НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Еще раз об облачной ЭП

Вадим Малых
24.12.2014 14:22:34

Так называемая "облачная" электронная подпись уже обсуждалась и в этом блоге (например, здесь и здесь) и в профильной ФБ группе. Если коротко - на документ ставится обычная усиленная (или усиленная квалифицированная) ЭП, разница лишь в том, что закрытый ключ находится не в руках у подписанта, а на сервере (в облаке), а подписант только дает команду серверу подписать такой-то документ. Команда должна подтверждаться какой-то аутентификацией, в простейшем случае логин/пароль подписанта (что не рекомендуется из-за малой защищенности такого способа), или отсылкой разового пароля по смс с дальнейшим вводом его для подтверждения личности подписанта (а лучше и тем и другим, т.н. двухфакторная аутентификация). Подробнее можно посмотреть в докладе, где подробно расписаны плюсы и минусы технологии и связанные с ней риски. Доклад хоть и достаточно старый (2012 год), но, думаю, в подходах мало что изменилось.

Еще раз эту тему затронул в своем выступлении Сергей Бушмелев на недавно прошедшем форуме ИНФОДОКУМ-2014 (см. слайды 7 и 8 ). Позиция автора такова - облачная ЭП полностью соответствует 63-ФЗ "Об электронной подписи", при этом может удовлетворять всем требованиям к усиленной или усиленной квалифицированной подписи. Это утверждение подтверждается тремя нормами закона 63-ФЗ:
1. Ст. 4 "Принципы использования электронной подписи", в которой в частности сказано: "3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе."
2. Ст. 12 "Средства электронной подписи", п. 5 "Требования частей 2 и 3 настоящей статьи не применяются к средствам электронной подписи, используемым для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе." Речь идет о требованиях к средствам проверки ЭП отображать документ, показывать, что подпись создана и т.д.
3. Ст. 10 "Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей", согласно которой "При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия..." Выделенные слова "без их согласия" означают, что владелец ключа может добровольно передать его третьему лицу для использования от своего имени.

Вроде бы все сходится. Но что за случаи автоматического создания электронной подписи упоминаются в 63-ФЗ? Для меня это загадка, тем более что сам закон эти ситуации никак не конкретизирует. По логике вещей это должны быть случаи использования так называемых "технологических" подписей, например подписей информационной системы или органа власти в СМЭВ. Но явных указаний на это нет, т.е. закон можно трактовать и так, что автоматически может проставляться "персональная" ЭП, а это и есть случай облачной подписи.

Не вносят ясности в этот вопрос и готовящиеся поправки в 63-ФЗ, о которых я планирую написать отдельный пост. Заявлено, что "Разработанные изменения создадут условия для использования квалифицированных электронных подписей с мобильных устройств". Однако это не имеет отношения к технологии облачной ЭП, что подтвердил в комментариях (см. ссылку выше) сотрудник Минкомсвязи.

Сомнительной мне кажется и идея с массовым подписанием документов, также озвученная в упомянутом докладе Сергея Бушмелева. Не столько с правовой точки зрения, сколько с точки зрения здравого смысла (хотя правовой подход у нас зачастую всякий здравый смысл отметает напрочь). Вроде бы все логично, если закон позволяет создавать подписи в автоматическом режиме, при этом не показывая подписанту ни документ, ни результат его действия, то какой вообще смысл подписывать индивидуально каждый документ? Можно одним нажатием подписать все 100 накопившихся документов!

Но если хорошо подумать, то можно пойти и дальше. Предлагая услугу массового подписания, мы ведь изначально подразумеваем, что подписант не будет просматривать все эти документы. А что в таком случае вообще означает его явное действие по подписанию набора документов? Почему бы не усовершенствовать этот механизм дальше и не предложить, например, услугу массового подписания документов по расписанию, вообще без участия подписанта? Это также не будет противоречить перечисленным статьям закона. Понятно, что такой подход превращает саму идею усиленной электронной подписи в фикцию.

Подытоживая, можно сказать, что технология облачной ЭП выглядит многообещающе в связи с ее простотой и универсальностью. Подписывать документы можно практически с любого устройства, ведь ни установки крипто-средств, ни каких-либо других настроек не требуется. Все что нужно - выход в интернет для возможности подтвердить свои действия. К тому же, использование смс для подтверждения действий давно зарекомендовало себя как достаточно надежный способ. Не зря он повсеместно используется для двухфакторной аутентификации почти во всех банковских онлайн и мобильных приложениях.

Однако, использование нечетких формулировок закона, как основы для использования такого вида подписи, представляется весьма сомнительным. Необходимо четко определиться с этим способом работы, выделив его в отдельный вид подписи, либо приравняв к одному из имеющихся видов, проработать требования к средствам облачной ЭП и т.д. Также неплохо конкретизировать, какие случаи использования автоматичеких средств подписи имеются в виду в законе. Я думаю, тут надо конкретно прописать, что речь идет только о "неперсональных" ЭП, т.е. принадлежащих не человеку, а информационной системе или серверу.

Что касается массового подписания документов, то это полная фикция. Такие вещи необходимо реализовывать и регулировать как-то иначе.

Комментариев: 59

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

24.12.2014 15:53:53

Цитата
хотя правовой подход у нас зачастую всякий здравый смысл отметает напрочь

5 баллов! Возьму на карандашsmile;-))
Чего тут далеко ходить - предлагаемые поправки к 63-ФЗ вместе с пояснительной запиской перечитала раз 5-7, чтобы найти для себя хоть какие-то совершенствования, о который в своем пресс-релизе пишет Минкомсвязь. Ознакомление ничего кроме сожаления о мигрени и потраченного на чтения времени не дает.

Банковская система, реализуя подход быстрого и несложного управления своими финансами - в передовиках.
А тема облачных подписей действительно интересна!

24.12.2014 18:08:50

Вадим, спасибо за внимание к моему докладу! Мы начали это обсуждение лично (я рад возможности познакомиться лично), теперь продолжим онлайн smile:)
Мысль 1. В своем докладе я ни словом не обмолвился об облачной подписи. Речь шла исключительно о массовом подписании. Технология облачной подписи к массовой подписи ортогональна. То есть, это два разных измерения. Предлагаю говорить далее о них раздельно.
Мысль 2. По поводу здравого смысла массового подписания: без более или менее живых сценариев все выглядит слишком абстрактно.
Сценарий 1.
Хабаровсктелеком каждый месяц отправляет своим абонентам - юрлицам и ИП сотни тысяч биллинговых документов. Обычно комплект состоит из:
1. Счет-фактура
2. Акт выполненных работ
3. Счет
4. детализация (расшифровка)
Получаем примерно сотню-две-три и даже больше тысяч документов каждый месяц. Как это было и есть на бумаге - отдельный разговор. Используются либо подписание по доверенности, либо факсимиле. Или то и другое вместе.
Как это делается при отправке электронных документов через оператора ЭДО:
1. Хабаровсктелеком выгружает из своей биллинговой системе данные в каком-то своем формате. Данные в биллинговой системе уже проверены на целостность, непротиворечивость и т.п.
2. Интеграционное решение (обычно на стороне оператора ЭДО) преобразует этот кастом в установленные (для ЭСФ) или рекомендованные (для акта) законодательством форматы. Для счета и детализации можно придумать два подхода - преобразование в pdf или визуализация кастомной печатной формы на лету. Корректность работы интеграционного решения проверяется и оператором и заказчиком-телекомом. Фальсификация данных на этом этапе не выгодна никому. После выгрузки документы невозможно изменить в веб-интерфейсе. Через API если и можно что-то сделать, но аудита и логирования избежать не удастся.
3. Сотрудник телекома в веб-интерфейсе сервиса может дополнительно проверить выгруженные данные. Это его зона ответственности.
4. Другое интеграционное решение (на стороне заказчика-телекома) настроено на подписание определенных документов. Это решение запускается вручную, сознательно, под ответственность сотрудника. При этом подписываются только нужные документы. У оператора ЭДО - поставщика интеграционного решения и у телекома нет выгоды в фальсификации и на этом этапе. Альтернативой использования автоматизированного решения является подписание в веб-интерфейсе. Ок, на странице отображаются 50 документов, выбрать для подписания можно только те, что видны на странице. Делим количество документов на 50, получаем количество итераций.
После того, как мы предложили клиентам такую возможность, получили немало благодарных отзывов.
Повторю еще раз: массовое подписание производится сознательно, подписываются только многократно проверенные документы. При этом использование автоматизированного решения не снимает ответственности с подписанта. Здравый смысл побеждает - клиенты использую массовое подписание. Осознанно и ответственно.
Ок, пока откланиваюсь, из дома напишу про другие сценарии и облачную подпись.

24.12.2014 21:44:16

Сергей, здравствуйте!
Так же рад знакомству, и спасибо за Ваш комментарий.
Про массовость и облачность, значит недопонял. Я думал вы массово именно облачной подписью подписываете.
Про то, что клиенты рады, я даже не сомневаюсь. Если вы им дадите решение, которое вообще без участия оператора будет подписывать, они будут ещё сильнее рады smile:)
Про то, что надо подписывать сотни тысяч документов человеку, изощряясь с факсимиле и т.п.,то это как раз из серии противоречия норм здравому смыслу.
Если все эти данные проверила система, а не человек, почему их не подписывать ЭП системы? Человек их не читал и не проверял, что конкретно означает его подпись на документе (кроме того, что она должна по закону там быть)?

24.12.2014 22:05:03

Цитата
Если все эти данные проверила система, а не человек, почему их не подписывать ЭП системы?

Для счетов-фактур законодательством однозначно определено, кем должны быть подписаны документы. Для первичных документов - та же картина. Это раз. Да, это требование законодательства.
Во-вторых, документы могут существовать и вне сервиса: вы можете выгрузить и сами документы, и подписи, и протокол подписания. К чему там тогда подпись системы?
В-третьих, если на документе стоит электронная подпись человека и она валидна, то на "техническом уровне" это означает, что этот человек - автор документа, и документ не изменился с того момента, как его подписали. Что означает подпись на документе - это уже правовые отношения. Подпись на ЭСФ означает, что действительно с покупателя был удержан НДС, подпись на накладной - что товар был принят или отпущен. Это уже "уровень правовых отношений". Читал человек документ или нет - это уже его риски, на правоотношениях это не скажется. Я не говорю сейчас про какие-то криминальные случаи.
В каждом случае бизнес сам решает, сколько будет стоить удобство, какие возникают риски и х последствия. И оправдано или нет массовое подписание.

24.12.2014 22:22:43

Про требования законодательства я понимаю. В том то и проблема, что это схема тупо перенесенная с бумаги в электронный вид, без учета ньюансов. Если человек физически не может прочитать и проверить такое количество документов, то что означает его подпись на каждом конкретном документе? Я не понимаю.
В управленческом документообороте такая же проблема. Руководители процентов 90 документов подписывают не глядя. Помощники им отдельно откладывают то, что надо почитать. Иначе никак. Иначе они все свое время будут тратить на чтение документов. Все это понимают и продолжают делать. Продолжают делать вид, что все нормально. Что они просто оценили правильно риски. Ну да, зачем что-то менять, так ведь проще.

24.12.2014 23:07:20

Цитата
Если человек физически не может прочитать и проверить такое количество документов
это не проблема права, это проблема организации.
Цитата
Руководители процентов 90 документов подписывают не глядя. Помощники им отдельно откладывают то, что надо почитать.

Это уже особенности законодательства и практики. Правильнее бы было делегировать право подписи тем сотрудникам, у которых есть время на чтение документов. Или которые обязаны это делать. В коммерческих организациях, во многих случаях можно выписать доверенность на право подписания определенных документов. В госорганах - Вы знаете много лучше меня smile:)
Но бывает, что "на политическом уровне" важен вес подписанта. Тогда и приходится бигбоссу подписывать не глядя, ибо подписант более мелкого калибра просто не будет воспринят.

24.12.2014 22:33:14

Я то не просто так к автоподписи прицепился. У меня тоже периодически спрашивают про такую возможность. И ведь сделаем рано или поздно. Тем более, что закон вроде не против. Технически это вообще не проблема. Проблема в другом - это логическая бессмыслица. Но никого это похоже не волнует.

24.12.2014 22:39:13

Кстати, раз вы массово подписываете на клиенте, а не в облаке, как вы решили проблему запроса пин кода носителя при подписании каждого документа? Просто рекомендуете сохранять пин код? Или вообще ключ на комп перетаскиваете?

24.12.2014 23:02:56

Если клиент хочет каждый раз вводить пин-код, никто ему помешать не может. Если не хочет - убирает запрос пин-кода.
Не бывает 100% надежных решений. И не всегда нужны надежные решения. При разработке модели защиты, например, можно отталкиваться от модели угроз. Какому злоумышленнику нужно вклиниться в процесс подписания? Какова будет экономическая выгода от его мошенничества, и будет ли она? Сможет ли злоумышленник доказать, что его действия законны, если вы будете их оспаривать? Не на все вопросы будет ответ "да".

25.12.2014 10:04:55

Сергей! Приведенный вами сценарий показывает только одно: ненужность существования операторов ОЭД как таковых.

Позвольте вас спросить: как осуществляется обмен подобными докуметами в бумажном виде? Там тоже сотрудники Почты вскрывают все письма и заверяют их своими подписями?
А как справляется Google Gmail с пересылкой сотен миллионов писем в день?

Вы своим примером показали только одно: абсурдность существующего механизма ОЭД.

25.12.2014 10:04:57

Сергей! Приведенный вами сценарий показывает только одно: ненужность существования операторов ОЭД как таковых.

Позвольте вас спросить: как осуществляется обмен подобными докуметами в бумажном виде? Там тоже сотрудники Почты вскрывают все письма и заверяют их своими подписями?
А как справляется Google Gmail с пересылкой сотен миллионов писем в день?

Вы своим примером показали только одно: абсурдность существующего механизма ОЭД.

25.12.2014 10:20:13

Даже не буду пытаться переубеждать Вас в ненужности операторов ЭДО smile:)

24.12.2014 18:18:48

Все эти "облачные" подписи уже давно реализованы в финансовой системе. Тут и придумывать ничего не надо.
Вы входите в Интернет-банк и все ваши транзакции фиксируются как раз подобными подписями. Банк в любом суде докажет, что это все - именно ваши действия.

Что касается "автоматизации" подписей, то я просто не очень понимаю, о чем идет речь. И при чем тут "облачная" подпись?
Вы с таким же успехом можете передать свои обычные ключи и пароли секретарю, с помощью которых он сможет подписывать за начальника.
При чем тут "облачная" подпись?
"Облачность" в моем понимании заключается в том, что вы каким-то должным образом входите в свой удаленный личные кабинет и там можете подписывать документы. И они там оформляются таким образом, что имеют вашу ЭП.

И в чем тут автоматизация? Вы можете, не читая, подписывать и обычные бумажные документы (что мы в жизни часто и делаем, например, при оформлении банковских счетов).

Вы и с обычной подписью можете подписать 100 документов, не читая их.

24.12.2014 22:01:36

Андрей, здравствуйте!
Немного о разных вещах. Личный кабинет не равно облачная подпись. В указанных Вами сценариях используется простая подпись, а тут речь об усиленной, которую от вашего имени проставляет сервер.
Про массовое подписание выше Сергей подробно сценарий описал.
Про то, что можно подписать вручную 100 документов не читая - да можно. Но ваша подпись будет означать, что документ вы в руках держали, и могли бы и почитать. А что означает прдпись, проставленная автоматом на 100 документах одним нажатием кнопки? Это ли не дурь?
Хорошо, давайте тогда вообще начнём с того, зачем вообще нужна подпись? Не важно, бумажная или электронная.

25.12.2014 09:58:12

Вадим! Сразу вас не ответил, а сейчас даже не знаю, что и где писать. Дискуссия расползлась "как тараканы", она идет не только тут, но и в моем посте и в Фейсбуке.
Да, вы совершенно правы: нужно начинать с самого начала - разбираться, что зачем нужна подпись.
Вот что чуть ранее я уже написал по этому поводу в Фейсбуке:

Проблема заключается в том, что нам нужно возвращаться к самому началу - что такое ЭП и зачем она нужна. У нас сейчас в стране, с одной стороны, гипертрофированно преувеличенное представление об этом механизме, а с другой - какое-то механистическое.
Что делает некий текстовый документ Законом страны? Наличие подписи Президента? Как бы ни так - его делает документом ПРОЦЕДУРА принятия и введение в действие закона. Как создаются такие важные документы, как свидетельство о браке? Это определяется процедурой, в которой участвует много людей и создается целый набор документов. И т.д.

Нужно разделять технологические и юридические вопросы. ЭП - это сугубо технология. а законную силу документу должна придавать не сама подпись, некая процедура.

ПОдлинность документа должна устанавливать не ЭП, а проведением (и возможностью проведения) РАССЛЕДОВАНИЯ, то анализа процесса формирования и подписания этого документа.
Мы должны понимать, что ЭП - это лишь один из элементов подтверждения подписи, но далеко не единственный.

Вот вам ситуация: вы предъявите в суде документ, на котором зафиксирована моя подпись и число. А я вам предсталю трех свидетелей, которые подтвердят, что я в это время находился в далеком горном походе и чисто физически не мог подписать этот документ.
И какова же будет цена этому документу?

25.12.2014 09:58:16

Вадим! Сразу вас не ответил, а сейчас даже не знаю, что и где писать. Дискуссия расползлась "как тараканы", она идет не только тут, но и в моем посте и в Фейсбуке.
Да, вы совершенно правы: нужно начинать с самого начала - разбираться, что зачем нужна подпись.
Вот что чуть ранее я уже написал по этому поводу в Фейсбуке:

Проблема заключается в том, что нам нужно возвращаться к самому началу - что такое ЭП и зачем она нужна. У нас сейчас в стране, с одной стороны, гипертрофированно преувеличенное представление об этом механизме, а с другой - какое-то механистическое.
Что делает некий текстовый документ Законом страны? Наличие подписи Президента? Как бы ни так - его делает документом ПРОЦЕДУРА принятия и введение в действие закона. Как создаются такие важные документы, как свидетельство о браке? Это определяется процедурой, в которой участвует много людей и создается целый набор документов. И т.д.

Нужно разделять технологические и юридические вопросы. ЭП - это сугубо технология. а законную силу документу должна придавать не сама подпись, некая процедура.

ПОдлинность документа должна устанавливать не ЭП, а проведением (и возможностью проведения) РАССЛЕДОВАНИЯ, то анализа процесса формирования и подписания этого документа.
Мы должны понимать, что ЭП - это лишь один из элементов подтверждения подписи, но далеко не единственный.

Вот вам ситуация: вы предъявите в суде документ, на котором зафиксирована моя подпись и число. А я вам предсталю трех свидетелей, которые подтвердят, что я в это время находился в далеком горном походе и чисто физически не мог подписать этот документ.
И какова же будет цена этому документу?

24.12.2014 23:23:48

Цитата
И в чем тут автоматизация? Вы можете, не читая, подписывать и обычные бумажные документы (что мы в жизни часто и делаем, например, при оформлении банковских счетов).
Вы и с обычной подписью можете подписать 100 документов, не читая их.

Андрей тут, на мой взгляд, прав. Это не вопрос права, это не вопрос технологии, это вопрос организации.

24.12.2014 22:51:46

Обещанная вторая часть комментариев.
Сценарий 2.
Некий ритейлер очень хочет проверять счета-фактуры и накладные, что ему по сервису ЭДО отправляют поставщики. А сравнивать ему хочется с данными о приемках товаров на склад или в магазины. Можно проверять ЭСФ и накладные вручную, открыв в одном окне веб-интерфейс сервиса ЭДО, а в другом - окно своей учетной системы. И так, каждый комплект документов из сотни-тысячи за день, каждую товарную позицию. Проверять нужно тщательно. По-вашему, это имеет какой-то здравый смысл?
Ритейлер тоже думает, что не имеет. Он не может выгрузить ЭСФ и Торг-12 в свою учетную систему. Но его система может получать данные в неком специфичном формате. Более того - она даже может в аналогичном формате выгружать результаты проверки. Тогда за дело! Эта схема, кстати, есть в слайдах к моему докладу.
Одно интеграционное решение выгружает поступающие от поставщиков комплекты документов в специфичный формат и отправляет ритейлеру в его систему. Другое решение, развернутое уже на стороне ритейлера, получает результаты проверки и на основании них либо подписывает документы, либо отказывает в подписи. Подпись проставляется ответственного сотрудника. Корректность работы схемы проверяется и оператором, и заказчиком-ритейлером. Все стороны заинтересованы, чтобы не было искажений информации.
Ритейлер считает, что удобство и экономия (времени, труда сотрудников) от работы такой схемы перевешивают возникающие риски.

Об облачной подписи:
Как уже говорил - это совершенно ортогональная к массовости технология. Ее нужно сравнивать с подписанием сертификатом, который в твоем непосредственном владении (в реестре твоего компьютера, на сменном носителе и т.п.). У каждой из этих технологий - свои сильные слабые и сильные стороны. Есть поверье, что облачной подпись может воспользоваться любой злоумышленник. Чуть позже объясню, почему это не совсем так. Но вот украсть сертификат из HSM не знаю, возможно ли, а токен из USB-порта или кармана априори может быть легче. В страхе облачной подписи, на мой взгляд, больше иррационально-эмоционального, чем рационального.
Далее. У Вадима по ссылке на доклад есть хорошая картинка, объясняющая, как работает облачная подпись. Как вы видите, обратиться к сервису облачного подписания можно только через API. При этом разумно будет требовать, чтобы тот сервис, который отправляет документ на подпись, авторизовался. Защитив канал, мы сможем с нужной уверенностью гарантировать, что обращаться к сервису облачного подписания могут только авторизованные сервисы и приложения.
Мы сами определяем, какие сервисы могут обращаться, когда облачное подписание - это удобно при требуемом уровне безопасности. Например, с облачными подписями может работать сервис облачной бухгалтерии. Если захотим, можем предоставить такую возможность сервису ЭДО. И совсем не обязательно делать вход туда через Интернет, если мы хотим работать только с нашими сервисами. И остальные наши и чужие решения (включая решения злоумышленников) просто не смогут воспользоваться этим сервисом облачного подписания.
Не стоит забывать, что использование облачной подписи вместо on premise решения (с криптопровайдером и сертификатом на своем устройстве) - это право, а не обязанность абонента, его сознательный выбор. Как и использование системы или сервиса "банк-клиент".
Что же касается выводов в докладе, то трудно ожидать чего-то иного от производителя крипто-решений. Облачная подпись убивает продажи такого производителя, это прямой конкурент его продуктам. Опять же, это - альтернатива. Если считаете, что нельзя доверять облачной подписи - пользуйтесь on premise решениями. Если доверяете - то подписывайте через облако.
Раз уж мы говорили в первой части о массовости, то тут как раз пока для облачной подписи рассматривеается все больше индивидуальное подписание, со всеми требованиями ч.2 и ч.3 ст. 12 Закона "Об электронной подписи". Массовые сценарии пока не предлагаются, так как сначала нужно заработать необходимое доверие для индивидуальных подписаний.

24.12.2014 23:53:35

Вот по вашему сценарию. Возьмем 2 пакета. Один лично проверен от и до ответственным сотрудником. Второй - вашей системой. Как отличить один от другого? Никак! На обоих одна и та же подпись.
Но ведь это НЕПРАВИЛЬНО!
Подпись в обоих случаях означает совершенно разные вещи. В первом, что сотрудник лично провел работу и отвечает за данные. Во втором - что он доверяет вашей системе и берет на себя все риски. Это должны быть 2 разные подписи, это же очевидно.

25.12.2014 00:28:24

Цитата
Но ведь это НЕПРАВИЛЬНО!
Почему? Отвечает за оба пакета все равно сотрудник?
Цитата
Подпись в обоих случаях означает совершенно разные вещи. В первом, что сотрудник лично провел работу и отвечает за данные. Во втором - что он доверяет вашей системе и берет на себя все риски

Для кого это разные вещи? Для наших контрагентов - нет. Вы считаете, если сотрудник глазами сверял сотни документов, по десятку позиций в каждом - он сделает меньше ошибок?
Цитата
Это должны быть 2 разные подписи, это же очевидно.

Мне ну вот ни капельки не очевидно.
А если один пакет сотрудник смотрел левым глазом, а другой - правым - тоже подписи должны быть разные?
Вадим, по-моему, вы пытаетесь переводить вопросы организации в область права. Две разные подписи должны означать разные правовые режимы. Выделяя в отдельную категорию массовую или облачную подпись, чего мы хотим добиться? Чтобы она была "менее юридически значима"? Кто будет принимать, к какой категории должна относиться подпись? Если одна из категорий будет с ограничениями, будут ли организации считать подпись именно "ущербной" категории?
Вы хотите запретить массовое подписание или ограничить его применимость? А это нужно в гражданском праве, где регулирование ведется диспозитивным методом (разрешено все. что явно не запрещено). Не сами ли компании должны решать, что им выгодно или безопасно? Если Вы хотите регулировать (читай ограничивать) использование массовых подписей, скажем, при оказании госуслуг, действительно ли от них исходит опасность? Действительно ли организации сами не справятся с выбором?
Столько знаков вопросов - это не патетика и не "крик души smile:) Я просто хочу помочь Вам найти причину, по которой, по Вашему мнению, стоит различать эти подписи.

25.12.2014 11:00:50

Причина очень простая. Пакет не должен подписывать сотрудник, который не имеет к нему никакого отношения. Он его не формировал, не проверял, вообще никак не участвовал (он даже не писал программу, которая это все делает). Что конкретно означает его подпись на данных? Для меня это более чем очевидно.
Я не хочу ничего отменять или запрещать. Я хочу, чтобы эти вещи регулировались правильно, а не через одно место, как у нас принято. Нихай так будет, всегда же так было.

25.12.2014 11:33:25

Вадим, давайте для простоты разберем ситуацию на бумаге. Вы отправили покупателю накладную, и он возвращает вам его со своей собственноручной подписью.
Как на ваш бизнес и отношения с покупателем, а также с налоговой повлияют следующие приписки рядом с подписью:
1. "Подписано не глядя"
2. "Иван Петрович Кузьмин сказал мне, что он проверил документы, что все ок. Я просто тупо подписал"
3. "Все это проверялось в какой0то системе. Я ее не писал, я не сам загружал данные. Но система мне сказала, что все ок. Я просто тупо подписал".

?

25.12.2014 11:41:08

А не должно быть этих приписок. Не должно быть "тупо подписал". Процессы надо правильно выстраивать, и регулировать правильно. Если не может человек физически все этот проверить, то и не должна там требоваться его подпись.
Я не согласен, что это проблема чисто организации. Это проблема и правовая в том числе. У нас регулирование этих процессов отстает лет на дцать. Тогда это работало, сегодня уже нет, а процессы никто и не думает менять.

25.12.2014 12:03:37

Цитата
А не должно быть этих приписок
Я тоже так думаю smile:)
Цитата
Это проблема и правовая в том числе.
Если мы вводим разные категории электронных подписей - для этого должна быть причина. Для этих категорий (допустим, массовая и одиночная) должны быть установлены разные правовые режимы. Иначе какой смысл их различать??? Я пока не услышал ни одной причины, почему это нужно. И как это поможет бизнесу, например. Ибо одна из сфер действия закона об электронных подписях - это сделки. И как это поможет в обмене ЭСФ (это уже административные отношения в рамках регулирования налоговых правоотношений)?

25.12.2014 12:08:35

Сергей, я не говорил про категории. Я сказал "Это должны быть 2 разные подписи". Имел в виду на одном подпись сотрудника, а на втором подпись ИС.

25.12.2014 12:18:09

Цитата
Это должны быть 2 разные подписи

Вадим, должен быть какой-то смысл такого выделения. Я говорю, что должны наступать разные последствия, иметь место какие-то ограничения. Иначе это не имеет смысла.
Цитата
а на втором подпись ИС

Подпись системы на бизнес-документе не имеет смыла, на мой взгляд. На систему нельзя выписать доверенность, ее нельзя привлечь к ответственности smile:)

25.12.2014 12:28:33

А подпись человека на документе. к которому он не имеет ни малейшего отношения имеет смысл? По-моему еще меньший, чем подпись ИС.

25.12.2014 12:50:47

Как не имеет отношения? Подписант своей подписью берет на себя ответственность. А как он проверил документ - это уже его дело. Если он не доверяет системе, то и подпись ставить не должен. И свой сертификат не должен отдавать, чтобы при помощи него какая-то система ставила подписи. А если уверен, что система отработает правильно, то позволит механически поставить подпись от его имени. Под свою ответственность.
По поводу подписи системы - я пока не встречал в российском праве ситуаций, когда субъектами права были бы неодушевленные создания smile:) Или одушевленные, но не люди.

25.12.2014 12:55:29

Да я это понимаю. Тут надо брать Андрея Колесова и всем втроем совершать экскурс в глубокую историю. Откуда есть пошел документ, откуда есть пошла подпись, для чего она и что означает. Я утверждаю, что эта массовая подпись не означает ничего. Является аналогом ничего. И вообще полная фикция.

25.12.2014 13:16:24

Цитата
Я утверждаю, что эта массовая подпись не означает ничего. Является аналогом ничего. И вообще полная фикция.

Видимо, никаких аргументов, почему это так, на Ваш взгляд, я не услышу smile:cry:

25.12.2014 13:23:15

Сергей, просто ответьте себе на простой вопрос. Для чего нужна подпись на документе и что она означает? Не электронная, а вообще подпись. Для "я принимаю все риски и т.д." есть другие механизмы - расписки, доверенности и т.д. Моя личная подпись на документе, который я в руках не держал, просто не может ничего означать.

25.12.2014 13:44:04

Для контрагентов, проверяющих органов эта подпись будет означать то же самое, что и подпись под документом, который вы подписывали "лично". Если вы не заявили об утере сертификата - вы несете ответственность за подписанные документы.
Не доверяете системе - проверяйте и подписывайте лично. Не хватает времени - ставьте вопрос перед руководством о распределении потока документов с другими сотрудниками. Не хотите отдавать свой сертификат системе - не отдавайте.
Что массовая подпись ничего не означает - это только Ваша эмоция. Предлагаю эмоции не обсуждать.

25.12.2014 14:01:21

Можно не обсуждать. Но я не считаю, что это эмоция. Я считаю, что это факт.

25.12.2014 14:03:39

Факт без аргументов - это эмоция smile;)

25.12.2014 14:07:22

Мне кажется, что я привел все возможные аргументы. Если для вас это не аргументы, то наверное действительно нет смысла обсуждать.

25.12.2014 14:10:43

Я понимаю, что вы хотите юридических аргументов. Но тут их не может быть, т.к. эти вещи как раз юридически нормально и не отрегулированы. Законы могут ошибаться, иначе в них невозможно было бы вносить поправки.

25.12.2014 14:38:53

Хорошо, подскажу smile:)
Право призвано обеспечить права, имеет механизм принудительного выполнения обязанностей, охраняет интересы других лиц от злоупотреблений правами со стороны .. еще каких-то лиц. Прежде чем заниматься правовым регулированием какого-то вопроса, нужно ответить на вопрос, зачем это делается. Шаблон ответа приведен выше.
Как-то выделяя в правовом смысле массовую подпись, вы хотите законодательно ограничить ее применение? В смысле, кто-то хочет ее применять, но это бы нанесло урон контрагентам или третьим лицам. При этом ограничивать нужно, так как несознательные граждане и организации так и стремятся массово подписать что-то лишнее. Как скажем, ограничивают права потребителей менять годный товар, если это технически сложный продукт. Чтобы ограничить потребительский экстремизм, и тем самым защитить продавцов от него. И мы ограничиваем право применения массовой подписи, чтобы кого-то защитить.
При введении ограничения нужно знать ущерб, который будет, если не ограничивать.
Если мы будем ставить ограничения бизнесу, то они тоже должны быть обоснованы, иначе это просто будет втыканием палок в колеса на ровном месте. Бизнес, конечно, придумает, как ему обойти нелепое ограничение. Но возросшие затраты лягут на плечи конечных потребителей.
Я это все к тому, что всякое правовое регулирование должно иметь ясную цель.

25.12.2014 14:49:46

Сергей, я сам на юридическом сейчас учусь, так что таких формулировок могу тоже вагон накидать. Только толку от них?
Я не про ограничения. Я про то, что массовая подпись - это фикция. Ее не существует! Это иллюзия. То, что мы тут обсуждаем, это всего лишь дырка в законе, которую по хорошему давно бы должны прикрыть.
А смысл подписи в том, что я ставлю ее осознанно, на конкретный документ. Смысл автоподписи - это элемент защиты. Например документа от изменения, и гарантия, что документ пришел именно от того адресата.
Вам ПРИХОДИТСЯ ставить подписи на ваших документах, т.к. того требует закон. Но он несовершенен, он тормозит и не успевает за технологиями. Это пришло из тех лет, когда все эти документы были бумажными и подпись действительно требовалась.
Те, кто пишет законы, будут еще долго тормозить, т.к. им это и не нужно. Нужно вам и вашим клиентам, и вам надо двигать эту тему. Остальным другим то вообще не до этого smile:)

25.12.2014 14:59:48

Здорово! Будем разговаривать, как юрист с юристом smile:)

Цитата
Я про то, что массовая подпись - это фикция. Ее не существует! Это иллюзия. То, что мы тут обсуждаем, это всего лишь дырка в законе, которую по хорошему давно бы должны прикрыть.

Смотрим предыдущий комментарий и отвечаем, хотя бы самом себе: для чего нужно закрывать "эту дыру". Чьи права ее существование нарушает? Кого мы хотим защитить? Отвечаем, как юрист smile:)

25.12.2014 15:11:12

Мне не интересно мыслить как юрист, по моему это совершенно плоские люди, а я объемен smile:)
А если серьезно, странная позиция юриста. Если дыра никому не мешает, то не надо ее закрывать?
Согласитесь, что ни один юрист не может досконально знать предметной области, как и я не знаю всех ньюансов вашей деятельности, например обмена электронными финансовыми документами. Вы хотите, чтобы я сейчас смоделировал все возможные ситуации и сказал какие могут быть подводные камни там то и там то? Вы знаете хоть одного юриста, кто может это сделать?
Вы все правильно говорите о том, для чего нужно право. Но оно должно и здравый смысл какой-то в себе нести (пусть даже все теоретики ТГП со мной будут не согласны). Массовая подпись никакого здравого смысла не имеет. Сделовательно ее надо объявить вне закона, а все отношения, на нее завязанные, спокойно решаются другими средствами. И никаких там сложностей, перечисленных вами, нету на самом деле. Мы живем в век информационных технологий.

25.12.2014 15:19:21

Вадим, это была удивительная дискуссия! Спасибо, вы интересный человек и азартный спорщик smile:) Просто я не вижу смысла обсуждать правовые вопросы в иных плоскостях (здравого смысла, технологии, религии, морали и т.п.). Это все иррациональные оценочные пространства. Можно бесконечно спорить, из аргументов приводя только "А мне так кажется...", "А мне вот так..." smile:)

Цитата
И никаких там сложностей, перечисленных вами, нету на самом деле.

Если Вы не видите сложностей - не значит, что их нет smile:)

25.12.2014 15:25:00

Согласен, надо завязывать. Вобщем-то попытка обсуждать это в правовой плоскости с самого начала была бессмысленной. Я ведь и не утверждал, что есть какие-то проблемы в правовой плоскости. Я согласен, что использование массовой подписи, как есть сейчас, вполне соответствует закону.
Взаимно рад был пообщаться (думаю не в последний раз smile:) )

25.12.2014 13:27:29

Вы поймите правильно, я то понимаю вашу мотивацию. Повторю, и меня постоянно просят реализовать такую возможность. Я понимаю почему это, сам в этом кувыркаюсь, но не могу согласиться, что это правильно. Скорее всего и мне придётся эту массовость реализовать рано или поздно. Но при этом мое мнение о подобных "костылях" никак не поменяется.

25.12.2014 13:46:00

Не можете запретить - возглавьте. Создайте локальную нормативную базу, закрепите ответственность. Придумайте сценарий, когда риски не превышают удобство.

25.12.2014 14:00:17

Да я бы с радостью. Но я тут этим всем занимаюсь один. Больше никому ничего не надо. И пока есть более важные дела.

25.12.2014 12:53:34

Кстати сейчас Сергей Муругов в параллельном обсуждении в ФБ обратил мое внимание на поправку, которая была внесена в 63-ФЗ летом этого года. Там касается как раз автоподписей и лиц ответственных за автоподписи. Т.е. на таких документах вполне могла бы стоять автоподпись системы, а лицо ответственное определено в соответствии с 63-ФЗ.

25.12.2014 13:30:55

Обращу внимание на два момент, выделю их жирным:
Допускается не указывать в качестве владельца сертификата ключа проверки электронной подписи физическое лицо, действующее от имени юридического лица, в сертификате ключа проверки электронной подписи (в том числе в квалифицированном сертификате), используемом для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами.
1. Не указывать физлицо в сертификате - это право, а не обязанность.
2. это возможно только в сфере гос и муниципальных услуг, а также в других случаях, прямо предусмотрено законом. Пока нет законов, которые бы позволяли это делать при подписании ЭСФ и первичных документов. Даже если появится, то это будет правом, а не обязанностью. Так что это комментарий пока мимо.

25.12.2014 13:52:20

Вообще-то поправка была не в этом, этот текст был в законе ранее. Поправкой добавили вот что: "При этом распорядительным актом юридического лица определяется физическое лицо, ответственное за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. В случае отсутствия указанного распорядительного акта лицом, ответственным за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, является руководитель юридического лица. В случае возложения федеральным законом полномочий по исполнению государственных функций на конкретное должностное лицо ответственным за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при исполнении государственных функций является это должностное лицо."
Т.е. ответственное за автоподпись лицо всегда можно будет определить. Оно либо назначено внутренним актом, либо по умолчанию - руководитель.
То что это для гос. систем это правда. И думаю вам надо продвигать идею принятия НПА, который утвердит подобный порядок и для ваших систем.
Вы надеюсь понимаете, что эта двусмысленность с автоподписями не более чем дыра в законе. Из всего следует, что имелись в виду "технологические" подписи систем, а не персональные подписи, проставляемые за человека. Иначе некоторые положения закона вообще теряют смысл, т.к. любая ЭП проставляется так или иначе в автоматическом режиме. То что это явно не прописали - большой привет авторам закона. Но ведь эту дырочку рано или поздно могут прикрыть. Просто явно определят в законе, какие случаи имеются в виду.

25.12.2014 14:11:06

Не уверен, что в бизнесе это будет востребовано. Во-первых, в документах, издаваемых госорганом, зачастую не требуется подпись второй стороны, как в бизнесе.
Во-вторых, даже в гос системах это будет применяться не повсеместно. Возможно, в будет использовано автоответах, типа "Ваше обращение принято". Там можно обезличить подписанта. Но вот постановление подписывать, письмо, ответ на обращение за госуслугой, иной документ человеческого авторства - это даже не уверен, будет ли иметь какой-то смысл подписывать это обезличенной подписью.

25.12.2014 14:27:31

По-моему, мы все-таки немного о разных вещах говорим. Нужны данные о том, кто несет ответственность? Давайте указывать их, и пускай этот человек несет полную ответственность, вплоть до высшей меры, раз подписался. Но зачем его персональная ЭП на документе? Это неправильно, это должно быть иначе оформлено! Просто мне трудно аргументы здесь подобрать и как то объяснить, для меня это совершенно очевидно!

25.12.2014 14:48:46

Я уважаю Ваше мнение, но не могу его разделить. Только аргументы могут меня поколебать smile:)

Цитата
Нужны данные о том, кто несет ответственность? Давайте указывать их, и пускай этот человек несет полную ответственность, вплоть до высшей меры, раз подписался. Но зачем его персональная ЭП на документе?

Я пока не вижу необходимости в ином способе указания ответственного, чем его личная подпись. Тем более, что это нужно для неограниченного круга лиц, которые могут и не знать (точнее, не должны обязательно знать) о неком "распорядительном акте" с именем ответственного за обезличенную подпись. Обезличенная подпись + распорядительный акт - это ведь сложнее, чем личная подпись, не правда ли? Для усложнения процесса должно быть какое-то более веское обстоятельство, чем понимание, что "так правильнее".

25.12.2014 14:56:44

Все так, но личная подпись, проставленная без моего участия - это незаконно (давайте на секунду представим, что дырок в законе не существует smile:) ). Хоть согласен я, хоть не согласен. Вон у Сергея Муругова спросите, на западе за такое сажают!

25.12.2014 15:05:04

Зафиксировано две попытки уйти из российских правовых реалий:
1. Переход в область воображения
2. Переход в область права другой страны

Сейчас это законно, если с вашего согласия. Без согласия - незаконно.

25.12.2014 15:14:00

Да я и не старался там оставаться. Я и говорю вобщем-то в посте, что 63-ФЗ надо бы подкорректировать smile:)

25.12.2014 15:27:10

Цитата
Я и говорю вобщем-то в посте, что 63-ФЗ надо бы подкорректировать

И Вы сказали, какие статьи? Что там на что нужно бы заменить? И объяснили, зачем это нужно?

25.12.2014 15:33:27

Конечно. Надо определить, что имеется в виду под автоматическими средствами создания подписи. Вы же юрист, как можно такую размазанную формулировку в законе использовать? Так или иначе ЛЮБАЯ ЭП ставится в автоматическом режиме. Однако, из многих вещей следует, что имелась в виду "технологическая" подпись, т.е. подпись системы. Но об этом остается только гадать. Разве законы так пишутся?

Зачем это нужно? Чтобы соблюсти юридическую технику. Закон не должен допускать двусмысленных формулировок. Это ведь тоже не мне вам рассказывать?

25.12.2014 16:35:50

мне показалась мысль, высказанная Натальей Храмцовской: гармонизация с европейским законодательством. Тут да. нужно изучать опыт коллег, в том числе в области "массовой" и облачной подписи smile:)

25.12.2014 15:16:15

Я просто могу сказать, что что-то меняют и двигают вперед несогласные. И это явно не юристы.

25.12.2014 15:28:40

Цитата
что-то меняют и двигают вперед несогласные. И это явно не юристы.

Это Вы не про наших депутатов сейчас? Тогда я полностью согласен. Юристы потом с этим разбираются smile:)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии