Блог

Так называемая "облачная" электронная подпись уже обсуждалась и в этом блоге (например, здесь и здесь) и в профильной ФБ группе. Если коротко - на документ ставится обычная усиленная (или усиленная квалифицированная) ЭП, разница лишь в том, что закрытый ключ находится не в руках у подписанта, а на сервере (в облаке), а подписант только дает команду серверу подписать такой-то документ. Команда должна подтверждаться какой-то аутентификацией, в простейшем случае логин/пароль подписанта (что не рекомендуется из-за малой защищенности такого способа), или отсылкой разового пароля по смс с дальнейшим вводом его для подтверждения личности подписанта (а лучше и тем и другим, т.н. двухфакторная аутентификация). Подробнее можно посмотреть в докладе, где подробно расписаны плюсы и минусы технологии и связанные с ней риски. Доклад хоть и достаточно старый (2012 год), но, думаю, в подходах мало что изменилось.

Еще раз эту тему затронул в своем выступлении Сергей Бушмелев на недавно прошедшем форуме ИНФОДОКУМ-2014 (см. слайды 7 и 8 ). Позиция автора такова - облачная ЭП полностью соответствует 63-ФЗ "Об электронной подписи", при этом может удовлетворять всем требованиям к усиленной или усиленной квалифицированной подписи. Это утверждение подтверждается тремя нормами закона 63-ФЗ:
1. Ст. 4 "Принципы использования электронной подписи", в которой в частности сказано: "3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе."
2. Ст. 12 "Средства электронной подписи", п. 5 "Требования частей 2 и 3 настоящей статьи не применяются к средствам электронной подписи, используемым для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе." Речь идет о требованиях к средствам проверки ЭП  отображать документ, показывать, что подпись создана и т.д.
3. Ст. 10 "Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей", согласно которой "При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия..." Выделенные слова "без их согласия" означают, что владелец ключа может добровольно передать его третьему лицу для использования от своего имени.

Вроде бы все сходится. Но что за случаи автоматического создания электронной подписи упоминаются в 63-ФЗ? Для меня это загадка, тем более что сам закон эти ситуации никак не конкретизирует. По логике вещей это должны быть случаи использования так называемых "технологических" подписей, например подписей информационной системы или органа власти в СМЭВ. Но явных указаний на это нет, т.е. закон можно трактовать и так, что автоматически может проставляться "персональная" ЭП, а это и есть случай облачной подписи.

Не вносят ясности в этот вопрос и готовящиеся поправки в 63-ФЗ, о которых я планирую написать отдельный пост. Заявлено, что "Разработанные изменения создадут условия для использования квалифицированных электронных подписей с мобильных устройств". Однако это не имеет отношения к технологии облачной ЭП, что подтвердил в комментариях (см. ссылку выше) сотрудник Минкомсвязи.

Сомнительной мне кажется и идея с массовым подписанием документов, также озвученная в упомянутом  докладе Сергея Бушмелева. Не столько с правовой точки зрения, сколько с точки зрения здравого смысла (хотя правовой подход у нас зачастую всякий здравый смысл отметает напрочь). Вроде бы все  логично, если закон позволяет создавать подписи в автоматическом режиме, при этом не показывая подписанту ни документ, ни результат его действия, то какой вообще смысл подписывать индивидуально каждый документ? Можно одним нажатием подписать все 100 накопившихся документов!

Но если хорошо подумать, то можно пойти и дальше. Предлагая услугу массового подписания, мы ведь изначально подразумеваем, что подписант не будет просматривать все эти документы. А что в таком случае вообще означает его явное действие по подписанию набора документов? Почему бы не усовершенствовать этот механизм дальше и не предложить, например, услугу массового подписания документов по расписанию, вообще без участия подписанта? Это также не будет противоречить перечисленным статьям закона. Понятно, что такой подход превращает саму идею усиленной электронной подписи в фикцию.

Подытоживая, можно сказать, что технология облачной ЭП выглядит многообещающе в связи с ее простотой и универсальностью. Подписывать документы можно практически с любого устройства, ведь ни установки крипто-средств, ни каких-либо других настроек не требуется. Все что нужно - выход в интернет для возможности подтвердить свои действия. К тому же, использование смс для подтверждения действий давно зарекомендовало себя как достаточно надежный способ. Не зря он повсеместно используется для двухфакторной аутентификации почти во всех банковских онлайн и мобильных приложениях.

Однако, использование нечетких формулировок закона, как основы для использования такого вида подписи, представляется весьма сомнительным. Необходимо четко определиться с этим способом работы, выделив его в отдельный вид подписи, либо приравняв к одному из имеющихся видов, проработать требования к средствам облачной ЭП и т.д. Также неплохо конкретизировать, какие случаи использования автоматичеких средств подписи имеются в виду в законе. Я думаю, тут надо конкретно прописать, что речь идет только о "неперсональных" ЭП, т.е. принадлежащих не человеку, а информационной системе или серверу.

Что касается массового подписания документов, то это полная фикция. Такие вещи необходимо реализовывать и регулировать как-то иначе.