О рисках электронной коммерции. Законодательное регулирование
Доклад на IV Научно-практической конференции Право и Интернет: теория и практика
Соловьев Николай Николаевич
советник, зам. Председателя Правления
АКБ РОСБАНК
Москва
Когда-то проблема токсичности выхлопа автомобильного двигателя не интересовала ни инженеров-конструкторов автомобилей, ни автомобилистов. Но настали иные времена, и уровень выброса вредных составляющих стал ограничиваться законом.
Когда-то проблема шумности гражданской авиации была малоактуальна. Сейчас мы наблюдаем трудности авиакомпаний, а в конечном счете трудности пассажиров, вследствие введения ограничений на эксплуатацию излишне "громких" самолетов. Вспомним хотя бы горячку при отправке наших футболистов в Японию на чемпионат мира.
Компьютерные технологии очень молоды и развиваются стремительными темпами. По сравнению с ними системы электронной коммерции, юридически значимого электронного документооборота еще моложе, но при близком знакомстве по темпам развития и глубине проникновения в различные сферы жизни они разительно уступают совершенствованию "железа". В чем же причина Ответ, на мой взгляд, прост. Причина кроется в недостатках законодательного регулирования и, как следствие, в рисках, обусловленных проблемами обеспечения необходимого уровня безопасности. Впрочем, помимо отмеченной причины существуют и иные - это, может быть, и необходимость лицензионного оформления деятельности для конечных потребителей технологий, и естественная, но обременительная для широких масс необходимость приобретения сертифицированных средств защиты информации, и ряд других.
Практика гражданских отношений и их законодательного регулирования формировалась столетиями, но, несмотря на данное обстоятельство, законы постоянно совершенствуются с целью соответствия вновь возникающим жизненным реалиям.
Регулирование отрасли электронного информационного обмена, защиты информации в электронных системах ее обработки осуществляется незначительным числом законов. К их числу можно отнести Гражданский кодекс, неоднозначно трактуемый пресловутый Указ президента РФ №334 от 03 апреля 1995 года, Закон №24-ФЗ от 20 февраля 1995 года "Об информации, информатизации и защите информации", зарегистрированный Минюстом приказ ФАПСИ № 152 от 13 июня 2001 года. Также следует отметить последнюю редакцию Закона №128-ФЗ от 8 августа 2001 года "О лицензировании отдельных видов деятельности" с внесенными в него дополнениями в соответствии с Законом №28-ФЗ от 13 марта 2002 года и Закон №1-ФЗ от 10 января 2002 года "Об электронной цифровой подписи". Ответственность за неисполнение отдельных положений законодательства определена во вступившем в силу с 1 июля этого года "Кодексе Российской федерации об административных правонарушениях" №195-ФЗ, принятом 30 декабря 2001 года.
Если рассматривать динамику и хронологию принятия и вступления в силу перечисленных законодательных актов, то можно провести параллель, например, с примерами ограничений на токсичность двигателей внутреннего сгорания и шумности авиалайнеров в плане отсутствия норм и стандартов деятельности в области электронного юридически значимого документооборота на ранних стадиях становления технологий и жесткого регулирования данной деятельности впоследствии. Сомнения в подобной перспективе беспочвенны вследствие природы возникновения ограничений, которая, в частности, определяет критерий отнесения видов деятельности к лицензируемым в соответствующем Законе: "К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием".
Не является сгущением красок утверждение, что переход на электронные документы вместо бумажных в принципе может порождать дополнительные риски для взаимодействующих субъектов.
Законом "О лицензировании отдельных видов деятельности" предусмотрена выдача лицензий на:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
За исключением последнего пункта, связанного с выдачей сертификатов ключей цифровой подписи, первые три уже регламентированы. Количество лицензиатов, имеющих лицензии ФАПСИ на деятельность по распространению, техническому обслуживанию криптографических средств и предоставлению услуг в области шифрования информации уже превышает тысячу. Однако наличие лицензий и даже строгое им следование при проектировании систем электронного юридически защищенного документооборота не гарантирует безопасность субъектов. Подчеркну: именно безопасность субъектов, а не безопасность информации. О безопасности информации написано достаточно много, но лишь только одно её обеспечение не обеспечивает безопасности какой-либо деятельности субъектов обмена электронными данными.
Данная тема - тема безопасности, является очень ёмкой. Мы же, связанные объемом статьи, остановимся на одном важном аспекте. Дело в том, что зафиксированное в Законе "Об электронной цифровой подписи" определение электронного документа, как впрочем, и ряд других определений не дают однозначного, не требующего комментариев и разъяснений трактования термина "документ", в особенности - электронный документ.
Понятие идентификации
В отдельных определениях документа, будь он в электронной форме, либо в привычно бумажной, присутствует понятие идентификации. В одних случаях "идентифицируется" информация, содержащаяся в документе или на носителе, в других - сам документ в целом, включая и носитель, и информацию на нем.
Определение информации дано в Федеральном Законе "Об информации, информатизации и защите информации": "Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления". Иными словами, термином информация обозначается некая субстанция, меняющая наше знание об окружающем мире в зависимости от того, владеем мы ей или не владеем.
Человек и документ
Не вдаваясь в подробности определения роли документа в качестве элемента правовой системы, рассмотрим мотивацию поведения человека, определяемую документом и его свойствами.
Бумажный документ имеет две составляющие - материальный носитель, который в общем случае может быть не только бумажным, и зафиксированная на нем информация. Сам материальный объект и часть содержащейся на нем информации, которую удобно назвать реквизитами документа, служат для доказательства того факта, что он сам и оставшаяся, а, по сути, основная часть информации созданы и зафиксированы на носителе тем лицом, от чьего имени документ получен или кем подписан, а также свидетельством того, что документ не изменен неуполномоченным на то лицом.
В поведении человека, определяющего свое отношение к документу, выделим два элемента. На первое место поставим его решение об отношении к документу на основе совокупности критериев его подлинности и неизменности. Документ на материальном носителе вызывает подозрения на подложность, если, к примеру, сам носитель поврежден, текст документа содержит исправления, смазанные печати, подписи, отличающиеся от образцов и так далее.
Процесс принятия решения о доверии документу на основании целостности носителя и ожидаемых, не вызывающих сомнения реквизитов, а, следовательно, факту исполнения документа именно тем лицом, от которого он получен, есть первый этап восприятия документа человеком, называемый иногда аутентификацией документа. На практике мы настолько привыкли к этой процедуре, что выполняем ее автоматически, не задумываясь о месте, роли и значении выполняемых действий в процессе работы с документом. Однако для проведения параллелей между бумажным документом и его электронным аналогом с позиций их юридической эквивалентности целесообразно выделить аутентификацию в приведенном определении в отдельный этап. На практике аутентификацию электронного документа обеспечивает доказательная сила цифровой подписи, которой не следует подменять доказательную силу электронного документа.
Вслед за положительной аутентификацией документа, то есть после принятия решения о том, что документ исполнен именно обозначенным отправителем и не претерпел искажений в процессе доставки адресату, происходит восприятие информации, в нем содержащейся. Этот второй этап восприятия документа иногда называют его идентификацией, под которой понимают сопоставление содержания документа условиям и/или обстоятельствам его создания, а также порождению и обоснованию действий, предпринятых на его основании. Иными словами, под идентификацией следует понимать извлечение из него "сведений о лицах, предметах, фактах, событиях, явлениях и процессах", как определяет Закон "Об информации, информатизации и защите информации". Обеспечение корректной идентификации документа лежит в основе однозначного восприятия его содержания как сторонами, производящими обмен документами, так и третьей стороной, уполномоченной для разбирательства относительно конфликтного документа. Достигается корректность идентификации документов совокупностью факторов разного рода. Здесь и недвусмысленность толкования текста, изложенного общепонятным русским языком (мы говорим о нашей стране), и применение метрической системы мер, и повсеместно принятые сокращения и кодировки, и устоявшаяся терминология, и действующее законодательство, и, наконец, применение государственных, межведомственных или иных стандартов, определяющих формы документов и их содержание.
Но если положение бумажных документов в жизнедеятельности человека определялось тысячелетиями, то история развития электронных документов, именно как документов, исчисляется лишь десятками лет.
Человек и электронный документ
Попытаемся провести параллель между технологиями восприятия бумажного и электронного документа. Аутентификация электронного документа осуществляется посредством проверки электронно-цифровой подписи (ЭЦП). При проверке ЭЦП файла проверяется, применялся ли при выработке данной цифровой подписи конкретный ключ, принадлежащий отправителю документа, и не претерпел ли файл изменений в процессе пересылки адресату. Если программа проверки подписи формирует запись УЭЦП вернаФ, то файл УаутентифицированФ. Подчеркнем, что при аутентификации файла не имеет значения, какую полезную информацию он содержит и содержит ли вообще. Для последующей идентификации файла – документа требуется механизм перевода бинарной информации, составляющей файл, в читаемую человеком форму и определенным образом трактующего содержимое данной формы. Очевидно, что только при наличии подобного механизма может быть обеспечена доказательная сила электронного документа.
Что же мы имеем на практике Закон "Об электронной цифровой подписи" является основанием доказательной силы цифровой подписи. Доказательная же сила электронных документов зиждется на фиксации языка их прочтения или, иными словами, механизма идентификации цифр - нулей и единиц, образующих документ. В договорах об организации электронного документооборота иногда присутствует перечень электронных документов и их структура, позволяющие защищать стороны от возможности опасного многообразия общечеловеческого смысла и содержания, извлекаемого из электронного документа. Я говорю "иногда", так как зачастую язык идентификации электронных документов в договорных отношениях не регламентирован. И наличие и выполнение всех условий, как уже было сказано выше, лицензий ФАПСИ, не защищает от рисков в достаточной мере.
Во времена подготовки и обсуждения Закона "Об электронной цифровой подписи" в сообществе причастных к данной тематике специалистов бытовало предположение, что вслед за ним будет разработан и принят Закон "Об электронном документе", который определит нормы для обеспечения юридической силы электронного документа. Однако, в настоящее время (начало июля 2002 года) готовится Закон "Об электронной торговле". Статья 3 законопроекта содержит следующее определение: "Для целей настоящего Федерального закона под электронным сообщением понимается текстовая или иная информация, предназначенная для передачи и получения в электронном виде и использования с применением компьютерных устройств, а адресатом - лицо, которому оно предназначено по воле отправителя". Подобная, кстати весьма неудачная, формулировка - "Е текстовая или иная информацияЕ" и некоторые другие, содержащиеся в законопроекте, красноречиво свидетельствуют об отсутствии так необходимых требований, норм и стандартов для электронных документов.
Многие телекоммуникационные компании предлагают услуги "организации электронного документооборота", вкладывая в это словосочетание только защищенный обмен информацией. Придание файлам юридического статуса, эквивалентного бумажным документам является отдельной задачей, решение которой пока еще не поставлено на надежную основу государственного регулирования.
Если вспомнить процитированный выше принцип отнесения вида деятельности к лицензируемой - возможность нанесения ущерба, то представляется логичным выделение "проектирования систем электронного документооборота", естественно, предполагающих юридическую значимость файлов, в отдельный вид деятельности, лицензируемой государством.
Возможно, существуют и иные пути решения проблемы. А пока - в отсутствии каких-либо правил, норм и требований, ситуация необременительного хаоса в этом вопросе порождает дополнительные риски, являющиеся принципиальным тормозом развития технологий электронной коммерции.
Книги по разным темам