«Підводні камені» простий електронного підпису

Приводом для написання цієї статті стали численні обговорення, що відбувалися між зацікавленими особами при реалізації проектів, що включають функціональність простий електронного підпису (ПЕП). Поняття ПЕП виявилося розмитим, кількість інтерпретацій про те, як підписувати документи ПЕП, було кратно кількості зацікавлених осіб. Стаття переслідує мета систематизації рішень, що застосовуються в інформаційних системах для підписання документів ПЕП, з точки зору чинного законодавства.
Особиста власноручний підпис
Історично склалося так, що в російському законодавстві немає визначення особистої власноручного підпису. Це питання розбирається у великій кількості юридичної літератури, і загальноприйнятим тлумаченням терміна «особиста власноручний підпис» є наступне:
Підпис — унікальна сукупність символів, написаних від руки за допомогою спеціальних оформлювальних прийомів (монограма, розчерки, штрихи), що служить для визначення правоздатності фізичної особи.
Під правоздатністю, відповідно до статті 17 ЦК РФ, розуміється здатність людини мати цивільні права і нести обов'язки з моменту народження до моменту смерті. Процес визначення правоздатності отримав назву «ідентифікації особистості» і відбувається через зіставлення людини і набору унікальних характеристик або ознак, властивих даній людині. До мінімально можливого набору таких характеристик, відповідно до статей 19 і 20 ГК РФ, відносяться ім'я людини, прізвище людини, і місце, де людина переважно перебуває або проживає (місце проживання). Якщо перейти від нормативних понять до технічних архітектурним поняттями, під ідентифікацією особистості розуміється зіставлення зовнішнього образу людини, збережених на деякій пристрої пам'яті, його імені, прізвища, виражене у певній знаковій системі і місцем проживання, виражене в деякій системі координат. Фізична архітектура такого зіставлення може бути найрізноманітнішою. В якості пристрою пам'яті може виступати як мозок, так і застосовуватися технічні засоби, наприклад, паперові (малюнок, фотографія) або електронні. В якості знакової системи можуть виступати мова (система звуків) або писемність. В якості системи координат можуть застосовуватися географічна система координат або нормативна (адміністративно-територіальний поділ). Таким чином, підсумовуючи усі факти, історично притаманні підпису, можна дати наступне визначення підписи:
Підпис — унікальна сукупність символів, що дозволяє зіставити людини або зовнішній образ людини і набір ознак, властивих тільки цій людині, з метою контролю дотримання прав або виконання обов'язків, визначених підписаним документом. Мінімальним набором унікальних ознак, що дозволяє визначити права і обов'язки особистості, є ім'я, прізвище людини і його місце проживання.
Зв'язок підпису з правами і обов'язками особи практично нерозривний. Наприклад, через підпис, в цілях підтвердження авторства документа, набуваються права на цей документ, а також обов'язок не допускати плагіату. У ряді випадків права і обов'язки прописані в самому документі, наприклад, у документі, що засвідчує здійснення угод. Перефразовуючи відомий афоризм, можна сказати, що: «Говоримо підпис, маємо на увазі права і обов'язки, говоримо права і обов'язки, маємо на увазі підпис». Права та обов'язки через підпис купуються як безпосередньо, так і опосередковано, через підпис іншої людини, у випадках, передбачених законодавством. Наприклад, права та обов'язки набуваються через підпис батьків, опікунів і піклувальників, через підпис довірених осіб
Електронний підпис
Нормативним документом, у якому наводиться визначення електронного підпису(ЕП), є Федеральний Закон "№ 63 від 06.04.2011 «Про електронний підпис" (далі ФЗ-63). У статті 2 ФЗ-63 розглянуте поняття визначається так:
Електронний підпис — інформація в електронній формі, яка приєднана до іншої інформації в електронній формі (підписаній інформації) або іншим чином пов'язана з такою інформацією і яка використовується для визначення особи, яка підписує інформацію.
З даного визначення випливає, та у статті 6 ФЗ-63 нормативно зафіксовано, що ЕП є аналогом особистої власноручного підпису, так як головна мета у обох типів підписів одна — визначення особи, яка підписує інформацію. Ідентифікація особистості — дуже важливий момент для юридичної значимості ЕП. Повну гарантію достовірного визначення особи не дає жоден з видів ЕП, але, в разі некваліфікованої і кваліфікованої ЕП, людина особисто відвідує спеціальну установу — Засвідчувальний Центр (УЦ), акредитований державою і уповноважена для видачі(заміни) ЕП. У разі ПЕП, про обов'язковість достовірної ідентифікації особи при видачі(заміни) ЕП часто забувають або спосіб визначення особи викликає багато суперечок в технічній реалізації. ФЗ-63, у статті 5 пункт 2, підкреслюючи важливість ідентифікації особистості, дає наступне визначення простий електронного підпису:
Простий електронної підписом є електронний підпис, що за допомогою використання кодів, паролів або інших засобів підтверджує факт формування електронного підпису певною особою.
Коду, паролі або інші засоби, що є елементами ПЕП, мають узагальнюючу назву — ключі ПЕП. Ключі ПЕП можуть мати публічну та конфіденційну частини. Наприклад, при використанні в технічному рішенні ідентифікації особистості особистого електронного поштової скриньки, адресу поштової скриньки буде відкритою частиною ключа, а пароль до нього — закритою, конфіденційної частиною. ФЗ-63 зобов'язує суворо дотримуватися конфіденційності непублічних ключів ПЕП, так як компрометація призводить до втрати юридичної значимості.
Повертаючись до визначення підпису, яке було дано в попередніх абзацах, ми можемо розширити визначення ПЕП, розкривши значення терміна «певна особа»:
Простий електронної підписом є електронний підпис, що за допомогою використання кодів, паролів або інших засобів встановлює зв'язок людини, яка підписує інформацію, з набором ознак, властивих тільки цій людині, з метою контролю дотримання прав або виконання обов'язків, визначених підписаним документом. Мінімальним набором унікальних ознак, що дозволяє визначити права і обов'язки особистості, є ім'я, прізвище людини і його місце проживання.
Основним і практично єдиним способом юридичного зіставлення людини з набором ознак, властивих даній людині, є пред'явлення оригіналу засвідчує документа, в якості якого застосовується видане державними органами посвідчення особи (УЛ). Посвідчення особи містять фотографію, прізвище та ім'я, а також вказівку на місце проживання, тобто весь необхідний набір ознак, встановлений законодавством для ідентифікації. Правила видачі такого посвідчення завжди наказують його отримання особисто власником і ніким іншим і цей факт є юридично значущим: під час видачі посвідчення встановлено зв'язок між людиною, її фотографією, його ім'ям і прізвищем, і місцем його проживання. Отже, завдання додання ПЕП юридичної значимості зводиться до задачі визначення зв'язку між державним М.ХМЕЛЬНИЦЬКИЙ і ключами ПЕП. ФЗ-63, у статті 9 пункт 2, підкреслює важливість визначення такого зв'язку, зобов'язуючи прописувати правила визначення особи, що підписує електронний документ, в угодах про визнання електронних документів.
«Підводні камені» простий електронного підпису
Всі інформаційні системи (ІС) можна розділити на публічні і закриті, розглядаючи коло користувачів, що мають можливість створення або відправлення електронних документів. Якщо, для доступу до ІС, чоловік зобов'язаний пройти процедуру перевірки оригіналу М.ХМЕЛЬНИЦЬКИЙ, то така ІС буде закритою, доступ до якої має строго певне коло осіб. ІВ, доступ до якої має невизначений коло осіб, які не пройшли процедуру перевірки М.ХМЕЛЬНИЦЬКИЙ, буде публічною. До закритим ІС відносяться всі корпоративні ІС, так як людина, що отримала доступ до неї, пройшов процедуру оформлення на робочому місці з пред'явленням документів та укладенням трудового договору.
Розглянемо основні способи підписання документів ПЕП, що склалися в російських реаліях.
Першим способом є укладення угоди про те, що сторони визнають документи, відправлені з електронної поштової скриньки, підписаними ПЕП. У цьому випадку відкритим ключем є адреса електронної пошти, конфіденційним ключем — пароль до електронної поштової скриньки. Юридично значимої така ПЕП буде при дотриманні наступного умов:
  1. Поштовий сервіс є закритим, тобто доступ до нього має строго певне коло осіб, які пройшли процедуру перевірки оригіналу посвідчення особи;
  2. Відкритий ключ ПЕП міститься в переданому документі (ФЗ-63, стаття 9 п. 1);
  3. Пароль до поштової скриньки суворо конфиденциален, відомий лише єдиному, визначеній особі, що пройшов процедуру перевірки оригіналу М.ХМЕЛЬНИЦЬКИЙ перед отриманням пароля (ключа ПЕП) і це зафіксовано в угоді (ФЗ-63, стаття 9, п. 2);
При використанні корпоративної електронної пошти зазвичай дотримуються всі ці умови, оскільки корпоративна пошта відноситься до закритих ІС, адресу поштової скриньки відправника міститься в переданому повідомленні, пароль до корпоративного особистого поштової скриньки відомий тільки строго певній особі. На противагу цьому, використання публічних поштових сервісів, що надають послуги електронної пошти невизначеному колу осіб, нівелює юридичну значимість такої ПЕП.
Другим способом підписання документів ПЕП є укладення угоди про те, що документ, створений в деякій інформаційній системі, є підписаним ПЕП користувача облікового запису. В якості публічної частини ключа тут виступає логін до облікового запису, в якості конфіденційної пароль до облікового запису. Спосіб одержав дуже широке поширення і найрізноманітніше застосування. Таку ПЕП використовують різні інтернет-сервіси, в тому числі інтернет-банки, багато учасників фондового ринку, такий спосіб використовується на федеральному і регіональних порталах державних послуг. Крім того, такий спосіб використовується всередині організацій для надання юридичної відповідальності виконавцям, при постановці завдань у внутрішньокорпоративної системи контролю виконавської дисципліни. Переклад статусів завдань в такій системі означає підписання ПЕП своїх зобов'язань по виконанню завдання та штрафні санкції за їх невиконання, якщо це обумовлено в трудовому договорі. Юридично значимої така ПЕП буде при виконанні наступних умов:
  1. Угодою встановлена однозначна, і не допускає тлумачень, зв'язок публічної частини ключа ПЕП(логіна) з М.ХМЕЛЬНИЦЬКИЙ користувача облікового запису;
  2. Закрита частина ключа ПЕП суворо конфіденційна і це зафіксовано в угоді;
Виходячи з цих умов, випливає спосіб отримання логіна та пароля облікового запису. Обов'язково, явно або неявно, при отриманні логін/пароль повинна бути процедура перевірки оригіналу М.ХМЕЛЬНИЦЬКИЙ. Найбільш простий шлях перевірити оригінал М.ХМЕЛЬНИЦЬКИЙ, це зобов'язати майбутнього користувача ІС провести особистий візит в уповноважена установа та пред'явити оригінал М.ХМЕЛЬНИЦЬКИЙ. Так чинять усі державні організації і більшість банківських установ. Отримати обліковий запис єдиної державної системи ідентифікації та автентифікації (ЕСИА) можна тільки особистим візитом у уповноважена установа, будь то Засвідчувальний Центр, Центр Ростелекома, Багатофункціональний Центр(МФЦ) або Пошта Росії. В якості логіна використовується СНІЛС, має однозначну зв'язок з людиною і з його М.ХМЕЛЬНИЦЬКИЙ. Впровадження у своїх ІС функціоналу аутентифікації, за допомогою інтеграції з ЕСИА, фактично означає видачу користувачеві юридично значимої ПЕП, так як дотримуються всі вимоги законодавства. А ось віддалена видача логіна/пароля облікового запису, без особистого візиту, так, щоб логін/пароль отримав статус юридично значимої ПЕП, являє собою певні труднощі. Немає простого способу перевірити дані, які віддалено вводить користувач при реєстрації в ІС, на достовірність. Інфраструктура віддаленої ідентифікації в нашій країні поки що перебуває в зародковому стані і, по суті, тільки ЕСИА вирішує цю задачу. Якщо немає інтеграції з ЕСИА або інтеграції з державної інформаційної системи міжвідомчого електронного взаємодії (СМЕВ), електронні сервіси якої дозволяють зіставити СНІЛС або серійний номер паспорта з прізвищем та ім'ям, то віддалено отримати юридично значиму ПЕП досить трудомістко. Одним з можливих технічних рішень є ускладнення процедури підписання ПЕП додатковим підтверджує кодом, высылаемым на поштову скриньку, розташований на закритому сервісі. У цьому випадку, як було розглянуто вище при описі першого способу підписання ПЕП, з'являються такі ключі ПЕП,, як адресу закритого поштової скриньки і конфіденційний пароль до нього. Повна ПЕП буде складатися з п'яти ключів: логін облікового запису, пароль облікового запису, код підтвердження, адресу поштової скриньки, пароль поштової скриньки, де два ключа — пароль облікового запису та пароль поштової скриньки — є конфіденційними. Зв'язок ПЕП з оригіналом М.ХМЕЛЬНИЦЬКИЙ проходить через процедуру отримання адреси та пароля до поштової скриньки в закритому сервісі. Всі ці моменти краще прописати в угоді, вимагає ФЗ-63.
останнім часом в якості ключа ПЕП стали використовувати код підтвердження, высылаемый у вигляді SMS на номер телефону. Необхідно розуміти, що ключем ПЕП, в даному випадку, є не стільки код, а саме номер телефону, як одна з ознак, що належать певній людині. Юридична значимість такого способу підписання ПЕП сильно залежить від того, який з ключів встановлює зв'язок з оригіналом М.ХМЕЛЬНИЦЬКИЙ. Якщо, крім номера телефону, є ще ключ, в якому фіксується такий зв'язок, то додавання ще одного ключа просто створює варіант деякої посиленою ПЕП. Якщо мається на увазі, що саме номер телефону та встановлює таку зв'язок, то юридична значимість ПЕП сильно залежить від способу встановлення зв'язку. Дистанційна перевірка номера телефону у зв'язці з М.ХМЕЛЬНИЦЬКИЙ малореальна, тільки особистий візит може гарантувати достовірність такої перевірки. Враховуючи цей момент, було прийнято Постанову Уряду РФ від 13.08.2016 N 789, в якому були внесені зміни в «Правила використання простий електронного підпису при наданні державних і муніципальних послуг» (далі – Правила). До пункту 4 Правил було додано умова:
У разі застосування абонентського пристрою рухомого радіотелефонного зв'язку для використання простий електронного підпису абонентський номер пристрою рухомого радіотелефонного зв'язку повинен бути підтверджений користувачем у відповідному регістрі федеральної державної інформаційної системи «Єдина система ідентифікації і аутентифікації в інфраструктурі, забезпечує інформаційно-технологічне взаємодія інформаційних систем, що використовуються для надання державних і муніципальних послуг в електронній формі.

Правила, в пункті 16(1), установлюють порядок такого підтвердження:
При явці заявника на особистий прийом створення (заміна) і видача ключа простий електронного підпису на підставі письмової заяви здійснюються оператором видачі ключа після отримання від заявника — фізичної особи відповіді, що направляється з використанням абонентського пристрою рухомого радіотелефонного зв'язку, на запит, що направляється оператором єдиної системи ідентифікації і аутентифікації відповідно до вимог, що встановлюються Міністерством зв'язку і масових комунікацій Російської Федерації, на абонентський номер пристрою рухомого радіотелефонного зв'язку, зазначений в заяві на видачу простий електронного підпису, поданому оператору видачі ключа.
Іншого способу, окрім як особистим візитом довести зв'язок між номером телефону і М.ХМЕЛЬНИЦЬКИЙ, держава не передбачає. Якщо інформаційна система інтегрована з ЕСИА, можна використовувати відомості про телефон, що містяться в ЕСИА і така ПЕП буде юридично значуща. Якщо можливості інтегруватися з ЕСИА немає, то, при використанні номера телефону в якості єдиного ключа ПЕП, для надання юридичної значущості, угода має передбачати спосіб встановлення зв'язку між номером телефону та оригіналом М.ХМЕЛЬНИЦЬКИЙ.
Угода про визнання електронних документів, підписаних ПЕП, яке ФЗ-63 зобов'язує укласти між учасниками електронного документообігу, варто розглянути окремо. Вище, розглядаючи різні види ПЕП, ми визначили основні вимоги до такої угоди, але досить дискусійним є питання процедури укладання угоди, так як його некоректно підписувати ПЕП. Вирішення даного питання залежить від технічних рішень, що застосовуються в конкретній ІС. Загальноприйнятими є два варіанти:
Перший варіант укладення угоди – особиста власноручний підпис сторін. Такий варіант варто вибирати, якщо для видачі ключів ПЕП (перевірки оригіналів посвідчення особи) передбачається особиста зустріч сторін.
Другий варіант укладання угоди – договір приєднання, відповідно до статті 428 ЦК РФ. Це зручно для взаємодії громадян з різними організаціями через Інтернет. Варіант юридично припустимо, так як ФЗ-63 не вимагає ідентифікації особи при укладенні угоди про визнання електронних документів, підписаних ПЕП. Публічний характер договору приєднання закріплює факт, що організація визнає документи, підписані будь-якою фізичною особою з використанням ПЕП якщо ПЕП фізичної особи буде відповідати умовам, зазначеним в угоді. Зворотне визнання, тобто визнання фізичною особою ПЕП співробітника організації, зазвичай не потрібно, оскільки, в переважній більшості випадків, організації підписують документи, адресовані фізичним особам, з використанням кваліфікованої електронного підпису. Це диктується тим, що юридичним особам, крім юридичної значимості підпису, важливо також гарантувати незмінність документа після його підписання.
Епілог
Інфраструктура відкритих ключів, яку необхідно розгортати при використанні некваліфікованої і кваліфікованої електронного підпису, складна у практичному використанні для більшості людей, чиї інтереси лежать поза сферою IT. Проста електронний підпис – це досить зручна альтернатива інфраструктурі відкритих ключів, головним чином, для фізичних осіб, а також у внутрішньому електронний документообіг між співробітниками організації. Але, як і в будь-якому процесі, в процедурі підписання ПЕП існують деякі нюанси. Сподіваюся, ця стаття допоможе всім зацікавленим особам побачити ці підводні камені, і врахувати їх у проектуванні інфраструктури електронного підпису.

Посилання на джерела:
  1. Цивільний кодекс Російської Федерації

  2. Федеральний закон „Про електронний підпис“ від 06.04.2011 N 63-ФЗ
  3. Постанова Уряду РФ від 25.01.2013 N 33 „Про використання простий електронного підпису при наданні державних і муніципальних послуг“ (разом з „Правилами використання простий електронного підпису при наданні державних і муніципальних послуг“)»

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.