НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Загадка 63-ФЗ. Существует ли автоматическая подпись?

Вадим Малых
28.12.2014 04:53:20

Заметка написана в продолжение идей поста "Еще раз об облачной ЭП", а также обсуждения, состоявшегося в FB группе.

О чем речь?
Речь идет о подписях, упоминаемых в некоторых статьях закона 63-ФЗ "Об электронной подписи".
Например, среди принципов использования электронной подписи, перечисленных в статье 4 закона, есть и такой:
3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

Далее в законе средства для автоматического создания и проверки ЭП упоминаются еще несколько раз, в частности в ст.12 (п.5) говорится, что на такие средства не распространяются правила, установленные этой же статьей, например то, что средство ЭП должно демонстрировать содержимое документа лицу, его подписывающему, требовать его явного действия по подписанию документа и однозначно показывать, что документ подписан, после выполнения этого действия. Однако нигде в законе четко не определено, что за ситуации и какие средства имеются в виду.

Не смотря на отсутствие строгого определения, можно попытаться предположить о чем идет речь. Во-первых, данное определение явно не имеет в виду случаи любого использования автоматических средств при создании и проверке ЭП, т.к. под них попадает абсолютно любое средство ЭП (ведь все они так или иначе используют некоторые программные и аппаратные средства) и ряд норм закона, например уже упомянутая статья 12, вообще потеряет смысл. Следовательно, речь идет о некоторых особых случаях.

Во-вторых, само слово "автоматически" подразумевает выполнение чего-то без участия человека (хотя есть и другие определения, например "машинально", "не задумываясь", но они тут явно не при чем).

В третьих, ст. 14 закона наводит на мысль, что под автоматическими средствами подразумаваются случаи использования т.н. "технологической" подписи, т.е. когда сервер автоматически подписывает данные (например отправляемые в другую систему) . Эта технология широко применяется, например, в системе межведомственного электронного взаимодействия (СМЭВ), где каждый пакет (запрос или ответ) должен быть в обязательном порядке подписан соответствующей информационной системой, от которой этот запрос или ответ пришел. Собственно в упомянутой ст. 14 и идет речь о "информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций", хотя упомянуты и некие иные случаи, установленные федеральными законами и подзаконными НПА. К сожалению, формулировка, использованная в этой статье, не позволяет сделать однозначный вывод, что автоматические средства создания и проверки ЭП, упомянутые в других статьях этого закона, ограничены только этими случаями.

Мою мысль о том, что речь исключительно о "технологических" подписях подтверждают и эксперты. Например, на мой вопрос, заданный в профильной группе Facebook известный эксперт в области применения электронной подписи Сергей Муругов ответил так:
"К автоматическим средствам (на мой взгляд) - те средства которые вырабатывают технологические ЭЦП, фиксируя во времени целостность какого либо контента. Разумеется эти ЭЦП несколько выпадают из контекста слов ответственность-тюрьма и т.д. В ЕС к примеру эти виды подписей вынесены в сторону и сертификаты в них обезличенные, например, вэб-сервисы."

Существуют ли автоматические подписи?
Итак, хоть в законе это явно и не определено (а это, на мой взгляд, большая проблема этого закона, о чем скажу чуть дальше), попробуем предположить, что под средствами автоматического создания или проверки ЭП понимаются случаи применения "технологических" подписей.

Теперь поясню, что я имел в виду в теме поста. Конечно, технологические подписи существуют и широко применяются. Например, в том-же СМЭВ без них не обходится ни одна сторона взаимодействия. Я также не пытаюсь сказать, что технологические подписи не нужны. Они выполняют как минимум две очень важные функции. Во-первых, защищают данные от изменений (например при помощи атаки "man-in-the-middle"). Во-вторых, гарантируют, что данные получены именно от того, от кого должны быть, т.е. удостоверяют их данных. Вопрос лишь в том, корректно ли называть это чисто технологическое средство подписью?

Давайте немного разберемся, что такое подпись (в том числе электронная) и для чего она нужна. В обсуждаемом законе есть определение понятия электронная подпись, данное в ст. 2, п. 1:
"электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию."

Здесь совершенно четко установлено, что ЭП определяет лицо, подписывающее информацию. Акт подписания, на мой взгляд, как минимум, должен предполагать, что лицо ознакомилось с содержанием документа и каким-то образом несет ответственость за свои действия. Это прежде всего волевой акт конкретной личности.

Технологическая подпись, это всего лишь техническое средство защиты данных от подмены и обеспечения доверия к источнику данных. Можно ли сказать, что сервер "подписывает" данные? Наверное, да (выражение "технологическая подпись" давно является устойчивым в среде специалистов), но только условно. Формулировки же 63-ФЗ совершенно уравнивают эти две абсолютно разные сущности (личная подпись человека и технологическая подпись сервера).

Проблемы.
В обсуждении моего предыдущего поста по теме мой оппонент совершенно справедливо заметил, что прежде чем настаивать на изменении чего либо (порядка вещей, закона) надо бы определиться с тем, какие проблемы мы хотим решить. А может быть все и так нормально? Совершенно согласен с таким подходом, а потому попытаюсь сформулировать лишь те проблемы, которые лежат на поверхности.

Самая очевидная из них - это применение неоднозначных понятий "средства автоматического создания и проверки электронной подписи" в нормах закона. Им не установлено, относятся ли эти средства исключительно к случаю использования "технологической" подписи системы, или это могут быть и "персональные" подписи. Таким образом, можно создать программу, которая будет отслеживать наличие закрытого ключа (ключа подписи) пользователя, и, как только он обнаружен, подписывать произвольные данные без ведома самого пользователя. И мы вынуждены будем признать работу такой программы полностью соответствующей закону, т.к. она является средством автоматического создания подписи и, согласно ст.12, не обязана как-то оповещать владельца ключа о факте подписания документов.

Еще одна проблема в том, что отделяя средства для автоматического создания подписи (на уровне требований к этим средствам), закон не отделяет результаты, полученные при помощи этих средств, т.е. автоматическую подпись от подписи, проставленной человеком сознательно. В статье 6 устанавливаются условия, при которых документы, подписанные ЭП, признаются равнозначными таким же документам, подписанным собственноручно на бумаге. В свете этого возникает вопрос: аналогом чего являются данные, подписанные технологической подписью? Кто нибудь видел собственноручную подпись сервера или информационной системы?

Существует мнение, что поскольку за автоподпись все равно кто-то отвечает, ее можно считать аналогом собственноручной подписи данного человека (ответственного специалиста или руководителя). Или аналогом печати, которую данный человек собственноручно поставил на документ. Однако это довольно сомнительно (во всяком случае для меня), т.к. во втором случае все-таки имеет место некое сознательное действие со стороны ответственного лица, чего нет в случае "технологической" подписи.

Очень распространненым ответом на подобные вопросы является мнение, что и сегодня большая часть документов подписывается "не глядя". Граждане подписывают договора и соглашения, не читая. Руководители подписывают документы, даже не заглядывая в них, потому что иначе они весь свой день вынуждены будут посвятить чтению ничего не значащих бумаг. Т.е. принятие технологической подписи как аналога подписи руководителя, которую он поставил не глядя, вроде бы ничего особо не меняет. Однако, являются ли аналогичными ситуации, когда человек, держа в руках документ и имея возможность его прочитать, принимает решение этого не делать, и когда от его имени это делает система, которую он никак не контролирует. Мне кажется, во втором случае, более близкими аналогами были бы доверенность или расписка этого человека, данная в том, что он понимает риски и несет ответственность за данные, подписанные системой, но никак не его персональная подпись на каждом подписанном документе.

Что делать?
Итак, попытаемся ответить на извечный русский вопрос (хорошо, на один из них smile:)).

Я думаю, авторам закона стоило бы определиться, что имеется в виду под автоматическим созданием электронной подписи. Если речь о "технологических" подписях, то надо еще раз хорошо подумать, являются ли они подписями в том же смысле, в котором являются электронные подписи, проставляемые человеком осознанно. Очевидно, что нет, а значит, либо их вообще надо убрать из закона "Об электронной подписи" и регулировать подзаконными актами, либо вынести в отдельную главу и полностью установить все отношения, возникющие при использовании таких "подписей" отдельно, не смешивая две абсолютно разные сущности.

Комментариев: 14

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

28.12.2014 16:21:04

1. Я думаю, что такие тексты нужно публиковать в формате статей, а не постов. Пост - это краткосрочный жанр (2-3 дня жизни) и обсуждение какого-то одного вопроса.

2.Совершенно верно: нужно начинать с постановки проблемы: 1) что нас сегодня не устраивает в законах 2) чтобы нам хотелось от закона.

Это все можно обсуждать. Но в любой случае в результате мы выйдем вот на какой вопрос: а что делать с нашими выводами и советами?
Т.е. "что делать?" (это вопрос совсем не только русский, а общечеловечекий).

Но тут нужно напомнить, что перед ним есть другой, не менее важный вопрос: "Кто виноват?"

Причем, разумеется, речь идет не о том, чтобы пожаловать в Генпрокуратуру и она бы за просила "десятку" для авторов закона.
Чтобы ответить на вопрос "что делать дальше", нужно понять - что делалось неверно ранее. Иначе мы скорее всего и будущем будем действовать также, как и ранее. С тем же результатом.

Автор поста уходит от вопроса "в чем причины проблем". И сразу предлагает "безвестным авторам закона", что учесть и что-то сделать.
Но кому именно адресованы эти пожелания? Кто эти авторы? Неизвестно...
Т.е. с таким же успехом, можно пойти в церковь и высказать свои пожелания всевышнему.

Хотя есть и другой вариант: мы все же узнаем имен авторам и отправим им конкретно свои предложения.
Но если эти люди написали уже десяток таких законов, которые являются, скорее шарадами, то какова гарантия, что они в десятый сделают что-то толковое? Она очень близка к нулевой.

Так что вопрос заключается даже не в том, какие законы нам нужны, а кто же их будет готовить.

28.12.2014 16:39:01

Андрей, все так.
Данный пост скорее попытка спровоцировать обсуждение вопроса (в очередной раз). Может быть все уже урегулировано каким-то неизвестным мне способом. Или я чего-то не знаю или недопонимаю. Или я делаю из мухи слона. Я ведь не могу претендовать на истину в первой инстанции, чтобы сразу бежать с поправками или с кляузой в прокуратуру. Это пока не более чем ИМХО smile:)

28.12.2014 17:18:58

Общая проблема заключается в том, что у нас все законы пишут в виде загадок. А дальше возникает еще более серьезная проблема: нет даже людей, которые знают ответы на заданные загадки.
Мы имеем дело с какими-то анонимками. Не у кого даже спросить - что же они хотели сказать этими своими законами.

29.12.2014 10:14:56

Хм, насколько понимаю, ставится под сомнение адекватность информационной системы выполнять какие-то действия автоматически и заверять их своей подписью.
Не согласен:
ведь например, если я вношу деньги на свой банковский счет, то я намного буду чувствовать себя увереннее, если получу квитанцию с электронной подписью банка о том, что транзакция была успешна, и деньги зачислены.
Естественно, такая операция делается полностью в автоматическом режиме (и соответственно, подпись была установлена автоматически).
Очень много существует систем, где с одной стороны находится человек, а с другой - автоматизированная система.

29.12.2014 10:20:35

Все правильно - это технологическая подпись банковской ИС. Вопрос, насколько корректно ее приравнивать к подписи человека? На уровне закона, кроме требованиям к средствам подписи, между ними не делается никаких различий. Да и ситуации, когда применяются такие средства никак не конкретезированы.

29.12.2014 10:23:32

Я думаю, это должна быть не технологическая подпись, а подпись юридического лица, о которой говорит ФЗ-63 и которая влечет за собой юридические последствия для организации.

29.12.2014 10:32:20

У юридического лица нет ни рук ни ног ни головы. Как оно может поставить подпись? smile:)

29.12.2014 10:41:30

Почему нет головы? А генеральный директор разве не голова?
Но главное, на мой взгляд, заключается в том, что юридическое лицо способно нести ответственность за свои действия. Т.е. например, оно же должно выплачивать деньги клиенту, которые тот потерял в результате сбоя системы. Поэтому почему нельзя давать клиенту документ, подписанный электронной подписью этого юрлица, на основании которого клиент может требовать от него выполнения своих обязательств (в суде)?

29.12.2014 10:53:24

У ген. директора конечно есть голова. И руки есть. И он может поставить подпись.
То, про что вы говорите, скорее всего является аналогом печати юр. лица. Которую у нас приравняли к электронной подписи, что вобщем то спорно.
В европе есть электронные печати, которые четко отделены от подписей. Подпись всегда персональна. Директор может подписать от имени юр. лица, но это будет его персональная подпись и ставить ее он должен собственноручно.
Но это не совсем пересекается с темой технологических подписей. По хорошему, даже подпись юр. лица - аналог печати, должен ставить ответственный сотрудник, собственноручно, в полном сознании и чистой совести smile:) Они должны отличаться от технологических подписей, проставленных автоматически.
В вашем примере, конечно, глупо закреплять сотрудника банка, который будет сидеть и тупо ставить подпись на квитанции, сформированные системой. Ситуация похожая на обсуждаемую в предыдущем посте (в комментариях) про массовые подписания документов.
В любом случае, по своей природе, это технологическая подпись. И роль у нее именно такая - удостоверить источник информации и ее целостность. Если нужна юридическая значимость, давайте придадим ее технологической подписи, в определенных условиях. Давайте даже назовем ее подписью юр. лица. Только отделим мух от котлет, сейчас они все в одной общей куче.

29.12.2014 12:11:04

Я понимаю, о чем вы говорите.
Но мне кажется, что вы рассуждаете с точки зрения систем документооборота. В таких системах у любого документа обычно есть автор - человек. И с этой точки зрения конечно разумно, чтобы каждая подпись была сформирована с помощью ключа, принадлежащего определенному человеку.
Но есть другой класс систем, когда одна из сторон выполняет обработку полностью автоматически.
При этом другой стороне (клиенту) в общем-то не важно, каким образом выполнили его запрос: это был автомат или человек. А ведь может быть и так и так!
И тогда почему, если там работает человек, то вы готовы заверять его действия подписью, а если там перешли на автоматическую обработку, то вы уже системе не доверяете? А мне кажется, что должно быть одинаково во обоих случаях.

Что касается аналогом чего является электронная подпись, то по-моему, она является аналогом одновременно собственноручной подписи и печати:
т.е. подпись - это значение подписи, полученное с помощью секретного ключа
а печать - это сертификат открытого ключа.

29.12.2014 14:42:37

Написал пост в продолжение разговора: http://www.pcweek.ru/its/blog/ecm/7187.php

30.12.2014 01:08:11

Дмитрий, я согласен. В этом подходе тоже есть свое рациональное зерно. Пошли по принципу "не плодите сущности без необходимости". Свалили в кучу две совершенно разные вещи, персональную и технологическую подпись. Зато все проще, все регулируется одними и теми же нормами.

Я не иду от документооборота. Я иду от здравого смысла. Подписал человек и подписал сервер, это два совершенно разных по смыслу действия (да, наверное, по юридическим последствиям чаще одинаковые).
К тому-же, я привел возможные проблемы, которые могут возникнуть при применении норм в том виде как есть.

30.12.2014 15:11:13

Кстати я вообще-то на 100% согласен, что технологическая подпись должна быть. Но ее функция - это только контроль целостности (типа CRC), без юридических последствий.

Но и автоматическая подпись с юридическими последствиями - тоже имеет право на жизнь!

29.12.2014 14:32:39

Написал пост в продолжение разговора: http://www.pcweek.ru/its/blog/ecm/7187.php

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии