27 август 2020
Либертариум Либертариум

О разработке проекта закона Об ЭЦП

Фрагменты выступления Г.Артамонова (далее - Г.А.) под редацией Александра Володина 23.12.1999г. на конференции "РусКрипто'99".

23.12.1999
Г.А.: Текст законопроекта до момента его внесения в Думу будет доступен широкому кругу заинтересованных в проблеме специалистов, чтобы те могли высказывать конструктивные предложения. На текущий текст законопроекта (выложенный на сайте) уже начали поступать замечания. Все предложения и замечания будут оперативно передаваться в рабочие группы или инстанции (где законопроект будет дорабатываться).

Наши белорусские коллеги несколько обогнали нас в написании закона, касающегося электронного документооборота. Может быть, это произошло, из-за того, что они опирались прежде всего на частные разработки криптографических средств (которые активно использовались в электронной коммерции и электронном документообороте), может быть, были и какие-то другие причины. В России мы немного запоздали, но надеюсь, что мы быстро напишем, возможно даже, воспользовавшись опытом наших коллег.

Первую редакцию законопроекта предложили специалисты ФАПСИ (см. Основные юридические блоки проекта закона Об ЭЦП -- прим. ред.). Этот текст был подвергнут обструкции со стороны Центрального банка (в частности, его структуры безопасности). Специалисты ЦБ вообще сочли ненужность подобного закона. И основная трудность заключалась в доказательстве необходимости для России такого закона, что впоследствии все-таки удалось сделать. Первая редакция законопроекта была несколько видоизменена.

Cейчас по плану Правительства законопроект разрабатывают 6 ведомств -- Минсвязь, ФАПСИ, Гостехкомиссия, Комиссия по ценным бумагам, Центральный банк, Минюст. Координирующую роль выполняет Минсвязи. После рассылки всем ведомствам очередного варианта законопроекта, из двух организаций (Минюста и ЦБ) получены замечания, которые уже учтены в поправках. С текстом проекта каждый может ознакомиться. Мы ожидаем, что он будет передан в Правительство завтра (т.е. 24.12.99, но этого не случилось -- прим. ред.).

У меня есть предложение. Мы все прекрасно понимаем, что в имеющемся варианте законопроект всех удовлетворить не может. Было бы желательно, чтобы его текст максимально удовлетворял желания всех структур и специалистов. Но, конечно, этого не получится. Поэтому очень бы хотелось, чтобы замечания по тексту содержали конкретные формулировки, а не пожелания, вроде "хотелось бы отразить"". Законодательство в информационной области только-только становится. Люди, занимающиеся им, еще не стали профессионалами, поэтому приходится учиться на ходу. Школы нет. И любые предложения могут очень помочь.

Перейду к некоторым замечаниям по тексту законопроекта. В текущей версии законопроекта 5 глав. В начале я дам определение электронного документа: "Документ в электронной форме отображения (электронный документ) -- информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущей быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющей атрибуты для идентификации документа."

Хотел бы сразу сделать комментарий к 1-ой статье, где в сфере действия настоящего закона была введена еще одна нота. Говорится, что "действие ... закона не распространяется на использование иных аналогов собственноручной подписи, в том числе на оцифрованное изображение личной подписи" (допустим, сканируемых) (ст.1 п. 3).

В "Условиях придания электронному документу юридической силы" (гл. 2, ст. 3) "равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица" совершенно четко говорится о том, что "все экземпляры подписанного электронно-цифровой подписью документа имеют юридическую силу оригинала" и, если законом не определено, то "юридической силой обладает единственный единственный экзепмляр документа на бумажном носителе" (ст. 3, п. 3).

"ЭЦП может быть использована для подтверждения целостности и неизменности, а также для подтверждения авторства любой информации, представленной в форме электронных документов, текстовых или графических файлов, отдельных строк и записейв базах данных." (ст. 5, п. 1) Здесь дается достаточно расширительное толкование ЭЦП. Дальше говорится о том, что "подпись может использоваться физическими лицами, а также должностными представителями органов государственной власти, органов местного самоуправления и юридических лиц, находящихся под юрисдикцией Российской Федерации". (ст. 5, п. 2)

...

Мы считаем, что дорогу осилит идущий. Хочу в связи с этим напомнить, что в России уже действует закон "Об участии в международном информационном обмене" (текст документа см. на сайте "Законодательные инициативы в сфере информации и информатизации" -- прим. ред.). Практика требует сформулировать дополнения к этому закону, где порядок регулирования правового обмена отдан международным договорам. Поэтому мы считаем, что и в отношении ЭЦП возможно взаимное использование международных договоров и всяческих акций.

из зала: Имеет ли юридическую силу цифровая подпись под бумажным документом?

Г.А.: Я не специалист в области ЭЦП. Я лишь координатор по работе над этим законом. Мое частное мнение -- вы не можете распечатать ее так, чтобы потом по этому распечатанному документу вы бы могли восстановить подпись. Если вы сумели это сделать, значит вы либо хакер, либо злоумышленник, который не законно владеет этой подписью и может просто ее туда подцепить.

из зала: Цифровая подпись может быть использована в качестве аналога обычной подписи?

Г.А.: ЭЦП может быть использована для придания электронной форме документа юридической силы равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомерного лица. Во всех случаях, когда соответствующим законодательством РФ необходимо наличие собственноручной подписи, требуется документ, имеющий соответствующие идентификационные атрибуты и подписи. Для соблюдения норм ЭЦП подтверждается при помощи открытого ключа. Подписавшая сторона правомерно владеет закрытым ключем для выработки ЭЦП. ЭЦП выработана и проверена средствами ЭЦП и сертифицирована в установленном порядке. Вот соблюдение условий. Дальше речь идет о документах, подписанных ЭЦП и имеющих юридическую силу оригинала, за исключением тех случаев, когда в соответствии с законодательством РФ или соглашением сторон юридической силой обладает единственный экземпляр документа на бумажном носителе. Для заверения таких документов ЭЦП не применяется.

из зала: Правильно ли я понял, что для органов гос. власти и местного самоуправления распределением открытых и закрытых ключей будут заниматься лишь Гостехкомиссия и ФАПСИ? Означает ли это, что если при работе с органами гос. власти будет необходимость в ЭЦП, то мне придется идти прямой дорогой в ближайший центр правительственной связи, чтобы получить то, что мне выдадут? Или же я могу быть более свободным в своем выборе и обратиться за необходимым продуктом, который меня устроит, чем то, что мне предлагают?

Г.А.: Органы гос. власти устанавливают соответствующие правила работы с ЭЦП, ориентируясь только на то, что сертификацию могут выполнять юридические лица по поручению полномочного органа. Органы гос. власти могут создать это лицо и поручить ему вести все эти дела. Кроме того, допускается возможность организации структурных подразделений, в том числе и государственных.

из зала: Я когда слушал Ваш комментарий, вот такую небольшую лазейку открыл для себя: могу ли я заключить договор, например, с органами самоуправления, и в этом договоре определить тот тип программного обеспечения, который будет использоваться, не прибегая к сертификации этого самого полномочного органа? Я имею в виду тот случай, когда нам либо не удастся договориться с самим полномочным органом, либо создать при структуре организации свой орган?

Г.А.: Если орган гос. власти использует средство, то он должен участвовать (есть закон). Он не может находится вне того, что записано в этом законе, заключать какие-то договора и т.д. Т.е. он действует, как орган гос. власти, а не как свободный субъект гражданского права.

из зала: Статья 3, п. 2 -- "Условия придачи документу юридической силы". Получается так, что если ЭЦП выработана несертифицированными средствами, документу не может быть придана юридическая сила. Правильно я Вас понял?

Г.А.: Если в установленном порядке не будет требоваться сертификация, то значит, юридическая сила будет придана, о чем разговор?

из зала: Что тогда означают слова "сертифицирована в установленном порядке"?

Г.А.: Вам не нравится формулировка? Я еще раз говорю. Если требуется соответствующий сертификат, нужно сертифицировать. Порядок сертификации устанавливается в соответствии с этим законом. Как сказано, если удостоверяет центр, которому вы должны направить"

из зала: Речь идет о сертификации подписи, а не о сертификации средства?

Г.А.: Давайте читать: "ЭЦП выработана и проверена средством ЭЦП и сертифицирована в установленном порядке". Речь идет о сертификации изделия. Она идет из закона "Об информации и защите информации". В разделе (указанного закона), посвященном защите информации, сказано, что ЭЦП должна защищаться сертифицированными средствами. Затем сказано относительно рисков. Если вы используете несертифицированное средство, то риск остается за вами. Вопрос правильный. Этот вопрос здесь (в законопроекте) не отражен. Спасибо формулировщику.

Я еще раз говорю. Мы вместе работаем над законом. Надо, чтобы была какая-то ответственность, как мне кажется. Ведь взлом может произойти и в издательстве, в любом другом месте, поэтому есть риск. Здесь спрашивали насчет страхования риска. Риск, наверное, должно возмещать государство, которое организует этот сертификат. Это мое мнение.

из зала: Ваше мнение по поводу формулировки -- "подлежит лицензированию в соответствии с законом О лицензировании отдельных видов деятельности"" (ст. 9, п. 1) Насколько я понимаю, перечень этих видов деятельности может быть изменен только в соответствии с дополнениями к этому закону?

Г.А.: Да.

из зала: В этом перечне ЭЦП пока нет?

Г.А.: Да. Как всегда, в регламенте, который действует вместе с этим проектом закона, в частности, предлагается внести изменения и дополнения.

из зала: В определении ЭЦП записано "криптографическое преобразование" (ст. 2)...

Г.А.: Читаю: "ЭЦП -- последовательность символов, полученных в результате криптографического преобразования исходной информации с использованием закрытого ключа ЭЦП, который позволяет поддержать целостность и неизменность информации, а также ее авторство при использовании открытого ключа ЭЦП".

из зала: Не буду обсуждать качество этой формулировки. Вопрос: почему появилось "криптографическое преобразование"? Можно ли сформулировать более широко -- "математическое преобразование"?

Г.А.: Это из первой редакции. Криптография -- это не синоним ФАПСИ.

из зала: Но это синоним шифрования.

Г.А.: Простите, но "математическое преобразование" ничем не лучше "криптографического".

из зала: Видите ли Вы возможным выполнение функций уполномочиваемого органа Госстандартом?

Г.А.: Госстандарт, как я понимаю, не занимается такими вещами. Есть естественным путем развивающиеся структуры, которые готовы выполнять эти задачи. А в Госстандарте все надо разворачивать заново.

из зала: Я имел в виду только сертификацию.

Г.А.: Сертификационных структурных подразделений в Госстандарте нет. В законе записано, что не потребуется дополнительного вложения средств. Ближе к этому -- Гостехкомиссия, в которой имеются такие структуры. Мы оставили возможность решать это правительству. От нас c вами зависит, как будут работать такие структуры -- как церберы, или как помощники. Другими словами, в каком виде будет принят закон.

[email protected] Московский Либертариум, 1994-2020