 29.11.1999
    в ответ на: комментарий (Левенчук Анатолий, 24.11.1999)
    ...
    а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии...
    А Вы не преувеличиваете? То что SWIFT не откажется от процедуры разбирательства спорных ситуаций в суде это возможно. Но сколько у него сейчас клиентов в стране? Полторы две тысячи не больше. И нужна ли им такая услуга? Думаю, вряд ли, учитывая, что значительная часть банков используют еще телексно-телетайпную связь, при которой вообще нельзя серьезно говорить безопасности, какая уж там цифровая подпись. А вот то что платежные системы с использованием пластиковых карт могут быть заинтересованы в таком законе, мне вообще кажется невероятным.
    Одним словом, возможно, что пока программисты отдыхают кто-то действительно пытается продвинуть свои интересы при помощи закона. Но главный вопрос, лично у меня, все равно остался: А насколько адекватно этот кто-то понимает в чем состоят его интересы? Не нафантазировал ли он опять себе молочных рек с кисельными берегами?
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Левенчук Анатолий, 01.12.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 29.11.1999)
    У меня есть большой опыт участия в рабочих группах Госдумы РФ. Смею заверить, что большинство участников рабочей группы очень хорошо понимают и отстаивают свои интересы. Так же они очень хорошо понимают и предотвращают отстаивания чужих интересов. До 50% времени в рабочих группах уходит именно на прояснение вопроса, чьи (часто ведомственные--госорганов, или групп населения, или отраслевые) интересы затрагивает тот или иной пункт Закона. И всегда находятся пара-тройка "экспертов" типа Вас, которые протаскивают "интересы" какой-либо технологической сферы. Это обсуждается далее так: интересы компаний, имеющие финансовые интересы в данной сфере. Скажем, если требовать сильного крипто в Законе, то обязательно вслух будут проговорены интересы тех компаний, которые этим крипто потом будут торговать, программистов, которые это крипто будут ставить и т.д. Далее эти интересы (и объемы рынка) будут сравнивать с интересами (и объемами рынка -- то бишь объемами транзакций) полутора тысяч свифтовцев, и вовсе необязательно после этого выиграют программисты. Если будут сидеть смарткарточники, то в дискуссии программисты будут отдыхать, и будет обсуждаться наезд карточников на свифтовский бизнес и бизнес карточек с магнитной полосой -- и так далее. Все это медленно и с расстановкой. Кроме того, сам Закон потом не будет даже отражать достигнутых содержательных договоренностей, а будет отражать интересы некоторых депутатов или глав ведомств, заинтересованных в усилении регулирования. Законописание -- удел гуманитариев, программисты отдыхают. Именно поэтому кто-то из шифропанков писал: "Не пиши Законы, пиши код." Это надежнее. После этого интересы программистов-технологов будет защищать код, а не суд. Иногда это лучше, иногда хуже. И т.д. и т.п. -- законописание (особенно в области крипто) довольно сложная тема, и кавалерийским "технократическим" наскоком ее не возьмешь.

  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Во время работы Форума РИФ'99 Гутабанк и Автобанк объявили о создании рабочей группы по продвижению технологий Электронной Цифровой Подписи ЭЦП в России.
[email protected] Московский Либертариум, 1994-2020