НовостиСобытияКонференцииIT@Work
Документооборот/ECM:

Блог

Об автоматизации электронного подписывания электронных документов

Хочу высказать некоторые соображения в продолжение темы, поднятой Вадимом Малых его вчерашнем посте "Загадка 63-ФЗ. Существует ли автоматическая подпись?"

На мой взгляд, данный пост приводит еще один конкретный пример общей проблемы с наших законодательством в ИТ-сфере (об этом я писал в частности в статье по поводу облачного законопроекта и закона об ПД. Проблема эта заключается в том, что зачастую наши нормативно-законодательные акты представляют собой во многом загадки-шарады из разряда "что бы это значило?", когда порой даже специалисты-эксперты не могут четко сказать, на решение каких проблем нацелен закон, и как именно он решает эти проблемы, в том числе – как толковать и применять на практике положения законов. И проблемой тут является еще то, что законы носят совершенно "неавторский" характер, когда просто не у кого узнать – что же именно имели в виду те, кто готовил эти документы.

Как решать подобные проблемы формирования нормативно-законодательной базы (НЗБ) - это сложный вопрос. Очевидно, что нужно как-то менять базовые процедуры ее создания. При этом понятно, что в формировании НЗБ должно  активно участвовать независимое экспертное сообщество (и потребители и поставщики). Насколько это необходимо и реалистично, как именно должны выглядеть такие процедуры – это непростая тема, ее нужно обсуждать отдельно.

Второй вопрос – как именно применять существующий закон 63-ФЗ "Об электронной подписи".
Но тут все же нужно отталкиваться от некоторых конкретных, практических задач. Прежде, чем искать решение проблемы, нужно ее сформулировать. Какую, собственно, проблему мы обсуждаем и хотим разрешить? Что подразумевается под вопросом "автоматизация подписывания"?

Как я понимаю постановку вопроса автором, речь идет о случае, когда некоторому должностному лицу (губернаторы) сбрасывают в его е-папку кучу файлов документов, а он может, не читая их (не открывая файлы), одним нажатием кнопки "подмахнуть" все документы разом.
И в данном случае уже даже не столь важно (хотя есть все же важные аспекты) – где именно находится эта "папка губернатора" – на его личном планшете или на удаленном сервере.
А далее встает другой вопрос: кто и как гарантирует, что эту заветную кнопку нажал именно губернатор, а не его, скажем, секретарь или случайно зашедший в кабинет посетитель?

Вопросы эти непростые. По своей сути, понятно, что "подмахивание не глядя" должно быть запрещено, это противоречит самой сути создания "человеческих документов". Да, такие же проблемы возникают и при работе с бумажными документами ("не глядя"), но в случае аналоговых документов, когда информация жестко привязана к физическому носителю, все достаточно понятно: чтобы подписать бумагу, человек должен взять ее в руки, войти "в физический контакт" с ней. Взяв ее в руки, он, как бы признает, что ознакомился с ее содержанием, принимает ответственность на себя.

Хотя, на самом деле и тут возникаю, проблемы. Например, суд вряд ли признает юридическую силу бумажного документа, подписанного человеком под дулом пистолета.

Именно поэтому для подписания важных документов существуют специальные процедуры подписания (например: фиксация брачного союза требует участия представителя власти и двух свидетелей).

В случае же с электронными (а правильнее говорить – цифровыми) документами физического контакта человека с документом нет, и тут "бумажные методы" аутентификации не работают. В бумажном варианте начальник не может оставить "свою руку", чтобы с ее помощью секретарь сделал подпись за него. В электронном он может отдать свой "сертификат" кому угодно (его могут и украсть).

И в этом, электронном, случае, как раз резко повышается важность процедур подписания, а также законодательного регулирования использования сертификатов. Например, в законе должно быть четко сказано, что владелец е-сертификатов не имеет права передавать эти сертификаты кому бы то ни было. А за передачу сертификатов усиленной и квалифицированной подписей несет ответственность. Правда, тут нужно еще вырабатывать механизмы контроля подробных требований.

Возвращаясь к закону 63-ФЗ.
Суть проблемы видится в том, что хотя он и называется "Об электронной подписи", но на самом деле он описывает традиционные бумажные методы "подписывания", переложенные на "электронный лад". Собственно, именно в этом заключаются многие наши проблемы внедрения "электронных документов" – мы постоянно пытаем просто механически перенести старые традиционные модели на качественно новые технологические возможности.

Более того, 63-ФЗ по своей сути изначально ориентирован на сугубо "человеческие" документы. Т.е. на документы, для подписывания которых человек должен каждый раз принимать конкретное решение (подписывать или нет) на основе понимания сути того, что он подписывает. То есть когда речь идет об уникальных документах, создаваемых именно данным человеком.

Но ведь кроме того существует огромная масса "автоматических документов", которые создаются без участия человека, на основе достаточно простых, однозначно понимаемых правил. Обычные транзакционные операции. Самый простой пример: покупка билета или товара в киоске-автомате: уплатил нужную сумму и получил документ (билет, чек).
Все это же происходит в информационных системах, но только при реализации намного более сложных операций и совершенно в иных масштабах.
Наверняка, и тут необходимо соответствующее законодательное регулирование, в том числе в плане наличия каких-то требований к процедурам. А так же в плане определения ответственности (в любом случае, конечная ответственность за действия информационных систем лежит на конкретных людях).

Но идея тут заключается в том, что мы не должны пытаться "притянуть" законы, написанные для одной сферы деятельности, для применения в совсем других сферах.

Решение проблемы тут видится вполне очевидным.
1. Любой закон должен начинаться с очень четкого описания сферы его применения.
2. Законы должны писаться максимально понятно, с однозначной трактовкой его положений.

Наверное, имеет смысл для каждого закона иметь некие официальный свод его толкований (это могут быть, как описания судебных прецедентов, так и толкования экспертов).
Бушмелев Сергей
Мне не очень понятно, что хотели сказать этим законодатели, так как в статье уже перечислен список правоотношений, на который распространяется этот закон, а также механизм расширения его действия (путем принятия ФЗ). Да, эта оговорка позволит при необходимости подвести практические любые правоотношения под действие закона "Об электронной подписи".
Менщиков Дмитрий
в любой теории есть такая штука как  аксиоматика, т.е. нечто, не поддающееся строгому доказательству, а являющееся допущением.
Т.е. то, что основано как раз на здравом смысле
Бушмелев Сергей
Но в комментарии Вадима под "здравым смыслом", на мой взгляд, скрывалось банально его представление, его мнение  по данному вопросу. Я в комментах к этому посту Вадима рассказал о двух реальных бизнес-кейсах использования массового подписания ЭД. Вадим, если я его правильно понял, не увидел в них "здравого смысла". Организации, которые внедрили у себя эти сценарии - увидели. Поэтому я и сказал, что в этом вопросе, как то приятие или неприятие каких-то законных в рамках текущего законодательства (это, если я не ошибаюсь, никто не опровергнул) процедур и бизнес-процессов, "здравый смысл" - это субъективное оценочное понятие.
Ок, я услышал чужое мнение по данному вопросу, высказал свое - мы остались каждый при своем мнении. О чем еще можно спорить?