НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Виды электронных подписей по российскому законодательству

Вадим Малых
13.06.2014 11:56:58

На днях мне довелось поучаствовать (в качестве слушателя) в вебинаре, посвященном теме электронных подписей, где еще раз убедился в огромном интересе к данной теме. Вопросов много и они очень разноплановые. В этой заметке я хочу повести речь главным образом об одном конкретном аспекте - видах электронных подписей (ЭП), предусмотренных законом 63-ФЗ "Об электронной подписи" (далее по тексту даются ссылки именно на этот закон в формате ст. [номер статьи], ч. [номер части]).

Наверное всем известно, что всего законом предусмотрено 3 вида подписи (ст. 5, ч. 1): простая ЭП, усиленная неквалифицированная ЭП и усиленная квалифицированная ЭП. Давайте разберемся с каждым видом отдельно, тем более, что далеко не всё так очевидно как хотелось бы.

Для начала уясним некоторые базовые понятия. Во-первых, необходимо отличать электронную подпись от средств, используемых для ее создания. Часто приходится слышать фразы типа: "Вам необходимо получить электронную подпись в удостоверяющем центре". К сожалению это так прижилось, что может прозвучать даже на крупных конференциях, посвященных этой тематике. Согласно же закону (ст. 2, ч. 1), электронная подпись - это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) и т.д. Не вдаваясь в детали, здесь следует уяснить только то, что ЭП имеет смысл исключительно в совокупности с подписанным ей документом. УЦ никак не может выдать вам электронную подпись, иначе вам бы пришлось ходить туда с каждым вашим документом и получать ЭП конкретно на этот документ. Можно привести такую аналогию - УЦ дает вам специальную электронную ручку и электронные чернила, но подписи ставите вы самостоятельно. При этом именно от средств, которыми вы обладаете, и будет зависеть вид полученной подписи. Другими словами нельзя одними и теми-же электронными ручкой и чернилами получать то усиленную квалифицированную, то простую ЭП и т.д.

Понятнее всего усиленная квалифицированная подпись. Она основана на алгоритмах ассиметричного шифрования. Принцип действия описан много раз и здесь я не буду делать это снова. Когда идет речь об ассиметричном шифровании, всегда имеем два ключа - одним шифруем, другим расшифровываем. Если говорить об электронной подписи - одним подписываем, другим проверяем. В законе они названы соответственно: ключ электронной подписи и ключ проверки электронной подписи (ст. 2, чч. 5 и 6).

Что же делает усиленную подпись также квалифицированной? Согласно ст. 5, ч. 4, п. 1, главный признак - это наличие квалифицированного сертификата. А он в свою очередь может быть выдан только аккредитованным удостоверяющим центром (ст. 2, п. 3).
Важно! Многие УЦ самостоятельно генерируют закрытый ключ, в вашем отсутствии, и вполне могут хранить его копию даже после выдачи вам ключа на защищенном носителе. Вы должны понимать связанные с этим риски. Только уникальность имеющегося у вас закрытого ключа гарантирует авторство ЭП, которые вы этим ключом создаете. Чем больше людей потенциально могут получить доступ к вашему ключу или его копии, тем больше рисков, связанных с неправомерным использованием вашей подписи третьими лицами. В идеале закрытый ключ должен генерироваться вами и не покидать пределы носителя. Удостоверярющему центру, для генерации сертификата, не нужен ваш закрытый ключ, для этого им достаточно передать открытый ключ, парный вашему закрытому, который надежно хранится на вашем персональном ключевом носителе. Современные носители реализуют технологию неизвлекаемости ключа, что еще больше повышает вашу безопасность. Если даже по вашему недосмотру ключ попадет в чужие руки, злоумышленник не сможет сделать его копию.

С неквалифицированной ЭП вроде бы тоже все понятно. Это то же самое, только отсутствует требование к наличию квалифицированного сертификата. Может немного запутать фраза о том, что "при использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться" (ст. 5, ч. 5). Сертификат ключа служит для "привязки" подписи к конкретному лицу, поэтому в каких-то конкретных ситуациях могут использоваться просто пары ключей (открытый/закрытый), например когда открытый ключ привязывается к учетной записи пользователя в информационной системе. С другой стороны, существует множество стандартного ПО, работающего именно с сертификатами ключей. Например позволяющее сохранять сертификаты в реестре операционой системы, привязывать их к закрытому ключу и т.д. Поэтому в большинстве случаев гораздо удобнее и проще пользоваться самовыпущенными сертификатами (а не чистыми парами ключей), что позволяет задействовать стандартные программные средства для создания неквалифицированных подписей.

Последний вид подписи, который необходимо рассмотреть - простая ЭП. Он одновременно самый простой и самый непонятный. Именно по поводу него чаще всего возникают вопросы и споры на тему что можно, а что нельзя считать простой электронной подписью. Определение в законе дано крайне краткое и размытое - "Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом." (ст. 5, ч. 2). Не сильно проясняет ситуацию и статья 9, в которой описываются правила применения простой ЭП. Под эту статью например вполне попадают сообщения электронной почты, т.к. в них содержится указание на лицо, создавшее сообщение.

Так что получается любое сообщение электронной почты можно считать документом, подписанным простой электронной подписью? В общем случае нет, хотя в определенных ситуациях это может быть и так. Что это за ситуации? Все очень просто! Для чего вам нужна электронная подпись (любого вида)? Чтобы заверять ей документ. В статье 6 закона 63-ФЗ приведены условия юридической значимости документов, заверенных ЭП (да, там сказано иначе, об эквивалентности их бумажным документам, но это отдельная долгая тема для обсуждения!). Согласно 2-й части этой статьи, для признания документов с простой (равно как и неквалифицированной) ЭП необходимо соглашение сторон (т.к. другие законы или нормативные акты эти отношения не регулируют). Вот если между вами и вашим контрагентом существует соглашение, согласно которому вы договорились считать сообщения электронной почты документами, подписанными простой ЭП, ваш логин/пароль от электронной почты становится той самой простой ЭП.

Комментариев: 9

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

13.06.2014 17:20:54

Цитата
Так что получается любое сообщение электронной почты можно считать документом, подписанным простой электронной подписью?

Да, конечно! И самое показательное в вашем посте то, что открытие этого известного факта многие делают только сейчас (а масса людей, в том числе считающих себя спецами в области управления документов и госуслуг, не знают до сих пор).
В этом и заключается специфика ИТ - практически все, что вы делаете с помощью ИТ АВТОМАТИЧЕСКИ является документом (в том числе и данный комментарий), вполне юридически значимым.

Как только вы авторизуетесь (логин+пароль), что все ваши действия автоматом становятся документами.

Даже при создании самого простого файла Word. Посмотрите свойства документа - вы увидите свою фамилию в качества автора. Потому что любая работа на любом компьютере выполняется в рамках вашего аккаунта (авторизация). Даже если вы не вводите пароль в явном виде - просто так настроен ваш аккаунт.

Что касается соглашения сторон, то этот пункт закона вводит в заблуждение. На самом деле этот пункт относится только к категории документов, попадающих под нормативные требования. Например, финансовые документы.
А остальных случаях никакого соглашения не нужно. Если вы мне напишите письмо по почте (безо всяких соглашений между нами), то это будет вполне нормальными документов, в том числе для суда.

13.06.2014 17:30:30

Согласен, но вряд-ли он будет интерпретирован судом, как документ, подписанный простой ЭП (в терминах 63-ФЗ). Там все-таки требуется соглашение. Здесь речь только об этом шла.
А так, полностью согласен. Для юридической значимости это не обязательно. И также согласен в том, что любой контент это документ. Но мы так опять в терминах закопаемся, а про многострадальное понятие юр. значимости я уже и молчу. Это, как говорится, уже совсем другая история.

13.06.2014 17:58:15

Кстати в 63-ФЗ упоминаются не только соглашения, но и законы и иные нормативные правовые акты. Например существует НПА - постановление Правительства РФ от 25 января 2013 г. N 33, которое регулирует использование простой электронной подписи при предоставлении услуг гражданам. Благодаря этому каждый гражданин не должен заключать соглашения с государством. Все его запросы, направленные с портала госуслуг, считаются подписанными его простой ЭП (посредсвом логина/пароля).

13.06.2014 20:00:53

Одна из ключевых проблем нашего законодательства - это крайне нечеткое определение сферы действия законов.

Есть категория документов, которые определяют юридически-правовые отношения сторон. Как раз регулированием этой сферы занимается государство.

Но кроме этой категории документов есть ОГРОМНОЕ число других документов. Их государство вообще не должно сильно регулировать или не регулировать вовсе. Например, наша с вами частная переписка о погоде...

Как мне видится, вы, например, говоря о документах, имеет в виду именно те. которые относятся к юридически-правовым делам. Так тогда и давайте говорить не о документах вообще, а именно о том, требования к которым регулируются государством.

Суд по определению должен принимать любые документы. А вот оценивать их значимость должен в соответствии с законом.

13.06.2014 20:14:01

Андрей, еще раз, я согласен по поводу судов и документов. Речь шла только о 63-ФЗ и о видах подписей в терминах этого закона.

13.06.2014 20:17:53

А по поводу того, о чем вы говорите, нужно отдельную заметку писать. Да и не заметку, а статью. А еще лучше научный труд smile:)

13.06.2014 20:40:42

Он (труд) у меня в плане стоит уже года два smile:-)

13.06.2014 20:49:05

Пользуясь выходным днем... Не очень по теме, хотя - в какой-то мере
Фото из страны победившего социализма:



Это не парад ретро-автомобилей, это обычная местная картинка (но - столичная).
Я сейчас на партнерской конференции 1С. В прошлом году она проходила в Доминикане, сейчас на Кубе.
Доминикана - одна из самых бедных стран Латинской Америки. Оказалось, есть еще беднее....
А ведь Куба была одной из самых развитых страны Латинской Америки..

13.06.2014 17:45:06

В последнем предложении я допустил неточность. Конечно логин/пароль это не электронная подпись, а средство (ключ) электронной подписи.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии