НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Об автоматизации электронного подписывания электронных документов

Андрей Колесов
29.12.2014 13:07:06

Хочу высказать некоторые соображения в продолжение темы, поднятой Вадимом Малых его вчерашнем посте "Загадка 63-ФЗ. Существует ли автоматическая подпись?"

На мой взгляд, данный пост приводит еще один конкретный пример общей проблемы с наших законодательством в ИТ-сфере (об этом я писал в частности в статье по поводу облачного законопроекта и закона об ПД. Проблема эта заключается в том, что зачастую наши нормативно-законодательные акты представляют собой во многом загадки-шарады из разряда "что бы это значило?", когда порой даже специалисты-эксперты не могут четко сказать, на решение каких проблем нацелен закон, и как именно он решает эти проблемы, в том числе – как толковать и применять на практике положения законов. И проблемой тут является еще то, что законы носят совершенно "неавторский" характер, когда просто не у кого узнать – что же именно имели в виду те, кто готовил эти документы.

Как решать подобные проблемы формирования нормативно-законодательной базы (НЗБ) - это сложный вопрос. Очевидно, что нужно как-то менять базовые процедуры ее создания. При этом понятно, что в формировании НЗБ должно активно участвовать независимое экспертное сообщество (и потребители и поставщики). Насколько это необходимо и реалистично, как именно должны выглядеть такие процедуры – это непростая тема, ее нужно обсуждать отдельно.

Второй вопрос – как именно применять существующий закон 63-ФЗ "Об электронной подписи".
Но тут все же нужно отталкиваться от некоторых конкретных, практических задач. Прежде, чем искать решение проблемы, нужно ее сформулировать. Какую, собственно, проблему мы обсуждаем и хотим разрешить? Что подразумевается под вопросом "автоматизация подписывания"?

Как я понимаю постановку вопроса автором, речь идет о случае, когда некоторому должностному лицу (губернаторы) сбрасывают в его е-папку кучу файлов документов, а он может, не читая их (не открывая файлы), одним нажатием кнопки "подмахнуть" все документы разом.
И в данном случае уже даже не столь важно (хотя есть все же важные аспекты) – где именно находится эта "папка губернатора" – на его личном планшете или на удаленном сервере.
А далее встает другой вопрос: кто и как гарантирует, что эту заветную кнопку нажал именно губернатор, а не его, скажем, секретарь или случайно зашедший в кабинет посетитель?

Вопросы эти непростые. По своей сути, понятно, что "подмахивание не глядя" должно быть запрещено, это противоречит самой сути создания "человеческих документов". Да, такие же проблемы возникают и при работе с бумажными документами ("не глядя"), но в случае аналоговых документов, когда информация жестко привязана к физическому носителю, все достаточно понятно: чтобы подписать бумагу, человек должен взять ее в руки, войти "в физический контакт" с ней. Взяв ее в руки, он, как бы признает, что ознакомился с ее содержанием, принимает ответственность на себя.

Хотя, на самом деле и тут возникаю, проблемы. Например, суд вряд ли признает юридическую силу бумажного документа, подписанного человеком под дулом пистолета.

Именно поэтому для подписания важных документов существуют специальные процедуры подписания (например: фиксация брачного союза требует участия представителя власти и двух свидетелей).

В случае же с электронными (а правильнее говорить – цифровыми) документами физического контакта человека с документом нет, и тут "бумажные методы" аутентификации не работают. В бумажном варианте начальник не может оставить "свою руку", чтобы с ее помощью секретарь сделал подпись за него. В электронном он может отдать свой "сертификат" кому угодно (его могут и украсть).

И в этом, электронном, случае, как раз резко повышается важность процедур подписания, а также законодательного регулирования использования сертификатов. Например, в законе должно быть четко сказано, что владелец е-сертификатов не имеет права передавать эти сертификаты кому бы то ни было. А за передачу сертификатов усиленной и квалифицированной подписей несет ответственность. Правда, тут нужно еще вырабатывать механизмы контроля подробных требований.

Возвращаясь к закону 63-ФЗ.
Суть проблемы видится в том, что хотя он и называется "Об электронной подписи", но на самом деле он описывает традиционные бумажные методы "подписывания", переложенные на "электронный лад". Собственно, именно в этом заключаются многие наши проблемы внедрения "электронных документов" – мы постоянно пытаем просто механически перенести старые традиционные модели на качественно новые технологические возможности.

Более того, 63-ФЗ по своей сути изначально ориентирован на сугубо "человеческие" документы. Т.е. на документы, для подписывания которых человек должен каждый раз принимать конкретное решение (подписывать или нет) на основе понимания сути того, что он подписывает. То есть когда речь идет об уникальных документах, создаваемых именно данным человеком.

Но ведь кроме того существует огромная масса "автоматических документов", которые создаются без участия человека, на основе достаточно простых, однозначно понимаемых правил. Обычные транзакционные операции. Самый простой пример: покупка билета или товара в киоске-автомате: уплатил нужную сумму и получил документ (билет, чек).
Все это же происходит в информационных системах, но только при реализации намного более сложных операций и совершенно в иных масштабах.
Наверняка, и тут необходимо соответствующее законодательное регулирование, в том числе в плане наличия каких-то требований к процедурам. А так же в плане определения ответственности (в любом случае, конечная ответственность за действия информационных систем лежит на конкретных людях).

Но идея тут заключается в том, что мы не должны пытаться "притянуть" законы, написанные для одной сферы деятельности, для применения в совсем других сферах.

Решение проблемы тут видится вполне очевидным.
1. Любой закон должен начинаться с очень четкого описания сферы его применения.
2. Законы должны писаться максимально понятно, с однозначной трактовкой его положений.

Наверное, имеет смысл для каждого закона иметь некие официальный свод его толкований (это могут быть, как описания судебных прецедентов, так и толкования экспертов).

Комментариев: 11

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

30.12.2014 00:45:53

Цитата
1. Любой закон должен начинаться с очень четкого описания сферы его применения.

Открываем закон "Об электронной подписи" и читаем самую-самую первую-первую статью:
Ст.1 Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.
По сравнению с прошлой версией добавились гос и муниципальные услуги, гос и муниципальные функции. Осталась и бланкетная норма "в случаях, установленных другими федеральными законами". Например, закон об ЭЦП "из коробки" распространялся только на сделки, но другими федеральными законами его действие распространили и на сдачу отчетности, и на бюро кредитных историй и т.п. Обычная юридическая практика в российском законодательстве.
Фраза "при совершении иных юридически значимых действий", на мой взгляд, пример того, как не надо писать законы. Бланкетная норма (читай, механизм расширения сферы действия закона) уже есть, я только что про него упомянул, но вот что означает фраза "при совершении иных юридически значимых действий", понять сложно. Можно сказать, что под действия закона можно внезапно подвести любые правоотношения.
Цитата
Суть проблемы видится в том, что хотя он и называется "Об электронной подписи", но на самом деле он описывает традиционные бумажные методы "подписывания", переложенные на "электронный лад".
У меня есть предположение: чтобы не переписывать всю законодательную базу, законодатели просто попытались уравнять в правовом смысле собственноручную подпись и электронную подпись. А дальше уже по аналогии: видим в любом законе слово "подпись", не видим запрета перевод документа в электронный вид, все - заменили собственноручную подпись на ЭП и вперед, к торжеству электронного документооборота.
Однако, как справедливо заметил Андрей, электронные документы и процессы - не всегда есть прямые аналоги бумажных. И тут простой аналогией собственноручной подписи и ЭП не обойтись - при правовом регулировании оборота электронных документов полезнее было бы исходить из их электронной природы, нежели надменно считать их практически полными аналогами бумажных.
Другой момент. Закон об ЭП пытается регламентировать применение ЭП сразу в нескольких областях. А именно, в гражданском праве (сделки) и в административном (госуслуги). Проблема в том, на мой взгляд, что эти две области регулируются двумя порой прямо противоположными методами.
При регуляции госуслг и госфункций используется императивный метод (разрешено только то, что разрешено). Законодательство предусматривает единственно законный порядок совершения действий. И тут законодатель, если хочет, может и ограничивать автоподпись, и вводить еще какие-то правила - ради Бога. Пусть чиновники с этим живут.
При регуляции гражданского права еще с древнеримских времен использовался диспозитивный метод (разрешено все, что не запрещено). И тут уже лучше это оставить на усмотрение бизнеса, законодательно запретив только те сценарии, которые ведут к нарушению прав третьих лиц, к неравноправию сторон, к другим злоупотреблениям права. Считает бизнес, что здесь оптимальнее использовать какое-то автоматическое подписание - на здоровье! Готов человек подписаться под действиями системы - ему же сидеть, а не системе.
Цитата
Наверное, имеет смысл для каждого закона иметь некие официальный свод его толкований (это могут быть, как описания судебных прецедентов, так и толкования экспертов).

Есть такое с незапамятных времен. Комментарии могут быть официальными и неофициальными. Официальные - это те. которые дает Конституционный Вверховный суд (коллеги-юристы, поправьте, если вру, цитирую по памяти, на юрфаке учился заочно smile:) ). Судебный прецедент в законодательстве РФ не является нормой права, Россия - страна континентального, а не общего права, как англосаксонские страны и их бывшие колонии.
Цитата
Обычные транзакционные операции. Самый простой пример: покупка билета или товара в киоске-автомате: уплатил нужную сумму и получил документ (билет, чек).

В моих прошлых комментариях к постам Вадима я говорил о совсем других сценариях массовой подписи. И все эти сценарии не исключали обязательного (по долгу службы) контроля подписанта над подписанного им документами. Просто этот контроль не всегда был в "ортодоксальном" виде, как-то совершение какого-то действия при подписании каждого документа. В массовых операциях контроль и управление может быть произведен в другом виде - но на то она и автоматизация и компьютеризация, чтобы облегчать рутинные операции. Но ни в одном рассмотренном мной сценарии ответственность и контроль сотрудника не исключался.

30.12.2014 01:14:39

Цитата
чтобы не переписывать всю законодательную базу, законодатели просто попытались уравнять в правовом смысле собственноручную подпись и электронную подпись

Копирую ответ из соседней ветки:
Я согласен. В этом подходе тоже есть свое рациональное зерно. Пошли по принципу "не плодите сущности без необходимости". Свалили в кучу две совершенно разные вещи, персональную и технологическую подпись. Зато все проще, все регулируется одними и теми же нормами.
Я не иду от документооборота. Я иду от здравого смысла. Подписал человек и подписал сервер, это два совершенно разных по смыслу действия (да, наверное, по юридическим последствиям чаще одинаковые).

30.12.2014 01:26:25

Цитата
Я иду от здравого смысла

Здравый смысл - очень оценочное понятие. Это психология (в тяжелых случаях даже психиатрия). В правовых спорах отсыл к "здравому смыслу" часто равносилен признанию, что правовых аргументов нет.

30.12.2014 01:47:49

Именно поэтому мне никогда не стать настоящим юристом. Хотя, вобщем-то и не стремлюсь smile:)

30.12.2014 01:49:38

И тут все-таки, что называть правовым спором. Вы говорите о спорах, соответствует что-либо нормам права или нет. Тут не спорю - все соответствует.
Я говорю о спорах - а правО ли прАво?

30.12.2014 15:07:31

в любой теории есть такая штука как аксиоматика, т.е. нечто, не поддающееся строгому доказательству, а являющееся допущением.
Т.е. то, что основано как раз на здравом смысле

30.12.2014 15:28:55

Но в комментарии Вадима под "здравым смыслом", на мой взгляд, скрывалось банально его представление, его мнение по данному вопросу. Я в комментах к этому посту Вадима рассказал о двух реальных бизнес-кейсах использования массового подписания ЭД. Вадим, если я его правильно понял, не увидел в них "здравого смысла". Организации, которые внедрили у себя эти сценарии - увидели. Поэтому я и сказал, что в этом вопросе, как то приятие или неприятие каких-то законных в рамках текущего законодательства (это, если я не ошибаюсь, никто не опровергнул) процедур и бизнес-процессов, "здравый смысл" - это субъективное оценочное понятие.
Ок, я услышал чужое мнение по данному вопросу, высказал свое - мы остались каждый при своем мнении. О чем еще можно спорить?

30.12.2014 10:28:59

Сергей!
Вы пропустили в тексте закона один важный фрагмент

"при совершении иных юридически значимых действий"

Эта фраза авторматически распространяет действие закона практически на ВСЕ случаи жизни.
Приобретение ж-д билета к кассе-автомате - это юридически значимое действие?
Значит, закон распространяется и на автомат.

30.12.2014 10:57:24

Цитата
Сергей!
Вы пропустили в тексте закона один важный фрагмент

Андрей, Вы, возможно, невнимательно читали мой коммент:
Цитата
Фраза "при совершении иных юридически значимых действий", на мой взгляд, пример того, как не надо писать законы.

30.12.2014 11:15:57

Так вот эта фраза автоматически распространяет действие закона на ВСЕ сферы жизни.

30.12.2014 11:50:17

Мне не очень понятно, что хотели сказать этим законодатели, так как в статье уже перечислен список правоотношений, на который распространяется этот закон, а также механизм расширения его действия (путем принятия ФЗ). Да, эта оговорка позволит при необходимости подвести практические любые правоотношения под действие закона "Об электронной подписи".

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии