НовостиОбзорыСобытияIT@WorkРеклама
Документооборот/ECM:

Блог

Загадка 63-ФЗ. Существует ли автоматическая подпись?

Заметка написана в продолжение идей поста "Еще раз об облачной ЭП", а также обсуждения, состоявшегося в FB группе.

О чем речь?
Речь идет о подписях, упоминаемых в некоторых статьях закона 63-ФЗ "Об электронной подписи".
Например, среди принципов использования электронной подписи, перечисленных в статье 4 закона, есть и такой:
3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

Далее в законе средства для автоматического создания и проверки ЭП упоминаются еще несколько раз, в частности в ст.12 (п.5) говорится, что на такие средства не распространяются правила, установленные этой же статьей, например то, что средство ЭП должно демонстрировать содержимое документа лицу, его подписывающему, требовать его явного действия по подписанию документа и однозначно показывать, что документ подписан, после выполнения этого действия. Однако нигде в законе четко не определено, что за ситуации и какие средства имеются в виду.

Не смотря на отсутствие строгого определения, можно попытаться предположить о чем идет речь. Во-первых, данное определение явно не имеет в виду случаи любого использования автоматических средств при создании и проверке ЭП, т.к. под них попадает абсолютно любое средство ЭП (ведь все они так или иначе используют некоторые программные и аппаратные средства) и ряд норм закона, например уже упомянутая статья 12, вообще потеряет смысл. Следовательно, речь идет о некоторых особых случаях.

Во-вторых, само слово "автоматически" подразумевает выполнение чего-то без участия человека (хотя есть и другие определения, например "машинально", "не задумываясь", но они тут явно не при чем).

В третьих, ст. 14 закона наводит на мысль, что под автоматическими средствами подразумаваются случаи использования т.н. "технологической" подписи, т.е. когда сервер автоматически подписывает данные (например отправляемые в другую систему) . Эта технология широко применяется, например, в системе межведомственного электронного взаимодействия (СМЭВ), где каждый пакет (запрос или ответ) должен быть в обязательном порядке подписан соответствующей информационной системой, от которой этот запрос или ответ пришел. Собственно в упомянутой ст. 14 и идет речь о "информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций", хотя упомянуты и некие иные случаи, установленные федеральными законами и подзаконными НПА. К сожалению, формулировка, использованная в этой статье, не позволяет сделать однозначный вывод, что автоматические средства создания и проверки ЭП, упомянутые в других статьях этого закона, ограничены только этими случаями.

Мою мысль о том, что речь исключительно о "технологических" подписях подтверждают и эксперты. Например, на мой вопрос, заданный в профильной группе Facebook  известный эксперт в области применения электронной подписи Сергей Муругов ответил так:
"К автоматическим средствам (на мой взгляд) - те средства которые вырабатывают технологические ЭЦП, фиксируя во времени целостность какого либо контента. Разумеется эти ЭЦП несколько выпадают из контекста слов ответственность-тюрьма и т.д. В ЕС к примеру эти виды подписей вынесены в сторону и сертификаты в них обезличенные, например, вэб-сервисы."

Существуют ли автоматические подписи?
Итак, хоть в законе это явно и не определено (а это, на мой взгляд, большая проблема этого закона, о чем скажу чуть дальше), попробуем предположить, что под средствами автоматического создания или проверки ЭП понимаются случаи применения "технологических" подписей.

Теперь поясню, что я имел в виду в теме поста. Конечно, технологические подписи существуют и широко применяются. Например, в том-же СМЭВ без них не обходится ни одна сторона взаимодействия. Я также не пытаюсь сказать, что технологические подписи не нужны. Они выполняют как минимум две очень важные функции. Во-первых, защищают данные от изменений (например при помощи атаки "man-in-the-middle"). Во-вторых, гарантируют, что данные получены именно от того, от кого должны быть, т.е. удостоверяют их данных. Вопрос лишь в том, корректно ли называть это чисто технологическое средство подписью?

Давайте немного разберемся, что такое подпись (в том числе электронная) и для чего она нужна. В обсуждаемом законе есть определение понятия электронная подпись, данное в ст. 2, п. 1:
"электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию."

Здесь совершенно четко установлено, что ЭП определяет лицо, подписывающее информацию. Акт подписания, на мой взгляд, как минимум, должен предполагать, что лицо ознакомилось с содержанием документа и каким-то образом несет ответственость за свои действия. Это прежде всего волевой акт конкретной личности.

Технологическая подпись, это всего лишь техническое средство защиты данных от подмены и обеспечения доверия к источнику данных. Можно ли сказать, что сервер "подписывает" данные? Наверное, да (выражение "технологическая подпись" давно является устойчивым в среде специалистов), но только условно. Формулировки же 63-ФЗ совершенно уравнивают эти две абсолютно разные сущности (личная подпись человека и технологическая подпись сервера).

Проблемы.
В обсуждении моего предыдущего поста по теме мой оппонент совершенно справедливо заметил, что прежде чем настаивать на изменении чего либо (порядка вещей, закона) надо бы определиться с тем, какие проблемы мы хотим решить. А может быть все и так нормально? Совершенно согласен с таким подходом, а потому попытаюсь сформулировать лишь те проблемы, которые лежат на поверхности.

Самая очевидная из них - это применение неоднозначных понятий "средства автоматического создания и проверки электронной подписи" в нормах закона. Им не установлено, относятся ли эти средства исключительно к случаю использования "технологической" подписи системы, или это могут быть и "персональные" подписи. Таким образом, можно создать программу, которая будет отслеживать наличие закрытого ключа (ключа подписи) пользователя, и, как только он обнаружен, подписывать произвольные данные без ведома самого пользователя. И мы вынуждены будем признать работу такой программы полностью соответствующей закону, т.к. она является средством автоматического создания подписи и, согласно ст.12, не обязана как-то оповещать владельца ключа о факте подписания документов.

Еще одна проблема в том, что отделяя средства для автоматического создания подписи (на уровне требований к этим средствам), закон не отделяет результаты, полученные при помощи этих средств, т.е. автоматическую подпись от подписи, проставленной человеком сознательно. В статье 6 устанавливаются условия, при которых документы, подписанные ЭП, признаются равнозначными таким же документам, подписанным собственноручно на бумаге. В свете этого возникает вопрос: аналогом чего являются данные, подписанные технологической подписью? Кто нибудь видел собственноручную подпись сервера или информационной системы?

Существует мнение, что поскольку за автоподпись все равно кто-то отвечает, ее можно считать аналогом собственноручной подписи данного человека (ответственного специалиста или руководителя). Или аналогом печати, которую данный человек собственноручно поставил на документ. Однако это довольно сомнительно (во всяком случае для меня), т.к. во втором случае все-таки имеет место некое сознательное действие со стороны ответственного лица, чего нет в случае "технологической" подписи.

Очень распространненым ответом на подобные вопросы является мнение, что и сегодня большая часть документов подписывается "не глядя". Граждане подписывают договора и соглашения, не читая. Руководители подписывают документы, даже не заглядывая в них, потому что иначе они весь свой день вынуждены будут посвятить чтению ничего не значащих бумаг. Т.е. принятие технологической подписи как аналога подписи руководителя, которую он поставил не глядя, вроде бы ничего особо не меняет. Однако, являются ли аналогичными ситуации, когда человек, держа в руках документ и имея возможность его прочитать, принимает решение этого не делать, и когда от его имени это делает система, которую он никак не контролирует. Мне кажется, во втором случае, более близкими аналогами были бы доверенность или расписка этого человека, данная в том, что он понимает риски и несет ответственность за данные, подписанные системой, но никак не его персональная подпись на каждом подписанном документе.

Что делать?
Итак, попытаемся ответить на извечный русский вопрос (хорошо, на один из них :)).

Я думаю, авторам закона стоило бы определиться, что имеется в виду под автоматическим созданием электронной подписи. Если речь о "технологических" подписях, то надо еще раз хорошо подумать, являются ли они подписями в том же смысле, в котором являются электронные подписи, проставляемые человеком осознанно. Очевидно, что нет, а значит, либо их вообще надо убрать из закона "Об электронной подписи" и регулировать подзаконными актами, либо вынести в отдельную главу и полностью установить все отношения, возникющие при использовании таких "подписей" отдельно, не смешивая две абсолютно разные сущности.
Колесов Андрей
Написал пост в продолжение разговора: http://www.pcweek.ru/its/blog/ecm/7187.php

Малых Вадим
Дмитрий, я согласен. В этом подходе тоже есть свое рациональное зерно. Пошли по принципу "не плодите сущности без необходимости". Свалили в кучу две совершенно разные вещи, персональную и технологическую подпись. Зато все проще, все регулируется одними и теми же нормами.

Я не иду от документооборота. Я иду от здравого смысла. Подписал человек и подписал сервер, это два совершенно разных по смыслу действия (да, наверное, по юридическим последствиям чаще одинаковые).
К тому-же, я привел возможные проблемы, которые могут возникнуть при применении норм в том виде как есть.
Менщиков Дмитрий
Кстати я вообще-то на 100% согласен, что технологическая подпись должна быть. Но ее функция - это только контроль целостности (типа CRC), без юридических последствий.

Но и автоматическая подпись с юридическими последствиями - тоже имеет право на жизнь!