Глава II. Условия использования электронной цифровой подписи

Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи

При условии соблюдения устанавливаемых законодательством требований ЭЦП признается юридически равнозначной подписи физического лица на бумажном носителе, в том числе в качестве представителя юридического лица.

Основные условия для признания юридического значения ЭЦП установлены в п. 1 ст. 4 Закона:

1) действие сертификата ключа подписи, определяющее возможность использования ЭЦП на момент выработки ЭЦП;

2) успешное прохождение процедуры проверки ЭЦП с использованием открытого ключа (подтверждение подлинности ЭЦП);

3) использование ЭЦП в соответствии со сведениями, указанными в сертификате ключа подписи.

Вопрос о действии сертификата ключа подписи рассматривается в комментарии к ст. 6, 13 и 14 Закона.

Подтверждение подлинности ЭЦП осуществляется путем проверки ЭЦП, при этом исходный электронный документ признается подписанным владельцем ЭЦП, если проверка сертифицированным средством ЭЦП установила, что выработка ЭЦП была осуществлена с применением закрытого ключа ЭЦП, соответствующего используемому при проверке открытому ключу ЭЦП, и электронный документ не был изменен после его подписания. Разумеется, используемый при этом сертификат ключа подписи, содержащий открытый ключ, должен действовать на момент выработки ЭЦП, а если этот момент нельзя установить, то и на момент проверки ЭЦП.

Вопрос о том, как влияет на признание ЭЦП использование несертифицированных средств ЭЦП, в Законе однозначно не решен. В связи с этим на практике могут возникать неопределенные трудности: от признания ЭЦП, выработанных с использованием несертифицированных средств, до абсолютного отказа в принятии их в качестве доказательств.

Условие об использовании ЭЦП в соответствии со сведениями, указанными в сертификате ключа подписи, вызвано прежде всего ограничениями, накладываемыми на отношения, при осуществлении которых может использоваться каждая конкретная ЭЦП. Область применения ЭЦП ограничена теми отношениями, которые указаны в сертификате ключа подписи. Для каждой области применения требуется своя ЭЦП. Подробнее данный вопрос освещен в комментарии к ст. 6 Закона.

Вводя ограничения для ЭЦП по кругу отношений, для которых каждая из них может применяться, Закон об ЭЦП в то же время устанавливает, что любое физическое лицо может иметь неограниченное количество ЭЦП (закрытых ключей).

Дополнительно следует отметить, что использование ЭЦП ее владельцем (подписывающим лицом) и получателем открытого ключа ЭЦП осуществляется без лицензии.

Статья 5. Использование средств электронной цифровой подписи

В информационной системе общего пользования, открытой для всех заинтересованных физических и юридических лиц, выработка ЭЦП, т.е. создание открытых и закрытых ключей ЭЦП, осуществляется участником такой системы или по его обращению удостоверяющим центром.

В отношении корпоративных информационных систем Закон об ЭЦП предоставляет ее владельцу или участникам возможность самим определять, кто будет осуществлять создание ключей, хотя на практике выбор ограничен следующими вариантами: ключи могут создавать владелец такой системы, один из участников или каждый из участников по своему усмотрению.

Из определения средств ЭЦП, содержащегося в ст. 4 Закона, не следует, что во всех случаях абсолютно не допускается использование несертифицированных средств ЭЦП. Однако в соответствии с п. 2 ст. 5 Закона при создании ключей ЭЦП для информационных систем общего пользования должны применяться только сертифицированные средства ЭЦП.

Следует еще раз напомнить, что в данном случае понятие "сертификация" употребляется в значении, закрепленном в Законе РФ от 10 июня 1993 г. N 5151-1 "О сертификации продукции и услуг" (с изменениями и дополнениями), согласно ст. 1 которого под сертификацией понимается "процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям".

В Директиве ЕС об ЭЦП используется несколько иной подход: вместо требования использовать только "сертифицированные" средства ЭЦП предлагается система создания "квалифицированных" сертификатов, установлена "добровольная аккредитация" для тех, кто осуществляет такую сертификацию. При этом участникам электронного документооборота предоставляется возможность выбора между "квалифицированными" и "неквалифицированными" средствами ЭЦП на том основании, что уровень доверия, защиты и качества, требуемый от используемых средств ЭЦП и удостоверяющего центра, должен в значительной степени зависеть от того, что нужно заключающим сделку сторонам.

В российском Законе об ЭЦП предложен более жесткий подход. Фактически, несмотря на отсутствие прямого указания на обязательность сертификации всех средств ЭЦП, ей подлежат почти все такие средства, используемые для создания ключей для информационных систем общего пользования, для корпоративных информационных систем органов государственной власти Российской Федерации и субъектов Российской Федерации, органов местного самоуправления.

В случае использования несертифицированных средств ЭЦП риски убытков несут как владелец закрытого ключа, так и получатель открытого ключа ЭЦП. В п. 2 ст. 5 Закона об ЭЦП предусмотрена возможность возложения ответственности за убытки, причиненные несертифицированными средствами ЭЦП, на их создателей и распространителей.

Статья 6. Сертификат ключа подписи

В п. 1 статьи устанавливаются сведения, которые должны быть получены удостоверяющим центром и внесены им в сертификат ключа подписи. Они могут быть разделены на несколько групп.

Прежде всего, это формальные сведения, определяющие регистрационный номер занесенного в реестр сертификата ключа подписи, а также начало и окончание срока действия сертификата. Только в период действия сертификата использование ЭЦП может порождать правовые последствия.

В сертификат ключа подписи заносятся сведения о владельце ЭЦП. Очевидно, что удостоверяющий центр обязан установить личность всех, кто хочет стать владельцем ЭЦП. Установление личности должно производиться в обычном порядке на основании паспорта или заменяющего его документа. Предусмотрена возможность внесения в сертификат не подлинного имени, а псевдонима его владельца с обязательным указанием на то, что владелец выступает под псевдонимом.

Согласно п. 2 статьи в случае необходимости в сертификате ключа подписи могут указываться должность его владельца, квалификация, а на основании письменного заявления владельца ЭЦП - другие сведения, подтвержденные документами. Формулировка данного пункта дает возможность для различных толкований, при этом не совсем ясно, обязан ли удостоверяющий центр проверять документы, подтверждающие сведения о должности и квалификации владельца ЭЦП. Представляется, что указание о необходимости подтверждения документами сведений, включаемых по просьбе владельца ЭЦП в сертификат ключа подписи, распространяется и на эти случаи.

Сертификат должен содержать открытый ключ ЭЦП. Собственно, именно в предоставлении заинтересованным лицам открытых ключей ЭЦП состоит основная функция удостоверяющих центров.

В сертификат также вносятся сведения об удостоверяющем центре: его наименование и место нахождения.

Существенным недостатком принятого Закона об ЭЦП следует признать включение в число обязательных реквизитов сертификата ключа подписи указания на отношения, при осуществлении которых электронный документ, удостоверенный ЭЦП, будет иметь юридическое значение. Таким образом, предполагается, что каждый вид правоотношений требует своей собственной ЭЦП, а это, несомненно, усложнит использование ЭЦП и приведет на практике к многочисленным ошибкам.

Большинство пользователей ЭЦП не имеют юридического образования и вряд ли смогут во всех случаях оценить, к какой именно области права относится то или иное отношение, какой вид договора заключается ими в том или ином случае. Результатом неправильного применения ЭЦП будет ничтожность заключаемых с ее помощью сделок.

Сертификаты ключа подписи, содержащие информацию о владельцах ЭЦП, заносятся удостоверяющим центром в специальный реестр, причем такое занесение должно быть сделано до начала действия соответствующего сертификата, т.е до начала использования ЭЦП.

Сертифицирующий орган обязан подтверждать принадлежность открытого ключа подписи конкретному лицу - владельцу закрытого ключа ЭЦП. Такое подтверждение производится путем выдачи сертификата ключа подписи заинтересованным пользователям. Сертификат может выдаваться в виде электронного документа или документа на бумажном носителе.

В Законе об ЭЦП определен перечень сведений, которые должны быть предоставлены пользователю. Такой перечень сформулирован как исчерпывающий. Однако в Законе об ЭЦП не установлены какие-либо обязанности удостоверяющего центра по защите персональных данных. Возможно, такие требования будут включены в положение о лицензировании деятельности удостоверяющих центров. Некоторые косвенные подтверждения обязанности удостоверяющего центра учитывать интересы владельцев ЭЦП и не разглашать информацию о них в тех случаях, когда это прямо не предусмотрено законом, можно вывести из положений Федерального закона "О лицензировании отдельных видов деятельности".

Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре

Статья 7 Закона устанавливает на первый взгляд довольно простые правила хранения сертификата ключа подписи. Срок такого хранения определяется соглашением между удостоверяющим центром и владельцем ЭЦП. В течение всего времени хранения удостоверяющий центр обязан обеспечивать заинтересованным лицам возможность его получения.

Согласно Закону об ЭЦП после окончания срока действия сертификата ключа подписи или его досрочного аннулирования срок хранения такого сертификата в форме электронного документа должен быть не меньше срока исковой давности для указанных в таком сертификате отношений. Как неоднократно отмечалось комментаторами данной нормы, для точного ее исполнения хранение сертификатов ключей подписи должно осуществляться вечно.

Так, ст. 208 Гражданского кодекса Российской Федерации устанавливает перечень требований, на которые исковая давность не распространяется, т.е. иск может быть предъявлен в любое время. В их число входят требования: о защите личных неимущественных прав и других нематериальных благ; вкладчиков к банку о выдаче вкладов; собственника или иного владельца об устранении всяких нарушений его права, хотя бы эти нарушения не были соединены с лишением владения, а также другие требования в случаях, установленных законом. Кроме того, согласно ст. 150 Гражданского кодекса Российской Федерации в некоторых случаях личные неимущественные права и другие нематериальные блага, принадлежавшие умершему, могут осуществляться и защищаться другими лицами, в том числе наследниками правообладателя.

Видимо, на практике вопрос о минимальном сроке хранения будет решаться по-разному.

После истечения срока хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре и его исключения из реестра, такой сертификат должен быть не менее чем на пять лет переведен в режим архивного хранения.

В отношении хранения сертификата ключа подписи, представленного в виде документа на бумажном носителе, Закон об ЭЦП содержит отсылку к порядку, установленному законодательством Российской Федерации об архивах и архивном деле. Представляется, что срок хранения такого сертификата, изготовленного с использованием бумажного носителя, не должен быть меньше срока хранения сертификата, представленного в форме электронного документа.